进程隐藏之API HOOK

最新推荐文章于 2024-04-16 09:42:44 发布
最新推荐文章于 2024-04-16 09:42:44 发布
阅读量1.1k 收藏 10
点赞数
分类专栏: C++黑客编程 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42071117/article/details/120876969
版权
本文深入探讨了在Windows操作系统中如何通过API Hook技术实现进程隐藏,详细阐述了API Hook的工作原理,包括钩子函数的设置、钩子链的管理和钩子消息的传递过程。通过对关键API函数的拦截,实现对进程的隐藏,以此提高程序的隐蔽性。
摘要由CSDN通过智能技术生成 
// 在Windows中,用户进程的所有操作都是基于WIN32 API来实现的,例如使用任务管理器来查看进程等操作。
// API HOOK技术是一种改变API执行结果的技术。

// PS:ZwQuerySystemInformation函数:
// 功能:获取指定的系统信息。
// 原型:NTSTASTUS WINAPI ZwQuerySystemInformation (
//          _In_ SYSTEM_INFORMATION_CLASS SystemInformationClass,
//          _Inout_ PVOID SystemInformaion,
//          _In_ ULONG SystemInformationLength,
//          _Out_opt_ PULONG ReturnLength
//       )
// 参数:SystemInformationClass:要检索系统的信息类型,比如检索进程信息,使用SystemProcessInformation(枚举值为5)。
//       SystemInformation:缓存区,用于接收请求的信息,缓存区的大小和结构取决于SystemInformationClass参数。
//       SystemInformationLength:缓存区大小。
//       ReturnLength:获取函数写入信息的实际大小。
// 结果:成功,返回STATUS_SUCCESS,失败,返回NTSTATUS错误码。

// PS:利用ZwQuerySystemInformation实现进程隐藏的原理:
//     遍历进程使用的EnumProcess和CreateToolhelp32Snapshot函数,其底层都是利用ZwQuerySystemInformation,设置标志位SystemProcessInformation
//     来查询进程信息的。所以,可以利用inline hook技术通过修改ZwQuerySystemInformation入口地址,让其指向自定义的New_ZwQuerySystemInformation函数,
//     在该函数内部调用ZwQuerySystemInformation,如果是查询进程并且进程ID与目标隐藏进程的ID相同,则可以过滤掉该进程的信息,从而实现进程隐藏。

// PS:INLINE HOOK技术:
// inline hook API的核心原理是在获取进程中指定API函数的地址后,修改该API的入口函数地址的前几个字节数据,写入一个跳转指令,使其跳转到自定义的新函数中去执行。

// PS:区分32位系统和64位系统,因为32位系统和64位指针长度是不一样的,这导致地址长度也不同。32位系统中用4个字节表示地址,64位系统中用8个字节表示地址。

// 在32位系统中,汇编跳转语句可写为:jmp _dwNewAddress,对应的机器码为:e9 _dwOffset(跳转偏移,使用相对地址) _dwOffset = _dwNewAddress - _dwAddress。
// 在64位系统中,汇编跳转语句可谢伟:mov rax, _ullNewAddress(长地址,使用绝对地址) jmp rax,对应的机器码为:48 b4 _ullNewAddress

// 所以,要想进行inline hook,32位系统需要更改函数的前5个字节数据;64位系统,需要更改前12个字节数据。

// PS:inline hook的具体流程:
//     1.首先,先获取API函数的地址。可以从进程中获取HOOK API对应的模块地址(使用GetModuleHandle函数),然后,通过GetProcAddress获取API函数在进程中的地址。
//     2.然后,根据32位和64位版本,计算需要修改HOOK API函数的前几个字节数据。若是32位系统,则需要计算跳转偏移,并修改函数的前5个字节数据,
//       若是64位系统,则需要修改函数的前12字节数据。
//     3.接着,修改API函数的前几个字节数据的页面保护属性,更改为可读、可写、可执行,这样是为了确保修改后内存能够执行。
//     4.最后,为了能够还原操作,要在修改数据前先对数据进行备份,然后再修改数据,并还原页面保护属性。

// PS:UNHOOK和HOOK的流程是一样,唯一区别是UNHOOK写入的数据是HOOK操作备份的前几个字节数据。这样,API函数便可恢复正常。

// 示例代码:

void HookApi()
{
   
    // 获取ntdll.dll的加载基址,若没有则返回
    HMODULE hDll = ::GetModuleHandle("ntdll
最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C# 保护进程不被结束(源代码)
康康的小窝
06-25 1万+
闲来无事,英语又学的太痛苦。看到我妈妈电脑开起在,就坐上去看看新闻,听听音乐。哎,突然间,老毛病又烦了,想起原来一直有个编程的问题没有解决——禁止别人用任务管理器,结束自己的程序进程(.NET程序)。带着这个问题,我开始Google,开始baidu,又开始编程了。和原来的搜索结果一样,什么东西都是一筹莫展,得到的答案永远是:C#没有办法自己去禁止别人用任务管理器结束自己进程。不过功夫不负有心人。我
vb 实现隐藏进程
02-23
vb 纯代码实现NT下隐藏进程 在exe的form中: Private Sub Form_Load() App.TaskVisible = False Call HideCurrentProcess Option Explicit End Sub 这样就可以实现任务管理器的“应用程序”和“进程”的隐藏
探秘 HideProcess:一款强大的系统进程隐藏工具
最新发布
gitblog_00009的博客
04-16 2151
探秘 HideProcess:一款强大的系统进程隐藏工具 项目地址:https://gitcode.com/landhb/HideProcess 在数字安全和隐私保护的领域里,有时候我们需要对特定的程序或进程进行隐藏以增强系统的安全性或实现某些高级功能。这里,我们要介绍的是一个名为 HideProcess 的开源项目,它提供了一种简单而高效的方式来隐藏 Windows 系统中的进程。 项目简介 H...
简述API HOOK技术及原理
bing1564的博客
05-01 2120
我们观察内核代码的时候,很多时候一些函数调用都初始化的时候设置成回调函数的,例如上一个例子读取文件目录,那么proc有自己独有的读取目录处理函数,相对于的ext4、ceph、hpfs等等文件系统都有自己的处理函数,那么getdents的时候如何能调用到正确的处理函数呢?而在应用程序建立套接字的时候选择了v4还是v6,都是同一个系统调用(sys_socket),只是传入的参数是不一样的,那么内核根据传参的差异,灵活的选择使用不同函数来初始化套接字,不同的函数又使用各自对应的结构体来初始化后续的调用函数。
API钩取技术研究(一)—— IAT Hook
m0_55220082的博客
07-12 668
通过修改IAT的方式实现对Notepad的WriteFile()函数钩取,使得保存的文件中所有小写字母变成大写字母。
API hook原理和实例快速入门(inline hook),以dll线程注入方式使用(win7-64bit)
翻肚鱼儿的博客
07-27 1760
一个完整的hook,如果hook程序是以dll形式生成的,是分两步:1.完成dll本身的设计和生成,2.完成dll注入程序的设计和生成 本文完成第一步。 第二步在http://blog.csdn.net/arvon2012/article/details/7767437有详细讲解。 最近在64位win7上hook文件复制,拖拽和剪切的hook(这个要通过hook IFileOperating接口实现)。所以学习了API hook。这里是对自己的学习做个简单的总结,希望和hook新手们共同探讨和进.
易语言-apihook达到对指定进程隐藏窗口
06-25
在本案例中,我们讨论的是使用易语言实现API Hook,从而达到对指定进程隐藏窗口的目的。易语言是一种中文编程语言,它以简洁的词汇和语法为特点,适合初学者学习。 API Hook的基本原理是通过在目标进程的调用链中...
apihook达到对指定进程隐藏窗口
06-02
选择指定进程注入dll来hook进程的枚举窗口的api修改返回值达到隐藏窗口。我已经把想到的窗口枚举api全部hook了,如果有遗漏的可以在回复说一声。只能对于指定进程隐藏,不是全局隐藏。@Bszk。Tags:apihook
APIHook.rar_APIHOOK_api hide_api to hide process_hook_隐藏进程
09-22
标题“APIHook.rar_APIHOOK_api hide_api to hide process_hook_隐藏进程”表明此压缩包文件内容涉及API Hook技术,特别是利用它来隐藏进程的实现方法。 API Hook的基本原理是将系统调用或库函数的原始实现替换为...
hook-zwquerysysteminformation.rar_hook_进程隐藏
07-14
在IT领域,尤其是系统安全和恶意软件分析中,"hook-zwquerysysteminformation.rar_hook_进程隐藏"这个主题涉及到的是Windows操作系统中的一种高级技术——钩子(Hook)机制,以及如何利用它来隐藏进程。这里我们将...
没有HOOK就没有病毒?详谈HOOK API技术(转)
cuankuangzhong6373的博客
03-25 674
HOOK API是一个永恒的话题,如果没有HOOK,许多技术将很难实现,也许根本不能实现。这里所说的API,是广义上的API,它包括DOS下的中断,WINDOWS里的API、中断服务、IFS和NDIS过滤等。比如大家熟悉的即时翻...
进程隐藏工具HideApp
01-21
进程隐藏工具进程隐藏工具进程隐藏工具进程隐藏工具进程隐藏工具进程隐藏工具进程隐藏工具进程隐藏工具进程隐藏工具进程隐藏工具进程隐藏工具进程隐藏工具
apihook钩子 api函数拦截.zip
03-28
apihook钩子 api函数拦截.zip
使用MinHook进行APIHook
qq_38493448的博客
01-21 3793
文章目录一、Hook概述1.1 什么是Hook1.2 什么是APIHook1.3 Hook过程理解二、Hook分类2.0 分类概述2.1 Address Hook2.2 Inline Hook2.3 基于异常处理的Hook三、MinHook库介绍3.1 MinHook代码3.2 头文件定义中文说明:四、Hook实现过程 一、Hook概述 1.1 什么是HookHook” 翻译过来的意思是“挂钩” “钩子”,在程序执行的时候,在适当的位置对程序运行流程进行监控、拦截即为Hook技术。 1.2 什么是API
Api Hook 细析(一)
weixin_30273175的博客
03-29 155
前言 基础知识 本系列文章会对常用的几种API HOOK方法进行全面的分析。 Hook是什么? 钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。 钩子实际上是一个处理消息的程序段,通过系统...
构建API调用框架绕过杀软hook
hongduilanjun的博客
05-09 658
我们知道杀软在API函数的监控上一般有两种手段,一种是在3环直接通过挂钩到自己的函数判断是否调用了这个API,另外一种方式就是在0环去往SSDT表的路径上挂钩来判断进0环后的操作。那么我们如果不想杀软监控我们的行为,之前提过的内核重载是一种绕过的方式,但是内核重载的动静太大,这里我们就通过直接重写3环到0环的API,通过重写KiFastCallEntry来自己调用内核的函数,以达到规避杀软的效果。 调用过程 我们首先来看一下API函数的调用过程,这里以OpenProcess函数为例 首先在kernel32
逆向工程核心原理读书笔记-API钩取之隐藏进程(一)
liujiayu2的专栏
06-09 1338
我们通过一个示例来练习在ProcExp.exe和taskmgr.exe中隐藏进程。钩取前后的原理图如下所示。 下面我们先测试一下代码。关于代码的使用很简单,就不再多说了。 我们来分析一下源代码,看看是怎么实现的。 HideProc.cpp [cpp] view plain copy #include "win
劫持ZwQuerySystemInformation进行进程隐藏
苞米地里捉小鸡的博客
10-14 940
背景 进程隐藏,顾名思义就是运行注入程序之后,可以在任务管理器中让可见的目标进程消失。 当然,进程隐藏的方法有很多,例如 DLL 劫持、DLL注入、代码注入、进程内存替换、HOOK API 等等。我们本文要介绍的就是 HOOK API 函数 ZwQuerySystemInformation 实现的隐藏指定进程。 主要思路是通过Hook API技术抓ZwQuerySystemInformation函数,对它获取的进程列表信息进行修改,把有我们要隐藏进程信息从中去掉,那么 ZwQuerySystemIn
进程隐藏的各种方法 以及分析比较以及实现链接
weixin_30588729的博客
09-09 277
典型进程隐藏技术1 基于系统服务的进程隐藏技术在 W I N 9X 系列操作系统中, 系统进程列表中不能看到任何系统服务进程, 因此只需要将指定进程注册为系统服务就能够使该进程从系统进程列表中隐形 在win9x下用RegisterServiceProcess函数隐藏进程,NT架构下用不了 即win2000 xp等什么的用不了此方法。 2 基于API HOOK进程...
易语言hook隐藏进程
12-19
在易语言中,我们可以通过hook技术来隐藏进程。 实现隐藏进程的思路是通过hook或者修改系统调用来欺骗操作系统,使其认为进程不存在。 首先,我们需要获取目标进程进程ID,可以通过遍历系统中所有进程的方式来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值