在windows内核模式下隐藏进程

最新推荐文章于 2025-06-09 15:45:00 发布
最新推荐文章于 2025-06-09 15:45:00 发布
阅读量4.7k 收藏 8
点赞数
CC 4.0 BY-SA版权
分类专栏: windows内核 c语言 文章标签: windows Windows WINDOWS WIndows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/A8572785/article/details/8332710
本文探讨了如何在Windows内核模式下实现进程隐藏。通过分析EPROCESS结构体,特别是其ActiveProcessLinks链表,可以找到并删除目标进程的链表节点,从而达到隐藏进程的目的。EPROCESS结构体中还包含了进程的PID(地址0x84)和进程名(地址0x174)。实现这一操作的关键在于内核调试和对系统数据结构的理解。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

进程隐藏之内核实现

1、在内核模式下,系统为每个进程维护了一个EPROCESS结构体,系统所有的进程是通过EPROCESS结构体中的一个ActiveProcessLinks指向的双端链表连接起来的,通过winDBG内核调试工具就可以发现并获取其相对于EPROCESS结构体的地址(0x88),这样我们可以通过遍历该循环链表找到我们的目的进程将其链表的节点删除即可隐藏该进程。(EPROCESS中进程PID相对地址为ox84,进程名字相对地址为

最低0.47元/天 解锁文章

200万优质内容无限畅学
内核下断链隐藏进程(兼容多版本Windows系统,非硬编码)
Think88666的博客
09-01 1668
内核下断链隐藏进程(兼容多版本Windows系统,非硬编码)
内核隐藏进程
weixin_42798090的博客
03-11 384
内核隐藏进程 写了个WIN7隐藏驱动程序,不多说什么,贴代码,主要包括驱动程序和应用程序。 开发环境:win7+VS2012+WDK8.0 其他操作系统不支持 详情请看附件,大牛勿喷…… / /驱动程序:`在这里插入代码片` //********************************* //fsjaky //blog:http://blog.youkuaiyun.com/fsjaky //*****...
隐藏进程之内核版
qq_31507523的博客
04-09 3058
隐藏进程之内核版实现 隐藏进程通常出现在恶意程序中,隐藏进程能让任务管理器、procexp等3环的程序无法找到它,那么如何实现隐藏进程呢? 由于对这方面还是很感兴趣,今天就来研究一下内核层的隐藏进程,首先在用户层3环,如任务管理器、procexp遍历进程都是使用CreateToolhelp32Snapshot()API创建快照遍历查找的,使用快照的API在内核中就是通过访问一个双向链表的数据结构...
【某宝自购】进程隐藏+驱动保护进程
最新发布
xiawuwu131的博客
06-09 206
【某宝自购】进程隐藏+驱动保护进程 驱动伪装进程,提供伪装进程的图标,进程名,进程文件路径达到隐藏的效果
Windows下的进程隐藏
weixin_30416497的博客
11-08 978
Windows下的进程隐藏 9X环境中Windows提供了想光的API函数用于隐藏系统进程。但是到了2000以上系统,已经无法真正的做到对于进程隐藏,除非编写底层驱动。但是我们可以通过一些变通的办法来达到隐藏进程的目的,其中一个就是远程注入。简单的说就是先编写一个API的DLL,然后将这个DLL库注入到一个系统进程中,作为它的一个线程去执行。...
用Visual studio2012在Windows8上开发内核中隐藏进程
weixin_30788239的博客
08-20 199
Windows NT中,80386保护模式的“保护”比Windows 95中更坚固,这个“镀金的笼子”更加结实,更加难以打破。在Windows 95中,至少应用程序I/O操作是不受限制的,而在Windows NT中,我们的应用程序连这点权限都被剥夺了。在NT中几乎不太可能进入真正的ring0层。在Windows NT中,存在三种Device Driver: 1.“Virtual devi...
编程技术_Windows 内核级进程隐藏侦测技术-综合文档
05-19
3. **内核级侦测**:内核级侦测是指在操作系统内核层面进行监控和分析,这使得它可以更早地捕获恶意活动,因为大部分恶意软件在用户模式下运行,而内核模式可以观察到它们的所有行为。 4. **内核调试技术**:为了...
Windows2003-内核级进程隐藏、侦测技术.docx
05-16
Windows 2003系统中,内核模式驱动程序的主入口点通常称为DriverEntry,这与用户模式下的程序入口点如main或WinMain相似。DriverEntry函数接收两个参数,分别是代表驱动程序对象的指针以及设备服务键的键名,并...
探索Windows内核进程隐藏侦测方法
进程隐藏技术通常利用内核模式下的某些机制,如修改系统对象(如进程对象)的属性,使标准的系统API调用不能发现被隐藏进程。例如,可以通过Hook技术拦截系统API调用,或者直接操作内核数据结构来实现进程隐藏。 ...
windows xp隐藏进程 源代码.rootkit技术
01-24
1. "ring3代码 XP下100%能隐藏进程.txt":这可能是描述如何在Windows XP的Ring3层(用户模式)编写代码来隐藏进程的文档。Ring3级别的Rootkit通常利用系统API的漏洞或技巧来欺骗系统,使得进程在任务管理器或其他...
隐藏windows进程
04-21
隐藏进程 隐藏进程 隐藏进程 隐藏进程 隐藏进程 隐藏进程 隐藏进程
windows进程隐藏工具
09-08
进程隐藏工具是简单小巧的软件,可以隐藏任务栏、进程,一键隐藏你想隐藏的程序。如果你上班、上课期间偷偷看电、玩游戏又害怕被发现,可以下载一款进程隐藏工具,一键就能隐藏你开着的进程
进程隐藏工具--内核驱动实现
12-21
可以实现进程的遍历和隐藏,自己写的,希望大家批评指正,谢谢!
windows如何隐藏进程 隐藏进程4种方法
05-15
隐藏进程4种方法
隐藏进程查看器
08-30
一个Windows隐藏进程查看工具,可以方便的查看被隐藏进程
可以隐藏任何进程
01-17
可以可很多防杀,可以隐藏任何进程 ,驱动级加载防杀,很实用
Windows】在任务管理器中隐藏进程
溡漪幽博客
10-02 3127
本篇利用 hook NtQuerySystemInformation 并进行断链的方法实现进程隐身,实测支持 taskmgr.exe 的任意多进程隐身。可以删除 dllmain 里面的hook 函数以及所有输出字符串。从外部进程通过注入远程线程的方式来实现动态调整隐身策略。本文发布于:2024.10.02。在此前的一篇,我们已经介绍过了。
内核层 inlinehook 隐藏进程
ShadowAssassin的专栏
12-17 3977
上次是SSDT  HOOK 方式 隐藏 进程 ,如链接:http://blog.youkuaiyun.com/hjxyshell/article/details/16993119 这次是InlineHook 方式隐藏进程,这里inline hook的原理就不做详细介绍了,网上相关资源较多,撸主主要参考看雪的某大牛的“详谈内核三步走Inline Hook实现”(http://bbs.pediy.com/s
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值