HideProcess(隐藏进程) Ring0 win7 x86

最新推荐文章于 2024-05-29 09:32:53 发布
最新推荐文章于 2024-05-29 09:32:53 发布
阅读量3.1k 收藏 3
点赞数
分类专栏: Hook系列 文章标签: HideProcess Ring Hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37957965/article/details/84403684
版权
通过分析EProcess结构体中的ActiveProcessLinks链表,可以实现进程隐藏。在Win7系统中,当从链表中移除目标进程节点后,任务管理器将无法显示该进程。本文以explorer.exe为例,使用Windbg工具展示了如何遍历和操作这个链表。
摘要由CSDN通过智能技术生成

    我们可以通过遍历EProcess结构体中的双向链表ActiveProcessLinks,找到目标进程结点后将该节点从双向链表中移除,便实现了进程隐藏的目的,此时打开win7的任务管理器会发现运行的calc进程并没有显示。

使用windbg查看EProcess结构:
    2: kd> !process 0 0
    //crtl+F查找explorer
    PROCESS 892b9d40  SessionId: 1  Cid: 09e8    Peb: 7ffdd000  ParentCid: 09b8
    DirBase: 7e2f4480  ObjectTable: 983c85a0  HandleCount: 622.
    Image: explorer.exe

    2: kd> dt _eprocess 892b9d40
    nt!_EPROCESS
    +0x000 Pcb              : _KPROCESS
    +0x098 ProcessLock      : _EX_PUSH_LOCK
    +0x0a0 CreateTime       : _LARGE_INTEGER 0x01d3b06d`2b360a55
    +0x0a8 ExitTime         : _LARGE_INTEGER 0x0
    +0x0b0 RundownProtect   : _EX_RUNDOWN_REF
    +0x0b4 UniqueProcessId  : 0x000009e8 Void
    +0x0b8 ActiveProcessLinks : _LIST_ENTRY [ 0x893060e8 - 0x892b62a8 ]

    2: kd> dt _LIST_ENTRY
    nt!_LIST_ENTRY
 

最低0.47元/天 解锁文章
拉塞尔
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hideProcess:hyde.dll 在 Windows2kWindows7(x86x64 位)的任务管理器中隐藏了一个进程
06-29
'hideProcess' 在 Windows2k/Windows7(x86/x64 位)上从任务管理器中隐藏一个进程! 您的流程可以将其注入到其他流程中,只要您喜欢。 该示例使用 SetWindowsHookEx 和 CBT 挂钩(dll 导出 CBTProc)将其注入所有...
hide_process_32位进程隐藏_
10-02
32位系统进程隐藏 源码 仅供学习 演示
在2000和xp下,隐藏进程,vc6.0测试通过
yanzheng1的专栏
01-14 1272
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////Hide Process#include#include#include#defin
探索进程隐藏的奥秘:HideProcessHook开源项目评测与推荐
最新发布
gitblog_00035的博客
05-29 447
探索进程隐藏的奥秘:HideProcessHook开源项目评测与推荐 项目地址:https://gitcode.com/ryan-weil/HideProcessHook 在当今这个技术日新月异的时代,对于软件开发者和安全研究者来说,深入理解操作系统底层机制是提升技能不可或缺的一环。今天,我们带来的是一个名叫HideProcessHook的开源项目,这是一段巧妙的代码之旅,带你一窥进程隐藏技术的究...
HideProcess完结篇.zip_c++ 进程隐藏_c++隐藏进程_隐藏进程_隐藏驱动_驱动隐藏进程
07-15
C++隐藏进程,C++语言编写驱动级隐藏
探秘 HideProcess:一款强大的系统进程隐藏工具
gitblog_00009的博客
04-16 2817
探秘 HideProcess:一款强大的系统进程隐藏工具 项目地址:https://gitcode.com/landhb/HideProcess 在数字安全和隐私保护的领域里,有时候我们需要对特定的程序或进程进行隐藏以增强系统的安全性或实现某些高级功能。这里,我们要介绍的是一个名为 HideProcess 的开源项目,它提供了一种简单而高效的方式来隐藏 Windows 系统中的进程。 项目简介 H...
hide process
gclu212的专栏
11-08 1069
///////////////////////////////////////////////////////////////////////////// //HideProcess.cpp #include "stdafx.h"#include #include #include #include"HideProcess.h" #define NT_SUCCESS(Status)((NT
Hide Process
namgking的专栏
09-24 666
<!--google_ad_client = "pub-3527323059587280";/* 468x60, 创建于 08-10-10 */google_ad_slot = "6038158497";google_ad_width = 468;google_ad_height = 60;//--><script type="text/javascript"s
隐藏进程的unit HideProcess
随矜而去 BLOG
08-31 883
unit HideProcess;interfacefunction MyHideProcess: Boolean;implementationusesWindows, SysUtils, Variants, Classes, AclAPI, accCtrl;typeNTSTATUS = LongInt;const//NT_SUC
Ring3Enumprocess.rar_Hide ring3_hide process_ring3_进程_隐藏进程
07-14
一个非常实用的ring3下检查隐藏进程实例。
hideprocess.rar
10-27
驅動級隱藏進程。 Macro for easy hook/unhook. On X86 implementations of Zw* func- tions, the DWORD following the first byte is the system call number, so we reach into the Zw function passed as a parameter, and pull the number out. This makes system call hooking depe ndent ONLY on the Zw* function implementation not changing.
隐藏进程小工具hideprocesstool
01-13
主要用于隐藏系统进程,不被恶意程序读取自己电脑进程,保护自己隐私.
hidetoolz进程隐藏工具
11-04
HideToolz是一款隐藏进程工具,可以帮助你隐藏进程,再配合隐藏窗口等工具可以达到完美隐藏,就跟没运行一样。该隐藏进程工具的强大之处在于隐藏的不仅仅是进程列表那么简单,即使其它程序也未必能检测到你所隐藏进程HideToolz支持隐藏还原,还可以在右边添加路径,能够隐藏指定目录内的所有进程
ring0驱动级 隐藏进程 的源代码_在驱动层通过替换ssdt地址表中的api函数来隐藏进程
01-25
ring0驱动级 隐藏进程 的源代码_在驱动层通过替换ssdt地址表中的api函数来隐藏进程
进程隐藏ProcessHidden
10-30
进程隐藏 ProcessHidden 实例程序
hideprocess隐藏进程的驱动代码
01-25
hideprocess隐藏进程的驱动代码,cpp文件
HideProcess.cpp
x140yu的专栏
07-18 1215
////////////////////////////////////////////////////////////////////////// // HideProcess.cpp // // Tested on: (All in VMware) //     NT SP6 Wkst.   Working //     2K SP4 Pro.    Working //     XP SP2
hide tooz系统进程隐藏
01-16
hide tooz系统进程隐藏是一种可以将系统进程隐藏起来的方法。常见的操作系统都会有一些系统进程在后台运行,这些进程负责维护系统的正常运行和管理各种任务。然而,有时候我们可能希望隐藏某些系统进程,以便更好地保护系统安全或者隐藏一些敏感的操作。 hide tooz系统进程隐藏的技术会通过改变系统的内部设置或者修改系统的源代码,将某些进程隐藏或者伪装成其他进程。这样做的目的可能有多种,比如为了隐藏一些恶意软件的痕迹,使得系统难以检测到恶意行为;或者为了反制一些针对特定进程的攻击,通过隐藏进程的存在来绕过攻击者的侦测;又或者为了保护系统的核心进程,防止其被篡改或被关闭。 但需要注意的是,hide tooz系统进程隐藏并不是一项合法的操作,它可能会违反操作系统的使用条款或者违反某些法律法规。因此,如果没有足够的授权和合法的理由,不建议使用这种技术进行系统进程隐藏。 总结起来,hide tooz系统进程隐藏是一种修改系统设置或者源代码的技术,可以将系统进程隐藏起来,但使用时需要谨慎,遵守相关法律法规和操作系统的使用条款。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值