内核隐藏进程

最新推荐文章于 2021-03-06 19:35:07 发布
最新推荐文章于 2021-03-06 19:35:07 发布
阅读量321 收藏 1
点赞数 1
分类专栏: win驱动 文章标签: 驱动程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42798090/article/details/104787441
版权
本文介绍了一种在Windows 7环境下,使用VS2012和WDK8.0开发的隐藏驱动程序,实现内核级别的进程隐藏技术。该方法不适用于其他操作系统。
摘要由CSDN通过智能技术生成

内核隐藏进程

写了个WIN7隐藏驱动程序,不多说什么,贴代码,主要包括驱动程序和应用程序。
开发环境:win7+VS2012+WDK8.0
其他操作系统不支持
详情请看附件,大牛勿喷……
/

/驱动程序:`在这里插入代码片`
//*********************************
//fsjaky
//blog:http://blog.csdn.net/fsjaky
//*********************************
#include <ntddk.h>

typedef BOOLEAN BOOL;
typedef unsigned long DWORD;
typedef DWORD * PDWORD;

#define IOCTL_HIDE_PROCESS CTL_CODE(FILE_DEVICE_UNKNOWN, 0x800, METHOD_BUFFERED, FILE_WRITE_ACCESS)

//偏移量
//win7
#define PIDOFFSET 0Xb4      //EPROCESS中UniqueProcessId偏移
#define FLINKOFFSET 0xb8    //EPROCESS中ActiveProcessLinks偏移
#define ObjectTable 0xf4    //EPROCESS中ObjectTable偏移

#define TableList 0x10      //ObjectTable中HandleTableList偏移
#define PIDOFFSET2 0x008    //ObjectTable中UniqueProcessId偏移
#define QuotaProcess 0x004  //ObjectTable中QuotaProcess偏移

PDEVICE_OBJECT g_Device = NULL; 
const WCHAR LinkName[]  = L"\\DosDevices\\MyHideProcess";
const WCHAR DriverName[]  = L"\\Device\\MyHideProcess";
#define   DebugPrint                DbgPrint   

DWORD g_Eprocess = 0x00000000;  //
PLIST_ENTRY g_HandleList = NULL;
DWORD FindProcessInEPROCESS (int Hide_PID);
VOID FindProcessInHandleTable (DWORD eproc,int Hide_PID);

NTSTATUS MyDispatch(IN PDEVICE_OBJECT, IN PIRP);
NTSTATUS MyUnload(IN PDRIVER_OBJECT);

NTSTATUS DriverEntry(
                                   IN PDRIVER_OBJECT  DriverObject,
                                   IN PUNICODE_STRING RegistryPath
                                        )
{
   
        
    NTSTATUS                ntStatus;
    UNICODE_STRING          DriverNameUnicodeString;
    UNICODE_STRING          DriverLinkUnicodeString; 
        DbgPrint ("DriverEntry\n");
    RtlInitUnicodeString (&DriverNameUnicodeString, DriverName );
    RtlInitUnicodeString (&DriverLinkUnicodeString, LinkName );

        //创建设备
    ntStatus = IoCreateDevice ( DriverObject, 0, // For driver extension
                                &DriverNameUnicodeString, FILE_DEVICE_UNKNOWN,
                                0,TRUE, &g_Device );
         if( !NT_SUCCESS(ntStatus))
        {
   
                DebugPrint(("Failed to CreateDevice!\n"));
                 return ntStatus;
        }
         //创建符号链接
         ntStatus = IoCreateSymbolicLink (&DriverLinkUnicodeString, &DriverNameUnicodeString );
    if( !NT_SUCCESS(ntStatus))
        {
   
        DebugPrint
最低0.47元/天 解锁文章
昨天的码农
关注
专栏目录
内核下断链隐藏进程(兼容多版本Windows系统,非硬编码)
Think88666的博客
09-01 1408
内核下断链隐藏进程(兼容多版本Windows系统,非硬编码)
进程隐藏工具--内核驱动实现
12-21
可以实现进程的遍历和隐藏,自己写的,希望大家批评指正,谢谢!
用Visual studio2012在Windows8上开发内核隐藏进程
weixin_30788239的博客
08-20 174
在Windows NT中,80386保护模式的“保护”比Windows 95中更坚固,这个“镀金的笼子”更加结实,更加难以打破。在Windows 95中,至少应用程序I/O操作是不受限制的,而在Windows NT中,我们的应用程序连这点权限都被剥夺了。在NT中几乎不太可能进入真正的ring0层。在Windows NT中,存在三种Device Driver: 1.“Virtual devi...
隐藏进程内核
qq_31507523的博客
04-09 2789
隐藏进程内核版实现 隐藏进程通常出现在恶意程序中,隐藏进程能让任务管理器、procexp等3环的程序无法找到它,那么如何实现隐藏进程呢? 由于对这方面还是很感兴趣,今天就来研究一下内核层的隐藏进程,首先在用户层3环,如任务管理器、procexp遍历进程都是使用CreateToolhelp32Snapshot()API创建快照遍历查找的,使用快照的API在内核中就是通过访问一个双向链表的数据结构...
_EPROCESS断链 —— 实现进程内核隐藏
walker的博客
03-06 2436
我们可以利用 _EPROCESS 结构体中的 ActiveProcessLinks 双向链表遍历进系统中的进程,并将特定进程从该双向链表中移除,以达到隐藏特定进程的目的。 _EPROCESS _EPROCESS 结构体是内核用于管理和维护进程的结构体,每个进程都会有一个属于自己的结构体。同一个程序创建了多个进程,其就会有对应个数的 _EPROCESS 。 _EPROCESS 的结构如下: kd> dt _EPROCESS nt!_EPROCESS +0x000 Pcb
编程技术_Windows 内核进程隐藏侦测技术-综合文档
05-19
在Windows操作系统中,内核进程隐藏侦测技术是一种高级的计算机安全技术,它涉及到操作系统的核心层,主要用于检测和防止恶意软件通过隐藏进程来规避安全软件的检测。本技术主要针对那些试图通过修改系统内核行为...
HideProcess完结篇.zip_c++ 进程隐藏_c++隐藏进程_隐藏进程_隐藏驱动_驱动隐藏进程
07-15
2. **注册表操作**:修改注册表键值以隐藏进程在任务管理器中的显示,例如更改`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options`下的设置。 3. **系统API调用**:...
易语言隐藏进程模块源码(1).rar
最新发布
08-03
在这个“易语言隐藏进程模块源码(1).rar”压缩包中,包含的是利用易语言编写的程序,用于实现进程隐藏功能。这一技术在系统管理、安全防护以及恶意软件中都有所应用。 首先,我们要理解什么是进程隐藏。在操作...
驱动级的隐藏进程代码,在驱动层通过替换ssdt地址表中的函数来隐藏进程...
06-26
在IT安全领域,驱动级的隐藏进程技术是一种高级的系统隐藏策略,主要应用于恶意软件或黑客工具中,目的是避开安全软件的检测。本篇将详细解释这种技术,并着重讨论如何在驱动层通过替换System Service Dispatch ...
驱动隐藏进程
06-17
驱动隐藏进程
驱动隐藏进程(易语言).e
02-15
驱动隐藏进程
驱动级隐藏进程和文件
09-21
强大的驱动级进程隐藏技术,有应用层的相关调用以及GUI,是学习驱动程序的好资料
驱动签名 隐藏进程 保护进程 多种方式 保护进程的 驱动
05-18
多种方法 保护进程 断链 修改Flag hook对象 抹psp表 csscs表 注册回调 ObRegisterCallbacks
内核学习--驱动隐藏进程
weixin_34080903的博客
03-22 348
实在不好意思拿出手,都是人家玩烂的技术了。。。可我还是要学习。。。也给小白们科普了 原理: windows系统内核内部采用链表的方式将进程链起来。如果我们从链表中摘掉想要隐藏进程,那么一般的采用这种方式遍历进程的工具也就没有用处了。。也就达到我们的目的了。。悲哀的任务管理器。。。具体的就不记录了。。。(但是这种方法对现在的杀毒基本不起什么作用。。除了一些弱智杀毒软件。。。) 对内核数据结...
在windows内核模式下隐藏进程
sky的专栏
12-19 4500
进程隐藏内核实现 1、在内核模式下,系统为每个进程维护了一个EPROCESS结构体,系统所有的进程是通过EPROCESS结构体中的一个ActiveProcessLinks指向的双端链表连接起来的,通过winDBG内核调试工具就可以发现并获取其相对于EPROCESS结构体的地址(0x88),这样我们可以通过遍历该循环链表找到我们的目的进程将其链表的节点删除即可隐藏进程。(EPROCESS中进程
内核层 inlinehook 隐藏进程
ShadowAssassin的专栏
12-17 3784
上次是SSDT  HOOK 方式 隐藏 进程 ,如链接:http://blog.csdn.net/hjxyshell/article/details/16993119 这次是InlineHook 方式隐藏进程,这里inline hook的原理就不做详细介绍了,网上相关资源较多,撸主主要参考看雪的某大牛的“详谈内核三步走Inline Hook实现”(http://bbs.pediy.com/s
[Windows 驱动开发] 隐藏进程内存
LYSM
09-01 1626
原理 在进程的 _EPROCESS 中有一个 _RTL_AVL_TREE 类型的 VadRoot 成员,它是一个存放进程内存块的二叉树结构,如果我们找到了这个二叉树中我们想要隐藏的内存,直接将这个内存在二叉树中 “抹去”(其实是让上一个节点的 EndingVpn 指向下个节点的 EndingVpn ,让两个节点融合) 就可以达到隐藏的效果。 过程 比如你在代码中申请了两块内存: int main() { LPVOID p1 = VirtualAlloc(NULL, 0x10000, MEM_CO
Windows下隐藏进程技术分享
隐藏进程的方法涉及到对Windows内核API的深入理解和利用。 隐藏进程的主要原理是利用Windows的内核对象和访问控制机制。在给出的代码中,可以看到以下几个关键点: 1. `NTSTATUS` 类型:这是Windows NT内核中用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值