[讨论]IceSword 的隐藏进程检测技术-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]IceSword 的隐藏进程检测技术

发表于: 2008-3-22 18:45 13021

[讨论]IceSword 的隐藏进程检测技术

zhtjia

2008-3-22 18:45

13021

最近学习句柄的一些底层原理,想做个隐藏进程的驱动

断了EPROCESS和HandleTable链,抹了PspCidTable和csrss.exe的句柄表,但还是会被IceSword和RKU检测到,就想问下各位大牛了,它到底是通过什么检测隐藏进程的?

先谢过.

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#系统底层

收藏・6

免费・0

支持

最新回复 (21)
youngbean 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	youngbean 2 楼这你就要问问PJF本人了检测隐藏进程的流程如下：1.常规方法枚举进程，得到进程信息；2.定位所有EPROCESS，取出进程信息；3，比较，找出隐藏进程核心问题：定位EPROCESS ：：：：：MmProcessLinks会枚举出完整的EPROCESS残像你看过这两篇文章吗： http://safe.zol.com.cn/2005/0427/167328.shtml http://hi.baidu.com/gz1x/blog/item/487fc4cae9666945f31fe759.html http://bbs.pediy.com/showthread.php?t=59680 新发现icesword 是如何列出隐藏进程的 2008-3-22 20:14 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 3 楼呵呵,不用这么夸张吧.... 2008-3-22 20:32 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 4 楼传闻是SwapContext 2008-3-22 20:54 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 5 楼先看看,谢谢forgot 2008-3-22 21:03 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 6 楼晕死,貌似不是KiSwapContext 没开IceSword的: lkd> u KiSwapContext nt!KiSwapContext: 80541bd4 83ec10 sub esp,10h 80541bd7 895c240c mov dword ptr [esp+0Ch],ebx 80541bdb 89742408 mov dword ptr [esp+8],esi 80541bdf 897c2404 mov dword ptr [esp+4],edi 80541be3 892c24 mov dword ptr [esp],ebp 80541be6 8b1d1cf0dfff mov ebx,dword ptr ds:[0FFDFF01Ch] 80541bec 8bf1 mov esi,ecx 80541bee 8bbb24010000 mov edi,dword ptr [ebx+124h] 开了IceSword: lkd> u KiSwapContext nt!KiSwapContext: 80541bd4 83ec10 sub esp,10h 80541bd7 895c240c mov dword ptr [esp+0Ch],ebx 80541bdb 89742408 mov dword ptr [esp+8],esi 80541bdf 897c2404 mov dword ptr [esp+4],edi 80541be3 892c24 mov dword ptr [esp],ebp 80541be6 8b1d1cf0dfff mov ebx,dword ptr ds:[0FFDFF01Ch] 80541bec 8bf1 mov esi,ecx 80541bee 8bbb24010000 mov edi,dword ptr [ebx+124h] 2008-3-22 21:30 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 7 楼这个问题，05年底的时候驱动论坛上就搞过挑战赛，是请pjf当裁判的，最后好像没有非常好的方法。其实就是有好方法，pjf完全可以在下一版升级啊。没有最牛，只有更牛啊！ 2008-3-23 10:54 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 8 楼暴力搜索内存....... 也就是没法隐藏了??? RK和ARK的决斗到此结束了吗????? 2008-3-23 21:03 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 9 楼 V大的Page Hook 大法 2008-3-23 21:19 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 10 楼素大米,能否详细说一下呢...... 2008-3-23 21:42 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 11 楼 V大没爆料，偶也不晓得啊 2008-3-23 22:56 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 12 楼我猜就是改PTE，然后hook int 2e 2008-3-24 12:46 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 13 楼那到底是怎么个改法,大牛能否说下, 2008-3-24 13:22 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 14 楼好像不是,我Hook了NtLoadDriver,禁止了IceSword驱动的加载但是还能列出我用上面的方法隐藏的进程,郁闷了... 还希望各位大牛指点一二 2008-3-24 17:22 0
zw111_2001 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	zw111_2001 15 楼在线程调度抢占的的时候会调用KiReadyThread，它的原型为： VOID FASTCALL KiReadyThread (IN PRKTHREAD Thread)；在进入KiReadyThread 时，ecx指向Thread。所以完全可以Hook KiReadyThread 然后用ecx的值得到当前线程的进程信息。把KiReadyThread Hook住应该能检测到用你的方法隐藏的进程。 Fix Me 2008-3-24 18:02 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 16 楼 LS说得有道理,有必要试试... 2008-3-24 18:08 0
zw111_2001 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	zw111_2001 17 楼另外这篇文章也能参考一下，虽然很短 http://www.98exe.net/Article/a/2007-02-06/2104.html 2008-3-24 18:26 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 18 楼先谢谢zw111_2001 还有一个问题.它既然没用驱动,怎么Hook KiReadyThread呢? 2008-3-24 18:32 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 19 楼看了下那篇文章,现在版本的IceSword好像不仅仅这么简单了 2008-3-24 18:35 0
zw111_2001 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	zw111_2001 20 楼呵呵，你怎么就知道他没有驱动？ icesword.exe 在执行的时候会放出一个驱动程序 ispubdrv.sys，icesword.exe 装载这个驱动，这个驱动安装后就不会卸载。直到系统重新启动。还有，我没说icesword.exe 是通过Hook KiReadyThread来工作的，我只是从理论上这么分析而已，你可以这么试试，inline hook一把就行了。 2008-3-24 18:58 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 21 楼我Hook了NtLoadDriver呀......... 好的,我再试试 2008-3-24 19:08 0
yykingking 雪币： 210 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	yykingking 1 22 楼 http://hi.baidu.com/isreverse lz可以看一下这个简单的分析~ 2008-3-26 21:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

zhtjia

发帖

232

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
youngbean 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	youngbean 2 楼这你就要问问PJF本人了检测隐藏进程的流程如下：1.常规方法枚举进程，得到进程信息；2.定位所有EPROCESS，取出进程信息；3，比较，找出隐藏进程核心问题：定位EPROCESS ：：：：：MmProcessLinks会枚举出完整的EPROCESS残像你看过这两篇文章吗： http://safe.zol.com.cn/2005/0427/167328.shtml http://hi.baidu.com/gz1x/blog/item/487fc4cae9666945f31fe759.html http://bbs.pediy.com/showthread.php?t=59680 新发现icesword 是如何列出隐藏进程的 2008-3-22 20:14 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 3 楼呵呵,不用这么夸张吧.... 2008-3-22 20:32 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 4 楼传闻是SwapContext 2008-3-22 20:54 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 5 楼先看看,谢谢forgot 2008-3-22 21:03 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 6 楼晕死,貌似不是KiSwapContext 没开IceSword的: lkd> u KiSwapContext nt!KiSwapContext: 80541bd4 83ec10 sub esp,10h 80541bd7 895c240c mov dword ptr [esp+0Ch],ebx 80541bdb 89742408 mov dword ptr [esp+8],esi 80541bdf 897c2404 mov dword ptr [esp+4],edi 80541be3 892c24 mov dword ptr [esp],ebp 80541be6 8b1d1cf0dfff mov ebx,dword ptr ds:[0FFDFF01Ch] 80541bec 8bf1 mov esi,ecx 80541bee 8bbb24010000 mov edi,dword ptr [ebx+124h] 开了IceSword: lkd> u KiSwapContext nt!KiSwapContext: 80541bd4 83ec10 sub esp,10h 80541bd7 895c240c mov dword ptr [esp+0Ch],ebx 80541bdb 89742408 mov dword ptr [esp+8],esi 80541bdf 897c2404 mov dword ptr [esp+4],edi 80541be3 892c24 mov dword ptr [esp],ebp 80541be6 8b1d1cf0dfff mov ebx,dword ptr ds:[0FFDFF01Ch] 80541bec 8bf1 mov esi,ecx 80541bee 8bbb24010000 mov edi,dword ptr [ebx+124h] 2008-3-22 21:30 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 7 楼这个问题，05年底的时候驱动论坛上就搞过挑战赛，是请pjf当裁判的，最后好像没有非常好的方法。其实就是有好方法，pjf完全可以在下一版升级啊。没有最牛，只有更牛啊！ 2008-3-23 10:54 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 8 楼暴力搜索内存....... 也就是没法隐藏了??? RK和ARK的决斗到此结束了吗????? 2008-3-23 21:03 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 9 楼 V大的Page Hook 大法 2008-3-23 21:19 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 10 楼素大米,能否详细说一下呢...... 2008-3-23 21:42 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 11 楼 V大没爆料，偶也不晓得啊 2008-3-23 22:56 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 12 楼我猜就是改PTE，然后hook int 2e 2008-3-24 12:46 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 13 楼那到底是怎么个改法,大牛能否说下, 2008-3-24 13:22 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 14 楼好像不是,我Hook了NtLoadDriver,禁止了IceSword驱动的加载但是还能列出我用上面的方法隐藏的进程,郁闷了... 还希望各位大牛指点一二 2008-3-24 17:22 0
zw111_2001 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	zw111_2001 15 楼在线程调度抢占的的时候会调用KiReadyThread，它的原型为： VOID FASTCALL KiReadyThread (IN PRKTHREAD Thread)；在进入KiReadyThread 时，ecx指向Thread。所以完全可以Hook KiReadyThread 然后用ecx的值得到当前线程的进程信息。把KiReadyThread Hook住应该能检测到用你的方法隐藏的进程。 Fix Me 2008-3-24 18:02 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 16 楼 LS说得有道理,有必要试试... 2008-3-24 18:08 0
zw111_2001 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	zw111_2001 17 楼另外这篇文章也能参考一下，虽然很短 http://www.98exe.net/Article/a/2007-02-06/2104.html 2008-3-24 18:26 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 18 楼先谢谢zw111_2001 还有一个问题.它既然没用驱动,怎么Hook KiReadyThread呢? 2008-3-24 18:32 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 19 楼看了下那篇文章,现在版本的IceSword好像不仅仅这么简单了 2008-3-24 18:35 0
zw111_2001 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	zw111_2001 20 楼呵呵，你怎么就知道他没有驱动？ icesword.exe 在执行的时候会放出一个驱动程序 ispubdrv.sys，icesword.exe 装载这个驱动，这个驱动安装后就不会卸载。直到系统重新启动。还有，我没说icesword.exe 是通过Hook KiReadyThread来工作的，我只是从理论上这么分析而已，你可以这么试试，inline hook一把就行了。 2008-3-24 18:58 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 21 楼我Hook了NtLoadDriver呀......... 好的,我再试试 2008-3-24 19:08 0
yykingking 雪币： 210 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	yykingking 1 22 楼 http://hi.baidu.com/isreverse lz可以看一下这个简单的分析~ 2008-3-26 21:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复