首页
社区
课程
招聘
[原创]ring0检测隐藏进程
发表于: 2007-5-10 13:28 41841

[原创]ring0检测隐藏进程

2007-5-10 13:28
41841

//网上得到一篇好文章 Ring0下搜索内存枚举隐藏进程 ,但是拿里面的代码来使用的时候发现并没有太多效果
//于是修改之,终于实现了最初的目标
//由于直接搜索内存,跟系统调度没什么关系,所以能够枚举到各种方法隐藏的进程 包括断链、抹PspCidTable...
//甚至能枚举到已经"死掉"的进程,本程序通过进程的ExitTime来判断进程是不是已经结束
//除非能够把EProcess结构修改掉,但这个实现难度可能比较大,不知有没有哪位大侠试过(PID我修改过),欢迎讨论
//
//作者:堕落天才
//时间:2007年5月10日
//参考: uty  Ring0下搜索内存枚举隐藏进程 http://www.cnxhacker.net/Article/show/3412.html
//下面代码在XP SP2测试通过

#include<ntddk.h>

///////////////////////////不同的windows版本下面的偏移值不同
#define  EPROCESS_SIZE       0x25C //EPROCESS结构大小

#define  PEB_OFFSET          0x1B0
#define  FILE_NAME_OFFSET    0x174
#define  PROCESS_LINK_OFFSET 0x088
#define  PROCESS_ID_OFFSET   0x084
#define  EXIT_TIME_OFFSET    0x078

#define  OBJECT_HEADER_SIZE  0x018
#define  OBJECT_TYPE_OFFSET  0x008

#define PDE_INVALID 2
#define PTE_INVALID 1
#define VALID 0

ULONG     pebAddress;         //PEB地址的前半部分
PEPROCESS pSystem;            //system进程
ULONG     pObjectTypeProcess; //进程对象类型

ULONG   VALIDpage(ULONG addr) ;  //该函数直接复制自 Ring0下搜索内存枚举隐藏进程
BOOLEAN IsaRealProcess(ULONG i); //该函数复制自 Ring0下搜索内存枚举隐藏进程
VOID    WorkThread(IN PVOID pContext);
ULONG   GetPebAddress();          //得到PEB地址前半部分
VOID    EnumProcess();            //枚举进程
VOID    ShowProcess(ULONG pEProcess); //显示结果

VOID    OnUnload(IN PDRIVER_OBJECT DriverObject)
{
}
NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath)
{
        HANDLE hThread;

        DriverObject -> DriverUnload = OnUnload;

        pSystem    = PsGetCurrentProcess();
        pebAddress = GetPebAddress();
        pObjectTypeProcess = *(PULONG)((ULONG)pSystem - OBJECT_HEADER_SIZE +OBJECT_TYPE_OFFSET);       

        PsCreateSystemThread(&hThread,
                (ACCESS_MASK)0,
                NULL,
                (HANDLE)0,
                NULL,
                WorkThread,
                NULL );

        return STATUS_SUCCESS;
}
//////////////////////////////////////////////
VOID WorkThread(IN PVOID pContext)
{
        EnumProcess();
        PsTerminateSystemThread(STATUS_SUCCESS);       
}
////////////////////////////////////////////////////////
ULONG  GetPebAddress()
{
        ULONG Address;
        PEPROCESS pEProcess;

        //由于system进程的peb总是零 我们只有到其他进程去找了
        pEProcess = (PEPROCESS)((ULONG)((PLIST_ENTRY)((ULONG)pSystem + PROCESS_LINK_OFFSET))->Flink - PROCESS_LINK_OFFSET);
        Address   = *(PULONG)((ULONG)pEProcess + PEB_OFFSET);

        return (Address & 0xFFFF0000);       
}
///////////////////////////////////////////////////////
VOID EnumProcess()
{
        ULONG  uSystemAddress = (ULONG)pSystem;
        ULONG  i;
        ULONG  Address;
        ULONG  ret;

        DbgPrint("-------------------------------------------");
        DbgPrint("EProcess    PID    ImageFileName");
        DbgPrint("---------------------------------");
       

        for(i = 0x80000000; i < uSystemAddress; i += 4){//system进程的EPROCESS地址就是最大值了
                ret = VALIDpage(i);
                if (ret == VALID){
                        Address = *(PULONG)i;
                        if (( Address & 0xFFFF0000) == pebAddress){//每个进程的PEB地址都是在差不多的地方,地址前半部分是相同的                        
                                if(IsaRealProcess(i)){
                                        ShowProcess(i - PEB_OFFSET);       
           i += EPROCESS_SIZE;                                                               
                                }
                        }
                }else if(ret == PTE_INVALID){
                        i -=4;
                        i += 0x1000;//4k
                }else{
                        i-=4;
                        i+= 0x400000;//4mb
                }
        }

        ShowProcess(uSystemAddress);//system的PEB总是零 上面的方法是枚举不到的 不过我们用PsGetCurrentProcess就能得到了
        DbgPrint("-------------------------------------------");
       
}
/////////////////////////////////////////////////////////
VOID    ShowProcess(ULONG pEProcess)
{
        PLARGE_INTEGER ExitTime;
        ULONG PID;
        PUCHAR pFileName;
       
        ExitTime = (PLARGE_INTEGER)(pEProcess + EXIT_TIME_OFFSET);       
        if(ExitTime->QuadPart != 0) //已经结束的进程的ExitTime为非零
                return ;

        PID = *(PULONG)(pEProcess + PROCESS_ID_OFFSET);
        pFileName = (PUCHAR)(pEProcess + FILE_NAME_OFFSET);

        DbgPrint("0x%08X  %04d   %s",pEProcess,PID,pFileName);
}
/////////////////////////////////////////////////////////////
ULONG VALIDpage(ULONG addr)
{
        ULONG pte;
        ULONG pde;
       
        pde = 0xc0300000 + (addr>>22)*4;
        if((*(PULONG)pde & 0x1) != 0){
                //large page
                if((*(PULONG)pde & 0x80) != 0){
                        return VALID;
                }
                pte = 0xc0000000 + (addr>>12)*4;
                if((*(PULONG)pte & 0x1) != 0){
                        return VALID;
                }else{
                        return PTE_INVALID;
                }
        }
        return PDE_INVALID;
}
////////////////////////////////////////////////////////////////
BOOLEAN IsaRealProcess(ULONG i)
{
        NTSTATUS STATUS;
        PUNICODE_STRING pUnicode;
        UNICODE_STRING Process;
        ULONG pObjectType;
        ULONG ObjectTypeAddress;
       
        if (VALIDpage(i- PEB_OFFSET) != VALID){
                return FALSE;
        }

        ObjectTypeAddress = i - PEB_OFFSET - OBJECT_HEADER_SIZE + OBJECT_TYPE_OFFSET ;
       
        if (VALIDpage(ObjectTypeAddress) == VALID){
                pObjectType = *(PULONG)ObjectTypeAddress;
        }else{
                return FALSE;
        }
       
        if(pObjectTypeProcess == pObjectType){ //确定ObjectType是Process类型
                return TRUE;
        }
        return FALSE;

}
////////////////////////////////////////////////////////////////////


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 7
支持
分享
最新回复 (30)
雪    币: 1704
活跃值: (1093)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
坐下来慢慢学习
2007-5-10 13:42
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
顶堕落地``````````````
2007-5-10 13:47
0
雪    币: 311
活跃值: (124)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
顶一个,学习ing.
2007-5-10 15:11
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
给个ntddk.h 吧
2007-5-10 15:47
0
雪    币: 242
活跃值: (163)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
6
支持楼主了!!,

没想到今儿被毒叮上了 (VBS代理下载器变种Q(Trojan.DL.VBS.Agent.q  Hack.SuspiciousAni),google了下,原是机子有MS06-014漏洞,,现在终于清静了...真好!
2007-5-10 16:50
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
学习咯.
支持咯
2007-5-10 22:50
0
雪    币: 2319
活跃值: (565)
能力值: (RANK:300 )
在线值:
发帖
回帖
粉丝
8
微软 EPROCESS 就是每个版本不同,使大家不能好好用它

2007-5-11 15:36
0
雪    币: 222
活跃值: (21)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
ntddk.h在windows development kits中,要下载Windows DDK
2007-5-11 17:34
0
雪    币: 191
活跃值: (41)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
10
你的昵称强啊,小心微软告你!
2007-5-11 20:02
0
雪    币: 375
活跃值: (12)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
11
顶下~学习。。
2007-5-11 21:05
0
雪    币: 214
活跃值: (70)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
12
学习学习...
2007-5-12 16:24
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
请问直接修改EPRODESS结构的Object,求有没有问题
2007-5-12 23:17
0
雪    币: 538
活跃值: (32)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
学习学习
2007-5-13 08:26
0
雪    币: 375
活跃值: (201)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
收藏慢慢看 ,虽然现在还看不太懂
2007-5-13 10:16
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
疯狂的学习中
2007-5-14 10:53
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
那位哥哥给份编译过的源码给偶吧
2007-5-15 08:50
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
18
这个方法不够好~
经常会造成卡死~

呵呵~一般我们都是搜索整个non page pool区域~
不光可以找process,还可以找thread,driverobject,deviceobject,fileobject等等

不过特征应该采用pooltag和typeobject的hash来~
2007-5-15 11:41
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
19
另外还有pe imgae搜索大法等呵呵~
2007-5-15 11:43
0
雪    币: 218
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
NaX
20
为什么会卡死呢?我发现所有进程的EProcess结构都是是位于System Idle Process 跟System两个EProcess结构之间(上面程序没有从System Idle Process开始),这样搜索范围已经很小了,速度应该没什么问题吧?
2007-5-15 12:20
0
雪    币: 218
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
NaX
21
请指教,能说详细点么
2007-5-15 12:22
0
雪    币: 223
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
认真学习
2007-5-15 12:37
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
晕哦  就是没人传个编译过了的源码,我这编译不过
2007-5-16 09:49
0
雪    币: 218
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
NaX
24
楼主贴出来的代码就是已经编译通过的,你没安装DDK 当然是编译不了
2007-5-16 10:33
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
晕 XP DDK和2K DDK我都试过了不行
2007-5-16 11:51
0
游客
登录 | 注册 方可回帖
返回
//