内核隐藏进程

最新推荐文章于 2025-03-13 10:44:02 发布
最新推荐文章于 2025-03-13 10:44:02 发布
阅读量2.5k 收藏 7
点赞数 1
分类专栏: 驱动编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq125096885/article/details/53189657
版权 

#include <ntifs.h>
#include <ntddk.h>
#include <Ntstrsafe.h>

NTKERNELAPI UCHAR *PsGetProcessImageFileName(PEPROCESS Process);


#ifndef MAX_PATH
#define MAX_PATH          260
#endif


DWORD                   g_OsVersion;                                            //系统版本  
																				//操作系统版本  
#define WINXP                   51  
#define WIN7                    61  
#define WIN8                    62  
#define WIN81                   63  
#define WIN10                   100  

																				//获取系统版本  
BOOLEAN GetOsVer(void);


ULONG_PTR EprocessActiveProcessLinks;

//获取ActiveProcessLinks
ULONG_PTR GetEprocessActiveProcessLinks();

//隐藏进程
NTSTATUS HideProcess(ULONG Processid);

//获取进程Processid
ULONG GetProcessProcessid(char* pProcessName);

VOID DriverUnload(IN PDRIVER_OBJECT DriverObject)
{

	return;
}


NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath)
{
	NTSTATUS status;
	DriverObject->DriverUnload = DriverUnload;

	DbgBreakPoint();
	HideProcess(GetProcessProcessid("explorer.exe"));
	return STATUS_SUCCESS;
}

//隐藏进程
NTSTATUS HideProcess(ULONG Processid)
{
	//定义变量
	KIRQL Kirql;
	PLIST_ENTRY plistprocsTarge = NULL;
	PLIST_ENTRY plistprocsSource = NULL;
	NTSTATUS status;
	PEPROCESS Process = NULL;

	//参数效验
	if (Processid <= 4)return STATUS_UNSUCCESSFUL;

	//获取系统
	if (GetOsVer() == FALSE)return STATUS_UNSUCCESSFUL;

	//获取ActiveProcessLinks
	if (EprocessActiveProcessLinks == NULL)
	{
		EprocessActiveProcessLinks = GetEprocessActiveProcessLinks();
		if (EprocessActiveProcessLinks == NULL)return STATUS_UNSUCCESSFUL;
	}

	//获取PEPROCESS
	status = PsLookupProcessByProcessId(Processid, &Process);
	if (NT_SUCCESS(status))
	{
		plistprocsSource = (PLIST_ENTRY)((ULONG_PTR)Process + EprocessActiveProcessLinks);
		Kirql = KeRaiseIrqlToDpcLevel();
		//*((PULONG_PTR)plistprocsSource->Blink) = (ULONG_PTR)plistprocsSource->Flink;
		//*((PULONG_PTR)plistprocsSource->Flink + 1) = (ULONG_PTR)plistprocsSource->Blink;
		RemoveEntryList(plistprocsSource);
		InitializeListHead(plistprocsSource);
		KeLowerIrql(Kirql);
		ObfDereferenceObject(Process);
	}
	return status;
}


//获取ActiveProcessLinks
ULONG_PTR GetEprocessActiveProcessLinks()
{
	//_EPROCESS 

#ifdef _WIN64
	EprocessActiveProcessLinks = 0x00;
#else
	switch (g_OsVersion)
	{
	case WINXP:
		EprocessActiveProcessLinks = 0x088;
		break;
	case WIN7:
	case WIN8:
	case WIN81:
	case WIN10:
		EprocessActiveProcessLinks = 0x0b8;
		break;
	default:
		break;
	}
#endif

	return EprocessActiveProcessLinks;
}


//获取进程Processid
ULONG GetProcessProcessid(char* pProcessName)
{
	//参数效验
	if (MmIsAddressValid(pProcessName) == FALSE)return NULL;


	//定义变量
	PEPROCESS pEprocess = NULL;
	NTSTATUS ntstatus = STATUS_SUCCESS;
	UCHAR *szProcessName = NULL;
	ULONG	Processid = 0;

	for (int i = 4; i < 10000; i = i + 4) //一般来说没有超过100000的PID和TID
	{
		//进程ID和返回一个引用指针的过程EPROCESS结构
		ntstatus = PsLookupProcessByProcessId((HANDLE)i, &pEprocess);
		if (NT_SUCCESS(ntstatus))//STATUS_INVALID_CID
		{
			if (pEprocess != NULL)
			{
				//比较进程名
				szProcessName = PsGetProcessImageFileName(pEprocess);
				if (szProcessName)
				{
					if (_stricmp((char*)szProcessName, pProcessName) == 0)
					{
						ObfDereferenceObject(pEprocess);
						return (HANDLE)i;
						
					}
				}
			}
			ObfDereferenceObject(pEprocess);
		}
	}

	return NULL;

}

//获取系统版本  
BOOLEAN GetOsVer(void)
{

	ULONG    dwMajorVersion = 0;
	ULONG    dwMinorVersion = 0;
	PsGetVersion(&dwMajorVersion, &dwMinorVersion, NULL, NULL);
	if (dwMajorVersion == 5 && dwMinorVersion == 1)
		g_OsVersion = WINXP;
	else if (dwMajorVersion == 6 && dwMinorVersion == 1)
		g_OsVersion = WIN7;
	else if (dwMajorVersion == 6 && dwMinorVersion == 2)
		g_OsVersion = WIN8;
	else if (dwMajorVersion == 6 && dwMinorVersion == 3)
		g_OsVersion = WIN81;
	else if (dwMajorVersion == 10 && dwMinorVersion == 0)
		g_OsVersion = WIN10;
	else
	{
		g_OsVersion = 0;
		KdPrint(("未知版本"));
		return FALSE;
	}

	return TRUE;
}

内核下断链隐藏进程(兼容多版本Windows系统,非硬编码)
Think88666的博客
09-01 1608
内核下断链隐藏进程(兼容多版本Windows系统,非硬编码)
在windows内核模式下隐藏进程
sky的专栏
12-19 4710
进程隐藏内核实现 1、在内核模式下,系统为每个进程维护了一个EPROCESS结构体,系统所有的进程是通过EPROCESS结构体中的一个ActiveProcessLinks指向的双端链表连接起来的,通过winDBG内核调试工具就可以发现并获取其相对于EPROCESS结构体的地址(0x88),这样我们可以通过遍历该循环链表找到我们的目的进程将其链表的节点删除即可隐藏进程。(EPROCESS中进程
用Visual studio2012在Windows8上开发内核隐藏进程
weixin_30788239的博客
08-20 188
在Windows NT中,80386保护模式的“保护”比Windows 95中更坚固,这个“镀金的笼子”更加结实,更加难以打破。在Windows 95中,至少应用程序I/O操作是不受限制的,而在Windows NT中,我们的应用程序连这点权限都被剥夺了。在NT中几乎不太可能进入真正的ring0层。在Windows NT中,存在三种Device Driver: 1.“Virtual devi...
进程隐藏与保护技术深入解析
最新发布
weixin_42181686的博客
03-13 968
系统服务描述表(System Service Dispatch Table,SSDT)是Windows操作系统内核中的一个重要组件,它记录了所有系统服务函数的入口地址。操作系统通过SSDT提供对底层硬件资源的抽象,允许应用程序通过系统调用与操作系统交互。SSDT的作用类似于电话簿,允许用户通过电话号码找到对应的联系人。在安全领域,SSDT允许安全软件对系统调用进行监控与过滤,从而实现恶意软件检测、系统监控、权限管理等功能。
隐藏进程内核
qq_31507523的博客
04-09 2987
隐藏进程内核版实现 隐藏进程通常出现在恶意程序中,隐藏进程能让任务管理器、procexp等3环的程序无法找到它,那么如何实现隐藏进程呢? 由于对这方面还是很感兴趣,今天就来研究一下内核层的隐藏进程,首先在用户层3环,如任务管理器、procexp遍历进程都是使用CreateToolhelp32Snapshot()API创建快照遍历查找的,使用快照的API在内核中就是通过访问一个双向链表的数据结构...
编程技术_Windows 内核进程隐藏侦测技术-综合文档
05-19
在Windows操作系统中,内核进程隐藏侦测技术是一种高级的计算机安全技术,它涉及到操作系统的核心层,主要用于检测和防止恶意软件通过隐藏进程来规避安全软件的检测。本技术主要针对那些试图通过修改系统内核行为...
HideProcess完结篇.zip_c++ 进程隐藏_c++隐藏进程_隐藏进程_隐藏驱动_驱动隐藏进程
07-15
2. **注册表操作**:修改注册表键值以隐藏进程在任务管理器中的显示,例如更改`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options`下的设置。 3. **系统API调用**:...
易语言隐藏进程模块源码(1).rar
08-03
在这个“易语言隐藏进程模块源码(1).rar”压缩包中,包含的是利用易语言编写的程序,用于实现进程隐藏功能。这一技术在系统管理、安全防护以及恶意软件中都有所应用。 首先,我们要理解什么是进程隐藏。在操作...
驱动级的隐藏进程代码,在驱动层通过替换ssdt地址表中的函数来隐藏进程...
06-26
在IT安全领域,驱动级的隐藏进程技术是一种高级的系统隐藏策略,主要应用于恶意软件或黑客工具中,目的是避开安全软件的检测。本篇将详细解释这种技术,并着重讨论如何在驱动层通过替换System Service Dispatch ...
说说windows内核中为什么要隐藏进程
weixin_33948416的博客
01-08 677
 好久没有写博客了,最近抽时间把这些杂碎零散的知识梳理下来,分享给更多朋友去找乐子,在草稿箱里面仍了好几天忘发了。接下来谈谈本篇主题,隐藏两字。一、隐藏意味着什么?  不想被人发现呗,人性如此,亦是如此。二、为什么要隐藏?  其实个人觉着这是根本,好好写个程序你为什么要隐藏自己的进程、线程?为啥?无非你不想让别人知道,或者不该让别人知道。windwos下有很多未公开的东西,这是隐藏。面对对象...
进程隐藏工具--内核驱动实现
12-21
可以实现进程的遍历和隐藏,自己写的,希望大家批评指正,谢谢!
内核驱动中检测隐藏进程
04-20
内核驱动中检测隐藏进程
隐藏windows进程
04-21
隐藏进程 隐藏进程 隐藏进程 隐藏进程 隐藏进程 隐藏进程 隐藏进程
简易窗口隐藏工具 隐藏WINDOW窗口
11-08
简易窗口隐藏工具 隐藏WINDOW窗口,只在WINDOWS系统中使用过。
隐藏进程工具非常好用
06-21
十分好用的隐藏进程工具,win7 64位 完美运行!十分好用的隐藏进程工具,win7 64位 完美运行!十分好用的隐藏进程工具,win7 64位 完美运行!
内核层 inlinehook 隐藏进程
ShadowAssassin的专栏
12-17 3938
上次是SSDT  HOOK 方式 隐藏 进程 ,如链接:http://blog.youkuaiyun.com/hjxyshell/article/details/16993119 这次是InlineHook 方式隐藏进程,这里inline hook的原理就不做详细介绍了,网上相关资源较多,撸主主要参考看雪的某大牛的“详谈内核三步走Inline Hook实现”(http://bbs.pediy.com/s
操作系统内核模式下的进程隐藏技术
weixin_28771751的博客
12-12 859
本文还有配套的精品资源,点击获取 简介:标题“Hide Process”讨论了在操作系统内核级别实现进程隐藏的技术,特别是涉及Windows驱动程序开发。进程隐藏的目的是使特定的进程在任务管理器或其他工具中不可见,这在安全和隐私保护方面有其合法用途,但也可能被用于恶意目的。技术实现涉及修改系统注册表、利用系统API、内核模式驱动编程、权限控制、代码注入等方法。本技术要点旨在...
Windows内核学习之Demo1隐藏进程
08-20 399
另:被一些事情搞得心情特别糟糕,目前做大模型研发,看文档看的一脸懵逼,却还想学习Windows内核,想学的太多,会的太少,另外想做的事情也特别多,到这个年纪可能就是这样吧。VisualStudio打包有debug和release两种模式,第一种模式,需要安装visual studio,在没有环境的系统上可能会报错。天下的父母都是这样,当自己的孩子有点成就的时候,就特别愿意在别人面前讲。这个年纪,必须完成一些事情了,父母等不了你了。读写进程内存不太想写,以后再补吧。效果:任务管理器里看不到计算器了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值