[原创]科普之三招隐藏进程-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]科普之三招隐藏进程

发表于: 2008-9-20 11:58 43505

[原创]科普之三招隐藏进程

cooldiyer

2008-9-20 11:58

43505

先从活动进程链表中摘除擦除PspCidTable中对应的Object 再擦除Csrss进程中那份表
擦除HandleTable表用了一些技巧,不用亲自操作三层表,不是网上流传的方法,具体请看代码......

使用的时候直接HideProcessById(HIDE_PID)就行了
偶这只菜鸟的学习总结,牛们不要BS,我会超过你们的.很快

ProcessHide.h

#ifndef __PROCESSHIDE_H__
#define __PROCESSHIDE_H__

#ifdef __cplusplus
extern "C" {
#endif

#include <ntddk.h>

/*
 使用之前请先调用InitializeCommonVariables初始化全局变量
*/

typedef struct _HANDLE_TABLE_ENTRY {
	
    //
    //  The pointer to the object overloaded with three ob attributes bits in
    //  the lower order and the high bit to denote locked or unlocked entries
    //
	
    union {
		
        PVOID Object;
		
        ULONG ObAttributes;
    };
	
    //
    //  This field either contains the granted access mask for the handle or an
    //  ob variation that also stores the same information.  Or in the case of
    //  a free entry the field stores the index for the next free entry in the
    //  free list.  This is like a FAT chain, and is used instead of pointers
    //  to make table duplication easier, because the entries can just be
    //  copied without needing to modify pointers.
    //
	
    union {
		
        union {
			
            ACCESS_MASK GrantedAccess;
			
            struct {
				
                USHORT GrantedAccessIndex;
                USHORT CreatorBackTraceIndex;
            };
        };
		
        LONG NextFreeTableEntry;
    };
	
} HANDLE_TABLE_ENTRY, *PHANDLE_TABLE_ENTRY;

typedef struct _HANDLE_TABLE {
	
    //
    //  A set of flags used to denote the state or attributes of this
    //  particular handle table
    //
	
    ULONG Flags;
	
    //
    //  The number of handle table entries in use.
    //
	
    LONG HandleCount;
	
    //
    //  A pointer to the top level handle table tree node.
    //
	
    PHANDLE_TABLE_ENTRY **Table;
	
    //
    //  The process who is being charged quota for this handle table and a
    //  unique process id to use in our callbacks
    //
	
    struct _EPROCESS *QuotaProcess;
    HANDLE UniqueProcessId;
	
    //
    //  This is a singly linked list of free table entries.  We don't actually
    //  use pointers, but have each store the index of the next free entry
    //  in the list.  The list is managed as a lifo list.  We also keep track
    //  of the next index that we have to allocate pool to hold.
    //
	
    LONG FirstFreeTableEntry;
    LONG NextIndexNeedingPool;
	
    //
    //  This is the lock used to protect the fields in the record, and the
    //  handle table tree in general.  Individual handle table entries that are
    //  not free have their own lock
    //
	
    ERESOURCE HandleTableLock;
	
    //
    //  The list of global handle tables.  This field is protected by a global
    //  lock.
    //
	
    LIST_ENTRY HandleTableList;
	
    //
    //  The following field is used to loosely synchronize thread contention
    //  on a handle.  If a thread wants to wait for a handle to be unlocked
    //  it will wait on this event with a short timeout.  Any handle unlock
    //  operation will pulse this event if there are threads waiting on it
    //
	
    KEVENT HandleContentionEvent;
} HANDLE_TABLE, *PHANDLE_TABLE;	

typedef BOOLEAN (*EX_ENUMERATE_HANDLE_ROUTINE)(
	IN PHANDLE_TABLE_ENTRY HandleTableEntry,
	IN HANDLE Handle,
	IN PVOID EnumParameter
	);

typedef BOOLEAN (*__ExEnumHandleTable)(
	IN PHANDLE_TABLE HandleTable,
	IN EX_ENUMERATE_HANDLE_ROUTINE EnumHandleProcedure,
	IN PVOID EnumParameter,
	OUT PHANDLE Handle OPTIONAL
	);

NTSTATUS
GetPspCidTable(
	OUT PHANDLE_TABLE* ppPspCidTable
	);

BOOLEAN
EnumHandleCallback(
	IN PHANDLE_TABLE_ENTRY HandleTableEntry,
	IN HANDLE Handle,
	IN OUT PVOID EnumParameter
	);

NTSTATUS
EraseObjectFromHandleTable(
	PHANDLE_TABLE pHandleTable,
	IN HANDLE ProcessId
	);

NTSTATUS
RemoveNodeFromActiveProcessLinks(
	IN HANDLE ProcessId
	);

NTSTATUS
HideProcessById(
	IN HANDLE ProcessId
	);

NTSTATUS
InitializeCommonVariables(
	);

NTSTATUS
GetProcessNameOffset(
	OUT PULONG	Offset OPTIONAL
	);

NTSTATUS
LookupProcessByName(
	IN PCHAR pcProcessName,
	OUT PEPROCESS *Process
	);
#ifdef __cplusplus
} // extern "C"
#endif

#endif // __PROCESSHIDE_H__

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

ProcessHide.rar （6.12kb，643次下载）

收藏・50

免费・7

支持

最新回复 (38) 1 2 ▶
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 2 楼细细的看一下，谢谢 2008-9-20 13:47 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 3 楼抄N久前的fu的代码,有啥意思... 我看不出有哪里是在创新. 2008-9-20 18:15 0
haras 雪币： 342 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 93 粉丝 0 关注私信	haras 4 楼偶这只菜鸟的学习总结,牛们不要BS,我会超过你们的.很快特喜欢LZ的精神,支持 2008-9-20 19:38 0
cooldiyer 雪币： 232 活跃值： (15) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 14 粉丝 1 关注私信	cooldiyer 1 5 楼三楼的睁大眼看清了fu是怎么擦除表的，一群忘了自己是吃奶长大的孩子，无语 2008-9-20 20:24 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 6 楼当我没说过. 老技术,炒剩饭, 膜拜的膜拜去, 我路过顺便废话几句. 无价值. 2008-9-20 20:27 0
loqich 雪币： 952 活跃值： (1821) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 7 楼好好看了下别的地方有但绝不是抄futo的擦Csrss测试无效 2008-9-20 20:41 0
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 12 关注私信	北极星2003 25 8 楼论坛作为技术交流平台，成员能够把自己的学习心得，以及自己认为有价值的东西，拿出来与大家分享，这是交流平台的核心价值所在。有机会的话让sudami多爆点料:) 2008-9-21 02:17 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 9 楼为什么不用ExDestroyHandle来清理那些表呢～更方面了～ 2008-9-21 11:36 0
yangjt 雪币： 609 活跃值： (237) 能力值： ( LV12，RANK：441 ) 在线值：发帖 51 回帖 459 粉丝 1 关注私信	yangjt 10 10 楼方便，方面，打个标记细细看 2008-9-21 18:16 0
netwind 雪币： 10715 活跃值： (3252) 能力值： (RANK：520 ) 在线值：发帖 86 回帖 844 粉丝 26 关注私信	netwind 13 11 楼 cooldiyer 闭关修炼出山了? 加油! 2008-9-21 20:41 0
小子贼野雪币： 347 活跃值： (25) 能力值： ( LV9，RANK：420 ) 在线值：发帖 25 回帖 891 粉丝 0 关注私信	小子贼野 10 12 楼不知道什么方法对sudami有用，激将法应该还不错吧，或者激怒他 2008-9-21 21:06 0
cooldiyer 雪币： 232 活跃值： (15) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 14 粉丝 1 关注私信	cooldiyer 1 13 楼 ExDestroyHandle需要定位,不同操作系统差别很大,ExDestroyHandle也是通过ExpLookupHandleTableEntry枚举表的,所以还是ExEnumHandleTable通用,简单. 2008-9-21 22:02 0
网上勇士雪币： 203 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 41 粉丝 0 关注私信	网上勇士 14 楼猛地一看，确实象几年前的代码，但仔细看还是不一样的。 sudami估计没有仔细看。 2008-9-23 22:02 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 15 楼谢谢LZ的热心分享.... 2008-9-24 08:09 0
xianboabcd 雪币： 474 活跃值： (96) 能力值： ( LV3，RANK：20 ) 在线值：发帖 16 回帖 125 粉丝 0 关注私信	xianboabcd 16 楼学习！学习！ 2008-9-26 09:21 0
qqchunming 雪币： 130 活跃值： (33) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 50 粉丝 0 关注私信	qqchunming 1 17 楼支持楼主的精神和谐社会，谦虚点会更好，技术没先没后，暂时领先，同在一个屋檐下，说不定哪天别人就超过你 2008-9-28 16:50 0
雪的思念雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 47 粉丝 0 关注私信	雪的思念 18 楼谢谢分享，有机会学习一下，目前还是看不懂这个C++的代码，小菜菜一个，先学习去了 2008-10-1 10:20 0
TGOS 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	TGOS 19 楼。。。。。。。。。。。。。。。。路过其实隐藏进程差不多就那几种方法，看怎么实现而已 2008-10-1 16:05 0
gdlian 雪币： 197 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 40 回帖 196 粉丝 0 关注私信	gdlian 20 楼自己编译出现很多错误，懒得一一修改了.. 2008-10-3 00:01 0
莽莽雪币： 179 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 120 粉丝 0 关注私信	莽莽 21 楼留名，正在准备仔细看 2008-10-26 22:13 0
小呆呆雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	小呆呆 22 楼谢谢楼主！！ 2008-12-14 16:39 0
dnybz 雪币： 66 活跃值： (950) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 23 楼还请楼主放出个完整的例子编译中有错误 2009-3-1 00:01 0
痞子辉雪币： 308 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 231 粉丝 0 关注私信	痞子辉 1 24 楼支持楼主，许多人就会BS别人，目前这些资源在国内很少，所以一定要支持！！！！强留支持楼主！！！！ 2009-3-1 00:19 0
vfdn 雪币： 124 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	vfdn 25 楼编译出错一大堆呀。楼主快看看吧 2009-4-6 23:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cooldiyer

发帖

回帖

RANK

关注

私信

他的文章

[讨论]诡异的DLL文件 4627
[原创]编程中多叉树的使用和遍历 10757
[原创]科普之三招隐藏进程 43506
[原创]ring3 & ring0 通用InlineHook代码(修补) 12533
IDA 5.0在xp sp2下无法打开 3766

关于我们

联系我们

企业服务

看雪公众号

最新回复 (38) 1 2 ▶
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 2 楼细细的看一下，谢谢 2008-9-20 13:47 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 3 楼抄N久前的fu的代码,有啥意思... 我看不出有哪里是在创新. 2008-9-20 18:15 0
haras 雪币： 342 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 93 粉丝 0 关注私信	haras 4 楼偶这只菜鸟的学习总结,牛们不要BS,我会超过你们的.很快特喜欢LZ的精神,支持 2008-9-20 19:38 0
cooldiyer 雪币： 232 活跃值： (15) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 14 粉丝 1 关注私信	cooldiyer 1 5 楼三楼的睁大眼看清了fu是怎么擦除表的，一群忘了自己是吃奶长大的孩子，无语 2008-9-20 20:24 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 6 楼当我没说过. 老技术,炒剩饭, 膜拜的膜拜去, 我路过顺便废话几句. 无价值. 2008-9-20 20:27 0
loqich 雪币： 952 活跃值： (1821) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 7 楼好好看了下别的地方有但绝不是抄futo的擦Csrss测试无效 2008-9-20 20:41 0
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 12 关注私信	北极星2003 25 8 楼论坛作为技术交流平台，成员能够把自己的学习心得，以及自己认为有价值的东西，拿出来与大家分享，这是交流平台的核心价值所在。有机会的话让sudami多爆点料:) 2008-9-21 02:17 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 9 楼为什么不用ExDestroyHandle来清理那些表呢～更方面了～ 2008-9-21 11:36 0
yangjt 雪币： 609 活跃值： (237) 能力值： ( LV12，RANK：441 ) 在线值：发帖 51 回帖 459 粉丝 1 关注私信	yangjt 10 10 楼方便，方面，打个标记细细看 2008-9-21 18:16 0
netwind 雪币： 10715 活跃值： (3252) 能力值： (RANK：520 ) 在线值：发帖 86 回帖 844 粉丝 26 关注私信	netwind 13 11 楼 cooldiyer 闭关修炼出山了? 加油! 2008-9-21 20:41 0
小子贼野雪币： 347 活跃值： (25) 能力值： ( LV9，RANK：420 ) 在线值：发帖 25 回帖 891 粉丝 0 关注私信	小子贼野 10 12 楼不知道什么方法对sudami有用，激将法应该还不错吧，或者激怒他 2008-9-21 21:06 0
cooldiyer 雪币： 232 活跃值： (15) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 14 粉丝 1 关注私信	cooldiyer 1 13 楼 ExDestroyHandle需要定位,不同操作系统差别很大,ExDestroyHandle也是通过ExpLookupHandleTableEntry枚举表的,所以还是ExEnumHandleTable通用,简单. 2008-9-21 22:02 0
网上勇士雪币： 203 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 41 粉丝 0 关注私信	网上勇士 14 楼猛地一看，确实象几年前的代码，但仔细看还是不一样的。 sudami估计没有仔细看。 2008-9-23 22:02 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 15 楼谢谢LZ的热心分享.... 2008-9-24 08:09 0
xianboabcd 雪币： 474 活跃值： (96) 能力值： ( LV3，RANK：20 ) 在线值：发帖 16 回帖 125 粉丝 0 关注私信	xianboabcd 16 楼学习！学习！ 2008-9-26 09:21 0
qqchunming 雪币： 130 活跃值： (33) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 50 粉丝 0 关注私信	qqchunming 1 17 楼支持楼主的精神和谐社会，谦虚点会更好，技术没先没后，暂时领先，同在一个屋檐下，说不定哪天别人就超过你 2008-9-28 16:50 0
雪的思念雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 47 粉丝 0 关注私信	雪的思念 18 楼谢谢分享，有机会学习一下，目前还是看不懂这个C++的代码，小菜菜一个，先学习去了 2008-10-1 10:20 0
TGOS 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	TGOS 19 楼。。。。。。。。。。。。。。。。路过其实隐藏进程差不多就那几种方法，看怎么实现而已 2008-10-1 16:05 0
gdlian 雪币： 197 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 40 回帖 196 粉丝 0 关注私信	gdlian 20 楼自己编译出现很多错误，懒得一一修改了.. 2008-10-3 00:01 0
莽莽雪币： 179 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 120 粉丝 0 关注私信	莽莽 21 楼留名，正在准备仔细看 2008-10-26 22:13 0
小呆呆雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	小呆呆 22 楼谢谢楼主！！ 2008-12-14 16:39 0
dnybz 雪币： 66 活跃值： (950) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 23 楼还请楼主放出个完整的例子编译中有错误 2009-3-1 00:01 0
痞子辉雪币： 308 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 231 粉丝 0 关注私信	痞子辉 1 24 楼支持楼主，许多人就会BS别人，目前这些资源在国内很少，所以一定要支持！！！！强留支持楼主！！！！ 2009-3-1 00:19 0
vfdn 雪币： 124 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	vfdn 25 楼编译出错一大堆呀。楼主快看看吧 2009-4-6 23:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复