首页
社区
课程
招聘
[原创]浅谈windows下的隐藏
发表于: 2013-11-18 16:51 32403

[原创]浅谈windows下的隐藏

2013-11-18 16:51
32403

由于毕业设计想写一个ARK工具,为了方便到时候演示一些功能,就研究了下隐藏技术。
网上有很多文章,但是解释的地方很少,出于技术研究,就仔细的分析了一下,下文中若有分析错误的情况,请大牛见谅。
声明:本文所谈及技术均来自网上,很老的技术了,只做技术交流,不喜勿喷。
参考文章:
http://bbs.pediy.com/showthread.php?t=64728                进程隐藏
http://bbs.pediy.com/showthread.php?t=63629                文件隐藏
http://bbs.pediy.com/showthread.php?t=63540                注册表隐藏
进程隐藏:让任务管理器找不到指定进程
原理:任务管理器通过ZwQuerySystemInformation函数来获取当前进程列表,而 ZwQuerySystemInformation函数内部是通过查找双向链表来操作的,所以如果把想隐藏的进程从这个链表中脱离出来,任务管理器就列不出这个进程了。
具体方法:1、首先得到要隐藏的进程的PID
                  2、通过PID得到进程的EPROCESS
                  3、由EPROCESS定位到双向链表
                  4、修改链表,使指定进程脱离
实现:
1、在驱动中获取指定进程PID网上有很多方法,贴一个我也忘了在哪里找的方法吧:

ULONG GetPid()
{
	NTSTATUS ntStatus;
	char ProcessName[256];
	ULONG cbBuffer; 
	PSYSTEM_PROCESS_INFORMATION pInfo;
	PSYSTEM_THREAD_INFORMATION pThread;
	VOID* pBuffer = NULL;
	ULONG i;
	ULONG ThreadCount;
	char MyProtectName[]="calc.exe";
	ULONG MyProcessId;


	ZwQuerySystemInformation(5, &cbBuffer, 0, &cbBuffer);
	pBuffer = ExAllocatePool (NonPagedPool, cbBuffer); 
	if (pBuffer == NULL) 
	{
		return 1;
	}
	ntStatus = ZwQuerySystemInformation(5, pBuffer, cbBuffer, NULL);

	if (!NT_SUCCESS(ntStatus))
	{
		ExFreePool(pBuffer); 
		return 1; 
	}

	pInfo = (PSYSTEM_PROCESS_INFORMATION)pBuffer;

	while(1){
		LPWSTR pszProcessName = pInfo->ProcessName.Buffer;
		if (pszProcessName == NULL) 
			pszProcessName = L"NULL"; 
		wcstombs(ProcessName,pszProcessName,256); 
		if(_stricmp(MyProtectName,ProcessName)==0)
		{
			DbgPrint("calc.exe Pid is %d\n",pInfo->ProcessId);
			MyProcessId=pInfo->ProcessId;
			return MyProcessId;
		} 
		if (pInfo->NextEntryDelta == 0) 
			break; 

		pInfo = (PSYSTEM_PROCESS_INFORMATION)(((PUCHAR)pInfo)+ pInfo->NextEntryDelta);
	}
	ExFreePool(pBuffer);
	return 0;
}

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 5
支持
分享
最新回复 (46)
雪    币: 2664
活跃值: (3401)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
2
又是沙发,顶楼主.
2013-11-18 16:56
0
雪    币: 142
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
这样子的隐藏还不如不隐藏,或者ring3的隐藏.
随便一个ark都能赤裸裸的把你隐藏的东西红色标记.
2013-11-18 17:01
0
雪    币: 194
活跃值: (261)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
没有绝对的安全。
2013-11-18 18:02
0
雪    币: 35
活跃值: (96)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
进程只断链啊。。。。句柄表都不搞么?,PspCid,,csrss.................
2013-11-18 18:15
0
雪    币: 28
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
回家了慢慢看 学习学习 谢谢楼主分享
2013-11-18 18:33
0
雪    币: 47
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
mark
2013-11-19 08:29
0
雪    币: 9695
活跃值: (2501)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
浅谈windows下的隐藏 mark
2013-11-20 13:37
0
雪    币: 108
活跃值: (44)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
9
楼主,你是哪个学校的,我刚好毕设也想做ARK工具。。
2013-11-20 19:57
0
雪    币: 64
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
windows下的隐藏 mark 谢谢楼主~
2013-11-21 08:23
0
雪    币: 458
活跃值: (306)
能力值: ( LV12,RANK:400 )
在线值:
发帖
回帖
粉丝
11
学校不值一提,对于ARK工具,我还没多少眉目,可以交流下么。
2013-11-21 09:34
0
雪    币: 242
活跃值: (1664)
能力值: ( LV9,RANK:410 )
在线值:
发帖
回帖
粉丝
12
ark值得研究,这方面了解不多。支持兄弟
2013-11-21 10:47
0
雪    币: 3
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
谢谢楼主分享...
2013-11-21 16:59
0
雪    币: 310
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
适合初学者,挺好的,思想对头
2013-11-21 19:04
0
雪    币: 40
活跃值: (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
最好能够兼容64  哈哈
2013-11-21 23:35
0
雪    币: 101
活跃值: (82)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
16
LZ对于禁止终止进程在驱动级有什么思路吗?
看了你的文章我有种思路就是隐藏进程,这样用户就不能终止进程了。
除了这种思路和不去hook终止进程函数之外还有没有什么思路了呢?
2013-12-3 13:57
0
雪    币: 16
活跃值: (430)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
不错,支持
2013-12-4 23:31
0
雪    币: 74
活跃值: (748)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
好文章,mark
2013-12-13 09:34
0
雪    币: 47
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
mark
2013-12-13 09:45
0
雪    币: 142
活跃值: (55)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
注册表隐藏,支持win7以上就好了
2014-2-19 15:06
0
雪    币: 97
活跃值: (98)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
21
最近在看内核,多谢楼主的代码。
2014-2-19 19:43
0
雪    币: 69
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
讲的好,学习了!!
2014-2-20 17:11
0
雪    币: 35
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
不错,学习下
2014-2-20 19:59
0
雪    币: 367
活跃值: (20)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
24
这个办法在64bit下就玩不了啦。
2014-2-23 21:47
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
看不懂,留下脚印,以后慢慢消化。
2014-2-23 23:32
0
游客
登录 | 注册 方可回帖
返回
//