[原创]对 Hook 内核ntoskrnl'sZwQuerySystemInformation隐藏任务管理器进程名的彻底完善-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [原创]对 Hook 内核ntoskrnl'sZwQuerySystemInformation隐藏任务管理器进程名的彻底完善 0.00雪花

发表于: 2010-2-8 11:52 3528

[旧帖] [原创]对 Hook 内核ntoskrnl'sZwQuerySystemInformation隐藏任务管理器进程名的彻底完善 0.00雪花

zyhfut

2010-2-8 11:52

3528

前段时间总结了枚举系统进程的N种方法，属于科普类读物。链接如下：
http://bbs.pediy.com/showthread.php?p=758997#post758997
这几天想针对上面的枚举方法，隐藏进程。首先实现的就是SSDT Hook ZwQuerySystemInfor实现进程隐藏，这已经是一项很老的技术了。
qiweixue 在他的文章里面写的很清楚:
http://bbs.pediy.com/showthread.php?t=36742&highlight=%E9%9A%90%E8%97%8F+%E8%97%8F%E8%BF%9B+%E8%BF%9B%E7%A8%8B
这篇文章有点小错误，在sislcb的【原创】对 Hook 内核ntoskrnl'sZwQuerySystemInformation隐藏任务管理器进程名的一点完善文章中进程了完善，链接如下：
http://bbs.pediy.com/showthread.php?t=56830但我在实现的时候，发现sislcb的这篇文章也存在一下小失误。主要是：隐藏进程在信息开头时，未处理好,他的处理代码如下：
if(prev)
         {
            //要删除的信息在中间,则把指针指向下一个节点
            if(curr->NextEntryDelta)
            prev->NextEntryDelta += curr->NextEntryDelta;
            else
            prev->NextEntryDelta = 0; //要删除的信息在末尾，则直接把指针指向0
         }
         else
         {
            if(curr->NextEntryDelta)    //这个地方处理错误
            (char *)SystemInformation += curr->NextEntryDelta; //要删除的信息在开头
      else
            SystemInformation = NULL;
         }
虽然不是什么大错误，也不影响作者想隐藏自己的进程，因为一般信息开头是Idle进程。但为了让程序更加健全，小弟将该处的错误以及更正方式，贴出来。以便大家对这个技术有个全面的掌握。
错误的原因是，SystemInformation是个指针变量，在内部改变它的值并不影响外部，我们在函数内部只能改变它指向的内容。呵呵，很基本的C知识吧。但却常常被人忽略。所以作者上面的改变方式，对SystemInformation值没任何影响。具体方法应该是：
ULONG len = sizeof( SystemProcessInformation );
ULONG uOffet = ((PSystemProcessInformation)SystemInformation)->NextEntryDelta;
pCur = (PSystemProcessInformation)((ULONG)pCur + pCur->NextEntryDelta);
memcpy( SystemInformation, pCur, len );
((PSystemProcessInformation)SystemInformation)->NextEntryDelta += uOffet;
我实现的代码见附件
HookZwQuerySystemInformation.rar

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

HookZwQuerySystemInformation.rar （10.48kb，202次下载）

收藏・9

免费・7

支持

最新回复 (4)
刘福辉雪币： 197 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 89 粉丝 1 关注私信	刘福辉 2 楼好东西，收藏了谢谢 2010-2-12 12:14 0
weeklemon 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 38 粉丝 0 关注私信	weeklemon 3 楼来学习一下。收藏一个，谢谢啊 2010-2-13 17:47 0
alaiyj 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	alaiyj 4 楼 c语言，很值得学习。 2010-3-31 19:18 0
Elele 雪币： 110 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 0 关注私信	Elele 5 楼支持一下 2010-4-18 21:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

zyhfut

发帖

回帖

220

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (4)
刘福辉雪币： 197 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 89 粉丝 1 关注私信	刘福辉 2 楼好东西，收藏了谢谢 2010-2-12 12:14 0
weeklemon 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 38 粉丝 0 关注私信	weeklemon 3 楼来学习一下。收藏一个，谢谢啊 2010-2-13 17:47 0
alaiyj 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	alaiyj 4 楼 c语言，很值得学习。 2010-3-31 19:18 0
Elele 雪币： 110 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 0 关注私信	Elele 5 楼支持一下 2010-4-18 21:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [原创]对 Hook 内核ntoskrnl'sZwQuerySystemInformation隐藏任务管理器进程名 的彻底完善 0.00雪花

[旧帖] [原创]对 Hook 内核ntoskrnl'sZwQuerySystemInformation隐藏任务管理器进程名的彻底完善 0.00雪花