[求助]win7 64位断链隐藏进程蓝屏-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
altmanx 雪币： 145 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 98 粉丝 0 关注私信	altmanx 2 楼 X64不让你这么玩. 关键字 : X64 PG 2016-12-15 11:42 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 3 楼 PG：先过我这关再说 2016-12-15 11:59 0
lg好人雪币： 158 活跃值： (349) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 60 粉丝 1 关注私信	lg好人 4 楼怎么过PG 啊？ 2016-12-15 12:51 0
阿東雪币： 355 活跃值： (276) 能力值： ( LV11，RANK：190 ) 在线值：发帖 9 回帖 80 粉丝 9 关注私信	阿東 3 5 楼 PG：不要像32走着过去,请爬着过去,不然我就蓝屏 2016-12-15 12:55 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 6 楼 PatchGuard不止保护内核代码，还保护内核数据断链表会破坏数据，照样会给你蓝掉 2016-12-15 14:08 0
altmanx 雪币： 145 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 98 粉丝 0 关注私信	altmanx 7 楼过PG, 你自己玩玩的的话,是可以的, 想大范围稳定使用, 还是要折腾的总之就是, 不要把写32位驱动的习惯, 带到64位OS上来..... 2016-12-15 14:24 0
wanc 雪币： 36 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 105 粉丝 0 关注私信	wanc 8 楼表示上面的代码没有隐藏效果，也就不会蓝屏，上完整源码： NTKERNELAPI NTSTATUS PsLookupProcessByProcessId(HANDLE ProcessId, PEPROCESS Process); NTKERNELAPI CHAR PsGetProcessImageFileName(PEPROCESS Process); //目标进程 PEPROCESS audiodg = NULL, dwm = NULL; ULONG op_dat; //偏移定义 #define PROCESS_ACTIVE_PROCESS_LINKS_OFFSET 0x188 #define PROCESS_FLAG_OFFSET 0x440 //获得EPROCESS PEPROCESS GetProcessObjectByName(char name) { SIZE_T i; for (i = 100; i<20000; i += 4) { NTSTATUS st; PEPROCESS ep; st = PsLookupProcessByProcessId((HANDLE)i, &ep); if (NT_SUCCESS(st)) { char pn = PsGetProcessImageFileName(ep); if (_stricmp(pn, name) == 0) return ep; } } return NULL; } //摘除双向链表的指定项 VOID RemoveListEntry(PLIST_ENTRY ListEntry) { KIRQL OldIrql; OldIrql = KeRaiseIrqlToDpcLevel(); if (ListEntry->Flink != ListEntry && ListEntry->Blink != ListEntry && ListEntry->Blink->Flink == ListEntry && ListEntry->Flink->Blink == ListEntry) { ListEntry->Flink->Blink = ListEntry->Blink; ListEntry->Blink->Flink = ListEntry->Flink; ListEntry->Flink = ListEntry; ListEntry->Blink = ListEntry; } KeLowerIrql(OldIrql); } //隐藏进程 VOID HideProcess(PEPROCESS Process) { RemoveListEntry((PLIST_ENTRY)((ULONG64)Process + PROCESS_ACTIVE_PROCESS_LINKS_OFFSET)); } //保护进程 ULONG ProtectProcess(PEPROCESS Process, BOOLEAN bIsProtect, ULONG v) { ULONG op; if (bIsProtect) { op = (PULONG)((ULONG64)Process + PROCESS_FLAG_OFFSET); (PULONG)((ULONG64)Process + PROCESS_FLAG_OFFSET) = 0; return op; } else { *(PULONG)((ULONG64)Process + PROCESS_FLAG_OFFSET) = v; return 0; } } VOID test() { audiodg = GetProcessObjectByName("calc.exe"); DbgPrint("calc: %p\n", audiodg); if (audiodg) { op_dat = ProtectProcess(audiodg, 1, 0); ObDereferenceObject(audiodg); } dwm = GetProcessObjectByName("cmd.exe"); DbgPrint("cmd: %p\n", dwm); if (dwm) { HideProcess(dwm); ObDereferenceObject(dwm); } } 2017-11-16 17:32 1
dengxm 雪币： 13 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	dengxm 9 楼不知道搞定了没有？我也想知道。 2018-7-10 11:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

altmanx

雪币： 145

活跃值： (40)

能力值：

( LV4，RANK：50 )

在线值：

发帖

3

回帖

98

粉丝

0

关注

私信

altmanx: 2 楼

X64不让你这么玩.

关键字 : X64 PG

2016-12-15 11:42

0

hzqst

雪币： 12848

活跃值： (9147)

能力值：

( LV9，RANK：280 )

在线值：

发帖

47

回帖

1793

粉丝

569

关注

私信

hzqst 3: 3 楼

PG：先过我这关再说

2016-12-15 11:59

0

lg好人

雪币： 158

活跃值： (349)

能力值：

( LV2，RANK：10 )

在线值：

发帖

20

回帖

60

粉丝

1

关注

私信

lg好人: 4 楼

怎么过PG 啊？

2016-12-15 12:51

0

阿東

雪币： 355

活跃值： (276)

能力值：

( LV11，RANK：190 )

在线值：

发帖

9

回帖

80

粉丝

9

关注

私信

阿東 3: 5 楼

PG：不要像32走着过去,请爬着过去,不然我就蓝屏

2016-12-15 12:55

0

luskyc

雪币： 248

活跃值： (3789)

能力值：

( LV2，RANK：10 )

在线值：

发帖

25

回帖

938

粉丝

11

关注

私信

luskyc: 6 楼

PatchGuard不止保护内核代码，还保护内核数据
断链表会破坏数据，照样会给你蓝掉

2016-12-15 14:08

0

altmanx

雪币： 145

活跃值： (40)

能力值：

( LV4，RANK：50 )

在线值：

发帖

3

回帖

98

粉丝

0

关注

私信

altmanx: 7 楼

过PG, 你自己玩玩的的话,是可以的, 想大范围稳定使用, 还是要折腾的

总之就是, 不要把写32位驱动的习惯, 带到64位OS上来.....

2016-12-15 14:24

0

wanc

雪币： 36

活跃值： (25)

能力值：

( LV2，RANK：10 )

在线值：

发帖

11

回帖

105

粉丝

0

关注

私信

wanc: 8 楼

表示上面的代码没有隐藏效果，也就不会蓝屏，上完整源码：

NTKERNELAPI NTSTATUS PsLookupProcessByProcessId(HANDLE ProcessId, PEPROCESS *Process);
NTKERNELAPI CHAR* PsGetProcessImageFileName(PEPROCESS Process);

//目标进程  
PEPROCESS audiodg = NULL, dwm = NULL;
ULONG op_dat;

//偏移定义  
#define PROCESS_ACTIVE_PROCESS_LINKS_OFFSET 0x188  
#define PROCESS_FLAG_OFFSET 0x440  

//获得EPROCESS  
PEPROCESS GetProcessObjectByName(char *name)
{
	SIZE_T i;
	for (i = 100; i<20000; i += 4)
	{
		NTSTATUS st;
		PEPROCESS ep;
		st = PsLookupProcessByProcessId((HANDLE)i, &ep);
		if (NT_SUCCESS(st))
		{
			char *pn = PsGetProcessImageFileName(ep);
			if (_stricmp(pn, name) == 0)
				return ep;
		}
	}
	return NULL;
}

//摘除双向链表的指定项  
VOID RemoveListEntry(PLIST_ENTRY ListEntry)
{
	KIRQL OldIrql;
	OldIrql = KeRaiseIrqlToDpcLevel();
	if (ListEntry->Flink != ListEntry &&
		ListEntry->Blink != ListEntry &&
		ListEntry->Blink->Flink == ListEntry &&
		ListEntry->Flink->Blink == ListEntry)
	{
		ListEntry->Flink->Blink = ListEntry->Blink;
		ListEntry->Blink->Flink = ListEntry->Flink;
		ListEntry->Flink = ListEntry;
		ListEntry->Blink = ListEntry;
	}
	KeLowerIrql(OldIrql);
}
//隐藏进程  
VOID HideProcess(PEPROCESS Process)
{
	RemoveListEntry((PLIST_ENTRY)((ULONG64)Process + PROCESS_ACTIVE_PROCESS_LINKS_OFFSET));
}

//保护进程  
ULONG ProtectProcess(PEPROCESS Process, BOOLEAN bIsProtect, ULONG v)
{
	ULONG op;
	if (bIsProtect)
	{
		op = *(PULONG)((ULONG64)Process + PROCESS_FLAG_OFFSET);
		*(PULONG)((ULONG64)Process + PROCESS_FLAG_OFFSET) = 0;
		return op;
	}
	else
	{
		*(PULONG)((ULONG64)Process + PROCESS_FLAG_OFFSET) = v;
		return 0;
	}
}

VOID test()
{
	audiodg = GetProcessObjectByName("calc.exe"); DbgPrint("calc: %p\n", audiodg);
	if (audiodg)
	{
		op_dat = ProtectProcess(audiodg, 1, 0);
		ObDereferenceObject(audiodg);
	}
	dwm = GetProcessObjectByName("cmd.exe"); DbgPrint("cmd: %p\n", dwm);
	if (dwm)
	{
		HideProcess(dwm);
		ObDereferenceObject(dwm);
	}
}

2017-11-16 17:32

1