首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[转帖]震惊支持XP-win10的进程隐藏居然是
发表于: 2019-10-30 14:37 11036

[转帖]震惊支持XP-win10的进程隐藏居然是

cavan 活跃值
2019-10-30 14:37
11036
先上图



驱动执行完毕以后:
任务管理器和工具上的进程都不见了,那么他到底去哪里了呢?



对没错把名字抹掉了,别人都是写个别的进程的名字因为我懒所以直接写空
上代码

BOOLEAN PathSeAuditProcessCreationInfo(PEPROCESS Process, WCHAR* ProcessName){

    PUNICODE_STRING Name ;

    PUNICODE_STRING SelocateName;


SeLocateProcessImageName(Process, &SelocateName);

    ExFreePool(SelocateName);

    Name = (PUNICODE_STRING)(*(PULONG_PTR)((ULONG_PTR)Process + 0x468));//+0x468 SeAuditProcessCreationInfo

    if ((wcslen(ProcessName) * 2) > Name->Length)

    {

        return FALSE;

    }

    RtlZeroMemory(Name->Buffer, Name->MaximumLength);

    RtlCopyMemory(Name->Buffer, ProcessName, wcslen(ProcessName) * 2);

    Name->Length = wcslen(ProcessName) * 2;

    return TRUE;

}


对应结构体中

BOOLEAN PathImageFileName(PEPROCESS Process, char* cName)

{

    char    szNameBuff[15] = { 0 };

    UCHAR* szProcessBuff = NULL;

    size_t  cNamelen = 0;

    cNamelen = strlen(cName);

    RtlZeroMemory(szNameBuff, sizeof(szNameBuff));

    if (cNamelen > 15)

        RtlCopyMemory(szNameBuff, cName, sizeof(szNameBuff));

    else

        RtlCopyMemory(szNameBuff, cName, cNamelen);

    szProcessBuff = PsGetProcessImageFileName(Process);

    RtlZeroMemory(szProcessBuff, sizeof(szNameBuff));

    RtlCopyMemory(szProcessBuff, szNameBuff, sizeof(szNameBuff));

    return TRUE;

}




bool Win10ImageNamePoint(PEPROCESS Process, WCHAR* szFullName)

{

    BOOLEAN bRet ;

    PFILE_OBJECT pFileObject ;

    WCHAR* szNewFullName = NULL;

    szNewFullName = static_cast<WCHAR*>( ExAllocatePool(NonPagedPool, MAX_PATH * 2));

    RtlZeroMemory(szNewFullName, MAX_PATH * 2);

    pFileObject = (PFILE_OBJECT)(*(PULONG_PTR)((ULONG_PTR)Process + 0x448)); //+0x448 ImageFilePointer 

    if (pFileObject->FileName.Length >= wcslen(szFullName) * 2)

    {

        RtlZeroMemory(pFileObject->FileName.Buffer, pFileObject->FileName.MaximumLength);

        RtlCopyMemory(pFileObject->FileName.Buffer, szFullName, wcslen(szFullName) * 2);

        pFileObject->FileName.Length = wcslen(szFullName) * 2;

        ExFreePool(szNewFullName);

        bRet = TRUE;

    }

    else

    {

        RtlCopyMemory(szNewFullName, szFullName, wcslen(szFullName) * 2);

        pFileObject->FileName.Buffer = szNewFullName;

        pFileObject->FileName.Length = wcslen(szFullName) * 2;

        pFileObject->FileName.MaximumLength = MAX_PATH * 2;

        bRet = TRUE;

    }

    return bRet;

}



这个结构体成员似乎只有win10 才有

还有很重要的一步

VOID modifyProcessUniqueProcessId(PEPROCESS Process)
{
    PVOID64 UnProcessID;
    PVOID64 InFromUnProceesID;
    ULONGLONG Upid = 4;
    ULONGLONG InFromPid = 0;
    UnProcessID =(PULONG_PTR)((ULONGLONG)Process + 0x2e8);//+0x2e8 UniqueProcessId
    RtlCopyMemory(UnProcessID, &Upid, sizeof(ULONGLONG));
    InFromUnProceesID = (PULONG_PTR)((ULONGLONG)Process + 0x3e8); //+0x3e8 InheritedFromUniqueProcessId
    RtlCopyMemory(InFromUnProceesID, &InFromPid, sizeof(ULONGLONG));
    return ;
}



BOOLEAN checkProcessModify(HANDLE pid)

{

    PEPROCESS Process = NULL;

    NTSTATUS status = PsLookupProcessByProcessId((HANDLE)pid, &Process);

    if (!NT_SUCCESS(status))

    {

        return FALSE;

    }

    PathImageFileName(Process, "svchost.exe");

    PathWin10ImageNamePoint(Process, L" ");

    PathSeAuditProcessCreationInfo(Process, L" ");

    modifyProcessUniqueProcessId(Process);

    ObDereferenceObject(Process);

    return TRUE;

}



附上windbg的效果图

对了似乎还有3环的PEB结构中的三个链条没断,那个三环就可以做.
原帖地址:https://www.52pojie.cn/thread-1045845-1-1.html

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (13)
fengyunabc
雪    币: 3700
活跃值: (3817)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
2
感谢分享!
2019-10-30 15:18
0
hzqst
雪    币: 12848
活跃值: (9108)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
3
@skill 山总有人偷你思路
2019-10-30 21:07
0
mb_qkotfqiz
雪    币: 347
活跃值: (44)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
这种方法对进程兼容性太差,如果对游戏进程用这种方法,绝对奔溃。
2019-10-30 21:36
0
mb_qkotfqiz
雪    币: 347
活跃值: (44)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
驱动爆搜内存,尤其是易语言挂B,特征码特别多一搜一个准,随便你用什么驱动隐藏。
2019-10-30 21:47
0
黑洛
雪    币: 6124
活跃值: (4471)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
私信
6
@skill 山总有人偷你思路
2019-10-31 04:35
0
放学打我不
雪    币: 4006
活跃值: (631)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
7
难顶
2019-10-31 17:08
0
mydvdf
雪    币: 711
活跃值: (253)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
这是我偷山总和猪大的,为了证明自己会点驱动而写的,你这转载的,难道不扣雪币的吗?而且我本意是为了发个求职贴,不过看起来似乎并没有那么简单。
最后于 2019-11-1 09:27 被mydvdf编辑 ,原因:
2019-11-1 09:14
0
白菜大哥
雪    币: 12502
活跃值: (3048)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
9
mb_qkotfqiz 驱动爆搜内存,尤其是易语言挂B,特征码特别多一搜一个准,随便你用什么驱动隐藏。
山总的意思。。只要搜到易语言程序不管你干啥,就封号?牛批!正在学易语言的我瑟瑟发抖。
2019-11-1 13:33
0
mb_qkotfqiz
雪    币: 347
活跃值: (44)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
白菜大哥 山总的意思。。只要搜到易语言程序不管你干啥,就封号?牛批!正在学易语言的我瑟瑟发抖。
你说对了,腾讯就是这么干的
2019-11-1 15:38
0
YZJClear
雪    币: 1187
活跃值: (405)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
mark
2020-1-24 01:52
0
Jason姚
雪    币: 683
活跃值: (622)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
莫名喜感
2020-5-13 14:52
0
Jason姚
雪    币: 683
活跃值: (622)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
能不能把Path改成Patch,看着太难受了。
2020-5-13 15:05
0
大佬求关照
雪    币: 6
活跃值: (546)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14

楼主为什么WIN7 x64 SeAuditProcessCreationInfo 为0。。。。

2020-11-30 22:51
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//