-
-
[原创]进程的攻与“防” ---- 进程隐藏(Win7 x32 绕过PC Hunter)
-
发表于: 2020-5-7 15:57
-
说来惭愧,360一面的时候,面试官问我如何去隐藏一个进程,我说很简单那,从EProcess的ActiveProcessLinks的双向列表中断开就完事了啊,面试官当时也没有提醒我,直到面试完,我自己研究了一下从双向列表中断开,但是发现只能躲过任务管理器的眼睛,但是用PcHunter 还是可以枚举出来的,我自己又试了一下从暴力方式去枚举进程,发现也是枚举出来,这时候我才想到,双向列表的断开,其本质上并没有实现隐藏的隐藏。所以,才有了今天这篇文章。
隐藏,顾名思义就是藏起来,不被别人发现。进程隐藏本质意义上就是把Windows所有相关进程的数据结构中,将目标进程的信息抹去,但进程仍然驻留在内存中,在后台默默运行。
这是最初的版本,我只从双向列表中断开了目标进程的节点,只能绕过任务管理器的研究,无法绕过PcHunter 和暴力枚举的方法。
EProcess 和Ethread 中有很多列表,理解LIST_ENTRY可以试着看一下这幅图
任务管理器中已经没有了相关进程的信息。
但是我暴力枚举还是可以找出clac进程的。
从PcHunter中可以看到隐藏进程
所以这种方法我们只能简单的欺骗一下自己,而不能去欺骗杀软。
经过一些列的思考和学习,发现了可以绕过PC Hunter 的办法,直接上结果。
隐藏之前:
隐藏之后:
其实绕过PcHunter实现隐藏进程也很简单,就是比之前的方法多了几个步骤而已。
从EProcess中的ActiveProcessLinks中断开clac.exe进程信息结点
抹除clac.exe进程的所有线程(直接杀死线程,进程也就不存在了,所有这里是改变线程的父进程信息,以欺骗为目的)
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
|
|
|
|
|
|
|
|
mark,感谢楼主分享
|
|
|
|
|
|
|
|
|
|
|
|
 mark一下
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
楼主的文章在分享自己学习的成果,并记录自己对一些技术细节的理解,但是没有加上学习的参考文献,确实有违技术分享的“江湖规矩”。论坛鼓励大家多多发表自己的学习成果,在论坛分享和记录技术成果才能营造更好的技术氛围,希望大家以后再分享和记录的时候记得加上参考文献及链接。
最后于 2020-6-9 13:13
被KevinsBobo编辑
,原因: 修改错字
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
感谢分享
|
|
|
|
|
|
|
|
|
|
|
|
|
