ring0检测隐藏进程

最新推荐文章于 2024-06-01 09:30:24 发布
最新推荐文章于 2024-06-01 09:30:24 发布
阅读量354 收藏 1
点赞数
原文链接:https://yq.aliyun.com/articles/228539
版权

//网上得到一篇好文章 Ring0下搜索内存枚举隐藏进程 ,但是拿里面的代码来使用的时候发现并没有太多效果
//于是修改之,终于实现了最初的目标
//由于直接搜索内存,跟系统调度没什么关系,所以能够枚举到各种方法隐藏的进程 包括断链、抹PspCidTable... 
//甚至能枚举到已经"死掉"的进程,本程序通过进程的ExitTime来判断进程是不是已经结束
//除非能够把EProcess结构修改掉,但这个实现难度可能比较大,不知有没有哪位大侠试过(PID我修改过),欢迎讨论
//
//作者:堕落天才
//时间:2007年5月10日
//参考: uty  Ring0下搜索内存枚举隐藏进程 http://www.cnxhacker.net/Article/show/3412.html
//下面代码在XP SP2测试通过
None.gif #include < ntddk.h >
None.gif
ExpandedBlockStart.gif ///不同的windows版本下面的偏移值不同
None.gif #define   EPROCESS_SIZE       0x25C  // EPROCESS结构大小
None.gif
None.gif #define   PEB_OFFSET          0x1B0
None.gif #define   FILE_NAME_OFFSET    0x174
None.gif #define   PROCESS_LINK_OFFSET 0x088
None.gif #define   PROCESS_ID_OFFSET   0x084
None.gif #define   EXIT_TIME_OFFSET    0x078
None.gif
None.gif #define   OBJECT_HEADER_SIZE  0x018
None.gif #define   OBJECT_TYPE_OFFSET  0x008
None.gif
None.gif #define  PDE_INVALID 2 
None.gif #define  PTE_INVALID 1 
None.gif #define  VALID 0 
None.gif
None.gif
None.gifULONG     pebAddress;          // PEB地址的前半部分
None.gif PEPROCESS pSystem;             // system进程
None.gif ULONG     pObjectTypeProcess;  // 进程对象类型
None.gif
None.gifULONG   VALIDpage(ULONG addr) ;   // 该函数直接复制自 Ring0下搜索内存枚举隐藏进程
None.gif BOOLEAN IsaRealProcess(ULONG i);  // 该函数复制自 Ring0下搜索内存枚举隐藏进程
None.gif VOID    WorkThread(IN PVOID pContext);
None.gifULONG   GetPebAddress();           // 得到PEB地址前半部分
None.gif VOID    EnumProcess();             // 枚举进程
None.gif VOID    ShowProcess(ULONG pEProcess);  // 显示结果
None.gif
None.gifVOID    OnUnload(IN PDRIVER_OBJECT DriverObject)
ExpandedBlockStart.gif {
ExpandedBlockEnd.gif}
None.gifNTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath)
ExpandedBlockStart.gif {
InBlock.gif  HANDLE hThread; 
InBlock.gif
InBlock.gif  DriverObject -> DriverUnload = OnUnload;
InBlock.gif
InBlock.gif  pSystem    = PsGetCurrentProcess();
InBlock.gif  pebAddress = GetPebAddress();
InBlock.gif  pObjectTypeProcess = *(PULONG)((ULONG)pSystem - OBJECT_HEADER_SIZE +OBJECT_TYPE_OFFSET);  
InBlock.gif
InBlock.gif  PsCreateSystemThread(&hThread, 
InBlock.gif    (ACCESS_MASK)0
InBlock.gif    NULL, 
InBlock.gif    (HANDLE)0
InBlock.gif    NULL, 
InBlock.gif    WorkThread, 
InBlock.gif    NULL ); 
InBlock.gif
InBlock.gif  return STATUS_SUCCESS;
ExpandedBlockEnd.gif}
ExpandedBlockStart.gif //
None.gif VOID WorkThread(IN PVOID pContext) 
ExpandedBlockStart.gif
InBlock.gif  EnumProcess();
InBlock.gif  PsTerminateSystemThread(STATUS_SUCCESS);  
ExpandedBlockEnd.gif}
ExpandedBlockStart.gif ////
None.gif ULONG  GetPebAddress()
ExpandedBlockStart.gif {
InBlock.gif  ULONG Address;
InBlock.gif  PEPROCESS pEProcess;
InBlock.gif
InBlock.gif        //由于system进程的peb总是零 我们只有到其他进程去找了
InBlock.gif  pEProcess = (PEPROCESS)((ULONG)((PLIST_ENTRY)((ULONG)pSystem + PROCESS_LINK_OFFSET))->Flink - PROCESS_LINK_OFFSET);
InBlock.gif  Address   = *(PULONG)((ULONG)pEProcess + PEB_OFFSET);
InBlock.gif
InBlock.gif  return (Address & 0xFFFF0000);  
ExpandedBlockEnd.gif}
ExpandedBlockStart.gif ///
None.gif VOID EnumProcess()
ExpandedBlockStart.gif {
InBlock.gif  ULONG  uSystemAddress = (ULONG)pSystem;
InBlock.gif  ULONG  i;
InBlock.gif  ULONG  Address;
InBlock.gif  ULONG  ret;
InBlock.gif
InBlock.gif  DbgPrint("-------------------------------------------");
InBlock.gif  DbgPrint("EProcess    PID    ImageFileName");
InBlock.gif  DbgPrint("---------------------------------");
InBlock.gif  
InBlock.gif
ExpandedSubBlockStart.gif  for(i = 0x80000000; i < uSystemAddress; i += 4){//system进程的EPROCESS地址就是最大值了
InBlock.gif    ret = VALIDpage(i); 
ExpandedSubBlockStart.gif    if (ret == VALID)
InBlock.gif      Address = *(PULONG)i;
ExpandedSubBlockStart.gif      if (( Address & 0xFFFF0000== pebAddress){//每个进程的PEB地址都是在差不多的地方,地址前半部分是相同的       
ExpandedSubBlockStart.gif        if(IsaRealProcess(i))
InBlock.gif          ShowProcess(i - PEB_OFFSET);  
InBlock.gif           i += EPROCESS_SIZE;                
ExpandedSubBlockEnd.gif        } 
ExpandedSubBlockEnd.gif      } 
ExpandedSubBlockStart.gif    }else if(ret == PTE_INVALID)
InBlock.gif      i -=4
InBlock.gif      i += 0x1000;//4k 
ExpandedSubBlockStart.gif    }else
InBlock.gif      i-=4
InBlock.gif      i+= 0x400000;//4mb 
ExpandedSubBlockEnd.gif    } 
ExpandedSubBlockEnd.gif  }
InBlock.gif
InBlock.gif  ShowProcess(uSystemAddress);//system的PEB总是零 上面的方法是枚举不到的 不过我们用PsGetCurrentProcess就能得到了
InBlock.gif  DbgPrint("-------------------------------------------");
InBlock.gif  
ExpandedBlockEnd.gif}
ExpandedBlockStart.gif /
None.gif VOID    ShowProcess(ULONG pEProcess)
ExpandedBlockStart.gif {
InBlock.gif  PLARGE_INTEGER ExitTime;
InBlock.gif  ULONG PID;
InBlock.gif  PUCHAR pFileName;
InBlock.gif  
InBlock.gif  ExitTime = (PLARGE_INTEGER)(pEProcess + EXIT_TIME_OFFSET);  
InBlock.gif  if(ExitTime->QuadPart != 0//已经结束的进程的ExitTime为非零
InBlock.gif    return ;
InBlock.gif
InBlock.gif  PID = *(PULONG)(pEProcess + PROCESS_ID_OFFSET);
InBlock.gif  pFileName = (PUCHAR)(pEProcess + FILE_NAME_OFFSET);
InBlock.gif
InBlock.gif  DbgPrint("0x%08X  %04d   %s",pEProcess,PID,pFileName);
ExpandedBlockEnd.gif}
ExpandedBlockStart.gif /
None.gif ULONG VALIDpage(ULONG addr) 
ExpandedBlockStart.gif
InBlock.gif  ULONG pte; 
InBlock.gif  ULONG pde; 
InBlock.gif  
InBlock.gif  pde = 0xc0300000 + (addr>>22)*4
ExpandedSubBlockStart.gif  if((*(PULONG)pde & 0x1!= 0)
InBlock.gif    //large page 
ExpandedSubBlockStart.gif    if((*(PULONG)pde & 0x80!= 0)
InBlock.gif      return VALID; 
ExpandedSubBlockEnd.gif    } 
InBlock.gif    pte = 0xc0000000 + (addr>>12)*4
ExpandedSubBlockStart.gif    if((*(PULONG)pte & 0x1!= 0)
InBlock.gif      return VALID; 
ExpandedSubBlockStart.gif    }else
InBlock.gif      return PTE_INVALID; 
ExpandedSubBlockEnd.gif    } 
ExpandedSubBlockEnd.gif  } 
InBlock.gif  return PDE_INVALID; 
ExpandedBlockEnd.gif}  
ExpandedBlockStart.gif ////
None.gif BOOLEAN IsaRealProcess(ULONG i) 
ExpandedBlockStart.gif
InBlock.gif  NTSTATUS STATUS; 
InBlock.gif  PUNICODE_STRING pUnicode; 
InBlock.gif  UNICODE_STRING Process; 
InBlock.gif  ULONG pObjectType; 
InBlock.gif  ULONG ObjectTypeAddress; 
InBlock.gif  
ExpandedSubBlockStart.gif  if (VALIDpage(i- PEB_OFFSET) != VALID)
InBlock.gif    return FALSE; 
ExpandedSubBlockEnd.gif  } 
InBlock.gif
InBlock.gif  ObjectTypeAddress = i - PEB_OFFSET - OBJECT_HEADER_SIZE + OBJECT_TYPE_OFFSET ;
InBlock.gif  
ExpandedSubBlockStart.gif  if (VALIDpage(ObjectTypeAddress) == VALID)
InBlock.gif    pObjectType = *(PULONG)ObjectTypeAddress; 
ExpandedSubBlockStart.gif  }else
InBlock.gif    return FALSE; 
ExpandedSubBlockEnd.gif  } 
InBlock.gif  
ExpandedSubBlockStart.gif  if(pObjectTypeProcess == pObjectType)//确定ObjectType是Process类型
InBlock.gif    return TRUE; 
ExpandedSubBlockEnd.gif  } 
InBlock.gif  return FALSE; 
InBlock.gif
ExpandedBlockEnd.gif}  
weixin_33923762
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ring0驱动层上实现 隐藏进程(无进程 无端口 无服务)的简单demo.zip
01-24
ring0驱动层上实现 隐藏进程(无进程 无端口 无服务)的简单demo.zip
ring0实现进程隐藏
yuanxiaobo007的专栏
01-24 1842
要在ring0下实现隐藏进程,hook ssdt ZwQuerySystemInFormation ,任务管理器就是调用此函数获取进程对象.传进一个进程的PID即可 // NTSTATUS MyZwQuerySystemInformation // ( // __in SYSTEM_INFORMATION_CLASS SystemInformationClass, // __inout
探索硬件边界:WinRing0——Windows的硬件访问库
最新发布
gitblog_00031的博客
06-01 520
探索硬件边界:WinRing0——Windows的硬件访问库 项目地址:https://gitcode.com/GermanAizek/WinRing0 项目介绍 在软件世界中,有时我们需要深入硬件层面以实现更高效或特定的功能。这就是WinRing0所扮演的角色。这是一个针对x86/x64架构的Windows系统的开源硬件访问库,它为开发者提供了一种手段,可以直接与I/O端口、模型特定寄存器(MS...
ring0 进程隐藏实现
aijuzhou1959的博客
08-25 313
最近在学习内核编程,记录一下最近的学习笔记。 原理:将当前进程从eprocess结构的链表中删除 无法被! process 0 0 看见 #include "HideProcess.h" #ifdef WIN64 #define ACTIVEPROCESSLINKS_EPROCESS 0x188 #define IMAGEFILENAME_EPROCESS ...
编写ring0内核驱动程序,检测隐藏进程.zip
01-25
这篇内容将深入探讨如何编写Ring0内核驱动来检测隐藏进程,并结合"驱动加载软件"、"ring3 exe加载ring0 sys"以及"code"等关键元素进行讲解。 首先,我们要理解Ring0和Ring3的概念。在x86架构的CPU中,存在四个 ...
ring0驱动级 隐藏进程 的源代码_在驱动层通过替换ssdt地址表中的api函数来隐藏进程
01-25
Ring0驱动级编程指的是在操作系统的最高权限级别——Ring0执行的代码,这里的"ring0"指的是CPU的特权级别,它赋予了程序对硬件的直接访问权以及对操作系统服务的完全控制。在Windows系统中,驱动程序通常由系统服务...
RING0.rar_ring0_ring0 c++_ssdt_进程 隐藏 检测_隐藏进程
07-14
检测隐藏进程的技术通常包括监控SSDT变化、分析内存行为以及使用内核级别的监控工具。 综上所述,"RING0.rar"可能包含了一个C++编写的示例代码,该代码展示了如何在Ring0级别检测和应对通过Hook SSDT进行进程隐藏的...
ring0 ssdt rootkit hook隐藏服务进程 隐藏端口.zip
01-24
文件列表中提到的"一个简单的方法,ring3上检测隐藏端口"可能提供了一种在用户模式(Ring3)下检测隐藏端口的手段,这通常涉及到分析网络流量、枚举已打开的套接字等。而"通过hook隐藏端口"则展示了如何实现这一隐藏...
HideProcess(隐藏进程) Ring0 win7 x86
拉塞尔的博客
11-23 3117
    我们可以通过遍历EProcess结构体中的双向链表ActiveProcessLinks,找到目标进程结点后将该节点从双向链表中移除,便实现了进程隐藏的目的,此时打开win7的任务管理器会发现运行的calc进程并没有显示。 使用windbg查看EProcess结构:     2: kd&gt; !process 0 0     //crtl+F查找explorer     PROCESS ...
ring3进入ring0跟踪调试
04-11
ring3进入ring0跟踪调试
python读取硬件信息
04-24
python 通过wmi模块读取硬盘,内存,网卡,主板SN,CPU、BIOS等信息
Winring0支持win7 64全文件
09-12
C++ Ring0级系统硬件和内存访问 访问硬件端口用来模拟按键什么都挡不住,模拟按键只是大材小用了 WinIO 和 Winring0 都非常强大 由于驱动的签名问题.WinIO在Win7 x64 上目前运行不能,也许我没找对方法 所以转而 Winring0。(注: Winring0 以前是开源项目,后来关闭.最后能找到的版本是1.3.1a) Winring0这个驱动有数字签名!!!能在64位WIN7下工作! WinIO 最新版本3.0 Winring0 最新版本 1.3.1a (只有二进制文件) Winring0 1.3.0 (源码+二进制文件+自带示例) 两个项目都有chm帮助文档(很简单的英语)
WinRing0.dll
07-27
源码,动态库,有想用的可以下载啊,不用签名的,如果有帮助文档的可以共享一下,我这里还没有,找到了就上传,谢谢啦
Windows10 Ring0下过PatchGuard隐藏进程
zcy5157912的博客
03-19 347
Windows10 x64亲测可用
进程隐藏进程保护(SSDT Hook 实现)(二)
weixin_34102807的博客
06-23 247
文章目录: 1. 引子 – Demo 实现效果: 2. 进程隐藏进程保护概念: 3. SSDT Hook 框架搭建: 4. Ring0 实现进程隐藏: 5. Ring0 实现进程保护: 6. 隐藏进程列表和保护进程列表的维护: 7. 小结: 1. 引子 – Demo 实现效果: 进程隐藏效果: 应用程序主界面: 隐藏进程 taskmgr.exe: 取消进程隐藏 t...
RING0级暴力搜索内存检测系统隐藏进程(或ROOTKIT)(实测可运行)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-20 1805
最近期末答辩不知道写什么好,就写一个安全软件吧。软件使用驱动和C++编写,大概多数安全软件都是这样吧。 时间关系,就不说那么多了,直接入正题吧。 在此先感谢“伊丽_杀_白”、“堕落天才”、“antirootkit”等提供的优秀文章,我只是在他们基础之上修改了一下。 伊丽_杀_白    暴力搜索内存空间检测隐藏进程:http://bbs.xdnice.com/thread-377796-1
ring3层隐藏进程
08-09
Ring3层隐藏进程是指在计算机的操作系统中,利用一些特殊的技术手段或者恶意软件来隐藏自身的进程,使其在操作系统层面上不被察觉或无法被发现。 首先,Ring3是指计算机操作系统的用户态环境。在这个层级中,进程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值