修改 动进程链表 进行隐藏

最新推荐文章于 2021-08-03 09:54:56 发布
最新推荐文章于 2021-08-03 09:54:56 发布
阅读量830 收藏 1
点赞数
文章标签: list 活动 xp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuna66320/article/details/2010848
版权
(DWORD) PsGetCurrentProcess();  返回的 是一个 结构体. 结构体第一个成员是 第一个EPROCESS的地址.


    PLIST_ENTRY PsActiveProcessHead = (PLIST_ENTRY)0x805637b8; //这个硬编找的 . 上面那个EPROCESS+88=这个值了;//88是 xp sp2的 活动进程 链表的 偏移   pid =84
    PLIST_ENTRY List = PsActiveProcessHead->Blink;
    while( List != PsActiveProcessHead )
    {
    char* name = ((char*)List-0x88)+0x174;
    DbgPrint("name = %s/n",name);
    List=List->Blink;
    }

感觉这个方法比 修改 ssdt函数表 更简单
wuna66320
关注
修改、伪装进程路径。支持XP,WIN7 WIN764
03-29
windows下 修改,伪装进程路径。支持XP,WIN7 WIN764
修改ActiveProcessLinks链表隐藏进程
weixin_33766805的博客
02-21 180
在Windows内核中有一个活动进程链表AcvtivePeorecssList。它是一个双向链表,保存着系统中所有进程的EPROCESS结构。特别地,进程的EPROCESS结构包含一个具有指针成员FLINK和BLINK的LIST_ENTRY结构,这两个指针分别指向当前进程的前方和后方进程。当某些模块需要获得系统中运行的所有进程信息时,就会遍历这个链表。若在PsActviePoroess...
linux管理进程链表
weixin_33725270的博客
10-18 228
  linux2.6.11的内核中,为了方便管理linux的进程,主要建了5种linux链表。每个链表节点之间的互联有两种方式,一种是hash节点之间的互联,通过hlist_node的数据结构来实现;另一种就是list_head类型的数据结构来互联。看linux内核的人对这两种类型的数据结构肯定是不会陌生的,因为它们在linux内核中无处不在。   1 进程直接的互连   通过任务描述符结构...
[Rootkit] - 修改 EPROCESS 隐藏进程
LYSM
08-20 998
背景 EPROCESS 中有两个成员 UniqueProcessId // 唯一的pid InheritedFromUniqueProcessId // 唯一父进程pid 效果图
DKOM.修改双向链表隐藏进程.
稳到死内核
04-20 1661
DKOM即"直接内核对象操作",关于修改双向链表隐藏进程.网上和书刊上几乎都照抄了>一书,我发牢骚的是老外在修改链表时的精简代码看得莫名其妙.可能我太菜了吧对数据结构不熟悉,不过记得>的作者都说了,一行代码尽量干一件事情,表达一目了然.所以我自己重新写了一份.#include "ntddk.h"void Unload(IN PDRIVER_OBJECT DO){ DbgPrint("this is Unload!");}char* GetProcessNameByEPROCESS(ULONG ulAddr)
进程断链隐藏_r0_进程保护_进程断链隐藏_断链隐藏_驱_
10-01
"断链隐藏"和"进程断链隐藏"是同义词,都指代了从进程链表中移除进程条目的行为。而"驱"在这里则是实现这些操作的关键组件。驱程序是操作系统和硬件之间的桥梁,它可以访问和修改操作系统内核的资源。因此,编写...
隐藏进程技术检测技术 基本能查出当前所有Rootkit隐藏进程 利用挂钩线程调度链表来实现.zip
01-28
本资料主要探讨了如何利用反隐藏进程技术来检测并揭露Rootkit隐藏进程,特别是通过挂钩线程调度链表的方法。 线程调度是操作系统中的核心功能,负责决定哪些线程应该获得CPU执行时间。在Windows系统中,这个过程...
易语言-进程隐藏之断链隐藏易语言例程
06-25
在32位的Windows系统中,进程隐藏可以通过断链操作实现,即断开进程进程链表中的链接,使其在系统视图中不可见。但是,随着64位操作系统的普及,这种方法在Win7 64及以上版本的系统中往往失效。主要原因在于64位...
MyHider.zip_peb_peb模块隐藏_vad_模块隐藏_进程隐藏
07-14
PEB模块隐藏是通过篡改PEB中的InInitializationOrderModuleList和InLoadOrderModuleList链表,将恶意模块从进程的模块列表中移除,达到隐藏的目的。这种技术需要对Windows内核有深入理解,并且通常需要编写驱...
hook_进程隐藏
07-16
如果请求的是`SystemProcessInformation`,则遍历进程链表,将隐藏进程从返回的进程列表中移除。 5. **返回控制权**:处理完系统信息后,将控制权交还给原始的`ZwQuerySystemInformation`函数,或者直接返回修改...
进程链表实现
RToax
08-03 421
《老酒馆》 ​对比起,踩您脚了; 老二两:是我对不起您,耽误您脚落地了。 隔离在家,第四天。2021年8月2日13:13:02。 --共享内存-- 在文章《mmap从低向高增长的legacy模式和从高向低增长的modern模式》我介绍过进程地址空间的内存布局,当不同的进程同时映射一个文件到自己的进程地址空间时,就可以实现进程间的共享内存。 对于内存文件映射的整体架构如下图: --链表-- 拿单链表为例,链表节点的next域保存了链表的下一个节点的虚...
修改活动进程隐藏进程
Puzzle的专栏
06-25 1687
如何修改活动进程链来隐藏进程?通过PsGetCurrentProcess函数可以获取当前线程的EPROCESS,反汇编这个函数的话可以看到这个内核函数只有三行: mov eax, fs:0x00000124; mov eax, [eax + 0x44]; ret Windows中有一个叫Kernel's Processor Control Block (KPRCB),核心处理控制块的结
EPROCESS 结构体属性介绍
hambaga的博客
03-10 2103
typedef struct _EPROCESS { // KPROCESS 和 EPROCESS 地址相同 KPROCESS Pcb; // // Lock used to protect: // The list of threads in the process. // Process token. // Win32 process field. // Process and thread affinity setting. /
运行期修改可执行文件的路径和Command Line
04-16 1834
前的很多主防御工具和反XX系统,在对特定进程进行保护的时候,出于兼容性的考虑,都会保留一些白名单。特别是一些系统进程,例如csrss.exe、svchost.exe等等。而针对这些系统进程,判断是否在白名单中的方式,为了简便起见经常采用取系统路径、可执行文件名的方式。    内核中比较明显的能够取到可执行文件路径的方法有下面几个:1、  通过PEB. ProcessParameters -> I
详解PID到进程名的转换及伪装
05-15 1842
作者:天杀 很多时候我们都要用到从PID到进程名的转换。先总结一下相关的一些常用函数。GetCurrentProcessIdGetWindowProcessID这是两个最常用的获得PID的函数。再看看如何通过PID获得进程名先用OpenProcess把进程打开,然后一般用下面的一些方法来获得1.用快照函数CreateToolhelp32Snapshot,然后枚举进程,比较        Creat
EPROCESS取进程全路径
SomeTimes
01-21 5523
Windows内核中通过PEPROCESS获取进程全路径。
内存修改(Ring0)
KOOKNUT的博客
04-08 807
实现两个Ring3层进程虚拟地址空间中的数据拷贝,实现思路:
全面解析Linux 内核 3.10.x - 进程链表
何文的专栏
01-05 2744
From: 全面解析Linux 内核 3.10.x - 进程管理 把你的心、我的心、串一串串一株幸运草、串一个同心圆 - Love一、双向链表在内核中的运用传统的双向链表即表示链表有双头,双连表的好处在于不管是插入亦或是查找,其算法复杂度明显比单链表要优化很多,但是双连表由于其本身的复杂性,故而很多程序员都是避而不见,或者视而不见! 但是在这里我们必须将此重新掌握! 还记得链表的定义吗? 有指
Windows系统下进程隐藏技术详解
我们将探讨如何通过修改内核数据结构来实现进程隐藏,以避免被常规的进程查看工具检测到。 首先,我们要理解进程隐藏的基本概念。在Windows操作系统中,进程是系统执行任务的基本单元。它们可以通过任务管理器等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值