DKOM 就是直接内核对象操作技术,我们所有的操作都会被系统记录在内存中,而驱动进程隐藏的做旧就是操作进程的EPROCESS结构与线程的ETHREAD结构、链表,要实现进程的隐藏我们只需要将某个进程中的信息,在系统EPROCESS链表中摘除即可实现进程隐藏。

DKOM 隐藏进程的本质是操作EPROCESS结构体,EPROCESS结构体中包含了系统中的所有进程相关信息,还有很多指向其他结构的指针,首先我们可以通过WinDBG在内核调试模式下输入dt_eprocess 即可查看到当前的EPROCESS结构体的偏移信息,结构较多,但常用的就下面这几个。

kd> dt_eprocess

nt!_EPROCESS

   +0x000 Pcb              : _KPROCESS

   +0x160 ProcessLock      : _EX_PUSH_LOCK

   +0x168 CreateTime       : _LARGE_INTEGER                   // 创建时间

   +0x170 ExitTime         : _LARGE_INTEGER                     // 退出时间

   +0x180 UniqueProcessId  : Ptr64 Void                         // 进程的PID

   +0x188 ActiveProcessLinks : _LIST_ENTRY                    // 活动进程链表

   +0x200 ObjectTable      : Ptr64 _HANDLE_TABLE          // 指向句柄表的指针

   +0x2d8 Session          : Ptr64 Void                                // 会话列表

   +0x2e0 ImageFileName    : [15] UChar                         // 进程的名称

   +0x308 ThreadListHead   : _LIST_ENTRY                       // 进程中的线程链表结构

   +0x320 Wow64Process     : Ptr64 Void                        // 32位进程链表

   +0x328 ActiveThreads    : Uint4B                                 // 活动的线程

   +0x32c ImagePathHash    : Uint4B                               // 镜像路径的Hash值

   +0x338 Peb              : Ptr64 _PEB                                 // 指向PEB结构的指针

   +0x440 Flags            : Uint4B                                       // 进程标志

要实现进程的隐藏我们需要关注结构中的 ActiveProcessLinks 该指针把每个进程的EPROCESS结构体连接成了双向链表,我们可以使用 ZwQuerySystemInformation 这个函数来遍历出所有的进程信息,要实现进程的隐藏,只需要将某个进程的EPROCESS从结构体中摘除,那么通过ZwQuerySystemInformation函数就无法遍历出被摘链的进程了,从而实现了进程的隐藏。

在实现进程隐藏之前,我们需要通过代码的方式获取到当前系统中所有进程的EPROCESS信息,我们可以通过 PsLookupProcessByProcessId函数获取到指定进程的ID,然后通过 PsGetProcessImageFileName 函数取出结构名称,并通过 _stricmp 判断是否是我们想要隐藏的程序。

#include <ntifs.h>

NTKERNELAPI NTSTATUS PsLookupProcessByProcessId(HANDLE ProcessId, PEPROCESS *Process);

NTKERNELAPI CHAR* PsGetProcessImageFileName(PEPROCESS Process);

VOID UnDriver(PDRIVER_OBJECT driver)

{

	DbgPrint(("驱动程序卸载成功! \n"));

}

PEPROCESS GetProcessObjectByName(char *name)

{

	SIZE_T temp;

	for (temp = 100; temp<10000; temp += 4)

	{

		NTSTATUS status;

		PEPROCESS ep;

		status = PsLookupProcessByProcessId((HANDLE)temp, &ep);

		if (NT_SUCCESS(status))

		{

			char *pn = PsGetProcessImageFileName(ep);

			if (_stricmp(pn, name) == 0)

				return ep;

		}

	}

	return NULL;

}

NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath)

{

	PEPROCESS PRoc = NULL;

	PRoc = GetProcessObjectByName("calc.exe");

	DriverObject->DriverUnload = UnDriver;

	return STATUS_SUCCESS;

}

然后得到句柄以后直接摘除进程的结构即可实现隐藏,这种摘除方式比较草率,如果关闭驱动后没有手工还原的话可能会导致蓝屏,该方法只用于在Win7上使用,Win10没试过。

#include <ntifs.h>

#define PROCESS_ACTIVE_PROCESS_LINKS_OFFSET 0x188

NTKERNELAPI NTSTATUS PsLookupProcessByProcessId(HANDLE ProcessId, PEPROCESS *Process);

NTKERNELAPI CHAR* PsGetProcessImageFileName(PEPROCESS Process);

VOID UnDriver(PDRIVER_OBJECT driver)

{

	DbgPrint(("驱动程序卸载成功! \n"));

}

PEPROCESS GetProcessObjectByName(char *name)

{

	SIZE_T temp;

	for (temp = 100; temp<10000; temp += 4)

	{

		NTSTATUS status;

		PEPROCESS ep;

		status = PsLookupProcessByProcessId((HANDLE)temp, &ep);

		if (NT_SUCCESS(status))

		{

			char *pn = PsGetProcessImageFileName(ep);

			if (_stricmp(pn, name) == 0)

				return ep;

		}

	}

	return NULL;

}

VOID RemoveListEntry(PLIST_ENTRY ListEntry)

{

	KIRQL OldIrql;

	OldIrql = KeRaiseIrqlToDpcLevel();

	if (ListEntry->Flink != ListEntry &&ListEntry->Blink != ListEntry &&ListEntry->Blink->Flink == ListEntry &&ListEntry->Flink->Blink == ListEntry)

	{

		ListEntry->Flink->Blink = ListEntry->Blink;

		ListEntry->Blink->Flink = ListEntry->Flink;

		ListEntry->Flink = ListEntry;

		ListEntry->Blink = ListEntry;

	}

	KeLowerIrql(OldIrql);

}

// 隐藏指定进程(会蓝屏)

BOOLEAN HideProcessB(PUCHAR pszHideProcessName)

{

    PEPROCESS pFirstEProcess = NULL, pEProcess = NULL;

    ULONG ulOffset = 0;

    HANDLE hProcessId = NULL;

    PUCHAR pszProcessName = NULL;

    // 获取相应偏移大小

    ulOffset = PROCESS_ACTIVE_PROCESS_LINKS_OFFSET;

    if (0 == ulOffset)

    {

        return FALSE;

    }

    // 获取当前进程结构对象

    pFirstEProcess = PsGetCurrentProcess();

    pEProcess = pFirstEProcess;

    // 开始遍历枚举进程

    do

    {

        // 从 EPROCESS 获取进程 PID

        hProcessId = PsGetProcessId(pEProcess);

        // 从 EPROCESS 获取进程名称

        pszProcessName = PsGetProcessImageFileName(pEProcess);

        // 隐藏指定进程

        if (0 == _stricmp(pszProcessName, pszHideProcessName))

        {

            // 摘链

            RemoveEntryList((PLIST_ENTRY)((PUCHAR)pEProcess + ulOffset));

            break;

        }

        // 根据偏移计算下一个进程的 EPROCESS

        pEProcess = (PEPROCESS)((PUCHAR)(((PLIST_ENTRY)((PUCHAR)pEProcess + ulOffset))->Flink) - ulOffset);

    } while (pFirstEProcess != pEProcess);

    return TRUE;

}

NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath)

{

	PEPROCESS PRoc = NULL;

	PRoc = GetProcessObjectByName("calc.exe");

	// 摘除结构中的calc.exe 实现驱动隐藏计算器

	RemoveListEntry((PLIST_ENTRY)((ULONG64)PRoc + PROCESS_ACTIVE_PROCESS_LINKS_OFFSET));

	DriverObject->DriverUnload = UnDriver;

	return STATUS_SUCCESS;

}

没什么难度,就是摘链,而这种断链隐藏,不仅操作不好会蓝屏且很容易被发现,只是能在任务管理器看不到而已。

驱动开发:DKOM 实现进程隐藏的更多相关文章

  1. 驱动开发:内核中实现Dump进程转储

    多数ARK反内核工具中都存在驱动级别的内存转存功能,该功能可以将应用层中运行进程的内存镜像转存到特定目录下,内存转存功能在应对加壳程序的分析尤为重要,当进程在内存中解码后,我们可以很容易的将内存镜像导 ...

  2. 驱动开发:内核遍历进程VAD结构体

    在上一篇文章<驱动开发:内核中实现Dump进程转储>中我们实现了ARK工具的转存功能,本篇文章继续以内存为出发点介绍VAD结构,该结构的全程是Virtual Address Descrip ...

  3. VS 2013驱动开发 + Windbg + VM双机调试(亲测+详解)

    ------------VS 2013驱动开发 + Windbg + VM双机调试(亲测+详解)------------- WIN10已上线,随之而来的是VS2015:微软在 "WDK760 ...

  4. Linux 驱动开发

    linux驱动开发总结(一) 基础性总结 1, linux驱动一般分为3大类: * 字符设备 * 块设备 * 网络设备 2, 开发环境构建: * 交叉工具链构建 * NFS和tftp服务器安装 3, ...

  5. (57)Linux驱动开发之三Linux字符设备驱动

    1.一般情况下,对每一种设备驱动都会定义一个软件模块,这个工程模块包含.h和.c文件,前者定义该设备驱动的数据结构并声明外部函数,后者进行设备驱动的具体实现. 2.典型的无操作系统下的逻辑开发程序是: ...

  6. Linux驱动开发概述

    原文出处:http://www.cnblogs.com/jacklu/p/4722563.html Linux设备分类 设备的驱动程序也要像裸机程序那样进行一些硬件操作,不同的是驱动程序需要" ...

  7. Android深度探索(卷1)HAL与驱动开发

    第一章 介绍Android驱动开发和移植技术 主要对android和linux做了总体的介绍,让我们有了个感性的认识. 一.Android的四层系统架构: a) Linux内核:Android是基于L ...

  8. 《Android深度探索HAL与驱动开发》第一章阅读心得

    首先了解到Android系统架构是由四层构成:其中第一层是Linux内核,他的作用是负责Linux的驱动程序以及内存.进程.电源等管理操作:第二层是C/C++代码库,也就是Linux下.so的文件:第 ...

  9. 第一章 Andorid系统移植与驱动开发概述 - 读书笔记

    Android驱动月考1 第一章 Andorid系统移植与驱动开发概述 - 读书笔记 1.Android系统的架构: (1)Linux内核,Android是基于Linux内核的操作系统,并且开源,所以 ...

  10. (转)Mac OS X内核编程,MAC驱动开发资源汇总

    一.Mac  OS  X内核编程开发官方文档: I/O Kit Fundamentals: I/O Kit基础 - Mac OS X系统内核编程 https://developer.apple.com ...

随机推荐

  1. Go--较复杂的结构类型

    一.List List是一种有序的集合,可以包含任意数量的元素.与数组相比,list的长度可以动态调整,可以随时添加或删除元素,类似于切片 在go中,List是一个双向链表的实现. 实例 packag ...

  2. grep 文本搜索工具

    参考百度百科 1.简介 grep (缩写来自Globally search a Regular Expression and Print)是一种强大的文本搜索工具,它能使用特定模式匹配(包括正则表达式 ...

  3. 加密原理详解:对称式加密VS非对称式加密

    一.前言 在了解加密原理前,我们来看看这样一个故事. 小红和小明是情侣,一天,小红给小明发短信说:"亲爱的,我银行卡上没有钱了,你给我转1万块吧."有过上当受骗经历的人都知道这有可 ...

  4. Redis无法使用ip访问

    问题:    启动redis服务,可以使用127.0.0.1配置并使用访问redis,但是换成IP地址就无法访问 127.0.0.1 可以 [root]#  ./redis-cli -c -h 127 ...

  5. <vue 组件 2、组件参数传递>

    代码结构 一.     01-父组件向子组件传递数据 1. 效果 展示出来的数据都是父组件传给子组件的数据 2.代码 01-父组件向子组件传递数据.html <!DOCTYPE html> ...

  6. WIN32 动态 UAC 提权

    UAC(User Account Control) 是 Windows 平台的用户权限控制.它可以让程序使用管理员权限执行某些操作. 静态 UAC 提权 静态 UAC 提权让程序一直运行在管理员权限下 ...

  7. Vue第三篇 Vue组件

    01-组件的全局注册 <!DOCTYPE html> <html lang="en"> <head> <meta charset=&quo ...

  8. 笔记本也能飞:运行chat大模型

    背景 在过去的一年,ChatGPT的崛起彻底改变了我们与AI的交互方式.它不再是被动的信息提供者,而是成为了一个可以与我们自由交流.分享知识的伙伴.无论是生活中的琐事,还是工作中的难题,ChatGPT ...

  9. MySQL本地服务器与MySQL57网络服务器区别

    MySQL服务器与MySQL57服务器区别与不同处在哪里,他们各自的领域范围,能不能同时启动服务? 安装了MySQL-5.7.18.0版本数据库,版本中包含了MySQL Workbench可视化试图工 ...

  10. 浏览器兼容 : IE 5 到 IE 9

    <!--[if IE]> <link href="ie.css" rel="stylesheet"> <![endif]--> ...