[原创]ring0检测隐藏进程-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]ring0检测隐藏进程

发表于: 2007-5-10 13:28 41839

[原创]ring0检测隐藏进程

堕落天才

2007-5-10 13:28

41839

//网上得到一篇好文章 Ring0下搜索内存枚举隐藏进程，但是拿里面的代码来使用的时候发现并没有太多效果
//于是修改之，终于实现了最初的目标
//由于直接搜索内存,跟系统调度没什么关系,所以能够枚举到各种方法隐藏的进程包括断链、抹PspCidTable...
//甚至能枚举到已经"死掉"的进程,本程序通过进程的ExitTime来判断进程是不是已经结束
//除非能够把EProcess结构修改掉，但这个实现难度可能比较大，不知有没有哪位大侠试过（PID我修改过），欢迎讨论
//
//作者:堕落天才
//时间:2007年5月10日
//参考: uty  Ring0下搜索内存枚举隐藏进程 http://www.cnxhacker.net/Article/show/3412.html
//下面代码在XP SP2测试通过

#include<ntddk.h>

///////////////////////////不同的windows版本下面的偏移值不同
#define  EPROCESS_SIZE    0x25C //EPROCESS结构大小

#define  PEB_OFFSET       0x1B0
#define  FILE_NAME_OFFSET 0x174
#define  PROCESS_LINK_OFFSET 0x088
#define  PROCESS_ID_OFFSET 0x084
#define  EXIT_TIME_OFFSET 0x078

#define  OBJECT_HEADER_SIZE  0x018
#define  OBJECT_TYPE_OFFSET  0x008

#define PDE_INVALID 2
#define PTE_INVALID 1
#define VALID 0

ULONG    pebAddress;       //PEB地址的前半部分
PEPROCESS pSystem;          //system进程
ULONG    pObjectTypeProcess; //进程对象类型

ULONG VALIDpage(ULONG addr) ;  //该函数直接复制自 Ring0下搜索内存枚举隐藏进程
BOOLEAN IsaRealProcess(ULONG i); //该函数复制自 Ring0下搜索内存枚举隐藏进程
VOID WorkThread(IN PVOID pContext);
ULONG GetPebAddress();       //得到PEB地址前半部分
VOID EnumProcess();          //枚举进程
VOID ShowProcess(ULONG pEProcess); //显示结果

VOID OnUnload(IN PDRIVER_OBJECT DriverObject)
{
}
NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath)
{
HANDLE hThread;

DriverObject -> DriverUnload = OnUnload;

pSystem = PsGetCurrentProcess();
pebAddress = GetPebAddress();
pObjectTypeProcess = *(PULONG)((ULONG)pSystem - OBJECT_HEADER_SIZE +OBJECT_TYPE_OFFSET);

PsCreateSystemThread(&hThread,
(ACCESS_MASK)0,
NULL,
(HANDLE)0,
NULL,
WorkThread,
NULL );

return STATUS_SUCCESS;
}
//////////////////////////////////////////////
VOID WorkThread(IN PVOID pContext)
{
EnumProcess();
PsTerminateSystemThread(STATUS_SUCCESS);
}
////////////////////////////////////////////////////////
ULONG  GetPebAddress()
{
ULONG Address;
PEPROCESS pEProcess;

      //由于system进程的peb总是零我们只有到其他进程去找了
pEProcess = (PEPROCESS)((ULONG)((PLIST_ENTRY)((ULONG)pSystem + PROCESS_LINK_OFFSET))->Flink - PROCESS_LINK_OFFSET);
Address = *(PULONG)((ULONG)pEProcess + PEB_OFFSET);

return (Address & 0xFFFF0000);
}
///////////////////////////////////////////////////////
VOID EnumProcess()
{
ULONG  uSystemAddress = (ULONG)pSystem;
ULONG  i;
ULONG  Address;
ULONG  ret;

DbgPrint("-------------------------------------------");
DbgPrint("EProcess PID ImageFileName");
DbgPrint("---------------------------------");

for(i = 0x80000000; i < uSystemAddress; i += 4){//system进程的EPROCESS地址就是最大值了
ret = VALIDpage(i);
if (ret == VALID){
Address = *(PULONG)i;
if (( Address & 0xFFFF0000) == pebAddress){//每个进程的PEB地址都是在差不多的地方，地址前半部分是相同的
if(IsaRealProcess(i)){
ShowProcess(i - PEB_OFFSET);
         i += EPROCESS_SIZE;
}
}
}else if(ret == PTE_INVALID){
i -=4;
i += 0x1000;//4k
}else{
i-=4;
i+= 0x400000;//4mb
}
}

ShowProcess(uSystemAddress);//system的PEB总是零上面的方法是枚举不到的不过我们用PsGetCurrentProcess就能得到了
DbgPrint("-------------------------------------------");

}
/////////////////////////////////////////////////////////
VOID ShowProcess(ULONG pEProcess)
{
PLARGE_INTEGER ExitTime;
ULONG PID;
PUCHAR pFileName;

ExitTime = (PLARGE_INTEGER)(pEProcess + EXIT_TIME_OFFSET);
if(ExitTime->QuadPart != 0) //已经结束的进程的ExitTime为非零
return ;

PID = *(PULONG)(pEProcess + PROCESS_ID_OFFSET);
pFileName = (PUCHAR)(pEProcess + FILE_NAME_OFFSET);

DbgPrint("0x%08X  %04d %s",pEProcess,PID,pFileName);
}
/////////////////////////////////////////////////////////////
ULONG VALIDpage(ULONG addr)
{
ULONG pte;
ULONG pde;

pde = 0xc0300000 + (addr>>22)*4;
if((*(PULONG)pde & 0x1) != 0){
//large page
if((*(PULONG)pde & 0x80) != 0){
return VALID;
}
pte = 0xc0000000 + (addr>>12)*4;
if((*(PULONG)pte & 0x1) != 0){
return VALID;
}else{
return PTE_INVALID;
}
}
return PDE_INVALID;
}
////////////////////////////////////////////////////////////////
BOOLEAN IsaRealProcess(ULONG i)
{
NTSTATUS STATUS;
PUNICODE_STRING pUnicode;
UNICODE_STRING Process;
ULONG pObjectType;
ULONG ObjectTypeAddress;

if (VALIDpage(i- PEB_OFFSET) != VALID){
return FALSE;
}

ObjectTypeAddress = i - PEB_OFFSET - OBJECT_HEADER_SIZE + OBJECT_TYPE_OFFSET ;

if (VALIDpage(ObjectTypeAddress) == VALID){
pObjectType = *(PULONG)ObjectTypeAddress;
}else{
return FALSE;
}

if(pObjectTypeProcess == pObjectType){ //确定ObjectType是Process类型
return TRUE;
}
return FALSE;

}
////////////////////////////////////////////////////////////////////

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・57

免费・7

支持

最新回复 (30) 1 2 ▶
９５２１雪币： 1704 活跃值： (1093) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 70 粉丝 2 关注私信	９５２１ 2 楼坐下来慢慢学习 2007-5-10 13:42 0
qandzjl 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 40 粉丝 0 关注私信	qandzjl 3 楼顶堕落地`````````````` 2007-5-10 13:47 0
SkyJack 雪币： 311 活跃值： (124) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 67 粉丝 0 关注私信	SkyJack 4 楼顶一个,学习ing. 2007-5-10 15:11 0
Losyz 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	Losyz 5 楼给个ntddk.h 吧 2007-5-10 15:47 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 6 楼支持楼主了!!, 没想到今儿被毒叮上了 (VBS代理下载器变种Q(Trojan.DL.VBS.Agent.q Hack.SuspiciousAni),google了下,原是机子有MS06-014漏洞,,现在终于清静了...真好! 2007-5-10 16:50 0
其其雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	其其 7 楼学习咯．支持咯 2007-5-10 22:50 0
riijj 雪币： 2319 活跃值： (565) 能力值： (RANK：300 ) 在线值：发帖 150 回帖 1307 粉丝 10 关注私信	riijj 7 8 楼微软 EPROCESS 就是每个版本不同，使大家不能好好用它 2007-5-11 15:36 0
WinDbg 雪币： 222 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	WinDbg 9 楼 ntddk.h在windows development kits中,要下载Windows DDK 2007-5-11 17:34 0
小喂雪币： 191 活跃值： (41) 能力值： ( LV12，RANK：210 ) 在线值：发帖 19 回帖 89 粉丝 6 关注私信	小喂 5 10 楼你的昵称强啊，小心微软告你！ 2007-5-11 20:02 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 11 楼顶下～学习。。 2007-5-11 21:05 0
仙剑太郎雪币： 214 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 242 粉丝 0 关注私信	仙剑太郎 2 12 楼学习学习... 2007-5-12 16:24 0
其其雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	其其 13 楼请问直接修改ＥＰＲＯＤＥＳＳ结构的Ｏbject，求有没有问题 2007-5-12 23:17 0
Saver 雪币： 538 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 289 粉丝 0 关注私信	Saver 14 楼学习学习 2007-5-13 08:26 0
gegon 雪币： 375 活跃值： (201) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 210 粉丝 0 关注私信	gegon 15 楼收藏慢慢看，虽然现在还看不太懂 2007-5-13 10:16 0
zzwl 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	zzwl 16 楼疯狂的学习中 2007-5-14 10:53 0
Losyz 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	Losyz 17 楼那位哥哥给份编译过的源码给偶吧 2007-5-15 08:50 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 18 楼这个方法不够好～经常会造成卡死～呵呵～一般我们都是搜索整个non page pool区域～不光可以找process,还可以找thread,driverobject,deviceobject,fileobject等等不过特征应该采用pooltag和typeobject的hash来～ 2007-5-15 11:41 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 19 楼另外还有pe imgae搜索大法等呵呵～ 2007-5-15 11:43 0
NaX 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 0 关注私信	NaX 20 楼为什么会卡死呢？我发现所有进程的EProcess结构都是是位于System Idle Process 跟System两个EProcess结构之间(上面程序没有从System Idle Process开始)，这样搜索范围已经很小了，速度应该没什么问题吧？ 2007-5-15 12:20 0
NaX 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 0 关注私信	NaX 21 楼请指教，能说详细点么 2007-5-15 12:22 0
ljseven 雪币： 223 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 29 粉丝 0 关注私信	ljseven 22 楼认真学习 2007-5-15 12:37 0
Losyz 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	Losyz 23 楼晕哦就是没人传个编译过了的源码，我这编译不过 2007-5-16 09:49 0
NaX 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 0 关注私信	NaX 24 楼楼主贴出来的代码就是已经编译通过的，你没安装DDK 当然是编译不了 2007-5-16 10:33 0
Losyz 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	Losyz 25 楼晕 XP DDK和2K DDK我都试过了不行 2007-5-16 11:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

堕落天才

发帖

回帖

410

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (30) 1 2 ▶
９５２１雪币： 1704 活跃值： (1093) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 70 粉丝 2 关注私信	９５２１ 2 楼坐下来慢慢学习 2007-5-10 13:42 0
qandzjl 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 40 粉丝 0 关注私信	qandzjl 3 楼顶堕落地`````````````` 2007-5-10 13:47 0
SkyJack 雪币： 311 活跃值： (124) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 67 粉丝 0 关注私信	SkyJack 4 楼顶一个,学习ing. 2007-5-10 15:11 0
Losyz 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	Losyz 5 楼给个ntddk.h 吧 2007-5-10 15:47 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 6 楼支持楼主了!!, 没想到今儿被毒叮上了 (VBS代理下载器变种Q(Trojan.DL.VBS.Agent.q Hack.SuspiciousAni),google了下,原是机子有MS06-014漏洞,,现在终于清静了...真好! 2007-5-10 16:50 0
其其雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	其其 7 楼学习咯．支持咯 2007-5-10 22:50 0
riijj 雪币： 2319 活跃值： (565) 能力值： (RANK：300 ) 在线值：发帖 150 回帖 1307 粉丝 10 关注私信	riijj 7 8 楼微软 EPROCESS 就是每个版本不同，使大家不能好好用它 2007-5-11 15:36 0
WinDbg 雪币： 222 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	WinDbg 9 楼 ntddk.h在windows development kits中,要下载Windows DDK 2007-5-11 17:34 0
小喂雪币： 191 活跃值： (41) 能力值： ( LV12，RANK：210 ) 在线值：发帖 19 回帖 89 粉丝 6 关注私信	小喂 5 10 楼你的昵称强啊，小心微软告你！ 2007-5-11 20:02 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 11 楼顶下～学习。。 2007-5-11 21:05 0
仙剑太郎雪币： 214 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 242 粉丝 0 关注私信	仙剑太郎 2 12 楼学习学习... 2007-5-12 16:24 0
其其雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	其其 13 楼请问直接修改ＥＰＲＯＤＥＳＳ结构的Ｏbject，求有没有问题 2007-5-12 23:17 0
Saver 雪币： 538 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 289 粉丝 0 关注私信	Saver 14 楼学习学习 2007-5-13 08:26 0
gegon 雪币： 375 活跃值： (201) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 210 粉丝 0 关注私信	gegon 15 楼收藏慢慢看，虽然现在还看不太懂 2007-5-13 10:16 0
zzwl 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	zzwl 16 楼疯狂的学习中 2007-5-14 10:53 0
Losyz 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	Losyz 17 楼那位哥哥给份编译过的源码给偶吧 2007-5-15 08:50 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 18 楼这个方法不够好～经常会造成卡死～呵呵～一般我们都是搜索整个non page pool区域～不光可以找process,还可以找thread,driverobject,deviceobject,fileobject等等不过特征应该采用pooltag和typeobject的hash来～ 2007-5-15 11:41 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 19 楼另外还有pe imgae搜索大法等呵呵～ 2007-5-15 11:43 0
NaX 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 0 关注私信	NaX 20 楼为什么会卡死呢？我发现所有进程的EProcess结构都是是位于System Idle Process 跟System两个EProcess结构之间(上面程序没有从System Idle Process开始)，这样搜索范围已经很小了，速度应该没什么问题吧？ 2007-5-15 12:20 0
NaX 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 0 关注私信	NaX 21 楼请指教，能说详细点么 2007-5-15 12:22 0
ljseven 雪币： 223 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 29 粉丝 0 关注私信	ljseven 22 楼认真学习 2007-5-15 12:37 0
Losyz 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	Losyz 23 楼晕哦就是没人传个编译过了的源码，我这编译不过 2007-5-16 09:49 0
NaX 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 0 关注私信	NaX 24 楼楼主贴出来的代码就是已经编译通过的，你没安装DDK 当然是编译不了 2007-5-16 10:33 0
Losyz 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	Losyz 25 楼晕 XP DDK和2K DDK我都试过了不行 2007-5-16 11:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复