DKOM 就是直接内核对象操作技术,我们所有的操作都会被系统记录在内存中,而驱动进程隐藏的做旧就是操作进程的EPROCESS结构与线程的ETHREAD结构、链表,要实现进程的隐藏我们只需要将某个进程中的信息,在系统EPROCESS链表中摘除即可实现进程隐藏。

DKOM 隐藏进程的本质是操作EPROCESS结构体,EPROCESS结构体中包含了系统中的所有进程相关信息,还有很多指向其他结构的指针,首先我们可以通过WinDBG在内核调试模式下输入dt_eprocess 即可查看到当前的EPROCESS结构体的偏移信息,结构较多,但常用的就下面这几个。

kd> dt_eprocess

nt!_EPROCESS

   +0x000 Pcb              : _KPROCESS

   +0x160 ProcessLock      : _EX_PUSH_LOCK

   +0x168 CreateTime       : _LARGE_INTEGER                   // 创建时间

   +0x170 ExitTime         : _LARGE_INTEGER                     // 退出时间

   +0x180 UniqueProcessId  : Ptr64 Void                         // 进程的PID

   +0x188 ActiveProcessLinks : _LIST_ENTRY                    // 活动进程链表

   +0x200 ObjectTable      : Ptr64 _HANDLE_TABLE          // 指向句柄表的指针

   +0x2d8 Session          : Ptr64 Void                                // 会话列表

   +0x2e0 ImageFileName    : [15] UChar                         // 进程的名称

   +0x308 ThreadListHead   : _LIST_ENTRY                       // 进程中的线程链表结构

   +0x320 Wow64Process     : Ptr64 Void                        // 32位进程链表

   +0x328 ActiveThreads    : Uint4B                                 // 活动的线程

   +0x32c ImagePathHash    : Uint4B                               // 镜像路径的Hash值

   +0x338 Peb              : Ptr64 _PEB                                 // 指向PEB结构的指针

   +0x440 Flags            : Uint4B                                       // 进程标志

要实现进程的隐藏我们需要关注结构中的 ActiveProcessLinks 该指针把每个进程的EPROCESS结构体连接成了双向链表,我们可以使用 ZwQuerySystemInformation 这个函数来遍历出所有的进程信息,要实现进程的隐藏,只需要将某个进程的EPROCESS从结构体中摘除,那么通过ZwQuerySystemInformation函数就无法遍历出被摘链的进程了,从而实现了进程的隐藏。

在实现进程隐藏之前,我们需要通过代码的方式获取到当前系统中所有进程的EPROCESS信息,我们可以通过 PsLookupProcessByProcessId函数获取到指定进程的ID,然后通过 PsGetProcessImageFileName 函数取出结构名称,并通过 _stricmp 判断是否是我们想要隐藏的程序。

#include <ntifs.h>

NTKERNELAPI NTSTATUS PsLookupProcessByProcessId(HANDLE ProcessId, PEPROCESS *Process);

NTKERNELAPI CHAR* PsGetProcessImageFileName(PEPROCESS Process);

VOID UnDriver(PDRIVER_OBJECT driver)

{

	DbgPrint(("驱动程序卸载成功! \n"));

}

PEPROCESS GetProcessObjectByName(char *name)

{

	SIZE_T temp;

	for (temp = 100; temp<10000; temp += 4)

	{

		NTSTATUS status;

		PEPROCESS ep;

		status = PsLookupProcessByProcessId((HANDLE)temp, &ep);

		if (NT_SUCCESS(status))

		{

			char *pn = PsGetProcessImageFileName(ep);

			if (_stricmp(pn, name) == 0)

				return ep;

		}

	}

	return NULL;

}

NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath)

{

	PEPROCESS PRoc = NULL;

	PRoc = GetProcessObjectByName("calc.exe");

	DriverObject->DriverUnload = UnDriver;

	return STATUS_SUCCESS;

}

然后得到句柄以后直接摘除进程的结构即可实现隐藏,这种摘除方式比较草率,如果关闭驱动后没有手工还原的话可能会导致蓝屏,该方法只用于在Win7上使用,Win10没试过。

#include <ntifs.h>

#define PROCESS_ACTIVE_PROCESS_LINKS_OFFSET 0x188

NTKERNELAPI NTSTATUS PsLookupProcessByProcessId(HANDLE ProcessId, PEPROCESS *Process);

NTKERNELAPI CHAR* PsGetProcessImageFileName(PEPROCESS Process);

VOID UnDriver(PDRIVER_OBJECT driver)

{

	DbgPrint(("驱动程序卸载成功! \n"));

}

PEPROCESS GetProcessObjectByName(char *name)

{

	SIZE_T temp;

	for (temp = 100; temp<10000; temp += 4)

	{

		NTSTATUS status;

		PEPROCESS ep;

		status = PsLookupProcessByProcessId((HANDLE)temp, &ep);

		if (NT_SUCCESS(status))

		{

			char *pn = PsGetProcessImageFileName(ep);

			if (_stricmp(pn, name) == 0)

				return ep;

		}

	}

	return NULL;

}

VOID RemoveListEntry(PLIST_ENTRY ListEntry)

{

	KIRQL OldIrql;

	OldIrql = KeRaiseIrqlToDpcLevel();

	if (ListEntry->Flink != ListEntry &&ListEntry->Blink != ListEntry &&ListEntry->Blink->Flink == ListEntry &&ListEntry->Flink->Blink == ListEntry)

	{

		ListEntry->Flink->Blink = ListEntry->Blink;

		ListEntry->Blink->Flink = ListEntry->Flink;

		ListEntry->Flink = ListEntry;

		ListEntry->Blink = ListEntry;

	}

	KeLowerIrql(OldIrql);

}

// 隐藏指定进程(会蓝屏)

BOOLEAN HideProcessB(PUCHAR pszHideProcessName)

{

    PEPROCESS pFirstEProcess = NULL, pEProcess = NULL;

    ULONG ulOffset = 0;

    HANDLE hProcessId = NULL;

    PUCHAR pszProcessName = NULL;

    // 获取相应偏移大小

    ulOffset = PROCESS_ACTIVE_PROCESS_LINKS_OFFSET;

    if (0 == ulOffset)

    {

        return FALSE;

    }

    // 获取当前进程结构对象

    pFirstEProcess = PsGetCurrentProcess();

    pEProcess = pFirstEProcess;

    // 开始遍历枚举进程

    do

    {

        // 从 EPROCESS 获取进程 PID

        hProcessId = PsGetProcessId(pEProcess);

        // 从 EPROCESS 获取进程名称

        pszProcessName = PsGetProcessImageFileName(pEProcess);

        // 隐藏指定进程

        if (0 == _stricmp(pszProcessName, pszHideProcessName))

        {

            // 摘链

            RemoveEntryList((PLIST_ENTRY)((PUCHAR)pEProcess + ulOffset));

            break;

        }

        // 根据偏移计算下一个进程的 EPROCESS

        pEProcess = (PEPROCESS)((PUCHAR)(((PLIST_ENTRY)((PUCHAR)pEProcess + ulOffset))->Flink) - ulOffset);

    } while (pFirstEProcess != pEProcess);

    return TRUE;

}

NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath)

{

	PEPROCESS PRoc = NULL;

	PRoc = GetProcessObjectByName("calc.exe");

	// 摘除结构中的calc.exe 实现驱动隐藏计算器

	RemoveListEntry((PLIST_ENTRY)((ULONG64)PRoc + PROCESS_ACTIVE_PROCESS_LINKS_OFFSET));

	DriverObject->DriverUnload = UnDriver;

	return STATUS_SUCCESS;

}

没什么难度,就是摘链,而这种断链隐藏,不仅操作不好会蓝屏且很容易被发现,只是能在任务管理器看不到而已。

驱动开发:DKOM 实现进程隐藏的更多相关文章

  1. 驱动开发:内核中实现Dump进程转储

    多数ARK反内核工具中都存在驱动级别的内存转存功能,该功能可以将应用层中运行进程的内存镜像转存到特定目录下,内存转存功能在应对加壳程序的分析尤为重要,当进程在内存中解码后,我们可以很容易的将内存镜像导 ...

  2. 驱动开发:内核遍历进程VAD结构体

    在上一篇文章<驱动开发:内核中实现Dump进程转储>中我们实现了ARK工具的转存功能,本篇文章继续以内存为出发点介绍VAD结构,该结构的全程是Virtual Address Descrip ...

  3. VS 2013驱动开发 + Windbg + VM双机调试(亲测+详解)

    ------------VS 2013驱动开发 + Windbg + VM双机调试(亲测+详解)------------- WIN10已上线,随之而来的是VS2015:微软在 "WDK760 ...

  4. Linux 驱动开发

    linux驱动开发总结(一) 基础性总结 1, linux驱动一般分为3大类: * 字符设备 * 块设备 * 网络设备 2, 开发环境构建: * 交叉工具链构建 * NFS和tftp服务器安装 3, ...

  5. (57)Linux驱动开发之三Linux字符设备驱动

    1.一般情况下,对每一种设备驱动都会定义一个软件模块,这个工程模块包含.h和.c文件,前者定义该设备驱动的数据结构并声明外部函数,后者进行设备驱动的具体实现. 2.典型的无操作系统下的逻辑开发程序是: ...

  6. Linux驱动开发概述

    原文出处:http://www.cnblogs.com/jacklu/p/4722563.html Linux设备分类 设备的驱动程序也要像裸机程序那样进行一些硬件操作,不同的是驱动程序需要" ...

  7. Android深度探索(卷1)HAL与驱动开发

    第一章 介绍Android驱动开发和移植技术 主要对android和linux做了总体的介绍,让我们有了个感性的认识. 一.Android的四层系统架构: a) Linux内核:Android是基于L ...

  8. 《Android深度探索HAL与驱动开发》第一章阅读心得

    首先了解到Android系统架构是由四层构成:其中第一层是Linux内核,他的作用是负责Linux的驱动程序以及内存.进程.电源等管理操作:第二层是C/C++代码库,也就是Linux下.so的文件:第 ...

  9. 第一章 Andorid系统移植与驱动开发概述 - 读书笔记

    Android驱动月考1 第一章 Andorid系统移植与驱动开发概述 - 读书笔记 1.Android系统的架构: (1)Linux内核,Android是基于Linux内核的操作系统,并且开源,所以 ...

  10. (转)Mac OS X内核编程,MAC驱动开发资源汇总

    一.Mac  OS  X内核编程开发官方文档: I/O Kit Fundamentals: I/O Kit基础 - Mac OS X系统内核编程 https://developer.apple.com ...

随机推荐

  1. Three.js 入门

    Demo代码地址: https://gitee.com/s0611163/three.js-demo Three.js Three.js下载 从GitHub上下载一个Release版本,https:/ ...

  2. IDEA | 使用Maven创建Web项目并配置Tomcat

    学习这种方式的原因是以后Tomcat中运行的绝大多数都是Web项目,而使用Maven工具能更加简单快捷的把Web项目给创建出来,所以Maven的Web项目具体如何来构建呢? 在真正创建Maven We ...

  3. Codeforces Round #717 (Div. 2) 个人题解 A~C (A思維,B位運算,C背包DP)

    1516A. Tit for Tat 題意: 給定大小為 \(n\) 的數組和可操作次數 \(k\) , 每次操作都選定兩個數(如果 \(1 \le a_i\) ),使第一個數 - \(1\) ,另一 ...

  4. PVE API创建虚拟机

    度娘,谷歌都搜了一圈没有找到通过PVE API创建虚拟机的方式, 于是查官网自己试了试,部分代码抄的Sam Liu大佬的作业,感谢大佬. python代码如下: import requests # s ...

  5. SpringCloud学习 系列九、Ribbon

    系列导航 SpringCloud学习 系列一. 前言-为什么要学习微服务 SpringCloud学习 系列二. 简介 SpringCloud学习 系列三. 创建一个没有使用springCloud的服务 ...

  6. div模拟表格单元格合并

    效果如下图: html代码如下: 1 <ul class="schedule-list"> 2 <li class="schedule-title&qu ...

  7. 【Qt】开源一键代码开光神器,一行代码给你的项目施加祝福,减少Bug

    年底啦,没什么项目,想摸鱼划水没见到什么好玩的东西,看到有人分享这个,直接做个库来玩下,之后说不定会嵌到公司的项目里面去.... 效果如下,佛光普照! 输入也只需要一行命令 magic_spells: ...

  8. java进阶(5)--package与import

    一.package 1.package的作用:为了方便程序的管理 2.package怎么使用:package+包名,只能出现在java代码的第一行 3.package命令规范:一般采用公司域名倒序方式 ...

  9. 基于Tensorflow技术开发的计算机毕业设计辅助生成器(使用AI大模型技术)

    这是一个辅助生成计算机毕业设计的工具,可以自动完成毕业设计的源码.它基于几百个github上面开源的java和python项目,运用tensorflow技术,训练出了AI大模型.基本实现了计算机毕业设 ...

  10. 笔记本也能飞:运行chat大模型

    背景 在过去的一年,ChatGPT的崛起彻底改变了我们与AI的交互方式.它不再是被动的信息提供者,而是成为了一个可以与我们自由交流.分享知识的伙伴.无论是生活中的琐事,还是工作中的难题,ChatGPT ...