Win64 驱动内核编程-7.内核里操作进程

最新推荐文章于 2025-03-26 17:02:14 发布
原创 最新推荐文章于 2025-03-26 17:02:14 发布 · 4.8k 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#内核里操作进程 #驱动 #WIN64驱动

本文介绍了在Windows内核中操作进程、线程和DLL模块的方法,包括枚举进程、暂停/恢复/结束进程和线程,以及枚举/卸载DLL模块。重点讨论了枚举PspCidTable的策略,如何利用PsLookupProcessByProcessId函数进行稳定且高效的枚举,并提到了进程隐藏技术的检测。

在内核里操作进程

    在内核里操作进程,相信是很多对 WINDOWS 内核编程感兴趣的朋友第一个学习的知识点。但在这里,我要让大家失望了,在内核里操作进程没什么特别的,就标准方法而言,还是调用那几个和进程相关的 NATIVE API 而已(当然了,本文所说的进程操作,还包括对线程和 DLL 模块的操作)。本文包括 10 个部分:分别是:枚举进程、暂停进程、恢复进程、结束进程、枚举线程、暂停线程、恢复线程、结束线程、枚举 DLL 模块、卸载 DLL 模块。

    1.枚举进程。进程就是活动起来的程序。每一个进程在内核里,都有一个名为 EPROCESS 的巨大结构体记录它的详细信息,包括它的名字,编号(PID),出生地点(进程路径),老爹是谁(PPID 或父进程 ID)等。在 RING3 枚举进程,通常只要列出所有进程的编号即可。不过在 RING0 里,我们还要把它的身份证(EPROCESS)地址给列举出来。顺带说一句, 现实中男人最怕的事情 就是“ 喜当爹” , 这种事情在内核里更加容易发生。因为 EPROCESS  里 有 且只有 一个 成员 是记录父进程 ID  的,稍微改一下,就可以认任意进程为爹了。枚举进程的方法很多,标准方法是使用 ZwQuerySystemInformation 的 SystemProcessInformation 功能号,不过如果在内核里也这么用的话,那就真是脱了裤子放屁——多此一举。因为在内核里使用这个函数照样是得不到进程的 EPROCESS 地址,而且一旦内存出错,还会蓝屏,更加逃不过任何隐藏进程的手法

最低0.47元/天 解锁文章

200万优质内容无限畅学
Windows内核下获取进程全路径的方法
Think88666的博客
08-25 1254
Windows内核下获取进程全路径的方法
[内核编程]线程操作
輚至消亡
07-13 1781
1. 线程枚举 来介绍几个要用到的内核API: PsLookupThreadByThreadId(): NTSTATUS PsLookupThreadByThreadId( IN HANDLE ThreadId, OUT PETHREAD *Thread ); 通过TID获取对应的ETHREAD结构指针。 IoThreadToProcess(): PEPROCESS IoThreadToProcess( IN PETHREAD Thread
漫谈兼容内核之十九:Windows线程间的强相互作用
周寅的专栏
03-13 2080
     在现代的计算机系统中,一项作业(Job)往往需要多个进程或线程的协作,而操作系统则要为进程或线程间的协作提供基础设施和机制上的支持。操作系统、特别是内核,提供什么样的设施和手段,系统中的进程之间和线程之间就会有什么样的相互作用。如果把一个系统比作一个社会,那么系统中的进程和线程就好像是社会中的成员。成员的行为和成员之间的关系有其“社会性”的一面、即互相影响的一面。例如一个线程的调度优先级
有痕注入的分析和实现
被遗弃的庸才博客
02-21 5060
背景 之前分析过某老哥的超级注入,最近突然来了兴致,简单的把它实现一下。 开整 首先说一下思路 1、找到目标进程,并且暂停它的第一个线程; 2、在目标进程中申请一个页大小的内存,放入shellcode,x86和x64分别做对应的处理(这使用的是LdrLoadDll(加载之后痕迹比较明显),不满意可以自己映射,修复IAT); 3、替换返回到r3的eip/rip为shellcode的起始地址,恢复线程等待线程执行; 4、创建工作线程释放内存资源; 看着也挺简单的,这有几个坑需要注意一下。
运行期修改可执行文件的路径和Command Line
NetRoc的专栏
12-28 1189
运行期修改可执行文件的路径和Command Line  NetRochttp://www.DbgTech.net/目前的很多主动防御工具和反XX系统,在对特定进程进行保护的时候,出于兼容性的考虑,都会保留一些白名单。特别是一些系统进程,例如csrss.exe、svchost.exe等等。而针对这些系统进程,判断是否在白名单中的方式,为了简便起见经常采用取系统路径、可执
Win64 驱动内核编程-26.强制结束进程
墨鱼菜鸡
12-18 310
强制结束进程 依然已经走到驱动这一层了,那么通常结束掉一个进程不是什么难的事情。同时因为win64位的各种保护,导致大家慢慢的已经不敢HOOK了,当然这指的是产品。作为学习和破解的话当然可以尝试各种hook。目前来说很多杀软进程保护都是通过回调了保护的,简单,稳定,安全。So,强制结束进程会比当...
Win64 驱动内核编程-21.DKOM隐藏和保护进程
墨鱼菜鸡
12-18 261
DKOM隐藏和保护进程 主要就是操作链表,以及修改节点内容。 DKOM隐藏进程和保护进程的本质是操作EPROCESS结构体,不同的系统用的时候注意查下相关定义,确定下偏移,下面的数据是以win764为例。 关注两个成员:ActiveProcessLinks和Flag。 Acti...
Win64 驱动内核编程-16.WFP网络监控驱动(防火墙)
墨鱼菜鸡
12-18 799
WFP驱动监控网络 WFP是微软推出来替代TDIHOOK、NDISHOOK等拦截网络通信的方案,WFP的框架非常庞大,在RING3和RING0各有一套类似的函数,令人兴奋的是,即使在R3使用WFP,也可以做到全局拦截访问网络。由于WFP的范围太广,实在难以一言概括,感...
浅谈一下驱动开发中的硬编码
cqyczj的专栏
04-18 2359
链 接: http://bbs.pediy.com/showthread.php?t=142463 驱动开发中硬编码是比较烦人的,不仅让别人看起来不怎么专业,自己看着心也疙疙瘩瘩的不舒服 最常见的就是对于EPROCESS结构中ImageFileName的定位,不同系统下这个域的偏移是不同的, 常见做法就是得到EPROCESS之后根据系统的不同来加上不同的偏移, 或者也有在PsIn
window内核监控工具源代码
09-26
一:SSDT表的hook检测和恢复 ~!~~~ 二:IDT表的hook检测和恢复 ~~~~~~(idt多处理器的恢复没处理,自己机器是单核的,没得搞,不过多核的列举可以) 三:系统加载驱动模块的检测 通过使用一个全局hash表(以DRIVEROBJECT为对象)来使用以下的方法来存储得到的结果,最终显示出来 1.常规的ZwQuerySystemInformation来列举 2通过打开驱动对象目录来列举 3搜索内核空间匹配驱动的特征来列举(这个功能面我自己的主机一运行就死机,别的机器都没事,手动设置热键来蓝屏都不行,没dump没法分析,哎,郁闷) 4从本驱动的Modulelist开始遍历来列举驱动 四:进程的列举和进程所加载的dll检测 采用以下方法来列举进程: 1ZwQuerySystemInformation参数SystemProcessesAndThreadsInformation来枚举 2进程EPROCESS 结构的Activelist遍历来枚举 3通过解析句柄表来枚举进程 4通过Handletablelisthead枚举进程 5进程创建时都会向csrss来注册,从这个进程面句柄表来枚举进程 6通过自身进程的HANDLETABLE来枚举进程 7通过EPROCESS的SessionProcessLinks来枚举进程 8通过EPROCESS ---VM---WorkingSetExpansionLinks获取进程 9暴力搜索内存MmSystemRangeStart以上查找PROCESS对象 进程操作进程的唤醒和暂停通过获取PsSuspendProcess和PsResumeProcess来操作进程结束通过进程空间清0和插入apc。 采用以下方法查找DLL: 1遍历VAD来查找dll 2挂靠到对应的进程查找InLoadOrderLinks来枚举dll 3暴力搜索对应进程空间查找pe特征来枚举dll DLL的操作: Dll的卸载是通过MmUnmapViewOfSection和MmmapViewOfSection(从sdt表中相应函数搜索到的)来实现的(本来想直接清0 dll空间,有时行有时不行)(只要将这个进程的ntdll卸载了,进程就结束了,一个好的杀进程的办法撒,绿色环保无污染),注入dll使用的是插入apc实现的。(注入的dll必须是realse版的。Debug版会出现***错误,全局dll注入貌似也是)插入apc效果不是很好,要有线程有告警状态才执行。 五:线程信息的检测 遍历ThreadList来枚举线程 线程的暂停和唤醒都是通过反汇编获取PsResumeThread和PsSuspendThread直接从r3传来ETHREAD来操作的,通过插入APC来结束线程 六:shadow sdt表的hook检测与恢复 没有采用pdb来解决函数名问题,直接写入xp和03的shandow表函数名(主要是自己的网不稳定,连windbg有时都连不上微软) 七:系统所有的过滤驱动的检测 查看各device下是否挂接有驱动之类的,可直接卸载 八:系统常用回调历程的检测和清除 只检查了PsSetLoadImageNotifyRoutine PsSetCreateThreadNotifyRoutine PsSetCreateProcessNotifyRoutine CmRegisterCallback这几个,至于那个什么shutdown回调不知道是啥玩意,就没搞了,有知道的顺便告诉我下撒,谢谢 九:文件系统fat和ntfs的分发函数检测 直接反汇编fat和ntfs的DriverEntry得到对应的填充分发的偏移,然后和当前已经运行的文件系统的分发相比是否被hook,并附带恢复 十:文件查看功能 自己解析ntfs和fat的结构,来实现列举文件和直接写磁盘删除。附带有普通的删除和发生IRP来删除。不过这面有点问题,ntfs删除有时把目录给搞坏了,大家凑合着吧, Ntfs网上删除这些操作的代码不多,就是sudami大大的利用ntfs-3g来实现的,看了下,太多了,充满了结构。然后自己对照着系统删除文件时目录的变化来自己实现的。只处理了$BITMAP对应的位清除,父目录的对应文件的索引项的覆盖,删除文件对应的filerecord清0. 另外偷懒时间都没处理,呵呵,y的,一个破时间都都搞好几个字节移来移去的。 十一:常用内核模块钩子的检测和恢复 这只检测了主要的内核模块nkrnlpa**.exe的.win32k.sys,hal.dll,比对它们的原始文件从而查找eat inline hook,iat hook ,和inline hook。Inline是从TEXT段开始一段位置开始比较的。(有点慢貌似,等待显示扫描完成就好了) 十二:应用层进程所加载dll的钩子 应用层钩子检测和内核模块钩子检测原理一样,不过为了能读写别的进程的空间,并没有使用openprocess去打开进程,而是通过KiattachProcess挂靠到当前进程,然后通过在r0直接读写进程空间的。
驱动开发:内核RIP劫持实现DLL注入
优快云
06-16 9109
本章将探索内核级DLL模块注入实现原理,DLL模块注入在应用层中通常会使用`CreateRemoteThread`直接开启远程线程执行即可,驱动级别的注入有多种实现原理,而其中最简单的一种实现方式则是通过劫持EIP的方式实现,其实现原理可总结为,挂起目标进程,停止目标进程EIP的变换,在目标进程开启空间,并把相关的指令机器码和数据拷贝到面去,然后直接修改目标进程EIP使其强行跳转到我们拷贝进去的相关机器码位置,执行相关代码后,然后再次跳转回来执行原始指令集。
过HS保护(OD,CE)
ccx_john的专栏
10-26 3396
//---------------------------------------. 只贴部分代码,大多都是小技巧没什么特别的地方。 //------------------xxxx.h #define PAGEDCODE code_seg("PAGED") #define LOCKEDCODE code_seg() #define INITCODE code_seg("INIT")
通过暴力搜索PID遍历进程并获取进程信息
LYSM
06-23 3443
背景 通常我们在内核中使用 ZwQuerySystemInformation 函数来遍历进程模块并获取进程信息,这种是通过正常的进程遍历方式,所以,有很多 Rootkit 程序会 HOOK 这个 ZwQuerySystemInformation 函数,过滤指定进程,从而实现进程的隐藏。 本文实现的进程遍历和获取进程信息并不打算使用 ZwQuerySystemInformation 这种方式,而是直接暴力搜索进程PID,根据有效的 PID 获取相应进程的信息,从而实现进程的遍历。现在,我就来讲解具体的实现
驱动开发:内核操作进线程与模块
优快云
10-21 6732
进程就是活动起来的程序,每一个进程内核,都有一个名为EPROCESS的结构记录它的详细信息,其中就包括进程名,PID,PPID进程路径等,通常在应用层枚举进程只列出所有进程的编号即可,不过在内核层需要把它的 EPROCESS 地址给列举出来。
Windows内核下遍历所有进程的几种方法
Think88666的博客
08-26 1431
Windows内核下遍历所有进程的几种方法;枚举进程;
遍历_EPROCESS->ActiveProcessLinks链表枚举进程
125096
06-18 1149
#include UCHAR * PsGetProcessImageFileName(__in PEPROCESS Process); HANDLE PsGetProcessInheritedFromUniqueProcessId(__in PEPROCESS Process); VOID HelloDDKUnload(IN PDRIVER_OBJECT pDriverObject) {
遍历_EPROCESS->SessionProcessLinks链表枚举进程
125096
06-19 784
#include #include UCHAR * PsGetProcessImageFileName(__in PEPROCESS Process); HANDLE PsGetProcessInheritedFromUniqueProcessId(__in PEPROCESS Process); VOID HelloDDKUnload(IN PDRIVER_OBJECT pDrive
Windows内核中根据PID查找兄弟进程和父进程
最新发布
zhangyihu321的专栏
03-26 591
Windows内核驱动开发中,根据进程ID(PID)查找相关进程(如兄弟进程和父进程)是一个常见需求。这涉及到对Windows内核进程管理机制的理解和使用。下面我将详细介绍实现这一功能的方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值