进程隐藏(用摘链的方法)

最新推荐文章于 2022-10-20 15:00:43 发布
最新推荐文章于 2022-10-20 15:00:43 发布
阅读量1k 收藏 4
点赞数 1
分类专栏: Windows内核研究
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44286745/article/details/104367408
版权

ring3层跑的程序在ring0层都有一个对应的内核对象,这些内核对象被用一个双向链表连起来,所谓隐藏其实只是把某进程在内核中对应的进程对象从该链中摘掉,让ring3层的API无法找到

该链在进程对象下面有:

0: kd> dt _EPROCESS
nt!_EPROCESS
   +0x000 Pcb              : _KPROCESS
   +0x2d8 ProcessLock      : _EX_PUSH_LOCK
   +0x2e0 UniqueProcessId  : Ptr64 Void
   +0x2e8 ActiveProcessLinks : _LIST_ENTRY    //就是这个
   +0x2f8 RundownProtect   : _EX_RUNDOWN_REF
   +0x300 Flags2           : Uint4B
   +0x300 JobNotReallyActive : Pos 0, 1 Bit
   +0x300 AccountingFolded : Pos 1, 1 Bit
   +0x300 NewProcessReported : Pos 2, 1 Bit
   +0x300 ExitProcessReported : Pos 3, 1 Bit
   +0x300 ReportCommitChanges : Pos 4, 1 Bit
   +0x300 LastReportMemory : Pos 5, 1 Bit
   +0x300 ForceWakeCharge  : Pos 6, 1 Bit
   +0x300 CrossSessionCreate : Pos 7, 1 Bit
   +0x300 NeedsHandleRundown : Pos 8, 1 Bit
   +0x300 RefTraceEnabled  : Pos 9, 1 Bit
   +0x300 PicoCreated      : Pos 10, 1 Bit
   +0x300 EmptyJobEvaluated : Pos 11, 1 Bit
   +0x300 DefaultPagePriority : Pos 12, 3 Bits
   +0x300 PrimaryTokenFrozen : Pos 15, 1 Bit

代码: 

//根据系统版本的不同,这个值也不一样
#define PROCESS_ACTIVE_PROCESS_LINKS_OFFSET 0x2e8

VOID HideProcess(PEPROCESS Process)
{
	KIRQL OldIrql;
	PLIST_ENTRY ListEntry = (PLIST_ENTRY)((ULONG64)Process + PROCESS_ACTIVE_PROCESS_LINKS_OFFSET);
	OldIrql = KeRaiseIrqlToDpcLevel();
	if (ListEntry->Flink != ListEntry &&
		ListEntry->Blink != ListEntry &&
		ListEntry->Blink->Flink == ListEntry &&
		ListEntry->Flink->Blink == ListEntry)
	{
		ListEntry->Flink->Blink = ListEntry->Blink;
		ListEntry->Blink->Flink = ListEntry->Flink;
		ListEntry->Flink = ListEntry;
		ListEntry->Blink = ListEntry;
	}
	KeLowerIrql(OldIrql);
}

 

吾无法无天
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ring3 下隐藏进程
04-10
Ring3 下隐藏进程.txt
R3任务管理器隐藏C++源代码
03-15
摘要:VC/C++源码,系统相关,任务管理器  R3任务管理器隐藏,Ring3层隐藏进程 稳定可靠的VC++代码。注:本程序需要在命令提示符环境下运行,在开始运行中打开命令提示符,然后拖动本EXE程序到命令提示符窗口中即可,之前需要先打开进程管理器。
易语言-进程隐藏之断链隐藏易语言例程
06-25
通过断链方式来隐藏进程,驱动不成功的可以考虑试试这个。不过,win7 64下隐藏失败,具体原因,相信大家都明白
windows如何隐藏进程 隐藏进程4种方法
05-15
隐藏进程4种方法
进程断链隐藏_r0_进程保护_进程断链隐藏_断链隐藏_驱动_
10-01
进程链表中摘除指定进程
进程隐藏进程保护(SSDT Hook 实现)(三)
weixin_34115824的博客
09-05 433
文章目录:                   1. 引子: 2. 获取当前系统下所有进程: 3. 服务管理(安装,启动,停止,卸载): 4. 应用程序和内核程序通信: 5. 小结:                  1. 引子:                           关于这个 SSDT Hook 实现进程隐藏进程保护呢,这是最后一篇博文了, 在文章的结...
Ring3 Hook ZwQuerySystemInformation
11-14
Ring3 Hook ZwQuerySystemInformation实现隐藏进程,在XP里测试通过。
Ring3 下隐藏进程
10-10 2474
library nthide;usesWindows,ImageHlp,TlHelp32;type SYSTEM_INFORMATION_CLASS = (SystemBasicInformation,SystemProcessorInformation,SystemPerformanceInformation,SystemTimeOfDayInformation,SystemNotImpleme
Linux 进程隐藏摘链隐藏
qq_42931917的博客
12-11 6348
0x01:先说说一般进程隐藏的常见方式 0x02:
3环下进程隐藏
笔记本
05-22 574
分析&注意事项 1.隐藏指定进程,即程序调用CreateToolhelp32Snapshot这个函数得到的进程链表中不能有我们需要隐藏进程 2.除了CreateToolhelp32Snapshot可以遍历进程外还有EnumProcess也可以。逆向显示,这两个API都是调用一个更加底层的函数从内核层取得进程结构链表的,叫ZwQuerySystemInformation,属于ntdll...
VC++控制台程序隐藏窗口运行
m0_60352504的博客
10-20 571
程序会直接弹出一个对话框,而没有CMD控制台窗口出现。
恶意代码--dll动态链接库注入目标进程隐藏自身(亲测win7x86和x64有效)
关注互联网安全的小虾米一枚
10-25 9252
0x01 dll 注入简介 所谓DLL注入就是将一个DLL放进某个进程的地址空间里,让它成为那个进程的一部分。 很多恶意代码,游戏外挂,盗号木马,顽固类病毒等程序均采用此寄生,隐藏在目标计算机之内。 0x02 dll 注入关键API VirtualAllocEx function VirtualAllocEx函数在远程进程的地址空间中分配一块内存
进程隐藏进程保护(SSDT Hook 实现)(二)
weixin_34102807的博客
06-23 221
文章目录: 1. 引子 – Demo 实现效果: 2. 进程隐藏进程保护概念: 3. SSDT Hook 框架搭建: 4. Ring0 实现进程隐藏: 5. Ring0 实现进程保护: 6. 隐藏进程列表和保护进程列表的维护: 7. 小结: 1. 引子 – Demo 实现效果: 进程隐藏效果: 应用程序主界面: 隐藏进程 taskmgr.exe: 取消进程隐藏 t...
Win64 驱动内核编程-21.DKOM隐藏和保护进程
热门推荐
天使也掉毛
03-23 1万+
DKOM隐藏和保护进程 主要就是操作链表,以及修改节点内容。 DKOM 隐藏进程和保护进程的本质是操作 EPROCESS 结构体,不同的系统用的时候注意查下相关定义,确定下偏移,下面的数据是以win7 64为例。 关 注 两 个 成 员 : ActiveProcessLinks 和 Flag 。 ActiveProcessLinks 把各个EPROCESS 结构体连接成“双向链表”,ZwQ
[驱动] 隐藏进程 驱动级 摘链 任务管理器看不到
Sprite雪碧
11-27 1432
闲着蛋疼写来玩玩练练手没啥技术含量只是个简单的摘链任务管理器看不到 测试环境 Win7 x86 typedef struct { DWORD_PTR EProcess; UCHAR* ImageName; ULONG ProcessID; }_Process_Info; NTSTATUS HideProcess() { DWORD_PTR CurrentEProcess...
最新隐藏进程 RING3实现方式:hook ZwQuerySystemInformation 隐藏进程 在XP里测试通过
aq782645210的专栏
11-14 3466
研究其他作者写的文章,也是hook ZwQuerySystemInformation 隐藏进程,可是我怎么测试都没有通过,不能隐藏进程,在网上也试了其他隐藏进程的代码,也不行。唉,那就只有自己动手啦~~~ 既然hook ZwQuerySystemInformation 可以隐藏进程,我就拿它刀了。首先声明,本人只是业余编程者,代码不好看的地方请多包涵。 经过反复测试,终于找到了关键处: wh
Ring3下实现进程保护,不用hook
十年磨一剑,霜刃未曾试!
05-04 6864
今天在分析一款木马的时候,发现做了进程保护,没加驱动,也没做hook,能做进程保护,感觉非常奇怪,原来是这么一回事,mark一下吧! #include "stdafx.h" #include #include #pragma comment(lib,"Advapi32.lib") BOOL Ring3ProtectProcess() { HANDLE hProcess = ::Get
win10隐藏进程方法
最新发布
06-23
### 回答1: Win10隐藏进程方法有多种,以下是其中几种比较常用的方法: 1. 使用任务管理器。按下“Ctrl+Shift+Esc”组合键打开任务管理器,在“进程”选项卡中找到需要隐藏进程,右键点击选择“详细信息”,在打开的“详细信息”窗口中单击“隐藏”即可隐藏进程。 2. 使用命令行。打开命令提示符窗口,输入“taskkill /f /im 进程名.exe”命令,即可结束该进程隐藏它。 3. 使用第三方软件。有些第三方软件可以帮助用户隐藏进程,如“Process Hacker”、“Process Explorer”等,使用这些软件可以更加便捷地隐藏进程。 需要注意的是,隐藏进程并不是一个常规的操作,一般只有在特殊情况下才需要使用。同时,隐蔽进程可能会引起一些意料之外的问题,如系统不稳定、病毒入侵等,因此在操作之前一定要谨慎。 ### 回答2: Win10隐藏进程方法如下: 1.按下“Ctrl + Alt + Del”组合键,打开任务管理器。 2.在任务管理器中,点击“详细信息”选项卡,展开所有正在运行的进程。 3.在列表中找到需要隐藏进程,右击它,选择“打开文件位置”。 4.在打开的文件夹中,找到这个进程的可执行文件(通常是.exe文件),右键点击该文件,选择“属性”。 5.在文件属性对话框中,选择“安全”选项卡,然后点击“高级”按钮。 6.在高级安全设置对话框中,选择“禁止继承权限”选项,并选择“转移所有权”选项。 7.在打开的对话框中,选择当前用户或管理员账户,勾选“替换所❤有子容器和对象的所有权限项”。 8.确认设置后,点击“确定”按钮并关闭对话框。 9.返回到任务管理器中,刷新进程列表,该进程即被隐藏。 值得注意的是,隐藏进程可能涉及到系统安全和稳定性问题,请谨慎使用。一旦隐藏进程对系统产生危害,可能会导致一系列问题产生。如果不熟悉相关知识,最好不要私自修改系统文件。 ### 回答3: Win10隐藏进程方法有多种,以下介绍其中两种比较常见的方法。 一、使用任务管理器 1. 打开任务管理器:按下"Ctrl+Shift+Esc"组合键或者右键任务栏空白处,选择“任务管理器”。 2. 切换到“详细信息”选项卡:如果没有“详细信息”选项卡,可以点击“展开”或者“更多详情”。 3. 找到要隐藏进程:在进程列表中找到要隐藏进程,右键点击该进程,选择“打开文件位置”。 4. 隐藏进程:在弹出的文件夹窗口中,选中该进程的可执行文件,右键点击该文件,选择“属性”->“安全”->“高级”。 5. 更改文件所有者:在“高级安全设置”窗口中,点击“更改”按钮,输入你的用户名并点击“检查名称”和“确定”。 6. 更改文件权限:在“高级安全设置”窗口中,点击“确认”按钮,在“权限”选项卡中,选择你的用户名,然后点击“编辑”按钮。 7. 隐藏文件:在“编辑”权限窗口中,将“读取和执行”、“读取”、“写入”、“创建文件夹/添加数据”权限都勾选上,然后将“删除”、“更改权限”、“取得所有权”权限都取消勾选,点击“确定”。 二、使用第三方工具 Win10隐藏进程的另外一种方法是使用第三方工具,比如Process Hacker、Process Explorer等工具。这些工具可以隐藏进程、服务和驱动程序,常用于保护系统安全、保密性和操作隐私等方面。 总之,Win10隐藏进程方法有很多,通过运用不同的技巧和工具,可以实现多种层次的进程隐藏,提高系统安全和保密性。但是需要注意的是,若因不当使用或其他原因导致系统出现故障,后果自负。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

吾无法无天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值