91精品国产综合久久婷婷,欧美久久久久久午夜精品,国产精品福利一区二区久久

ring0檢測隱藏進程

題: 【原創】ring0檢測隱藏進程
作者: 墮落天才
時間: 2007-05-10,13:28
鏈接: http://bbs.pediy.com/showthread.php?t=44243

//網上得到一篇好文章 Ring0下搜索內存枚舉隱藏進程，但是拿里面的代碼來使用的時候發現并沒有太多效果
//于是修改之，終于實現了最初的目標
//由于直接搜索內存,跟系統調度沒什么關系,所以能夠枚舉到各種方法隱藏的進程包括斷鏈、抹PspCidTable...
//甚至能枚舉到已經"死掉"的進程,本程序通過進程的ExitTime來判斷進程是不是已經結束
//除非能夠把EProcess結構修改掉，但這個實現難度可能比較大，不知有沒有哪位大俠試過（PID我修改過），歡迎討論
//
//作者:墮落天才
//時間:2007年5月10日
//參考: uty Ring0下搜索內存枚舉隱藏進程 http://www.cnxhacker.net/Article/show/3412.html
//下面代碼在XP SP2測試通過

#include<ntddk.h>

///////////////////////////不同的windows版本下面的偏移值不同

#define EPROCESS_SIZE 0x25C //EPROCESS結構大小

#define PEB_OFFSET 0x1B0

#define FILE_NAME_OFFSET 0x174

#define PROCESS_LINK_OFFSET 0x088

#define PROCESS_ID_OFFSET 0x084

#define EXIT_TIME_OFFSET 0x078

#define OBJECT_HEADER_SIZE 0x018

#define OBJECT_TYPE_OFFSET 0x008

#define PDE_INVALID 2

#define PTE_INVALID 1

#define VALID 0

ULONG pebAddress; //PEB地址的前半部分

PEPROCESS pSystem; //system進程

ULONG pObjectTypeProcess; //進程對象類型

ULONG VALIDpage(ULONG addr) ; //該函數直接復制自 Ring0下搜索內存枚舉隱藏進程

BOOLEAN IsaRealProcess(ULONG i); //該函數復制自 Ring0下搜索內存枚舉隱藏進程

VOID WorkThread(IN PVOID pContext);

ULONG GetPebAddress(); //得到PEB地址前半部分

VOID EnumProcess(); //枚舉進程

VOID ShowProcess(ULONG pEProcess); //顯示結果

VOID OnUnload(IN PDRIVER_OBJECT DriverObject)

{

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath)

{

HANDLE hThread;

DriverObject -> DriverUnload = OnUnload;

pSystem = PsGetCurrentProcess();

pebAddress = GetPebAddress();

pObjectTypeProcess = *(PULONG)((ULONG)pSystem - OBJECT_HEADER_SIZE +OBJECT_TYPE_OFFSET);

PsCreateSystemThread(&hThread,

(ACCESS_MASK)0,

NULL,

(HANDLE)0,

NULL,

WorkThread,

NULL );

return STATUS_SUCCESS;

}

//////////////////////////////////////////////

VOID WorkThread(IN PVOID pContext)

{

EnumProcess();

PsTerminateSystemThread(STATUS_SUCCESS);

}

////////////////////////////////////////////////////////

ULONG GetPebAddress()

{

ULONG Address;

PEPROCESS pEProcess;

//由于system進程的peb總是零我們只有到其他進程去找了

pEProcess = (PEPROCESS)((ULONG)((PLIST_ENTRY)((ULONG)pSystem + PROCESS_LINK_OFFSET))->Flink - PROCESS_LINK_OFFSET);

Address = *(PULONG)((ULONG)pEProcess + PEB_OFFSET);

return (Address & 0xFFFF0000);

}

///////////////////////////////////////////////////////

VOID EnumProcess()

{

ULONG uSystemAddress = (ULONG)pSystem;

ULONG i;

ULONG Address;

ULONG ret;

DbgPrint("-------------------------------------------");

DbgPrint("EProcess PID ImageFileName");

DbgPrint("---------------------------------");

for(i = 0x80000000; i < uSystemAddress; i += 4){//system進程的EPROCESS地址就是最大值了

ret = VALIDpage(i);

if (ret == VALID){

Address = *(PULONG)i;

if (( Address & 0xFFFF0000) == pebAddress){//每個進程的PEB地址都是在差不多的地方，地址前半部分是相同的

if(IsaRealProcess(i)){

ShowProcess(i - PEB_OFFSET);

i += EPROCESS_SIZE;

}

}else if(ret == PTE_INVALID){

i -=4;

i += 0x1000;//4k

}else{

i-=4;

i+= 0x400000;//4mb

}

ShowProcess(uSystemAddress);//system的PEB總是零上面的方法是枚舉不到的不過我們用PsGetCurrentProcess就能得到了

DbgPrint("-------------------------------------------");

}

/////////////////////////////////////////////////////////

VOID ShowProcess(ULONG pEProcess)

{

PLARGE_INTEGER ExitTime;

ULONG PID;

PUCHAR pFileName;

ExitTime = (PLARGE_INTEGER)(pEProcess + EXIT_TIME_OFFSET);

if(ExitTime->QuadPart != 0) //已經結束的進程的ExitTime為非零

return ;

PID = *(PULONG)(pEProcess + PROCESS_ID_OFFSET);

pFileName = (PUCHAR)(pEProcess + FILE_NAME_OFFSET);

DbgPrint("0x%08X %04d %s",pEProcess,PID,pFileName);

}

/////////////////////////////////////////////////////////////

ULONG VALIDpage(ULONG addr)

{

ULONG pte;

ULONG pde;

pde = 0xc0300000 + (addr>>22)*4;

if((*(PULONG)pde & 0x1) != 0){

//large page

if((*(PULONG)pde & 0x80) != 0){

return VALID;

}

pte = 0xc0000000 + (addr>>12)*4;

if((*(PULONG)pte & 0x1) != 0){

return VALID;

}else{

return PTE_INVALID;

}

return PDE_INVALID;

}

////////////////////////////////////////////////////////////////

BOOLEAN IsaRealProcess(ULONG i)

{

NTSTATUS STATUS;

PUNICODE_STRING pUnicode;

UNICODE_STRING Process;

ULONG pObjectType;

ULONG ObjectTypeAddress;

if (VALIDpage(i- PEB_OFFSET) != VALID){

return FALSE;

}

ObjectTypeAddress = i - PEB_OFFSET - OBJECT_HEADER_SIZE + OBJECT_TYPE_OFFSET ;

if (VALIDpage(ObjectTypeAddress) == VALID){

pObjectType = *(PULONG)ObjectTypeAddress;

}else{

return FALSE;

}

if(pObjectTypeProcess == pObjectType){ //確定ObjectType是Process類型

return TRUE;

}

return FALSE;

}

posted on 2011-01-31 11:37 楊粼波閱讀(1162) 評論(0) 編輯收藏引用

只有注冊用戶登錄后才能發表評論。
【推薦】100%開源！大型工業跨平臺軟件C++源碼提供，建模，組態！



網站導航: 博客園 IT新聞 BlogJava 博問 Chat2DB 管理

牽著老婆滿街逛

導航

統計

公告

常用鏈接

留言簿(11)

隨筆分類(466)

隨筆檔案(1513)

文章分類(46)

文章檔案(45)

相冊

收藏夾(39)

工具官網

技術網站

開源網站

其他窩點

收藏網站

銀行官網

友情鏈接

資源共享

搜索

積分與排名

最新評論

閱讀排行榜

ring0檢測隱藏進程