HOOK和Inline-HOOK进程隐藏技术全面解析

首先我们要理解的是：‘无进程木马就是利用技术手段隐藏进程的木马’这显然就不属于无进程了利用技术手段隐藏进程的木马，是有自己的进程，但是如果你破解不了他的隐藏技术，那你就看不到它的进程。
　　
进程是如何隐藏的呢？这无可避免的会涉及到一些技术问题，下面我们尽量简单明了的说一说，详细的实现细节，请参阅相关资料。在这里，我所想达到的目的，并非是让您也同样写出一个能隐藏自身的木马，而是让您明白，什么样的手段可以隐藏木马的进程，木马又为什么会隐藏，而想破解这种解藏将它揪出来，又需要什么样的技术，好有针对性的选择一些专业工具。




　　
同时，需要注意的是，隐藏进程的技术同样适用于隐藏DLL模块程序、隐藏驱动程序，下面为了描述方便，统一说为进程。




　　
Windows 系统给我们的开发人员提供了几种列出系统中所有的进程、模块、与驱动程序的方法，最常见的也是最常用的方法就是调用系统 API：CreateToolHelp32Snapshot、EnumProcess、EnumProcessModules等，如果您不是开发人员，您不用关心这几个是什么东西，只需要明白，他们是获取进程列表的第一层手段，我们调用这几个其实就是在告诉系统，我们需要进程列表，然后系统就会将列表返回给我们。




　　
而这几个API在接到请求后又做了什么呢？他们会调用 ZwQuerySystemInformation，ZwQuerySystemInformation会调用KiSystemService切入内核进入R0权限，然后自SSDT表中查取得NtQuerySystemInformation的地址，并调用其指向的实际代码，而 NtQuerySystemInformation的作用则是自系统的数据结构中取相应的数据，再顺原路返回去。




　　
在中间任何一个环节进行拦截都可以实现隐藏进程的目的，这种拦截有一个名字叫做“HOOK”，在切入内核进入R０权限前进行HOOK，称为应用层HOOK，而在之后进行HOOK则是内核HOOK，后者需要用驱动才能实现了。




　　
什么是HOOK？什么是SSDT？我们来举例说明：




　　
Windows操作系统就像一个为我们管理电脑的服务公司，而他的工作机制是逐级上报，各负其责的，他派了一个服务人员时刻的跟着我们，看我们都有什么要求。




　　
当我们想查看系统中都有什么进程时，我们会告诉服务员，我们想了解当前都有哪些进程，那么服务员就会把我们的要求报上去，报给谁呢？他要先知道哪个部门负责哪个工作才行，SSDT表就是做这个的，SSDT表就像是一个路标，指明了什么样的工作应该由哪一个部门负责处理。通过查表得知负责的部门后，工作就被移交到了那个部门，工作完成后，部门会把工作结果交回给服务员，服务员再交给我们，而我们也就得到我们想要的结果了。




　　
应用层HOOK呢，就像是服务员被木马偷偷的替换了，当我们提出要求时呢，他会检查是否对他有害，或将对他有害的信息去掉，比如我们想查看进程，那他在将结果交给我们时，却把木马的进程自结果中抹去了，这样，我们自然是看不到木马进程了。




　　
而最常见的内核HOOK，则是HOOK－SSDT，上面说了SSDT就是一张表，标明了什么工作应该由什么部门负责。而SSDT　HOOK也就是木马将表上的内容给改了，本来交给A部门负责的工作被改成了交给由木马负责，这样，服务员在上报我们的请求时，一查表发现查看进程的工作是由木马负责的，他就把这请求交给木马了，而木马呢？他可是知道表中原来的内容是什么的呀，他只是对请求进行一下过滤，发现没有对自己有害的，就直接转交给原部门了，对自己有害的，自然也就视情况滤掉或涂改了。每一个函数都实现了某一种功能，比如：结束进程是由NtTerminateProcess来完成的，如果HOOK了这个，那么在进程结束前，就有机会更改结果了，可以拒绝被结束。入上图所示，当你试图在任务管理器中结束某个进程时，系统会拒绝你的操作，其实这并不是系统拒绝的，而是进程自己，由于进程自己的HOOK了SSDT，所以，结束进程的工作服务员都交给他去做了，他一旦发现结束的就是他自己，那他直接告诉服务员这个进程不能结束，然后服务员就把这个结果给我们了，其实我们的这个请求并没有真的到达应该送交的部门。




需要特别注意一下子“HOOK类型”，上面的显示是“HOOK”，还有一种是“Inline-HOOK”，什么是Inline-HOOK呢？


上面说过了，SSDT就像是一个标明了什么工作由哪个部门来做的表，SSDT-HOOK就是更改了这个表的指向。而Inline-HOOK呢？他并没有更改表的指向，查找进程的工作在表中仍然指向了负责查找进程的部门。但是呢，木马却把那个部门中的人员替换了，这样仍然能达到它的目的。


nline- HOOK更加的复杂、更加的邪恶、也更加的不稳定，而应用范围却是更加的广泛，查找起来更加的困难。要知道，对比SSDT表中的指向是否正确，是否指向了正确的部门，要简单一些，不就是一张表么，拿原来的表对比一下就知道了。但Inine-HOOK却是替换的公司人员，Windows就像一个大公司，有成千上百的人，天知道他替换了哪一个。。。。


简单的总结一下：程序就像是为了实现某一目的而定的计划书；进程呢？就是组织工人分配资源开始执行这份计划；而Windows操作系统呢？就是一个为我们管理电脑也是管理这些执行计划的工人的服务管理公司；我们有什么要求呢？就交给服务员将我们的要求提要给Windows，由Windows来组织工人执行我们的要求，并将结果返回给我们。如果木马替换了服务员、更改了SSDT表、或替换了 Windows服务公司某职能部门的人员，我们得到的可能就是一个错的结果，或我们的要求得不到执行，就像结束进程一样。