通过读取KiWaitInListHead列出隐藏的进程

最新推荐文章于 2022-03-30 11:53:02 发布
最新推荐文章于 2022-03-30 11:53:02 发布
阅读量2.4k 收藏
点赞数
分类专栏: 技术文档 文章标签: attributes null object include struct token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunwear/article/details/288002
版权
/*
有些ROOTKIT通过更改PsActiveProcess链表或相关Native API来隐藏进程.下面这个程序通过直接读取
KiWaitInListHead和KiWaitOutListHead(windows的dispatcher所使用的内核链表),来列出隐藏的进程.
技术细节请参照Jan K. Rutkowski的原文
http://www.blackhat.com/presentations/bh-usa-03/bh-us-03-rutkowski/rutkowski-antirootkit.zip.
原文的示范代码使用驱动来实现,这里使用了/Device/PhysicalMemory.代码很乱,勉强可以工作.这里感谢pjf的代码.
如果有错误的地方请斧正,如果你有更好的idea,与我分享?谢谢!
*/

/* code token from Jan K. Rutkowski(jkrutkowski<a>elka.pw.edu.pl) */
/*    and pjf (jfpan20000@sina.com)'s article */
/* compile under cygwin> gcc -o kps kps.c -I/usr/include/w32api/ddk -lntdll -lntoskrnl */
/* see Jan K. Rutkowski's article for more info. */

/* This tool will list all the procs include those hiden by some rootkit. 2003/10, fantas1a*/

#include <stdio.h>
#include <stdlib.h>
#include <windows.h>
#include <ntddk.h>

typedef struct _KLISTER_PROCINFO {
    int pid;
    char name [18];
} KLISTER_PROCINFO, *PKLISTER_PROCINFO;

PLIST_ENTRY pKiWaitInListHead ;
PLIST_ENTRY pKiWaitOutListHead ;
PLIST_ENTRY pKiDispatcherReadyListHead ;
#define WAITLIST_OFFSET 0x5c    // in _KTHREAD

PVOID     g_pMapPhysicalMemory = NULL;
HANDLE     g_hMPM     = NULL;

#define MAX_PROCS 1000
KLISTER_PROCINFO procs[MAX_PROCS];
int nprocs = 0;

PVOID LinearToPhys(PULONG BaseAddress,PVOID addr)
{
    ULONG VAddr=(ULONG)addr,PGDE,PTE,PAddr;
    PGDE=BaseAddress[VAddr>>22];
    if ((PGDE&1)!=0)
 
最低0.47元/天 解锁文章
sunwear
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
4.WaitForSingleObject函数分析
My classmates
10-26 787
无论可等待对象是何种类型,线程都是通过: WaitForSingleObject WaitForMultipleObjects 进入等待状态的,这两个函数是理解线程等待与唤醒进制的核心 WaitForSingleObject参数说明 WaitForSingleObject对应的内核函数: NTSTATUS stdcall NtWaitForSingleObject ( HANDLE Handl...
HideToolz进程隐藏保护工具
11-12
这个软件可以保护进程不被其他进程读取,可以做一些你"想"做得事情,而不被目标进程发现.
进程线程002 等待链表 调度链表
鬼手的博客
01-01 641
文章目录前言等待链表33个链表调度链表版本差异总结 前言 进程结构体EPROCESS(0x50和0x190)是2个链表,里面圈着当前进程的所有线程。 对进程断链,程序可以正常运行,原因是CPU执行与调度是基于线程的,进程断链只是影响一些遍历系统进程的API,并不会影响程序执行。 对线程断链也一样,断链后在Windbg或者OD无法看到被断掉的线程,但并不影响线程执行。 等待链表 线程有三种状态:就绪...
基于线程调度的同步机制
maomao171314的专栏
11-24 422
基于线程调度的同步机制 1 线程进入等待 当一个线程的控制流到达一个等待函数时,若等待的条件不满足,则线程调度器会将处理器的执行权交给其他处于备用或就绪状态的线程。这些被等待的对象可以用来协调线程之间的行为,它们被称为同步对象或者分发器对象。头部以DISPATCH_HEADER开始的对象都市分发器对象,定义如下: typedef struct _DISPATCHER_HEADER { union { struct { UCHAR Type; ...
《Windows内核原理与实现笔记》(五)Windows微内核中进程和线程的数据结构KTHREAD,KPROCESS
kernweak的博客
01-09 1384
Windows中进程和线程的数据结构 Windows内核中的执行体层负责各种与管理和策略相关的功能,而内核层(或微内核)实现了操作系统的核心机制。进程和线程在这两层上都有对应的数据结构。 内核层的进程和线程对象 首先看(微)内核层的数据结构,这是进程和线程最为基本的数据结构,分别名为KPROCESS和KTHREAD。 KPROCESS的定义(见base\ntos\inc\ke.h) t...
[转](61)分析 KiFindReadyThread 函数 —— 线程优先级
weixin_41875267的博客
11-23 359
一、前言 通过之前的学习,我们知道了线程切换有两种触发情况,一种是API主动调用切换,另一种是时钟中断切换,时钟中断方式我们还没学。 当线程切换发生时,要调用 KiFindReadyThread 函数从调度链表里找到下一个就绪线程。这次课我们就来分析 KiFindReadyThread 函数是如何根据线程优先级找到就绪线程的。 这个函数用了二分查找和大量位运算,代码非常长,就算拿着源码看,都要花些功夫。 二、预备知识 逆向之前,介绍一下必不可少的预备知识。 ...
易语言源码易语言枚举隐藏进程源码.rar
03-31
通过这个源码,我们可以学习到易语言如何与操作系统交互,如何枚举和分析进程,以及如何处理隐藏进程。这些都是系统编程和安全领域的重要知识点。同时,对于易语言的学习者来说,这是一次很好的实践机会,可以加深对...
驱动级的隐藏进程代码,在驱动层通过替换ssdt地址表中的函数来隐藏进程...
06-26
本篇将详细解释这种技术,并着重讨论如何在驱动层通过替换System Service Dispatch Table (SSDT)中的函数来实现进程隐藏。 驱动级编程是操作系统核心的一部分,允许程序在内核模式下运行,享有更高级别的权限。这种...
使用pandas读取csv文件的指定列方法
09-20
下面小编就为大家分享一篇使用pandas读取csv文件的指定列方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
C#实现读取进程占用的文件实现方法
09-03
主要介绍了C#实现读取进程占用的文件实现方法,涉及C#进程操作及文件读取的相关技巧,具有一定参考借鉴价值,需要的朋友可以参考下
等待链表_调用链表、KPCR
qq_18811919的博客
03-30 647
KPCR KPCR:CPU控制区(Process Control Region) 在逆向操作系统内核中存在三个关键的结构体, 分别是EPRCOESS(进程结构体)、ETHREAD(线程结构体)、KPCR(CPU控制区) 每一个CPU都有一个KPCR结构体用于存储一些数据。 KPCR类似于线程结构体的一个副本用于快速查询。 KPCR介绍 1.当线程进入0环时,FS:[0]指向KPCR(3环时指向FS:[0]->TEB) 2.每个CPU都有一个KPCR结构体(一个核心一个) 3.KPCR中存储了CPU本
检测隐藏进程
a572893208的博客
10-15 577
许多用户都有过用Windows自带的任务管理器查看所有进程的经验,并且很多人都认为在任务管理器中隐藏进程是不可能的。而实际上,进程隐藏是再简单不过的事情了。有许多可用的方法和参考源码可以达到进程隐藏的目的。令我惊奇的是只有很少一部分的木马使用了这种技术。估计1000个木马中仅有1个是进程隐藏的。我认为木马的作者太懒了,因为隐藏进程需要进行的额外工作仅仅是...
如何实现可动态调整隐藏header的listview
weixin_33807284的博客
09-05 82
需求:根据某种需要,可能需要动态调整listview的页眉页脚,譬如将header作为显示板使用。 难点:listView.addHeaderView()方法必须在setAdapter()方法前调用,否则就会抛异常。至于为什么会抛异常,查看下ListView的源代码即可发现。因此,在设置HeaderView之后又想将headerView移除或者隐藏,则需要绕很大的弯子:将adapter保...
rootkit学习总结2
bcbobo21cn的专栏
04-13 6031
关于rootkit小资料 一,前言 二,简介 三,rootkit的一些以公开的隐藏技术 四,一些隐藏技术的应对方法 五,about ring0 rootkit 六,rootkit的检测 七,参考资料,推荐 ************************* 一.先说几句与技术无关的话。 ************************* 二.简单的说说rootkit.
绕过内核调度链表进程检测
老裴
05-23 952
绕过内核调度链表进程检测                                                                                               [转载自SoBeIt]    一般隐藏进程的方法实际是无法彻底隐藏进程,因为内核调度是基于线程的。下面介绍我实现的一种更隐蔽的隐藏进程的方法。我们知道线程调度内核使用3条调度链表KiWa
显示所有进程信息(进程名,PID)显示隐藏进程
weixin_34010566的博客
11-12 407
1 BOOL CDriverToolsDlg::ZyShowWindowsProInfo(void) 2 { 3 CString str; 4 CString Path; 5 PROCESSENTRY32 pe32; 6 7 //在使用这个结构前,先设置它的大小 8 9 pe32.dwSize = sizeof(pe...
Windows2003 内核级进程隐藏、侦测技术(下)
ygyangguang的专栏
01-19 662
在PspCreateProcess内核API中能清晰的找到:    InsertTailList(&PsActiveProcessHead,&Process->ActiveProcessLinks);    当进程结束的时候,该进程的EPROCESS结构当从活动进程链上摘除。(但是EPROCESS结构不一定就马上释放)。    在PspExitProcess内核API中能清晰的找到: 
pandas通过列索引读取csv文件某列
最新发布
05-01
可以使用`pandas`库的`read_csv()`函数读取CSV文件,并通过列索引读取某列。可以使用`usecols`参数指定需要读取的列,如下所示: ```python import pandas as pd # 读取CSV文件并指定需要读取的列 df = pd.read_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值