[原创]任务管理器里隐藏服务名HideSrv-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]任务管理器里隐藏服务名HideSrv

发表于: 2020-4-11 15:31 19073

[原创]任务管理器里隐藏服务名HideSrv

mlgbwoai

2020-4-11 15:31

19073

背景:

前段时间有个需求，一个正规项目需要不考虑杀毒的情况下在任务管理器里隐藏服务名，各位大佬别喷先，声明一点：绝对是正规项目。虽然解释有点尴尬，但是的确是正规项目里有这个需求，不是病毒不是木马。职业操守是有的。不多说了，因为这个需求很容易越描越黑。。。

遥想多年前就隐约的记得做过这么个东西,当时是hook的taskmgr.exe里四个api( EnumServicesStatusA/W/ExA/ExW )和mmc.exe里的EnumServiceGroupW

于是找出代码来往win7下面实验了下，结果还是令人满意的。但是在win8和win10下实验了一下的时候，却发现了问题。结果不行！！！

这一下就麻烦大了，研究点东西资料不多的时候还是很头疼的，最终没结果的时候问了下prochg老大，经过老大指点原来开始走rpc了，有了这个指引点之后

迅速的就想办法hookservices了，这样也方便全部接管，也顺利的定位到了 rpcrt4.dll!NdrClientCall2这个，然后这个是一个变参，不好hook，不过功夫不付有心人,

至于可变参数如何hook不在讨论范围，有兴趣的可以自行搜索一下，还是很有意思的。当hook这个成功之后，又是一个问题，如何注入services.exe.

登录后可查看完整内容

[注意]看雪招聘，专注安全领域的专业人才平台！

上传的附件：

HideSrv.zip （203.26kb，201次下载）

收藏・28

免费・10

支持

赞赏记录

参与人

雪币

留言

时间

東陽不列山

为你点赞！

2025-4-6 01:54

一路南寻

感谢你的贡献，论坛因你而更加精彩！

2024-12-18 03:31

PLEBFE

为你点赞~

2023-1-17 01:54

tian_chen

为你点赞~

2022-8-30 08:31

北门观雪

为你点赞~

2022-2-19 11:03

program杨

为你点赞~

2021-4-4 20:41

leeqwind

为你点赞~

2020-5-4 15:37

放学打我不

为你点赞~

2020-4-28 17:18

HelloWorldPc

为你点赞~

2020-4-16 10:44

xiao小bai白

为你点赞~

2020-4-11 20:40

最新回复 (32)

FiveEyes

雪币： 1002

活跃值： (717)

能力值：

( LV9，RANK：181 )

在线值：

发帖

回帖

粉丝

关注

私信

FiveEyes: 2 楼

2020-4-11 15:39

靴子

雪币： 22

活跃值： (503)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

528

粉丝

关注

私信

靴子: 3 楼

试了下没效果。。win7X64

2020-4-11 15:58

mlgbwoai

雪币： 409

活跃值： (513)

能力值：

( LV6，RANK：81 )

在线值：

发帖

回帖

粉丝

关注

私信

mlgbwoai 1: 4 楼

管理员并重启taskmgr.exe

2020-4-11 16:02

靴子

雪币： 22

活跃值： (503)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

528

粉丝

关注

私信

靴子: 5 楼

重启好用了谢谢分享好像是用SetServiceObjectSecurity实现的。

2020-4-11 16:11

Lixinist

雪币： 9934

活跃值： (2554)

能力值：

( LV6，RANK：87 )

在线值：

发帖

回帖

350

粉丝

关注

私信

Lixinist 1: 6 楼

6次下载，2个人回帖。嗯emmm

最后于 2020-4-11 16:32 被Lixinist编辑，原因：

2020-4-11 16:32

mlgbwoai

雪币： 409

活跃值： (513)

能力值：

( LV6，RANK：81 )

在线值：

发帖

回帖

粉丝

关注

私信

mlgbwoai 1: 7 楼

这下得找雮尘珠解除jj了

2020-4-11 16:36

猪会被杀掉

雪币： 18

活跃值： (1059)

能力值：

( LV7，RANK：110 )

在线值：

发帖

回帖

507

粉丝

关注

私信

猪会被杀掉 1: 8 楼

靴子重启好用了谢谢分享好像是用SetServiceObjectSecurity实现的。 [em_1]

里面是LIB文件。。。。花几分钟凑了段隐藏的代码给伸手党。

2020-4-11 16:54

猪会被杀掉

雪币： 18

活跃值： (1059)

能力值：

( LV7，RANK：110 )

在线值：

发帖

回帖

507

粉丝

关注

私信

猪会被杀掉 1: 9 楼

靴子重启好用了谢谢分享好像是用SetServiceObjectSecurity实现的。 [em_1]

#include <windows.h>
#include <stdio.h>
#include <AccCtrl.h>
#include <sddl.h>
#include <aclapi.h>
#include "HideSrv.h"
BOOL AdjustAccessRights(char *lpszServiceName)
{
  BOOL bDaclPresent = FALSE;
  BOOL bDaclDefaulted = FALSE;
  SC_HANDLE schManager = NULL;
  SC_HANDLE schService = NULL;
  PACL pacl = NULL;
  PACL pnewacl = NULL;
  EXPLICIT_ACCESS exa;
  DWORD dwSize = 0;
  DWORD code = ERROR_SUCCESS;
  SECURITY_DESCRIPTOR sd;
  PSECURITY_DESCRIPTOR psdesc = NULL;
  BOOL bError = FALSE;
  memset(&exa, 0, sizeof(exa));
  memset(&sd, 0, sizeof(sd));
  schManager = OpenSCManager(NULL, NULL, SC_MANAGER_CONNECT);
  if (!schManager)
  {
    bError = TRUE;
  }
  if (!bError)
  {
    schService = OpenService(schManager, lpszServiceName, READ_CONTROL | WRITE_DAC);
    if (!schService)
 
    {
      bError = TRUE;
    }
  }
  if (!bError)
  {
    if (!QueryServiceObjectSecurity(schService, DACL_SECURITY_INFORMATION, &sd, 0, &dwSize))
    {
      if (GetLastError() == ERROR_INSUFFICIENT_BUFFER)
      {
        psdesc = (PSECURITY_DESCRIPTOR)HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, dwSize);
        if (psdesc == NULL)
        {
          bError = TRUE;
        }
        if (!QueryServiceObjectSecurity(schService, DACL_SECURITY_INFORMATION, psdesc, dwSize, &dwSize))
        {
          bError = TRUE;
        }
      }
      else {
        bError = TRUE;
      }
    }
  }
  if (!bError)
  {
    wchar_t         sddl[] = L"D:(D;;DCWPDTSD;;;IU)(D;;DCWPDTSD;;;SU)(D;;DCWPDTSD;;;BA)(A;;CCSWLOCRRC;;;IU)(A;;CCSWLOCRRC;;;SU)(A;;CCSWRPWPDTLOCRRC;;;SY)(A;;CCDCSWRPWPDTLOCRSDRCWDWO;;;BA)";
    PSECURITY_DESCRIPTOR    sd = nullptr;
    DWORD           SecurityDescriptorSize = 0;
    if (!ConvertStringSecurityDescriptorToSecurityDescriptorW(sddl, SDDL_REVISION_1, &sd, &SecurityDescriptorSize))
    {
    }
    if (!SetServiceObjectSecurity(schService, DACL_SECURITY_INFORMATION, sd))
    {
      bError = TRUE;
    }
  }
  if (pnewacl)
  {
    LocalFree(pnewacl);
  }
  if (psdesc)
  {
    HeapFree(GetProcessHeap(), 0, psdesc);
  }
  if (schService)
  {
    CloseServiceHandle(schService);
  }
  if (schManager)
  {
    CloseServiceHandle(schManager);
  }
  return(bError);
}
int main()
{
  printf("hide ret = %d\n", AdjustAccessRights("wmiApSrv"));
  return(0);
}