牽著老婆滿街逛

嚴(yán)以律己,寬以待人. 三思而后行.
GMail/GTalk: yanglinbo#google.com;
MSN/Email: tx7do#yahoo.com.cn;
QQ: 3 0 3 3 9 6 9 2 0 .

導(dǎo)航

<

2009年10月

>

日

一

二

三

四

五

六

27

28

29

30

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

1

2

3

4

5

6

7

統(tǒng)計(jì)

隨筆 - 1513
文章 - 45
評(píng)論 - 907
引用 - 0

公告

言論：
1.每日自省；
2.享受人生；
3.盡力而為；
4.堅(jiān)持不懈；
5.切莫急躁；
6.慎言敏行；
7.動(dòng)心忍性；
8.上善若水。

常用鏈接

留言簿(11)

隨筆分類(466)

隨筆檔案(1513)

文章分類(46)

文章檔案(45)

相冊(cè)

收藏夾(39)

搜索

積分與排名

積分 - 2535933
排名 - 2

閱讀排行榜

ring0檢測隱藏進(jìn)程

題: 【原創(chuàng)】ring0檢測隱藏進(jìn)程
作者: 墮落天才
時(shí) 間: 2007-05-10,13:28
鏈接: http://bbs.pediy.com/showthread.php?t=44243

//網(wǎng)上得到一篇好文章 Ring0下搜索內(nèi)存枚舉隱藏進(jìn)程，但是拿里面的代碼來使用的時(shí)候發(fā)現(xiàn)并沒有太多效果
//于是修改之，終于實(shí)現(xiàn)了最初的目標(biāo)
//由于直接搜索內(nèi)存,跟系統(tǒng)調(diào)度沒什么關(guān)系,所以能夠枚舉到各種方法隱藏的進(jìn)程包括斷鏈、抹PspCidTable...
//甚至能枚舉到已經(jīng)"死掉"的進(jìn)程,本程序通過進(jìn)程的ExitTime來判斷進(jìn)程是不是已經(jīng)結(jié)束
//除非能夠把EProcess結(jié)構(gòu)修改掉，但這個(gè)實(shí)現(xiàn)難度可能比較大，不知有沒有哪位大俠試過（PID我修改過），歡迎討論
//
//作者:墮落天才
//時(shí)間:2007年5月10日
//參考: uty Ring0下搜索內(nèi)存枚舉隱藏進(jìn)程 http://www.cnxhacker.net/Article/show/3412.html
//下面代碼在XP SP2測試通過

#include<ntddk.h>

///////////////////////////不同的windows版本下面的偏移值不同

#define EPROCESS_SIZE 0x25C //EPROCESS結(jié)構(gòu)大小

#define PEB_OFFSET 0x1B0

#define FILE_NAME_OFFSET 0x174

#define PROCESS_LINK_OFFSET 0x088

#define PROCESS_ID_OFFSET 0x084

#define EXIT_TIME_OFFSET 0x078

#define OBJECT_HEADER_SIZE 0x018

#define OBJECT_TYPE_OFFSET 0x008

#define PDE_INVALID 2

#define PTE_INVALID 1

#define VALID 0

ULONG pebAddress; //PEB地址的前半部分

PEPROCESS pSystem; //system進(jìn)程

ULONG pObjectTypeProcess; //進(jìn)程對(duì)象類型

ULONG VALIDpage(ULONG addr) ; //該函數(shù)直接復(fù)制自 Ring0下搜索內(nèi)存枚舉隱藏進(jìn)程

BOOLEAN IsaRealProcess(ULONG i); //該函數(shù)復(fù)制自 Ring0下搜索內(nèi)存枚舉隱藏進(jìn)程

VOID WorkThread(IN PVOID pContext);

ULONG GetPebAddress(); //得到PEB地址前半部分

VOID EnumProcess(); //枚舉進(jìn)程

VOID ShowProcess(ULONG pEProcess); //顯示結(jié)果

VOID OnUnload(IN PDRIVER_OBJECT DriverObject)

{

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath)

{

HANDLE hThread;

DriverObject -> DriverUnload = OnUnload;

pSystem = PsGetCurrentProcess();

pebAddress = GetPebAddress();

pObjectTypeProcess = *(PULONG)((ULONG)pSystem - OBJECT_HEADER_SIZE +OBJECT_TYPE_OFFSET);

PsCreateSystemThread(&hThread,

(ACCESS_MASK)0,

NULL,

(HANDLE)0,

NULL,

WorkThread,

NULL );

return STATUS_SUCCESS;

}

//////////////////////////////////////////////

VOID WorkThread(IN PVOID pContext)

{

EnumProcess();

PsTerminateSystemThread(STATUS_SUCCESS);

}

////////////////////////////////////////////////////////

ULONG GetPebAddress()

{

ULONG Address;

PEPROCESS pEProcess;

//由于system進(jìn)程的peb總是零我們只有到其他進(jìn)程去找了

pEProcess = (PEPROCESS)((ULONG)((PLIST_ENTRY)((ULONG)pSystem + PROCESS_LINK_OFFSET))->Flink - PROCESS_LINK_OFFSET);

Address = *(PULONG)((ULONG)pEProcess + PEB_OFFSET);

return (Address & 0xFFFF0000);

}

///////////////////////////////////////////////////////

VOID EnumProcess()

{

ULONG uSystemAddress = (ULONG)pSystem;

ULONG i;

ULONG Address;

ULONG ret;

DbgPrint("-------------------------------------------");

DbgPrint("EProcess PID ImageFileName");

DbgPrint("---------------------------------");

for(i = 0x80000000; i < uSystemAddress; i += 4){//system進(jìn)程的EPROCESS地址就是最大值了

ret = VALIDpage(i);

if (ret == VALID){

Address = *(PULONG)i;

if (( Address & 0xFFFF0000) == pebAddress){//每個(gè)進(jìn)程的PEB地址都是在差不多的地方，地址前半部分是相同的

if(IsaRealProcess(i)){

ShowProcess(i - PEB_OFFSET);

i += EPROCESS_SIZE;

}

}else if(ret == PTE_INVALID){

i -=4;

i += 0x1000;//4k

}else{

i-=4;

i+= 0x400000;//4mb

}

ShowProcess(uSystemAddress);//system的PEB總是零上面的方法是枚舉不到的不過我們用PsGetCurrentProcess就能得到了

DbgPrint("-------------------------------------------");

}

/////////////////////////////////////////////////////////

VOID ShowProcess(ULONG pEProcess)

{

PLARGE_INTEGER ExitTime;

ULONG PID;

PUCHAR pFileName;

ExitTime = (PLARGE_INTEGER)(pEProcess + EXIT_TIME_OFFSET);

if(ExitTime->QuadPart != 0) //已經(jīng)結(jié)束的進(jìn)程的ExitTime為非零

return ;

PID = *(PULONG)(pEProcess + PROCESS_ID_OFFSET);

pFileName = (PUCHAR)(pEProcess + FILE_NAME_OFFSET);

DbgPrint("0x%08X %04d %s",pEProcess,PID,pFileName);

}

/////////////////////////////////////////////////////////////

ULONG VALIDpage(ULONG addr)

{

ULONG pte;

ULONG pde;

pde = 0xc0300000 + (addr>>22)*4;

if((*(PULONG)pde & 0x1) != 0){

//large page

if((*(PULONG)pde & 0x80) != 0){

return VALID;

}

pte = 0xc0000000 + (addr>>12)*4;

if((*(PULONG)pte & 0x1) != 0){

return VALID;

}else{

return PTE_INVALID;

}

return PDE_INVALID;

}

////////////////////////////////////////////////////////////////

BOOLEAN IsaRealProcess(ULONG i)

{

NTSTATUS STATUS;

PUNICODE_STRING pUnicode;

UNICODE_STRING Process;

ULONG pObjectType;

ULONG ObjectTypeAddress;

if (VALIDpage(i- PEB_OFFSET) != VALID){

return FALSE;

}

ObjectTypeAddress = i - PEB_OFFSET - OBJECT_HEADER_SIZE + OBJECT_TYPE_OFFSET ;

if (VALIDpage(ObjectTypeAddress) == VALID){

pObjectType = *(PULONG)ObjectTypeAddress;

}else{

return FALSE;

}

if(pObjectTypeProcess == pObjectType){ //確定ObjectType是Process類型

return TRUE;

}

return FALSE;

}

posted on 2011-01-31 11:37 楊粼波閱讀(1171) 評(píng)論(0) 編輯收藏引用

只有注冊(cè)用戶登錄后才能發(fā)表評(píng)論。




網(wǎng)站導(dǎo)航: 博客園 IT新聞 BlogJava 博問 Chat2DB 管理

青青草原综合久久大伊人导航_色综合久久天天综合_日日噜噜夜夜狠狠久久丁香五月_热久久这里只有精品

牽著老婆滿街逛

導(dǎo)航

統(tǒng)計(jì)

公告

常用鏈接

留言簿(11)

隨筆分類(466)

隨筆檔案(1513)

文章分類(46)

文章檔案(45)

相冊(cè)

收藏夾(39)

工具官網(wǎng)

技術(shù)網(wǎng)站

開源網(wǎng)站

其他窩點(diǎn)

收藏網(wǎng)站

銀行官網(wǎng)

友情鏈接

資源共享

搜索

積分與排名

最新評(píng)論

閱讀排行榜

ring0檢測隱藏進(jìn)程