Win64 驱动内核编程-21.DKOM隐藏和保护进程

最新推荐文章于 2020-09-01 18:25:16 发布
最新推荐文章于 2020-09-01 18:25:16 发布
阅读量1.3w 收藏 25
点赞数 4
分类专栏: 驱动内核编程 文章标签: 驱动 DKOM隐藏和保护进程 断链隐藏进程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013761036/article/details/65465620
版权
本文介绍了DKOM(Direct Kernel Object Manipulation)在Windows 64位系统中如何隐藏和保护进程,核心是操作EPROCESS结构体的ActiveProcessLinks和Flags字段。通过修改这些字段,可以实现进程的隐藏,使得ZwQuerySystemInformation无法枚举到隐藏的进程,同时设置Flags为0会导致OpenProcess失败。然而,这种方法存在风险,如影响CreateProcess调用和可能导致蓝屏,更适合于Rootkit而非正规软件。文中给出了实现隐藏和保护进程的代码示例。
摘要由CSDN通过智能技术生成

DKOM隐藏和保护进程

主要就是操作链表,以及修改节点内容。

DKOM 隐藏进程和保护进程的本质是操作 EPROCESS 结构体,不同的系统用的时候注意查下相关定义,确定下偏移,下面的数据是以win7 64为例。

关 注 两 个 成 员 : ActiveProcessLinks 和 Flag 

ActiveProcessLinks 把各个EPROCESS 结构体连接成“双向链表”,

最低0.47元/天 解锁文章
TK13
关注
专栏目录
WIN64驱动编程基础教程
12-06
|-DKOM隐藏进程+保护进程 |-枚举和隐藏内核模块 |-强制结束进程 |-强制读写进程内存 |-枚举消息钩子 |-强制解锁文件 |-初步探索PE32+格式文件 ------------------------------ 6.用户态HOOK与UNHOOK |-RING3...
浅谈进程隐藏技术
最新发布
蚁景网安学院
07-07 935
在之前几篇文章已经学习了解了几种钩取的方法,这篇文章就利用钩取方式完成进程隐藏的效果。在实现进程隐藏时,首先需要明确遍历进程的方法。
驱动签名 隐藏进程 保护进程 多种方式 保护进程驱动
05-18
多种方法 保护进程 断链 修改Flag hook对象 抹psp表 csscs表 注册回调 ObRegisterCallbacks
驱动进程保护 隐藏 注入
08-04
驱动进程保护 隐藏 注入 W7 W8 W10 32 64位都支持 不蓝屏
驱动隐藏进程源码
12-26
驱动隐藏进程,vs2008编译,仅供参考
Windows内核驱动进程保护
01-06
驱动开发环境详细配置,SSDT钩子的进程保护,详细的源代码
驱动级别隐藏进程源代码
06-09
之前在csdn下载的代码,修改了其中的两个bug:1、在有些机器上运行时蓝屏。2、存在内核内存的泄露(通常半天时间后就会死机或自动重启)。 这个是没有完全改好的:( 自己不能编辑资源,所以又上传了一个(驱动级别隐藏进程源代码2)
驱动隐藏保护进程
02-17
驱动隐藏保护进程是一种技术手段,通常用于保护系统中的关键组件,如驱动程序,免受恶意软件的攻击或未经授权的修改。这种技术的核心是通过隐藏进程的方式,使得普通用户或者恶意软件难以发现和干预这些重要的系统...
驱动实现进程保护
Cosmopolitan的博客
09-24 3714
//基于SSDT Hook //Hook ZwTerminateProcess对传入的进程进行检查,如果匹配,则返回拒绝访问 #include <ntddk.h> #include <windef.h> #include "SSDTHook.h" typedef enum _SYSTEM_INFORMATION_CLASS { SystemBasicInformati...
驱动隐藏进程
10-17
驱动级,对进程隐藏,需要的朋友,可以下载使用。
驱动程序保护进程(修改SSDT方式)源码
07-10
typedef NTSTATUS (*ZWOPENPROCESS)( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId ); NTSYSAPI NTSTATUS NTAPI ZwOpenProcess ( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId ); ZWOPENPROCESS OldZwOpenProcess; NTSTATUS NewZwOpenProcess ( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId ) { NTSTATUS ntStatus; ntStatus = ((ZWOPENPROCESS)(OldZwOpenProcess)) ( ProcessHandle, DesiredAccess, ObjectAttributes, ClientId ); if(ClientId->UniqueProcess == (HANDLE)ulPID) *ProcessHandle = NULL; return ntStatus; }
驱动进程保护 drivers
02-10
驱动级的进程保护程序,能够实现保护进程,不允许别的进程杀掉
易语言驱动进程保护模块
09-12
易语言驱动进程保护模块 隐藏进程 阻止被关闭
BASIC ROOTKIT that hides files, directories, and processes
02-01 1080
// BASIC ROOTKIT that hides files, directories, and processes// ----------------------------------------------------------// v0.1 - Initial, Greg Hoglund (hoglund@rootkit.com)// v0.2 - DirEntry struct
[Windows 驱动开发] 隐藏进程内存
LYSM
09-01 1613
原理 在进程的 _EPROCESS 中有一个 _RTL_AVL_TREE 类型的 VadRoot 成员,它是一个存放进程内存块的二叉树结构,如果我们找到了这个二叉树中我们想要隐藏的内存,直接将这个内存在二叉树中 “抹去”(其实是让上一个节点的 EndingVpn 指向下个节点的 EndingVpn ,让两个节点融合) 就可以达到隐藏的效果。 过程 比如你在代码中申请了两块内存: int main() { LPVOID p1 = VirtualAlloc(NULL, 0x10000, MEM_CO
隐藏进程源代码
sghgcn的专栏
10-21 2000
头文件部分// HideProcessDlg.h : header file//#if !defined(AFX_HIDEPROCESSDLG_H__301541E9_18DE_4FD1_8DCF_34DAE454D575__INCLUDED_)#define AFX_HIDEPROCESSDLG_H__301541E9_18DE_4FD1_8DCF_34DAE454D575__INCLU
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值