ring0检测隐藏进程
//网上得到一篇好文章 Ring0下搜索内存枚举隐藏进程 ,但是拿里面的代码来使用的时候发现并没有太多效果
//于是修改之,终于实现了最初的目标
//由于直接搜索内存,跟系统调度没什么关系,所以能够枚举到各种方法隐藏的进程 包括断链、抹PspCidTable...
//甚至能枚举到已经"死掉"的进程,本程序通过进程的ExitTime来判断进程是不是已经结束
//除非能够把EProcess结构修改掉,但这个实现难度可能比较大,不知有没有哪位大侠试过(PID我修改过),欢迎讨论
//
//作者:堕落天才
//时间:2007年5月10日
//参考: uty Ring0下搜索内存枚举隐藏进程 http://www.cnxhacker.net/Article/show/3412.html
//下面代码在XP SP2测试通过
///不同的windows版本下面的偏移值不同
#define EPROCESS_SIZE 0x25C //EPROCESS结构大小
#define PEB_OFFSET 0x1B0
#define FILE_NAME_OFFSET 0x174
#define PROCESS_LINK_OFFSET 0x088
#define PROCESS_ID_OFFSET 0x084
#define EXIT_TIME_OFFSET 0x078
#define OBJECT_HEADER_SIZE 0x018
#define OBJECT_TYPE_OFFSET 0x008
#define PDE_INVALID 2
#define PTE_INVALID 1
#define VALID 0
ULONG pebAddress; //PEB地址的前半部分
PEPROCESS pSystem; //system进程
ULONG pObjectTypeProcess; //进程对象类型
ULONG VALIDpage(ULONG addr) ; //该函数直接复制自 Ring0下搜索内存枚举隐藏进程
BOOLEAN IsaRealProcess(ULONG i); //该函数复制自 Ring0下搜索内存枚举隐藏进程
VOID WorkThread(IN PVOID pContext);
ULONG GetPebAddress(); //得到PEB地址前半部分
VOID EnumProcess(); //枚举进程
VOID ShowProcess(ULONG pEProcess); //显示结果
VOID OnUnload(IN PDRIVER_OBJECT DriverObject)
{
}
NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath)
{
HANDLE hThread;
DriverObject -> DriverUnload = OnUnload;
pSystem = PsGetCurrentProcess();
pebAddress = GetPebAddress();
pObjectTypeProcess = *(PULONG)((ULONG)pSystem - OBJECT_HEADER_SIZE +OBJECT_TYPE_OFFSET);
PsCreateSystemThread(&hThread,
(ACCESS_MASK)0,
NULL,
(HANDLE)0,
NULL,
WorkThread,
NULL );
return STATUS_SUCCESS;
}
//
VOID WorkThread(IN PVOID pContext)
{
EnumProcess();
PsTerminateSystemThread(STATUS_SUCCESS);
}
////
ULONG GetPebAddress()
{
ULONG Address;
PEPROCESS pEProcess;
//由于system进程的peb总是零 我们只有到其他进程去找了
pEProcess = (PEPROCESS)((ULONG)((PLIST_ENTRY)((ULONG)pSystem + PROCESS_LINK_OFFSET))->Flink - PROCESS_LINK_OFFSET);
Address = *(PULONG)((ULONG)pEProcess + PEB_OFFSET);
return (Address & 0xFFFF0000);
}
///
VOID EnumProcess()
{
ULONG uSystemAddress = (ULONG)pSystem;
ULONG i;
ULONG Address;
ULONG ret;
DbgPrint("-------------------------------------------");
DbgPrint("EProcess PID ImageFileName");
DbgPrint("---------------------------------");
for(i = 0x80000000; i < uSystemAddress; i += 4){//system进程的EPROCESS地址就是最大值了
ret = VALIDpage(i);
if (ret == VALID){
Address = *(PULONG)i;
if (( Address & 0xFFFF0000) == pebAddress){//每个进程的PEB地址都是在差不多的地方,地址前半部分是相同的
if(IsaRealProcess(i)){
ShowProcess(i - PEB_OFFSET);
i += EPROCESS_SIZE;
}
}
}else if(ret == PTE_INVALID){
i -=4;
i += 0x1000;//4k
}else{
i-=4;
i+= 0x400000;//4mb
}
}
ShowProcess(uSystemAddress);//system的PEB总是零 上面的方法是枚举不到的 不过我们用PsGetCurrentProcess就能得到了
DbgPrint("-------------------------------------------");
}
/
VOID ShowProcess(ULONG pEProcess)
{
PLARGE_INTEGER ExitTime;
ULONG PID;
PUCHAR pFileName;
ExitTime = (PLARGE_INTEGER)(pEProcess + EXIT_TIME_OFFSET);
if(ExitTime->QuadPart != 0) //已经结束的进程的ExitTime为非零
return ;
PID = *(PULONG)(pEProcess + PROCESS_ID_OFFSET);
pFileName = (PUCHAR)(pEProcess + FILE_NAME_OFFSET);
DbgPrint("0x%08X %04d %s",pEProcess,PID,pFileName);
}
/
ULONG VALIDpage(ULONG addr)
{
ULONG pte;
ULONG pde;
pde = 0xc0300000 + (addr>>22)*4;
if((*(PULONG)pde & 0x1) != 0){
//large page
if((*(PULONG)pde & 0x80) != 0){
return VALID;
}
pte = 0xc0000000 + (addr>>12)*4;
if((*(PULONG)pte & 0x1) != 0){
return VALID;
}else{
return PTE_INVALID;
}
}
return PDE_INVALID;
}
////
BOOLEAN IsaRealProcess(ULONG i)
{
NTSTATUS STATUS;
PUNICODE_STRING pUnicode;
UNICODE_STRING Process;
ULONG pObjectType;
ULONG ObjectTypeAddress;
if (VALIDpage(i- PEB_OFFSET) != VALID){
return FALSE;
}
ObjectTypeAddress = i - PEB_OFFSET - OBJECT_HEADER_SIZE + OBJECT_TYPE_OFFSET ;
if (VALIDpage(ObjectTypeAddress) == VALID){
pObjectType = *(PULONG)ObjectTypeAddress;
}else{
return FALSE;
}
if(pObjectTypeProcess == pObjectType){ //确定ObjectType是Process类型
return TRUE;
}
return FALSE;
}
ring0检测隐藏进程相关推荐
- [转载]侦测隐藏进程
侦测隐藏进程 Detection of the hidden processes 俄语原文:http://wasm.ru/article.php?article=hiddndt 俄文翻译:kao ht ...
- 隐藏进程中的模块绕过IceSword的检测
标 题: [原创] 隐藏进程中的模块绕过IceSword的检测 作 者: xPLK 时 间: 2008-06-19,17:59:11 链 接: http://bbs.pediy.com/showthr ...
- Linux几种检测rootkit隐藏进程的方法
Rootkit通常会隐藏进程,隐藏文件和网络连接.这里主要记录几种对隐藏进程的检测方法 一. 隐藏进程的方法 1.1 用户级Rootkit 通过LD_PRELOAD来hook libc库,从而过滤/p ...
- X64位驱动保护-隐藏进程躲避游戏检测
前面我学习过 32位系统里进行驱动隐藏进程,http://bbs.dult.cn/thread-10701-1-1.html 来防止破解或被游戏检测到辅助 本节例子教程讲述的是在64位 win7系统进 ...
- Rootkit隐藏进程和端口检测
Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件.进程和网络链接等信息,比较多见到的是Rootkit一般都和木马.后门等其他恶意程序结合使用. 例如:inetd或者log ...
- Linux 2.6 劫持系统调用 隐藏进程
Linux 2.6 劫持系统调用 隐藏进程 http://hi.baidu.com/widebright/item/e64b1c09b8a557dcdce5b060 很久以前写过一个在Windows系 ...
- 驱动层SSDT 隐藏进程
闲着没事,便想在熟悉下之前看过的驱动编程相关知识,于是就写了这个简单的驱动曾隐藏进程程序. 要点: 在驱动层隐藏,主要还是使用SSDT挂钩的方法,相关知识,可以到网上查找,在隐藏进程时,为了能够隐藏 ...
- 再谈隐藏进程中的DLL模块/黑月教主
http://hi.baidu.com/_achillis/blog/item/59bf732623fbe509918f9d87.html 相当老的话题,大约一年前就写过这个东西了,不过那时候知识比较 ...
- linux 用户态 隐藏进程 简介
目录 linux下查看进程的方法 PS/TOP显示进程原理 隐藏进程 某些时候程序员为了防止其他人不小心或者恶意破坏掉你运行的程序,或者我们要做些"见不得光"的事情,就有隐藏进程的 ...
最新文章
- 为什么医学影像AI已进入「后深度学习时代」?
- java 为什么重写equals一定要重写hashcode?
- shell 脚本不能执行多条?何解
- Topcoder Srm 671 Div2 1000 BearDestroysDiv2
- 疫情之下信贷行业后续的前景
- 多核处理器_多核处理器还能走多远?2050年用上1024核CPU
- 小白开学Asp.Net Core 《八》
- 达梦数据源配置_weblogic配置数据源连接达梦数据库
- 雷布斯风雪山神庙,董小姐威震安平寨
- Django学习笔记二
- apicloud链接访问本地数据库
- 学神经网络需要什么基础,神经网络需要什么基础
- android 电池测试 apk,安卓手机电池检测工具
- lefse分析本地实现方法带全部安装文件和所有细节,保证成功。
- 百度bae专业版svn提交问题
- 高等数学学习笔记——第八十九讲——高斯公式
- mtv和mcv开发模式
- 使用mac 终端登录腾讯云服务器
- python中元组常识,以及for 与 range 的用法!
- tensorflow-----张量的合并