通过Hook SSDT (System Service Dispatch Table) 隐藏进程 1.原理介绍: Windows操作系统是一种分层的架构体系。应用层的程序是通过API来访问操作系统。而API又是通过ntdll里面的核心API来进行系统服务的查询。核心API通过对int 2e的切换,从用户模式转换到内核模式。2
进程伪装:通过修改指定进程PEB中的路径和命令行信息实现伪装。 傀儡进程:通过进程挂起,替换内存数据再恢复执行,从而实现创建“傀儡进程”。 进程隐藏:通过HOOK函数ZwQuerySystemInfomation来实现进程隐藏。1 进程伪装实现原理就是修改指定进程环境块中的进程路径ImagePathName以及命令行CommandLine信息,从而达到进程伪装的效果。所以,实现的关键在于进程环境块
总结一下进程隐藏的一些基本套路吧,适合萌新。 关于进程隐藏,网上说的最多的就是hook NtQuerySystemInformation吧,要么就是在内核去操作ActiveProcessLinks链表,这其实都是一个原理,都是去操作内核的活动进程链表,这个方法也着实有效 kd> dt _eproces
20145319 《网络渗透》免考—进程隐藏概述实验的主要目的是通过ap ihook技术对系统回调函数进行hook,拦截系统任务管理器对进程信息的获取,并做出相应修改,从而实现目标进程在任务管理器的列表中“隐藏”主要知识如下:
注入技术api hook相关技术实验内容概念之前,我们了解了如何做到让一个程序实现任务栏隐藏来做到在用户眼中“隐身”,但如果用户打开任务管理器就能发现后台有一个未知程序正在
转载
2024-03-27 13:31:15
191阅读
我们知道cpu主要两个品牌,intel和AMD,如果你不知道怎么选择,请点这里:如果你只是想知道买电脑的时候“酷睿i5-4590”指的啥,怎么代表好坏,那就好好看看下面的内容:如上图,以i7的cpu为例子来说:Intel Core,代表的品牌;i7,代表系列,除了i系列外,还有e系列、x系列、q系列、g系列、t系列、p系列,有些系列针对笔记本的,有些系列针对台式机的,还有些专门针对服务器的,下面把
说来惭愧,360一面的时候,面试官问我如何去隐藏一个进程,我说很简单那,从EProcess的ActiveProcessLinks的双向列表中断开就完事了啊,面试官当时也没有提醒我,直到面试完,我自己研究了一下从双向列表中断开,但是发现只能躲过任务管理器的眼睛,但是用PcHunter 还是可以枚举出来的,我自己又试了一下从暴力方式去枚举进程,发现也是枚举出来,这时候我才想到,双向列表的断开,其本质上
ProcessHacker学习笔记
ProcessHacker是一款拥有windows任务管理器的开源软件。学习该软件,可增长windows操作系统多方面系统机制知识和性能统计设计的能力。
1、获取进程内存占用率
windows系统下,无论任何版本,都可以在任务管理器下查看各个进程的内存占用率。
XP 2003系统下显示的是进程占用的内存工作集也就是PROCESS_MEMORY_COUNTERS
转载
2024-04-19 09:36:09
1641阅读
在InitStance( )中加入 SHOW_WINDOW(SW_HIDE) 可以实现不在任务栏上显示图标
在初始化里写上如下代码:
::SetWindowLong ( &nbs
转载
2024-05-01 08:05:51
201阅读
在前面的文章中,我不止一次谈到隐藏一个进程的方法,该方法在我看来引以为豪地彻底又直接:将task从tasks链表摘除。 将task从pid链表摘除。 如此一来除非你扫描run queue或者扫描内存进行特征匹配,否则很难找到这个被隐藏的进程:task即使被隐藏也要进入run queue运行。 task的字段值或者其地址本身具有特征。 当然,前面提到的perf probe/trace,dump st
转载
2024-05-07 18:24:24
768阅读
Overview进程的描述进程的状态 State线程 Thread进程间通信 Inter-Process Communication进程互斥与同步死锁 DeadLock进程的描述在操作系统中,通常来说进程 Process 是当前正在执行的东西。因此,一个具有一定独立功能的程序在一个数据集合上的一次动态执行过程,可以称之为进程。程序是静态的文件进程是程序动态执行的过程进程的组成进程包括 :程序的代码
已开源:https://github.com/ZhuHuiBeiShaDiao/NewHideDriverEx更新:支持seh,原理自己逆下 将seh挂到其它模块上而已.看网上用此方法隐藏用的挺嗨啊,麻烦打个出处,谢谢了.没必要藏着,人生没有必要为这些小玩意小打小闹。看到某些哥们这搞搞那搞搞,BSOD PATCHGUARD 无语,WRK是个好东西啊!还有半年来也没怎么发博客,惭愧惭愧。
转载
2023-07-16 21:03:08
248阅读
Process Hacker是一款免费且强大的多功能工具,可以利用该工具来监控自己的系统资源,调试软件、病毒查杀、恶意软件检测、逆向等,是一款能和PCHunter相媲美Windows系统神器。系统要求Windows7及以上版本,支持32位或64位。功能介绍-提供详细的系统活动信息概览,并且高亮显示; -提供图标数据和统计数据,可帮助我们快速追踪目标资源和进程; -不能编辑或
转载
2024-04-29 18:55:55
307阅读
interface function MyHideProcess: Boolean; implementation uses Windows, Classes, AclAPI, accCtrl; type NTSTATUS = LongInt; const //...
转载
2014-10-18 14:14:00
249阅读
2评论
隐藏进程(Stealth Process)在代码逆向分析领域中的专业术语为RootKit.它是指通过修改(hooking)系统内核来隐藏进程、文件、注册表等的一项技术.IAT钩取是通过修改IAT值来实现,而API代码修改则是通过将API代码的前五个字节修改为JMP xxxxxxx 指令来钩取API.此种方法的唯一限制是API代码总长度要 ≥ 5字节. 流程如下:1. 正常执行到钩取的函数
总有朋友问隐藏Linux进程的方法,我说你想隐藏到什么程度,是大隐于内核,还是小隐于用户。
网上通篇论述的无外乎 hook 掉 procfs 或者类似的用户态方案,也都难免长篇大论,我说,这些场面都太大了,太复杂了。对于希望马上看到效果的而言,看到这么一堆复杂的东西,大概率望而却步。
本文介绍一种将Linux进程小隐于用户的非常规方法,仅仅一行代码:
修改掉进程的p
前面我们介绍了如何修改/proc目录读取函数的方法实现进程隐藏。这篇博文将介绍另一种方法—— 劫持系统调用实现进程隐藏。其基本原理是:加载一个内核模块(LKM),通过劫持系统调用sys_getdents()来针对进程文件进行适当的过滤,从而达到隐藏进程文件的目的。 由于实验方法一时,已经修改过了proc_pid_readdir函数,这会影响方法二的实现,因此必须把方法一中所做的修改恢复。打开
在Linux系统中,隐藏进程是一种常见的安全技术,用于保护系统免受恶意程序的攻击。红帽是一个知名的Linux发行版,其系统提供了强大的功能和安全特性,包括隐藏进程功能。
隐藏进程是指一种可以在系统中运行但不会显示在系统进程列表中的进程。这种技术通常被用于隐藏恶意软件或其它恶意进程,使其难以被检测和清除。在红帽系统中,可以通过一些方法来实现隐藏进程的操作。
第一种方法是使用特殊的内核模块或驱动程
原创
2024-03-06 09:29:10
277阅读
中文翻译: prince 后期校验:firstrose 觉得是非常好的文章,顺手翻译一下,当作E文学习,原作者、俄文翻译者kao和各位看官如感觉任何不妥,尽可拍砖,因为小弟E文本来就是烂,哈哈。注意:Ring 0级的检测方法比较难懂,关于这个部分我的翻译是不可靠的,当你看到进程线程表、通过句柄查找对象指针和PspCidTable表的细节的时候有可能会看不懂(sorry f
有人说这是个问了一百遍的问题,大家为什么一定要编这样的程序呢?不是特权思想在作怪吧:) 有位高手是这么说的,看看有没有帮助。 隐藏进程大法 一般有4种方法: 1)DLL挂靠大法 程序改写为DLL结构,挂靠Explorer.exe上运行 好处:没进程实体,普通进程查看无效 缺点:可以通过代码叫Explor
转载
2023-10-10 22:03:03
17阅读
实现隐藏进程一般有两个方法:1,把要隐藏的进程PID设置为0,因为系统默认是不显示PID为0的进程。2,修改系统调用sys_getdents()。Linux系统中用来查询文件信息的系统调用是sys_getdents,这一点可以通过strace来观察到,例如strace ls 将列出命令ls用到的系统调用,从中可以发现ls是通过getdents系统调用来操作的,对应于内核里的sys_getedent
转载
2024-04-25 13:05:27
927阅读
