#ifndef CXX_HIDEPROCESS_H # include "HideProcess.h" #endif #ifdef _WIN64 #define ActiveProcessLinksOffset_EPROCESS 0x188 #define ImageFileNameOffset_EPROCESS 0x2e0 #else #define ActiveProcessLinksOffset_EPROCESS 0x088 #define ImageFileNameOffset…

A Basic Windows DKOM Rootkit Pt 1 https://www.landhb.me/posts/v9eRa/a-basic-windows-dkom-rootkit-pt-1/ Project:https://github.com/landhb/HideProcess…

1.EPROCESS结构体 EPROCESS块来表示.EPROCESS块中不仅包含了进程相关了很多信息,还有很多指向其他相关结构数据结构的指针.例如每一个进程里面都至少有一个ETHREAD块表示的线程.进程的名字,和在用户空间的PEB(进程环境)块等等.EPROCESS中除了PEB成员块在是用户空间,其他都是在系统空间中的. 2.查看EPROCESS结构 kd> dt_eprocessntdll!_EPROCESS   +0×000 Pcb              : _KPROCESS  …

using System; using System.Collections.Generic; using System.Diagnostics; using System.Management; using System.Runtime.InteropServices; using System.Threading; //Bài viết đăng tại http://diendan.congdongcviet.com/showthread.php?t=34797 namespace Hid…

项目结构: 客户端: using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.ServiceModel; using System.Runtime.Serialization.Formatters.Binary; using System.IO; using System.Runtime.Serialization; using System.Collec…

---------------------------------------------------------------- 在上一篇文章中,我们已经看到 IopParseDevice() 如何对传入的 OPEN_PACKET 结构进行验证.假设 ObReferenceObjectByName() 的调用者没有分配并初始化第七个参数 ParseContext,而仅是简单地传入 "NULL" ,那么当调用链深入到 IopParseDevice() 内部时,就会因验证失败返回 C000…

大二时候的代码以及笔记,当时暂时记录在QQ上在,现在发出来分享一下. 为了写驱动装一大堆的软件插件啥的,还常常失败. 这里就顺带总结下SDK下载和WinDbg symbol路径设置正确WinDbg却总是无法找到symbol文件的问题.(当然我的失败解决或者说问题原因的解决不是屡试不爽的,这里仅供您参考和我个人总结.) 1.SDK安装失败的问题        SDK装的有八九次,总是失败,第二天才成功,我是通过Visual Studio联网来下载WIN10的SDK模块自动安装的的,也有同学是通过微…

最近在学习内核编程,记录一下最近的学习笔记. 原理:将当前进程从eprocess结构的链表中删除 无法被! process 0 0 看见 #include "HideProcess.h" #ifdef WIN64 #define ACTIVEPROCESSLINKS_EPROCESS 0x188 #define IMAGEFILENAME_EPROCESS 0x2e0 //16个字节组成的单字数组 #else #define ACTIVEPROCESSLINKS_EPROCESS 0x…

DKOM隐藏和保护进程 主要就是操作链表,以及修改节点内容. DKOM 隐藏进程和保护进程的本质是操作 EPROCESS 结构体,不同的系统用的时候注意查下相关定义,确定下偏移,下面的数据是以win7 64为例. 关 注 两 个 成 员 : ActiveProcessLinks 和 Flag . ActiveProcessLinks 把各个EPROCESS 结构体连接成"双向链表",ZwQuerySystemInformation枚举进程时就是枚举这条链表,如果将某个 EPROCESS…