Win10 EPROCESS 断链

最新推荐文章于 2022-12-04 15:16:06 发布
最新推荐文章于 2022-12-04 15:16:06 发布
阅读量1.2k 收藏 10
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kwansy/article/details/113372198
版权
本文介绍了如何在Win10 x64系统中动态获取ActiveProcessLinksOffset来实现EPROCESS断链,以隐藏进程。通过参考GitHub项目HideProcess,详细阐述了隐藏加载器自身的过程以及驱动加载的步骤。
摘要由CSDN通过智能技术生成

介绍

参考了 https://github.com/landhb/HideProcess/
动态获取 ActiveProcessLinksOffset ,可兼容不同版本的win10 x64系统。

运行结果

隐藏加载器自身

在这里插入图片描述

隐藏成功

在这里插入图片描述

驱动加载

#include <windows.h>  
#include <winsvc.h>  
#include <conio.h>  
#include <stdio.h>
#include <winioctl.h>

#define DRIVER_NAME L"HideProcess"
#define DRIVER_PATH L"HideProcess.sys"
#define LINK_NAME "\\\\.\\HideProcessLnk"

#define IOCTRL_BASE 0x800

#define MYIOCTRL_CODE(i) \
	CTL_CODE(FILE_DEVICE_UNKNOWN, IOCTRL_BASE+i, METHOD_BUFFERED,FILE_ANY_ACCESS)

#define CTL_HIDEPROCESS MYIOCTRL_CODE(0)

// 加载驱动
BOOL LoadDriver(PCWSTR lpszDriverName, PCWSTR lpszDriverPath)
{
   
	// 获取驱动完整路径
	WCHAR szDriverFullPath[MAX_PATH] = {
    0 };
	GetFullPathNameW(lpszDriverPath, MAX_PATH, szDriverFullPath, NULL);
	//printf("%s\n", szDriverFullPath);
	// 打开服务控制管理器
	SC_HANDLE hServiceMgr = NULL; // SCM管理器句柄	
	hServiceMgr = OpenSCManagerW(NULL, NULL, SC_MANAGER_ALL_ACCESS);
	if (NULL == hServiceMgr)
	{
   
		printf("OpenSCManagerW failed, %d\n", GetLastError());
		return FALSE;
	}
	//printf("打开服务控制管理器成功.\n");
	// 创建驱动服务
	SC_HANDLE hServiceDDK = NULL; // NT驱动程序服务句柄
	hServiceDDK = CreateServiceW(
		hServiceMgr,
		lpszDriverName,
		lpszDriverName,
		SERVICE_ALL_ACCESS,
		SERVICE_KERNEL_DRIVER,
		SERVICE_DEMAND_START,
		SERVICE_ERROR_IGNORE,
		szDriverFullPath,
		NULL,
		NULL,
		NULL,
		NULL,
		NULL);
	if (NULL == hServiceDDK)
	{
   
		DWORD dwErr = GetLastError();
		if (dwErr != ERROR_IO_PENDING && dwErr != ERROR_SERVICE_EXISTS)
		{
   
			printf("CreateService failed, %d\n", dwErr);
			return FALSE;
		}
	}
	//printf("创建驱动服务成功.\n");
	// 驱动服务已经创建,打开服务
	hServiceDDK = OpenServiceW(hServiceMgr, lpszDriverName, SERVICE_ALL_ACCESS);
	if (!StartService(hServiceDDK, NULL, NULL))
	{
   
		DWORD dwErr = GetLastError();
		if (dwErr != ERROR_SERVICE_ALREADY_RUNNING)
		{
   
			printf("OpenService failed, %d\n", dwErr);
			return FALSE;
		}
	}
	//printf("运行驱动服务成功.\n");
	if (hServiceDDK)
	{
   
		CloseServiceHandle(hServiceDDK);
	}
	if (hServiceMgr)
	{
   
		CloseServiceHandle<
最低0.47元/天 解锁文章
hambaga
关注
内核下断链隐藏进程(兼容多版本Windows系统,非硬编码)
Think88666的博客
09-01 1451
内核下断链隐藏进程(兼容多版本Windows系统,非硬编码)
2. ETHREAD和线程断链
Mikasys的博客
11-07 1175
一、ETHREAD结构体 ntdll!_ETHREAD +0x000 Tcb : _KTHREAD +0x1c0 CreateTime : _LARGE_INTEGER +0x1c0 NestedFaultCount : Pos 0, 2 Bits +0x1c0 ApcNeeded : Pos 2, 1 Bit +0x1c8 ExitTime : _LARGE_INTEGER +0x1c8 LpcRepl
PEB断链
hongduilanjun的博客
03-18 2084
断链这种技术非常古老,同时应用于非常多的场景,在内核层如果我们需要隐藏一个进程的内核结构体,也会使用这种技术。本文基于PEB断链在用户层和内核层分别进行实现,在用户层达到的效果主要是dll模块的隐藏,在内核层达到的效果主要是进程的隐藏。 3环PEB断链 每个线程都有一个TEB结构来存储线程的一些属性结构,TEB的地址用fs:[0]来获取,在0x30这个地址有一个指针指向PEB结构 然后定位到PEB,PEB就是进程用来记录自己信息的一个结构,在PEB的0x00c偏移有一个 Ldr _PEB_LDR_DAT
EPROCESS进程断链
SR0ad的涅盘地
10-24 2050
本身今天说写《Windows驱动开发技术详解》第六章的笔记,但是发现第六章无非是字符串、文件、注册表,其实没有必要抄书,之前写了写笔记,也能够尝试写一点小函数练练手的,就想自己写点小例子记作笔记也是OK的。今天用Windbg的dt命令查看字符串结构的时候,顺带查询了EPROCESS结构,PEB,TEB,_RTL_USER_PROCESS_PARAMETERS这些结构。 kd> dt _EPROC
进程断链隐藏_r0_进程保护_进程断链隐藏_断链隐藏_驱动_
10-01
从进程链表中摘除指定进程
第二课断链隐藏驱动
08-16 1738
#include"ntddk.h" typedef struct _driverdata { LIST_ENTRY listentry; ULONG unknown1; ULONG unknown2; ULONG unknown3; ULONG unknown4; ULONG unknown5; ULONG unknown6; ULONG unknown7; UNICOD
Win10内核驱动断链式隐藏指定进程
WorryFree
12-02 2880
Win10内核隐藏进程
X64下进程隐藏实现与Debug
笔记本
06-26 3401
之前写过几篇进程隐藏的技术贴,但是在X64下代码没有成功,昨晚深入调试了一会儿发现了问题所在,这里详细探讨下 先贴上完整的Hide.dll的cpp代码: #include "Hide.h" #define SystemProcessInformation 5 #define STATUS_SUCCESS (0x00000000L) #define STATUS_...
3环下的进程隐藏----64位windows 10
笔记本
05-27 2224
搞了两天还没搞定,记录下这两天分析的结论和疑惑吧。。。。。 1. MSDN说ZwQuerySystemInformation这个API在windows 8以上取消了,x86的GetProcAddress是可以找到ZwQuerySystemInformation这个API的,x64的GetProcAddress找到了一个名字不一样的API叫RtlGetNativeSystemInformatio...
Win10下的_EPROCESS结构记录
WorryFree
11-30 2468
kd> dt _EPROCESS ntdll!_EPROCESS +0x000 Pcb : _KPROCESS 内嵌的内核层进程结构体 +0x2e0 ProcessLock : _EX_PUSH_LOCK 自旋锁 用于保护EPROCESS数据成员的同步 +0x2e8 UniqueProcessId : Ptr64 Void 进程的唯一PID +0x2f0 ActiveProcessLinks :
隐藏进程小工具hideprocesstool
01-13
主要用于隐藏系统进程,不被恶意程序读取自己电脑进程,保护自己隐私.
win7,win10注入CSRSS 不蓝屏
04-22
winXp,win7 32 , win7 64 ,win10注入CSRSS蓝屏 这是一个重要的进程,他会随系统的启动而自动开启并一直运行。在大多数情况下它是安全的,你不应该将其终止;但也有与其类似的病毒出现
驱动开发:内核无痕隐藏自身分析
热门推荐
CSDN
10-24 2万+
在笔者前面有一篇文章通过摘除驱动的链表实现了断链隐藏自身的目的,但此方法恢复时会触发PG会蓝屏,偶然间在网上找到了一个作者介绍的一种方法,觉得有必要详细分析一下他是如何实现的进程隐藏的,总体来说作者的思路是最终寻找到的入口地址,该函数的作用是将驱动信息加入链表和移除链表,运用这个函数即可动态处理驱动的添加和移除问题。那么如何找到函数入口地址就是下一步的目标,寻找入口可以总结为;搜索可定位到地址。搜索定位到即得到了我们想要的。根据前面枚举篇系列文章,定位这段特征很容易实现,如下是一段参考代码。
Win64 驱动内核编程-21.DKOM隐藏和保护进程
天使也掉毛
03-23 1万+
DKOM隐藏和保护进程 主要就是操作链表,以及修改节点内容。 DKOM 隐藏进程和保护进程的本质是操作 EPROCESS 结构体,不同的系统用的时候注意查下相关定义,确定下偏移,下面的数据是以win7 64为例。 关 注 两 个 成 员 : ActiveProcessLinks 和 Flag 。 ActiveProcessLinks 把各个EPROCESS 结构体连接成“双向链表”,ZwQ
内核隐藏进程
125096
11-16 2535
#include #include #include NTKERNELAPI UCHAR *PsGetProcessImageFileName(PEPROCESS Process); #ifndef MAX_PATH #define MAX_PATH 260 #endif DWORD g_OsVersion;
Windows内核研究总结
bcbobo21cn的专栏
02-05 1万+
Windows 的体系结构 分析环境reactos0.3.1 ,i386体系] 了解了windows的体系结构才知道reactos到底要干什么,以及如何干,因为reactos的目标是兼容windows。 下面是windows的体系结构: 这是整个windows的体系结构的总览。从图上可以看出系统被分成内核模式和用户模式。 内核模式的构成文件是系
Windows x64隐藏可执行内存
最新发布
鬼手的博客
12-04 6851
Windows x64隐藏可执行内存
windows10驱动 --- x64线程隐藏(一)
weixin_41725706的博客
11-05 1333
win10 x64 线程隐藏
驱动编程:注册表回调,进程回调,文件回调,进程隐藏断链,窗口保护
追逐光芒,追随内心
10-28 1958
#include "struct.h" #define debug_pott_offset 0x298 //#define debug_pott_offset 0x1f0 DWORD changge_size_NtClose = 0; //NtClose被修改了N字节 PUCHAR ori_head_NtClose = NULL; //NtClose的前N字节数组 PVOID ori_addr_NtClose = NULL; //NtCl..
EPROCESS结构双向链表进程检测技术研究
资源摘要信息:"EPROCESS_EPROCESS_Vc_" 知识点: 1. EPROCESS结构体 EPROCESS结构体是Windows操作系统中,内核用于管理进程的核心数据结构。它是Windows内核对象之一,每个进程在内核中都对应一个EPROCESS结构体...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值