首页
社区
课程
招聘
[求助]问问各位大牛,枚举隐藏进程的问题
发表于: 2009-11-28 13:30 5010

[求助]问问各位大牛,枚举隐藏进程的问题

2009-11-28 13:30
5010
各位大牛
1.问问大家已知的ring0枚举隐藏进程的方法有几种啊。
2.看了堕落天才的ring0检测隐藏进程,知道每个版本的EPROCESS_SIZE结构是不同的 如果要是加以判断是不是就可以更通用啊。
3.OBJECT_HEADER_SIZE OBJECT_TYPE_OFFSET两个偏移值各个版本是怎样的数值啊。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (3)
雪    币: 34
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
2
还有那个EPROCESS链,pspcidtable表.
我就知道这么点.具体的谷歌啦.
2009-11-28 14:12
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
3
搜“killvxk的驱动查进程”
2009-11-28 14:59
0
雪    币: 34
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
4
killvxk的驱动查进程:
1.native api获得进程表a
2.通过activelist获得进程表b
3.通过pspCidTable获得进程表c
4.通过handletablelisthead获得进程表d
5.通过csrss的handletable用2种方法枚举获得进程表e和f
6.通过扫描当前进程的handletable获得进程表g
7.遍历表c的每一个进程的SessionProcessLinks获得进程表h
8.遍历表c的每一个进程Vm.WorkingSetExpansionLinks获得进程表i
9.通过Typelist分别取process和thread的表j和表k
10.通过表k得到进程表l
11.搜索内存中的threadobject和processobject得到进程表m
12.通过Wait/Dispatch得到进程表n
13.如果系统是Win2003以上遍历表c的每一个进程的MmProcessLinks得到表o
14.综合上面的进程表得到表p
15.对表p每一个进程做HandleTable,Vm.WorkXX,MmProcessXX,SessionProcessList扫描得到表q
16.枚举HWNDHandle得到进程表r
17.枚举JobObject得到表s
18.综合得表t,此时枚举结束~~

动态部分:
KiReadyThread
和KiSwapContext的钩子
还有KiService钩子
还有CreateProcessNotifyRoutine和CreateThreadNotifyRoutine
NtCreateThread钩子
动态维护一张表,静态枚举结束后综合两表~

这么多的.....膜拜....
2009-11-28 15:07
0
游客
登录 | 注册 方可回帖
返回
//