劫持ZwQuerySystemInformation进行进程隐藏

于 2020-10-14 11:39:33 发布
阅读量1k 收藏 2
点赞数
分类专栏: # 隐藏技术 文章标签: 安全 windows 黑客 hooks
作者:苞米地里捉小鸡 版权声明:本文为博主原创文章,转载请附上博文链接!
本文链接:https://blog.youkuaiyun.com/weixin_42709632/article/details/109068307
版权

背景

进程隐藏,顾名思义就是运行注入程序之后,可以在任务管理器中让可见的目标进程消失。

当然,进程隐藏的方法有很多,例如 DLL 劫持、DLL注入、代码注入、进程内存替换、HOOK API 等等。我们本文要介绍的就是 HOOK API 函数 ZwQuerySystemInformation 实现的隐藏指定进程。

主要思路是通过Hook API技术抓ZwQuerySystemInformation函数,对它获取的进程列表信息进行修改,把有我们要隐藏的进程信息从中去掉,那么 ZwQuerySystemInformation 就返回了我们修改后的信息,其它程序获取这个被修的信息后,自然获取不到我们隐藏的进程,这样,达到进程隐藏的目的。

基本原理

1.利用INLINE HOOK API技术

Inline HOOK API的核心原理是在获取目标进程中指定API函数的地址后,修改该API函数入口地址的前几个字节数据,写入一个跳转指令,使其跳转到自定义的新函数中执行。

注意:32位系统需要更改函数的前5字节数据;而64位系统需要更改前12字节数据

Inline HOOK的具体流程如下所示:

(1)先获取API函数的地址,通过GetModuleHandle和GetProcAddress函数获取API函数在进程中的地址。

这里我们主要要找ntdll.dll中的ZwQuerySystemInformation函数

(2)然后。根据版本的不同,修改相应的HOOK API函数的前几字节数据

(3)再然后,修改API函数的前几字节数据的页面保护属性,这是为了修改后内存能够执行

(4)最后,为了能够还原操作,要在修改数据前先对数据进行备份,然后再修改数据,并还原页面保护属性

2.ZwQuerySystemInformation HOOK函数

完成上述操作后,程序会跳转到我们自定义的“ZwQuerySystemInformation”函数,设定目标进程PID并且判断是否要隐藏进程PID

核心代码实现

      while (TRUE)
        {
            // 判断是否是要隐藏的进程PID
            if (dwHideProcessId == (DWORD)pCur->UniqueProcessId)
            {
                if (0 == pCur->NextEntryOffset)
                {
                    pPrev->NextEntryOffset = 0;
                }
                else
                {
                    pPrev->NextEntryOffset = pPrev->NextEntryOffset + pCur->NextEntryOffset;
                }
            }
            else
            {
                pPrev = pCur;
            }
            if (0 == pCur->NextEntryOffset)
            {
                break;
            }
            pCur = (PSYSTEM_PROCESS_INFORMATION)((BYTE *)pCur + pCur->NextEntryOffset);
        }

总结

该技术主要是HOOK ZwQuerySystemInformation这个函数,然后写入我们自定义的ZwQuerySystemInformation函数代替它

要注意 Inline Hook API 的时候,在 32 位系统和 64 位系统下的差别。

在 32 位使用 jmp _NewAddress 跳转语句,机器码是 5 字节,而且要注意理解它的跳转偏移的计算方式:

跳转偏移 = 跳转地址 - 下一跳指令的地址

在 64 位使用的是的汇编指令是:

mov rax, _NewAddress
jmp rax

机器码是 12 字节。

在Windows7 32位旗舰版以及Windows10 64位专业版上进行测试,均能成功隐藏指定进程,程序在32位和64位全平台系统均能正常工作。要注意一点就是,建议以管理员身份运行程序,否则我们的全局钩子不能成功注入到一些高权限的进程中。

另外,通过对比ZwQuerySystemInformation函数所在的PE文件在本地和内存中的数据,可以检测是否存在Inline Hook,进行安全对抗。

 

 

 

InlineHook任务管理器_ZwQuerySystemInformation_隐藏进程
yeanhoo的博客
09-24 705
InlineHook任务管理器_ZwQuerySystemInformation_隐藏进程 hook步骤: 查找目标函数地址 修改目标函数第一条指令跳转到我们构造的函数 卸载掉钩子,执行正常的目标函数 过滤掉特定信息后返回 hook代码如下 #include<windows.h> #include<Winternl.h> BOOL hook_code(); BOOL unHook_code(); NTSTATUS WINAPI NewZwQuerySystem
SSDT Hook技术详解与应用
flydragonhero的专栏
03-10 6816
SSDT Hook技术详解与应用SSDT Hook技术详解与应用 一SSDT简介 1什么是SSDT 2SSDT结构 3应用层调用 Win32 API 的完整执行流程 二SSDT Hook原理 1SSDT Hook原理简介 2进程隐藏与保护 3文件隐藏与保护 4端口隐藏一、SSDT简介1、什么是SSDT​ SSDT 的全称是 System Services Descriptor Table,系统服
Windows2000 内核级进程隐藏、侦测技术
天蓝的专栏
09-01 1699
摘要    信息对抗是目前计算机发展的一个重要的方向,为了更好的防御,必须去深入的了解敌人进攻的招式。信息对抗促使信息技术飞速的发展。下面我选取了信息对抗技术的中一个很小一角关于windows内核级病毒隐藏技术和反病毒侦测技术作为议题详细讨论。 关键字:内核,拦截,活动进程链表,系统服务派遣表,线程调度链Abstract        Nowadays, informati
Ring3 Hook ZwQuerySystemInformation
11-14
Ring3 Hook ZwQuerySystemInformation实现隐藏进程,在XP里测试通过。
[源码和文档分享]劫持ZwQuerySystemInformation函数实现进程隐藏
qq_38474647的博客
01-03 282
背景 所谓的进程隐藏,通俗地说指的是某个进程正常工作,不受任何影响,但是,我们使用类似任务管理器、Process Explorer 等进程查看软件查看进程,却看不到这个进程。适合秘密在计算机后台进行操作的程序,而不想让人发现。 本文讲解的就是实现这样的一个进程隐藏程序的原理和过程,当然,进程隐藏的方法有很多,例如 DLL 劫持、DLL注入、代码...
Hook ZwQuerySystemInformation 隐藏qq程序
03-07 2896
近一直在研究rootkit,首先申明我是rootkit的菜鸟哈,也感觉还么有研究得好深。这次我把我练习时写的一个hook 系统 ZwQuerySystemInformation 函数来实现隐藏QQ进程的代码贴上来,也算是为成黑添砖添瓦哦。隐藏了的进程能够被rootkit的检测工具检测出来,但是一般的方法是看不出来的,比如任务管理器,和程序里面列出进程都是看不到的。程序中我已经添加了相关的注释,这里
隐藏进程 hook ZwQuerySystemInformation
zcgzdhxm的专栏
10-28 3750
原来的代码是隐藏_root_为了调试方便,改为了AcroRd32// BASIC ROOTKIT that hides processes// ----------------------------------------------------------// v0.1 - Initial, Greg Hoglund (hoglund@rootkit.com)// v0.3 - Added defines to compile on W2K, and comments. Rich// v0.4 - Fi
hook zwQuerySysteminformation 隐藏进程
坦然
08-10 1867
#include //#include typedef unsigned long DWORD; #pragma pack(1) typedef struct ServiceDescriptorEntry{ unsigned int *ServiceTableBase; unsigned int *ServiceCountTableBase; unsigned in
Win 32API速查
Snake_74的博客
06-30 2255
文章目录Win32API用户篇内核篇参数表WinExecVirtualAllocExCreateProcessAdjustTokenPrivilegesNtQueryInformationProcessRtlCompressBufferRtlDecompressBufferCryptAcquireContextCryptGetHashParamCreateServiceCryptDeriveKey...
BMW Trojan 样本分析
zirconsdu的专栏
11-06 3656
仅用于链接已经删却但是需要方便查阅的原文http://blog.youkuaiyun.com/zirconsdu/article/details/7997470 转载请注明出处http://blog.youkuaiyun.com/zirconsdu/article/details/8153813。 一些具体数据结构和具体路径隐去。   BMW木马样本分析 摘要 2011年底和某Hunter的谈话涉及到当时新检
ZwQuerySystemInformation查找进程文件句柄
03-25
ZwQuerySystemInformation查找文件句柄
微软未公开函数ZwQuerySystemInformation的使用方法(vb编程专用)
08-18
网上关于函数ZwQuerySystemInformation的使用方法少的可怜,这是本人关于此函数的一些心得,在vb上玩api的朋友应该知道这份资料来之不易,我也不为难大家了,0分让你们下了! P.S.因使用win7的notepad编辑此文档,所以如果文档不能正常打开,见谅!
hook ZwQuerySystemInformation 隐藏进程
fanpeii的专栏
10-22 2181
该程序用vs2010编译通过。编译时选择release版本。 该程序可以通过hook ZwQuerySystemInformation来达到隐藏进程的功能。 // HideProcess.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include //#inc
ZwQuerySystemInfoMation函数使用
weixin_30677475的博客
06-23 201
ZwQueryInfoMation函数很简单.就是4个参数. NTSTATUS WINAPI ZwQuerySystemInformation( _In_ SYSTEM_INFORMATION_CLASS SystemInformationClass, _Inout_ PVOID SystemInformation, _In_ ...
(转)ZwQuerySystemInformation枚举内核模块及简单应用
weixin_30484739的博客
01-22 175
http://hi.baidu.com/_achillis/item/8b33ead8ccac28ea3cc2cb17 简单说,即调用第11号功能,枚举一下内核中已加载的模块。部分代码如下://功能号为11,先获取所需的缓冲区大小ZwQuerySystemInformation(SystemModuleInformation,NULL,0,&needlen);//申请内存ZwA...
基于HOOK的应用层进程隐藏
weixin_40921670的博客
07-24 1608
基于HOOK的应用层进程隐藏 要求:开发一个可以将指定的用户进程进行隐藏工具,要求在“任务管理器”无法检测的该用户进程,也无法终止该进程。 一、HOOK原理 对于 Hook 技术,可以分为两块,第一块是在 Ring3 层的 Hook,俗称应用层 Hook 技术,而另外一块自然是在 Ring0 层得 Hook,俗称为内核层 Hook 技术,而在 Ring3 层的 Hook 基本上可以分为两种大的类型,第一类即是 Windows 消息的 Hook,第二类则是 Windows API 的 Hook。每个调用的 A
进程隐藏技术
w_g3366的博客
08-28 8299
文章目录进程隐藏技术1.进程伪装2.傀儡进程3.进程隐藏4.DLL劫持 进程隐藏技术 进程伪装:通过修改指定进程PEB中的路径和命令行信息实现伪装。 傀儡进程:通过进程挂起,替换内存数据再恢复执行,从而实现创建傀儡进程 进程隐藏:通过HOOK函数ZwQuerySystemInfornation实现进程隐藏 DLL劫持:通过#pragma comment指令直接转发DLL导出函数或者通过LoadL...
最新隐藏进程 RING3实现方式:hook ZwQuerySystemInformation 隐藏进程 在XP里测试通过
aq782645210的专栏
11-14 3644
研究其他作者写的文章,也是hook ZwQuerySystemInformation 隐藏进程,可是我怎么测试都没有通过,不能隐藏进程,在网上也试了其他隐藏进程的代码,也不行。唉,那就只有自己动手啦~~~ 既然hook ZwQuerySystemInformation 可以隐藏进程,我就拿它刀了。首先声明,本人只是业余编程者,代码不好看的地方请多包涵。 经过反复测试,终于找到了关键处: wh
内核层 inlinehook 隐藏进程
ShadowAssassin的专栏
12-17 3950
上次是SSDT  HOOK 方式 隐藏 进程 ,如链接:http://blog.youkuaiyun.com/hjxyshell/article/details/16993119 这次是InlineHook 方式隐藏进程,这里inline hook的原理就不做详细介绍了,网上相关资源较多,撸主主要参考看雪的某大牛的“详谈内核三步走Inline Hook实现”(http://bbs.pediy.com/s
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值