[驱动] 隐藏进程 驱动级 摘链 任务管理器看不到

最新推荐文章于 2024-07-07 08:40:16 发布
最新推荐文章于 2024-07-07 08:40:16 发布
阅读量1.5k 收藏 10
点赞数
分类专栏: 内核驱动 文章标签: 隐藏进程 进程隐藏 链表 摘链 驱动级
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012088909/article/details/84571600
版权
这是一篇关于驱动级隐藏进程的技术实践,作者通过简单的摘链操作使得进程在任务管理器中不可见,主要适用于Windows 7 x86系统。文章意在练手,可能存在错误,欢迎读者在评论中指正。
摘要由CSDN通过智能技术生成

闲着蛋疼写来玩玩练练手 没啥技术含量 只是个简单的摘链 任务管理器看不到

测试环境 Win7 x86

typedef struct 
{
	DWORD_PTR	EProcess;
	UCHAR*		ImageName;
	ULONG		ProcessID;
}_Process_Info;

NTSTATUS HideProcess()
{
	DWORD_PTR CurrentEProcess = (DWORD_PTR)PsGetCurrentProcess(); // 首先取到自身EPROCESS结构
	// EPROCESS + 0x16c = ImageFileName
	KdPrint(("SpriteDrv: Current Image File Name: %s\n", (UCHAR*)(CurrentEProcess + 0x16c)));

	// 取活动进程链表
	// EPROCESS + 0x16c ] + 0xb8 = ActiveProcessLinks
	PLIST_ENTRY pActiveProcessLinks = (LIST_ENTRY*)(CurrentEProcess + 0xb8);
	PLIST_ENTRY pNextPtr = pActiveProcessLinks->Flink;

	int count = 0;
	while (pNextPtr->Flink != pActiveProcessLinks->Flink) {

		_Process_Info ProcessInfo;

		ProcessInfo.EProcess = ((DWORD_PTR)pNextPtr - 0xb8);
		ProcessInfo.ImageName = (UCHAR*)(ProcessInfo.EProcess + 0x16c);
		ProcessInfo.ProcessID = *((ULONG*)(ProcessInfo.EProcess 
最低0.47元/天 解锁文章
Sprite丶雪碧
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
驱动进程保护 隐藏 注入
08-04
标题中的“驱动进程保护 隐藏 注入”涉及到的是计算机安全领域的一种技术,主要针对的是系统底层的保护和恶意软件的防范。在Windows操作系统中,驱动进程保护是指通过驱动程序来保护系统进程,防止恶意软件篡改...
win10驱动-隐藏进程稳定不蓝屏技术
hzw320的博客
11-18 3528
支持到了win10 64位系统 , 支持隐藏目标进程(32/64位程序进程),隐藏后,连各种ark驱动工具都看不见我们的驱动隐藏进程隐藏进程呢,在之前很久以前的我们的game-ec 驱动模块usb版里 32位驱动 就有这个功能了 ,基本上按月付费租千元价格的驱动里才有 支持win10 64位系统的驱动隐藏进程。一般学员都知道隐藏进程的作用,但是自从微软系统出了win10 64系统后,但市面上那些驱动隐藏进程的不蓝屏的很少,有的也价格也非常贵,虽然市面上有出现了win10的驱动隐藏进程驱动
驱动隐藏进程和文件
09-21
强大的驱动进程隐藏技术,有应用层的相关调用以及GUI,是学习驱动程序的好资料
浅谈进程隐藏技术
最新发布
蚁景网安学院
07-07 828
在之前几篇文章已经学习了解了几种钩取的方法,这篇文章就利用钩取方式完成进程隐藏的效果。在实现进程隐藏时,首先需要明确遍历进程的方法。
驱动隐藏工具
03-23
驱动隐藏工具,杀毒软件都可以欺骗过去,隐藏任何一个东西都可以
驱动进程隐藏-按键精灵过检】驱动,内核进程隐藏进程保护。实战效果演示,免费分享。
luoqiaoliang的博客
05-20 2329
废话不多说,干货直接上! 免费的驱动进程隐藏工具分享,还不赶紧带上你的赞和关注白嫖一波吗?
驱动签名 隐藏进程 保护进程 多种方式 保护进程驱动
05-18
多种方法 保护进程 断链 修改Flag hook对象 抹psp表 csscs表 注册回调 ObRegisterCallbacks
驱动隐藏进程
10-17
驱动,对进程隐藏,需要的朋友,可以下载使用。
易语言-易语言驱动进程信息伪装源码 只支持 64位系统
06-25
驱动进程信息伪装技术是一种高的系统编程技术,它允许程序模拟或改变其他进程的信息,如进程ID、进程名称等,从而达到隐藏自身或欺骗系统的目的。在网络安全领域,这种技术有时被用于恶意软件以逃避检测,但在...
VB显示、隐藏桌面、图标、驱动器等程序代码
05-15
在VB(Visual Basic)编程环境中,开发者经常需要处理与用户界面相关的任务,比如控制桌面的显示和隐藏,以及管理桌面图标和驱动器的可见性。这些功能可以通过调用Windows API(应用程序接口)来实现,API提供了对...
驱动隐藏进程源代码
06-09
之前在csdn下载的代码,修改了其中的两个bug:1、在有些机器上运行时蓝屏。2、存在内核内存的泄露(通常半天时间后就会死机或自动重启)。 这个是没有完全改好的:( 自己不能编辑资源,所以又上传了一个(驱动隐藏进程源代码2)
驱动隐藏进程代码,在驱动层通过替换ssdt地址表中的函数来隐藏进程...
06-26
驱动隐藏进程代码,在驱动层通过替换ssdt地址表中的函数来隐藏进程-Driver-class
过非法工具-进程驱动隐藏保护
11-29
过非法工具-进程驱动隐藏保护,驱动保护软件运行,谁用谁知道
驱动隐藏进程(易语言).e
02-15
驱动隐藏进程
易语言实现任务管理器-易语言
06-12
没事干搞了个任务管理器的源码 其实论坛有很多,相比那些新更新了 取进程的CPU占用率和判断进程是否暂停 可以监视进程创建与退出 以前的取CPU占用率不准了,就从C源码里翻出来的,可能比系统任务管理器中的显示的小...
驱动隐藏进程
kktlxd的专栏
06-01 2844
FU_rootkit中有很多功能,先看了隐藏进程,,和以前在群里讨论的一样,windows调度的是线程,所以可以把要隐藏进程进程链中去掉,并不影响进程中的线程的调度和运行. FU_rootkit中的方法是先通过PsGetCurrentProcess(),(PsGetCurrentProcess returns a pointer to the process of the current
[Windows 驱动开发] 隐藏进程内存
LYSM
09-01 1602
原理 在进程的 _EPROCESS 中有一个 _RTL_AVL_TREE 类型的 VadRoot 成员,它是一个存放进程内存块的二叉树结构,如果我们找到了这个二叉树中我们想要隐藏的内存,直接将这个内存在二叉树中 “抹去”(其实是让上一个节点的 EndingVpn 指向下个节点的 EndingVpn ,让两个节点融合) 就可以达到隐藏的效果。 过程 比如你在代码中申请了两块内存: int main() { LPVOID p1 = VirtualAlloc(NULL, 0x10000, MEM_CO
窗口最大后不显示任务栏
07-20
2. 重启Windows资源管理器:按下Ctrl + Shift + Esc键打开任务管理器,在“进程”选项卡中找到“Windows资源管理器”,右键点击并选择“重新启动”。 3. 检查多显示器设置:如果您使用多个显示器,可能是因为任务栏...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值