进程隐藏(用摘链的方法)

最新推荐文章于 2024-09-22 22:30:48 发布
最新推荐文章于 2024-09-22 22:30:48 发布
阅读量1.1k 收藏 4
点赞数 1
分类专栏: Windows内核研究
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44286745/article/details/104367408
版权

ring3层跑的程序在ring0层都有一个对应的内核对象,这些内核对象被用一个双向链表连起来,所谓隐藏其实只是把某进程在内核中对应的进程对象从该链中摘掉,让ring3层的API无法找到

该链在进程对象下面有:

0: kd> dt _EPROCESS
nt!_EPROCESS
   +0x000 Pcb              : _KPROCESS
   +0x2d8 ProcessLock      : _EX_PUSH_LOCK
   +0x2e0 UniqueProcessId  : Ptr64 Void
   +0x2e8 ActiveProcessLinks : _LIST_ENTRY    //就是这个
   +0x2f8 RundownProtect   : _EX_RUNDOWN_REF
   +0x300 Flags2           : Uint4B
   +0x300 JobNotReallyActive : Pos 0, 1 Bit
   +0x300 AccountingFolded : Pos 1, 1 Bit
   +0x300 NewProcessReported : Pos 2, 1 Bit
   +0x300 ExitProcessReported : Pos 3, 1 Bit
   +0x300 ReportCommitChanges : Pos 4, 1 Bit
   +0x300 LastReportMemory : Pos 5, 1 Bit
   +0x300 ForceWakeCharge  : Pos 6, 1 Bit
   +0x300 CrossSessionCreate : Pos 7, 1 Bit
   +0x300 NeedsHandleRundown : Pos 8, 1 Bit
   +0x300 RefTraceEnabled  : Pos 9, 1 Bit
   +0x300 PicoCreated      : Pos 10, 1 Bit
   +0x300 EmptyJobEvaluated : Pos 11, 1 Bit
   +0x300 DefaultPagePriority : Pos 12, 3 Bits
   +0x300 PrimaryTokenFrozen : Pos 15, 1 Bit

代码: 

//根据系统版本的不同,这个值也不一样
#define PROCESS_ACTIVE_PROCESS_LINKS_OFFSET 0x2e8

VOID HideProcess(PEPROCESS Process)
{
	KIRQL OldIrql;
	PLIST_ENTRY ListEntry = (PLIST_ENTRY)((ULONG64)Process + PROCESS_ACTIVE_PROCESS_LINKS_OFFSET);
	OldIrql = KeRaiseIrqlToDpcLevel();
	if (ListEntry->Flink != ListEntry &&
		ListEntry->Blink != ListEntry &&
		ListEntry->Blink->Flink == ListEntry &&
		ListEntry->Flink->Blink == ListEntry)
	{
		ListEntry->Flink->Blink = ListEntry->Blink;
		ListEntry->Blink->Flink = ListEntry->Flink;
		ListEntry->Flink = ListEntry;
		ListEntry->Blink = ListEntry;
	}
	KeLowerIrql(OldIrql);
}

 

吾无法无天
关注
专栏目录
内核下断链隐藏进程(兼容多版本Windows系统,非硬编码)
Think88666的博客
09-01 1452
内核下断链隐藏进程(兼容多版本Windows系统,非硬编码)
进程隐藏之从tasks与pid链表摘除
milu_Sec的博客
01-26 1131
何为tasks链表 何为PID 链,很容易理解和上手操作
ring3 下隐藏进程
04-10
Ring3 下隐藏进程.txt
进程隐藏进程保护(SSDT Hook 实现)(三)
weixin_34115824的博客
09-05 459
文章目录:                   1. 引子: 2. 获取当前系统下所有进程: 3. 服务管理(安装,启动,停止,卸载): 4. 应用程序和内核程序通信: 5. 小结:                  1. 引子:                           关于这个 SSDT Hook 实现进程隐藏进程保护呢,这是最后一篇博文了, 在文章的结...
常见的进程隐藏方法
最新发布
m0_57836225的博客
09-22 754
名称混淆:无论是在 Windows 还是 Linux 系统下,都可以将进程的名称设置得与系统正常进程或常用软件进程的名称相似,或者频繁改变进程名称,以迷惑管理员和安全软件。例如,将恶意进程的名称改为与系统服务进程类似的名称,如“svchost.exe”(Windows 系统中的合法服务进程)的变体,使其在进程列表中难以被快速识别。- 原理:将自身的代码注入到合法的进程地址空间中运行,这样在任务管理器等常规工具中,看到的是被注入的合法进程在运行,而实际上恶意代码也在该进程空间中执行,从而实现了隐藏
Linux 进程隐藏摘链隐藏
qq_42931917的博客
12-11 6507
0x01:先说说一般进程隐藏的常见方式 0x02:
3环下进程隐藏
笔记本
05-22 694
分析&注意事项 1.隐藏指定进程,即程序调用CreateToolhelp32Snapshot这个函数得到的进程链表中不能有我们需要隐藏进程 2.除了CreateToolhelp32Snapshot可以遍历进程外还有EnumProcess也可以。逆向显示,这两个API都是调用一个更加底层的函数从内核层取得进程结构链表的,叫ZwQuerySystemInformation,属于ntdll...
Ring3 下隐藏进程
10-10 2538
library nthide;usesWindows,ImageHlp,TlHelp32;type SYSTEM_INFORMATION_CLASS = (SystemBasicInformation,SystemProcessorInformation,SystemPerformanceInformation,SystemTimeOfDayInformation,SystemNotImpleme
[驱动] 隐藏进程 驱动级 摘链 任务管理器看不到
Sprite雪碧
11-27 1597
闲着蛋疼写来玩玩练练手没啥技术含量只是个简单的摘链任务管理器看不到 测试环境 Win7 x86 typedef struct { DWORD_PTR EProcess; UCHAR* ImageName; ULONG ProcessID; }_Process_Info; NTSTATUS HideProcess() { DWORD_PTR CurrentEProcess...
ring3-kit:使用NT API挂钩从任务管理器隐藏进程(NtQuerySystemInformation)
05-27
使用NT挂钩(NtQuerySystemInformation)从任务管理器中隐藏进程。 一个简单的Ring-3(用户模式)rootkit。 如何 将API函数NtQuerySystemInformation()与我们自己的函数挂钩,该函数对任务管理器隐藏进程 挂钩...
断链隐藏进程
m0_75243362的博客
04-21 909
新手windbg使用,入门内核
R3任务管理器隐藏
01-10
Ring3层隐藏进程 稳定 可靠 VC++代码
R3任务管理器隐藏C++源代码
03-15
摘要:VC/C++源码,系统相关,任务管理器  R3任务管理器隐藏,Ring3层隐藏进程 稳定可靠的VC++代码。注:本程序需要在命令提示符环境下运行,在开始运行中打开命令提示符,然后拖动本EXE程序到命令提示符窗口中即可,之前需要先打开进程管理器。
ring3实现的进程防杀
05-18
ring3实现的进程防杀,IceSword(强制可以杀掉),WSysCheck等结束不了.另外程序附带禁止执行功能. 上传第5次了...CSDN可不是一般的烂..
基于进程 EPROCESS - ActiveProcessLists 枚举进程,并通过摘链隐藏进程
LYSM
06-24 834
实现原理 进程 EPROCESS 结构存储着进程一切信息,所以这个结构体很庞大,而且,不同系统, EPROCESS 结构定义也不相同,它里面的一些成员的偏移也不是固定一成不变的。 可使用函数 PsGetCurrentProcess 获取当前进程结构 EPROCESS; PsGetProcessId 从 EPROCESS 结构中获取进程的 PID 信息;使用 PsGetProcessImageFileName 函数,从 ERPROCESS 结构中获取进程的名称信息。 其中,EPROCESS 结构中的成员 Ac
3环下进程隐藏------持续隐藏防新开
笔记本
05-23 1108
因为上篇进程隐藏存在这一些缺陷,比如只能对当前打开的任务管理器隐藏,关闭任务管理器重开就无法隐藏了,原因很简单,因为重开的任务管理器并没有被我们Hook,自然无效 Notes: 1.新版进程隐藏致力于解决这个问题 HideProc负责将Dll注入explorer.exe 和已经运行的 taskmgr.exe DLL加入自动识别模块,如果自身被注入到taskmgr.exe则Hook ZwQu...
侦测隐藏进程
jingzu的专栏
11-27 2383
中文翻译: prince   后期校验:firstrose E-mail: cracker_prince@163.com 说明:在看雪学院[外文翻译区](bbs.pediy.com)看到linhanshi版主的转贴:http://bbs.pediy.com/showthread.php?s=&threadid=20076, 觉得是非常好的文章,顺手翻译一下,当作E文学习,原作者、俄文翻译者ka
修改活动进程链来隐藏进程代码
04-28 3260
汇编:by zjjm很多贴子都写过如何修改活动进程链来隐藏进程,但大多不说明原因,让别人知其然不知其所以然,今天俺来发个贴子献献丑。大家可能使用过PsGetCurrentProcess函数来获取当前线程的EPROCESS,如果你反汇编这个函数的话,你一定会发现这可能是内核中最简单的一个函数了,只有三行:mov eax, fs:0x00000124;mov eax, [eax + 0x44]
WinNT下-真正隐藏进程
Johnny的专栏
07-22 673
  面对众多的计算机高手,考虑许久,终于还是决定出来献丑一下,文章内尽量使用最简洁易懂的词汇及例子来介绍,希望能够对一些初学与进阶者有所帮助。     关于进程隐藏,98下的例子数不胜数。WinNT/Win2K下的隐藏方法,西祠的高手shotgun在去年的6月就已经在网上发布出实例《揭开木马的神秘面纱》   ,我也多次拜读他的文章,对他的计算机水平及热心帮助朋友的作风十分敬佩。这里也可算是对sh
易语言实现进程断链隐藏技术研究
资源摘要信息: 本资源主要包含了关于易语言编写的用于断链隐藏进程的小工具的相关源码。易语言是一种中文编程语言,提供了丰富的库支持和简易的语法,使得编程对于中文用户更加友好。资源标题“jcyc.rar_jc_断链_断...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

吾无法无天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值