3环下的进程隐藏----64位windows 10

最新推荐文章于 2024-07-07 08:40:16 发布
最新推荐文章于 2024-07-07 08:40:16 发布
阅读量2.1k 收藏 2
点赞数 1
分类专栏: 二进制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/joliph/article/details/80469624
版权

搞了两天还没搞定,记录下这两天分析的结论和疑惑吧。。。。。
1.
MSDN说ZwQuerySystemInformation这个API在windows 8以上取消了,x86的GetProcAddress是可以找到ZwQuerySystemInformation这个API的,x64的GetProcAddress找到了一个名字不一样的API叫RtlGetNativeSystemInformation,然后把这个API当做ZwQuerySystemInformation处理会出错闪退,但是ZwQuerySystemInformation这个API的资料没找到…进展不顺……………………
2.
如果想要注入64位的PE文件,必须保证注入的DLL也是64位的
3.
xp时代的CreateRemoteThread在7后无法使用,可以用ntdll.NtCreateThreadEx代替
4.
注入操作注意一下windows 7+引入的会话ID安全机制引发的问题
5.
64为系统的指针会从x86的4字节变为8字节,但是FARPROC….大部分的类型在x86下和x64下大小不一样,猜测是编译的时候做的修改,但是PVOID这个类型需要手动修改为PVOID64
6.
疑惑….在Hook函数时候修改API内存值的时候,memcpy了0xE9,内存中看也是对的,但是调试的时候在汇编[xx地址xx]处拿到的却是错的0xCC……..特别奇怪的问题
7.
本来以为x64下的地址为8字节,所以jmp 的address需要 -9 的,结果调试发现还是和x86一样 -5 就行了…..
8.
后面搞出x64 Hook再更新吧

Istaroth
关注
专栏目录
x64下隐藏可执行内存
hongduilanjun的博客
09-14 2353
我们如果想要实现进程隐藏在3环通常会使用到PEB断链去达到隐藏进程的效果,但是那只是表面上的进程隐藏,所有内存的详细信息都会被储存在vad树里面,这里我们就来探究在64位下如何隐藏可执行内存。
64位驱动隐藏进程保护进程.e
08-18
64位驱动隐藏进程保护进程.e
3环下进程隐藏
笔记本
05-22 651
分析&注意事项 1.隐藏指定进程,即程序调用CreateToolhelp32Snapshot这个函数得到的进程链表中不能有我们需要隐藏进程 2.除了CreateToolhelp32Snapshot可以遍历进程外还有EnumProcess也可以。逆向显示,这两个API都是调用一个更加底层的函数从内核层取得进程结构链表的,叫ZwQuerySystemInformation,属于ntdll...
浅谈进程隐藏技术
最新发布
蚁景网安学院
07-07 914
在之前几篇文章已经学习了解了几种钩取的方法,这篇文章就利用钩取方式完成进程隐藏的效果。在实现进程隐藏时,首先需要明确遍历进程的方法。
3环下进程隐藏------持续隐藏防新开
笔记本
05-23 1064
因为上篇进程隐藏存在这一些缺陷,比如只能对当前打开的任务管理器隐藏,关闭任务管理器重开就无法隐藏了,原因很简单,因为重开的任务管理器并没有被我们Hook,自然无效 Notes: 1.新版进程隐藏致力于解决这个问题 HideProc负责将Dll注入explorer.exe 和已经运行的 taskmgr.exe DLL加入自动识别模块,如果自身被注入到taskmgr.exe则Hook ZwQu...
ring3 下隐藏进程
04-10
Ring3 下隐藏进程.txt
win7 win8 win10 64位进程隐藏工具 亲测可用
04-15
win7 win8 win10 64位进程隐藏工具 亲测可用 win7 win8 win10 64位进程隐藏工具 亲测可用 win7 win8 win10 64位进程隐藏工具 亲测可用
Process-prevent-killed:防止进程被杀死的某种方法
05-15
将NtQuerySystemInformation钩到隐藏进程(3级环) 它可以防止任务管理器终止进程 仅在NT2000中有效。 不普遍 绕道行驶lib防止被杀 原理与HookNtQuerySystemInformation类似,将OpenProcess挂钩以防止被杀。 在...
进程隐藏--通过直接修改内核实现
12-07
进程隐藏是一种技术手段,主要目的是使特定的进程在操作系统中变得不可见,以此来增加安全性或规避检测。本文将深入探讨如何通过直接修改内核来实现进程隐藏,也就是所谓的"Direct Kernel Object Manipulation"...
ring0驱动层上实现 隐藏进程(无进程 无端口 无服务)的简单demo.zip
01-24
3. **内存管理**:隐藏进程还需要处理内存分配和管理,确保进程的内存空间不被其他非ring0代码发现。这可能涉及在内核地址空间中分配内存,并避免在用户模式下可见。 4. **I/O管理**:隐藏进程通常会避免使用常规的...
VB进程隐藏
07-08
在VB中实现Ring3级别的进程隐藏,意味着我们将在用户模式(Ring3)下进行操作,这是大多数应用程序运行的级别。 首先,我们要理解操作系统的保护环结构。在x86架构的计算机中,CPU有四个 rings(环):Ring0、Ring1...
易语言 win7 64位隐藏进程模块,保护进程模块
05-26
易语言隐藏进程模块支持WIn7 64位,保护进程 ,防破解,防注入,防Ce,WPE
HideToolz进程隐藏保护工具
11-12
这个软件可以保护进程不被其他进程读取,可以做一些你"想"做得事情,而不被目标进程发现.
驱动签名 隐藏进程 保护进程 多种方式 保护进程驱动
05-18
多种方法 保护进程 断链 修改Flag hook对象 抹psp表 csscs表 注册回调 ObRegisterCallbacks
进程隐藏保护工具TssHtv1.0中文绿色免费版
07-25
软件功能: 1.隐藏进程,系统任务管理器及一些其他任务管理器无法查到 2.恢复隐藏进程,可恢复被隐藏进程 3.保护进程,系统任务管理器及一些其他任务管理器无法结束和访问 4.取消保护进程,可结束对进程保护 5.暂停进程运行,恢复进程运行 6.打开文件属性,定位文件 注意: 1.本人只测试了Windows7/32位,可隐藏/保护进程,隐藏进程貌似只对任务管理器有效..(不过也不一定,大家可以
进程断链隐藏_r0_进程保护_进程断链隐藏_断链隐藏_驱动_
10-01
进程链表中摘除指定进程
最新隐藏进程 RING3实现方式:hook ZwQuerySystemInformation 隐藏进程 在XP里测试通过
aq782645210的专栏
11-14 3526
研究其他作者写的文章,也是hook ZwQuerySystemInformation 隐藏进程,可是我怎么测试都没有通过,不能隐藏进程,在网上也试了其他隐藏进程的代码,也不行。唉,那就只有自己动手啦~~~ 既然hook ZwQuerySystemInformation 可以隐藏进程,我就拿它刀了。首先声明,本人只是业余编程者,代码不好看的地方请多包涵。 经过反复测试,终于找到了关键处: wh
EPROCESS 遍历进程 隐藏 保护
Mikasys的博客
10-20 855
0: kd> dt _KPROCESS nt!_KPROCESS +0x000 Header : _DISPATCHER_HEADER //dt _KEVENT +0x018 ProfileListHead : _LIST_ENTRY //任务管理器上的性能 +0x028 DirectoryTableBase : Uint8B //cr3 +0x030 ThreadListHead : _LIST_ENTRY //当前进程所有线程
驱动开发:DKOM 实现进程隐藏
CSDN
10-11 5572
DKOM 就是直接内核对象操作技术,我们所有的操作都会被系统记录在内存中,而驱动进程隐藏的做旧就是操作进程的EPROCESS结构与线程的ETHREAD结构、链表,要实现进程隐藏我们只需要将某个进程中的信息,在系统EPROCESS链表中摘除即可实现进程隐藏。DKOM 隐藏进程的本质是操作EPROCESS结构体,EPROCESS结构体中包含了系统中的所有进程相关信息,还有很多指向其他结构的指针,首先我们可以通过WinDBG在内核调试模式下输入。函数就无法遍历出被摘链的进程了,从而实现了进程隐藏
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值