最近在学习内核编程,记录一下最近的学习笔记。

原理:将当前进程从eprocess结构的链表中删除

无法被! process 0 0 看见

#include "HideProcess.h"

#ifdef WIN64

#define ACTIVEPROCESSLINKS_EPROCESS  0x188

#define IMAGEFILENAME_EPROCESS       0x2e0    //16个字节组成的单字数组

#else

#define ACTIVEPROCESSLINKS_EPROCESS  0x088

#define IMAGEFILENAME_EPROCESS       0x174    //16个字节组成的单字数组

#endif

NTSTATUS

    DriverEntry(PDRIVER_OBJECT  DriverObject,PUNICODE_STRING  RegisterPath)

{

    PDEVICE_OBJECT  DeviceObject;

    NTSTATUS        Status;

    int             i = ;

    UNICODE_STRING  DeviceName;

    UNICODE_STRING  LinkName;

    RtlInitUnicodeString(&DeviceName,DEVICE_NAME);

    RtlInitUnicodeString(&LinkName,LINK_NAME);

    //创建设备对象;

    Status = IoCreateDevice(DriverObject,,

    &DeviceName,FILE_DEVICE_UNKNOWN,,FALSE,&DeviceObject);

    if (!NT_SUCCESS(Status))

    {

        return Status;

    }

    Status = IoCreateSymbolicLink(&LinkName,&DeviceName);

    for (i = ; i<IRP_MJ_MAXIMUM_FUNCTION; i++)

    {

        DriverObject->MajorFunction[i] = DefaultPassThrough;

    }

    DriverObject->DriverUnload = UnloadDriver;

    if (HideProcess("notepad.exe") == FALSE)

    {

        DbgPrint("No Exist\r\n");

    }

#ifdef WIN64

    DbgPrint("WIN64: HideProcess IS RUNNING!!!");

#else

    DbgPrint("WIN32: HideProcess SIS RUNNING!!!");

#endif

    return STATUS_SUCCESS;

}

NTSTATUS

    DefaultPassThrough(PDEVICE_OBJECT  DeviceObject,PIRP Irp)

{

    Irp->IoStatus.Status = STATUS_SUCCESS;

    Irp->IoStatus.Information = ;

    IoCompleteRequest(Irp,IO_NO_INCREMENT);

    return STATUS_SUCCESS;

}

VOID

    UnloadDriver(PDRIVER_OBJECT DriverObject)

{

    UNICODE_STRING  LinkName;

    PDEVICE_OBJECT    NextDeviceObject    = NULL;

    PDEVICE_OBJECT  CurrentDeviceObject = NULL;

    RtlInitUnicodeString(&LinkName,LINK_NAME);

    IoDeleteSymbolicLink(&LinkName);

    CurrentDeviceObject = DriverObject->DeviceObject;

    while (CurrentDeviceObject != NULL)

    {

        NextDeviceObject = CurrentDeviceObject->NextDevice;

        IoDeleteDevice(CurrentDeviceObject);

        CurrentDeviceObject = NextDeviceObject;

    }

    DbgPrint("HideProcess IS STOPPED!!!");

}

BOOLEAN HideProcess(char* ProcessImageName)

{

    //通过进程EProcess (ObjectHeader ObjectBody)

    /*

    kd> !process 0 0

    PROCESS fffffa8031ec9060

    SessionId: 1  Cid: 073c    Peb: 7fffffdf000  ParentCid: 06f8

    DirBase: 7fb21000  ObjectTable: fffff8a001ea3600  HandleCount: 545.

    Image: explorer.exe

    kd> dt _eprocess fffffa8031ec9060

    +0x000 Pcb              : _KPROCESS

    +0x160 ProcessLock      : _EX_PUSH_LOCK

    +0x168 CreateTime       : _LARGE_INTEGER 0x01d29b23`d17ef664

    +0x170 ExitTime         : _LARGE_INTEGER 0x0

    +0x178 RundownProtect   : _EX_RUNDOWN_REF

    +0x180 UniqueProcessId  : 0x00000000`0000073c Void

    +0x188 ActiveProcessLinks : _LIST_ENTRY [ 0xfffffa80`31aeb1e8 - 0xfffffa80`3265da98 ]

    +0x198 ProcessQuotaUsage : [2] 0x3dc8

    kd> dt _LIST_ENTRY

    nt!_LIST_ENTRY

    +0x000 Flink            : Ptr64 _LIST_ENTRY    Next ListEntry

    +0x008 Blink            : Ptr64 _LIST_ENTRY    Previous

    kd> dt _eprocess 0xfffffa80`31aeb1e8-0x188

    nt!_EPROCESS

    +0x000 Pcb              : _KPROCESS

    +0x188 ActiveProcessLinks : _LIST_ENTRY [ 0xfffffa80`31ec84d8 - 0xfffffa80`31ec91e8 ]

    +0x2e0 ImageFileName    : [15]  "vmtoolsd.exe"

    [空头][System][][][][Explorer][vmtoolsd]

    */

    PLIST_ENTRY  ListEntry = NULL;

    PEPROCESS  EProcess = NULL;

    PEPROCESS  v1 = NULL;

    PEPROCESS  EmptyEProcess = NULL;

    char*      ImageFileName = NULL;

    EProcess = PsGetCurrentProcess();

    if (EProcess == NULL)

    {

        return FALSE;

    }

    ImageFileName = (char*)((UINT8*)v1 + IMAGEFILENAME_EPROCESS);

    DbgPrint("CurrentImageFileName:%s\r\n", ImageFileName);

    v1 = EProcess;   //System.exe  EProcess

    //System.exe  的前一个 实际上是一个空头节点

    ListEntry = (PLIST_ENTRY)((UINT8*)EProcess + ACTIVEPROCESSLINKS_EPROCESS);  //0x188

    EmptyEProcess = (PEPROCESS)(((ULONG_PTR)(ListEntry->Blink)) - ACTIVEPROCESSLINKS_EPROCESS);

    ListEntry = NULL;

    while (v1 != EmptyEProcess)  //System!=空头节点

    {

        ImageFileName = (char*)((UINT8*)v1 + IMAGEFILENAME_EPROCESS);   //System.exe   Calc.exe

        //DbgPrint("ImageFileName:%s\r\n",szImageFileName);

        ListEntry = (PLIST_ENTRY)((ULONG_PTR)v1 + ACTIVEPROCESSLINKS_EPROCESS);

        if (strstr(ImageFileName, ProcessImageName) != NULL)

        {

            if (ListEntry != NULL)

            {

                RemoveEntryList(ListEntry);

                break;

            }

        }

        v1 = (PEPROCESS)(((ULONG_PTR)(ListEntry->Flink)) - ACTIVEPROCESSLINKS_EPROCESS);  //Calc

    }

    return TRUE;

}

ring0 进程隐藏实现的更多相关文章

  1. SSDT Hook实现简单的进程隐藏和保护【转载】

    原文链接:http://www.blogfshare.com/ssdthook-hide-protect.html 原文作者:AloneMonkey SSDT Hook实现简单的进程隐藏和保护 Alo ...

  2. 进程隐藏与进程保护(SSDT Hook 实现)(二)

    文章目录:                   1. 引子 – Demo 实现效果: 2. 进程隐藏与进程保护概念: 3. SSDT Hook 框架搭建: 4. Ring0 实现进程隐藏: 5. Ri ...

  3. Windows2003 内核级进程隐藏、侦测技术

    论文关键字: 内核 拦截 活动进程链表 系统服务派遣表 线程调度链 驱动程序简介    论文摘要:信息对抗是目前计算机发展的一个重要的方向,为了更好的防御,必须去深入的了解敌人进攻的招式.信息对抗促使 ...

  4. Linux下进程隐藏的方法及其对抗

    零.背景 在应急响应中,经常碰到ps命令和top命令查不到恶意进程(异常进程)的情况,会对应急响应造成很大的影响.轻则浪费时间,重则排查不出问题,让黑客逍遥法外.所以这篇博客研究学习如何对抗linux ...

  5. CRUX下实现进程隐藏(1)

    想必能找到这里的都是被吴一民的操作系统大作业坑过的学弟学妹了,当初我也是千辛万苦才把这个作业完成了,本着服务后辈的宗旨,尽量让学弟学妹少走弯路,我会把实现的大概思路记录下来.本系列一共三篇文章,分别实 ...

  6. CRUX下实现进程隐藏(2)

    前面我们介绍了如何修改/proc目录读取函数的方法实现进程隐藏.这篇博文将介绍另一种方法—— 劫持系统调用实现进程隐藏. 其基本原理是:加载一个内核模块(LKM),通过劫持系统调用sys_getden ...

  7. CRUX下实现进程隐藏(3)

    通过一个内核模块拦截文件系统的回调函数来实现进程隐藏. VFS(Virtual File System)是Linux在实际文件系统(如ext3,ext4,vfat等)上抽象出的一个文件系统模型,简单来 ...

  8. 进程隐藏与进程保护(SSDT Hook 实现)(三)

    文章目录: 1. 引子: 2. 获取当前系统下所有进程: 3. 服务管理(安装,启动,停止,卸载): 4. 应用程序和内核程序通信: 5. 小结: 1. 引子: 关于这个 SSDT Hook 实现进程 ...

  9. linux进程隐藏手段及对抗方法

    1.命令替换 实现方法 替换系统中常见的进程查看工具(比如ps.top.lsof)的二进制程序 对抗方法 使用stat命令查看文件状态并且使用md5sum命令查看文件hash,从干净的系统上拷贝这些工 ...

随机推荐

  1. P3800 Power收集

    传送门 DP每次向下一格,显然是DP方程也十分显然:设$f[i][j]$为到第$i$行第$j$列时能得到的最大价值显然$f[i][j]=max(f[i-1][k]+v[i][j]),( max(0,j ...

  2. Java 字节流和字符流

    程序中都是以流的形式进行数据的传输和保存,在java.io包中数据流操作的两大类是字节流和字符流. 1. 字节流 InputStream和OutputStream是所有表示字节流的类的父类,它们都是抽 ...

  3. 技巧:开启ubuntu系统桌面上的右键进入terminal命令行控制台功能

    $ sudo apt-get install nautilus-open-terminal 执行上述命令,重启. 重启命令: $ sudo reboot 注意:需要联网

  4. Vue 中怎么发起请求(一)

    1.vue 支持开发者引入 jquery 使用 $.ajax() 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 1.首先,在 package.json 中添加 j ...

  5. canvas基础入门(二)绘制线条、三角形、七巧板

    复杂的内容都是有简单的线条结合而成的,想要绘制出复杂好看的内容先从画直线开始 canvas绘制直线先认识几个函数 beginPath():开始一条路径,或重置当前的路径 moveTo(x,y):用于规 ...

  6. JavaWeb xss攻击

    出处: http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html XSS 全称(Cross Site Scripting) 跨站脚 ...

  7. java编程--02日期格式化

    第一篇,介绍日期的比较 第二篇,介绍日期的格式化 第三篇,介绍关于日期常用的计算 第四篇,比较几个常用的日期时间相关类的区别 第五篇,jdk9对日期类进行了更新,写一些i自己的学习心得. 日期的格式化 ...

  8. C++学习之构造函数和析构函数及指针

    C++的构造函数在创建对象时调用,分配内存空间,多少个对象(对象数组)就调用几次构造函数:析构函数在调用结束时调用(可以添加一些最后的处理)以释放内存给其它来用.对于同类型同生命期的对象,先创建的对象 ...

  9. maya怎样卸载干净

    AUTODESK系列软件着实令人头疼,安装失败之后不能完全卸载!!!(比如maya,cad,3dsmax等).有时手动删除注册表重装之后还是会出现各种问题,每个版本的C++Runtime和.NET f ...

  10. DRF之权限认证频率组建

    认证组件 很久很久以前,Web站点只是作为浏览服务器资源(数据)和其他资源的工具,甚少有什么用户交互之类的烦人的事情需要处理,所以,Web站点的开发这根本不关心什么人在什么时候访问了什么资源,不需要记 ...