首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
5
[原创]浅谈windows下的隐藏
发表于: 2013-11-18 16:51 32636

[原创]浅谈windows下的隐藏

Speeday 活跃值
8
2013-11-18 16:51
32636

由于毕业设计想写一个ARK工具,为了方便到时候演示一些功能,就研究了下隐藏技术。
网上有很多文章,但是解释的地方很少,出于技术研究,就仔细的分析了一下,下文中若有分析错误的情况,请大牛见谅。
声明:本文所谈及技术均来自网上,很老的技术了,只做技术交流,不喜勿喷。
参考文章:
http://bbs.pediy.com/showthread.php?t=64728                进程隐藏
http://bbs.pediy.com/showthread.php?t=63629                文件隐藏
http://bbs.pediy.com/showthread.php?t=63540                注册表隐藏
进程隐藏:让任务管理器找不到指定进程
原理:任务管理器通过ZwQuerySystemInformation函数来获取当前进程列表,而 ZwQuerySystemInformation函数内部是通过查找双向链表来操作的,所以如果把想隐藏的进程从这个链表中脱离出来,任务管理器就列不出这个进程了。
具体方法:1、首先得到要隐藏的进程的PID
                  2、通过PID得到进程的EPROCESS
                  3、由EPROCESS定位到双向链表
                  4、修改链表,使指定进程脱离
实现:
1、在驱动中获取指定进程PID网上有很多方法,贴一个我也忘了在哪里找的方法吧:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
ULONG GetPid()
{
    NTSTATUS ntStatus;
    char ProcessName[256];
    ULONG cbBuffer;
    PSYSTEM_PROCESS_INFORMATION pInfo;
    PSYSTEM_THREAD_INFORMATION pThread;
    VOID* pBuffer = NULL;
    ULONG i;
    ULONG ThreadCount;
    char MyProtectName[]="calc.exe";
    ULONG MyProcessId;
 
 
    ZwQuerySystemInformation(5, &cbBuffer, 0, &cbBuffer);
    pBuffer = ExAllocatePool (NonPagedPool, cbBuffer);
    if (pBuffer == NULL)
    {
        return 1;
    }
    ntStatus = ZwQuerySystemInformation(5, pBuffer, cbBuffer, NULL);
 
    if (!NT_SUCCESS(ntStatus))
    {
        ExFreePool(pBuffer);
        return 1;
    }
 
    pInfo = (PSYSTEM_PROCESS_INFORMATION)pBuffer;
 
    while(1){
        LPWSTR pszProcessName = pInfo->ProcessName.Buffer;
        if (pszProcessName == NULL)
            pszProcessName = L"NULL";
        wcstombs(ProcessName,pszProcessName,256);
        if(_stricmp(MyProtectName,ProcessName)==0)
        {
            DbgPrint("calc.exe Pid is %d\n",pInfo->ProcessId);
            MyProcessId=pInfo->ProcessId;
            return MyProcessId;
        }
        if (pInfo->NextEntryDelta == 0)
            break;
 
        pInfo = (PSYSTEM_PROCESS_INFORMATION)(((PUCHAR)pInfo)+ pInfo->NextEntryDelta);
    }
    ExFreePool(pBuffer);
    return 0;
}

[注意]看雪招聘,专注安全领域的专业人才平台!

上传的附件:
收藏
免费 5
支持
分享
赞赏记录
参与人
雪币
留言
时间
心游尘世外
为你点赞~
2024-5-31 06:56
QinBeast
为你点赞~
2024-5-31 06:47
飘零丶
为你点赞~
2024-5-31 01:15
shinratensei
为你点赞~
2024-5-20 01:00
PLEBFE
为你点赞~
2023-12-21 05:29
最新回复 (46)
安于此生
雪    币: 2672
活跃值: (3475)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
私信
2
又是沙发,顶楼主.
2013-11-18 16:56
0
xiejienet
雪    币: 142
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
这样子的隐藏还不如不隐藏,或者ring3的隐藏.
随便一个ark都能赤裸裸的把你隐藏的东西红色标记.
2013-11-18 17:01
0
songbeibei
雪    币: 194
活跃值: (286)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
没有绝对的安全。
2013-11-18 18:02
0
vvLinker
雪    币: 35
活跃值: (111)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
进程只断链啊。。。。句柄表都不搞么?,PspCid,,csrss.................
2013-11-18 18:15
0
恶毛毛L
雪    币: 28
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
回家了慢慢看 学习学习 谢谢楼主分享
2013-11-18 18:33
0
jpys
雪    币: 47
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
mark
2013-11-19 08:29
0
PPTV
雪    币: 10036
活跃值: (2897)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
浅谈windows下的隐藏 mark
2013-11-20 13:37
0
tuobaofeng
雪    币: 108
活跃值: (54)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
9
楼主,你是哪个学校的,我刚好毕设也想做ARK工具。。
2013-11-20 19:57
0
kenjidaye
雪    币: 64
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
windows下的隐藏 mark 谢谢楼主~
2013-11-21 08:23
0
Speeday
雪    币: 458
活跃值: (306)
能力值: ( LV12,RANK:400 )
在线值:
发帖
回帖
粉丝
私信
11
学校不值一提,对于ARK工具,我还没多少眉目,可以交流下么。
2013-11-21 09:34
0
tzl
雪    币: 301
活跃值: (1769)
能力值: ( LV9,RANK:410 )
在线值:
发帖
回帖
粉丝
私信
12
ark值得研究,这方面了解不多。支持兄弟
2013-11-21 10:47
0
boyljx
雪    币: 3
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
谢谢楼主分享...
2013-11-21 16:59
0
luxiaole
雪    币: 310
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14
适合初学者,挺好的,思想对头
2013-11-21 19:04
0
gddcxysqw
雪    币: 40
活跃值: (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
15
最好能够兼容64  哈哈
2013-11-21 23:35
0
kfysck
雪    币: 101
活跃值: (82)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
16
LZ对于禁止终止进程在驱动级有什么思路吗?
看了你的文章我有种思路就是隐藏进程,这样用户就不能终止进程了。
除了这种思路和不去hook终止进程函数之外还有没有什么思路了呢?
2013-12-3 13:57
0
ZSYL
雪    币: 16
活跃值: (510)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
17
不错,支持
2013-12-4 23:31
0
wodexinren
雪    币: 74
活跃值: (933)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
18
好文章,mark
2013-12-13 09:34
0
jpys
雪    币: 47
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
19
mark
2013-12-13 09:45
0
lvbenke
雪    币: 142
活跃值: (60)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
20
注册表隐藏,支持win7以上就好了
2014-2-19 15:06
0
flankersky
雪    币: 97
活跃值: (98)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
21
最近在看内核,多谢楼主的代码。
2014-2-19 19:43
0
Maiunjour
雪    币: 69
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
22
讲的好,学习了!!
2014-2-20 17:11
0
崩落
雪    币: 35
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
23
不错,学习下
2014-2-20 19:59
0
morning
雪    币: 367
活跃值: (30)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
私信
24
这个办法在64bit下就玩不了啦。
2014-2-23 21:47
0
金帛
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
25
看不懂,留下脚印,以后慢慢消化。
2014-2-23 23:32
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回

账号登录
验证码登录

忘记密码?
没有账号?立即免费注册
我已同意 《看雪服务条款》 《看雪课程免责声明》 《看雪隐私政策》