[转帖]震惊支持XP-win10的进程隐藏居然是-编程技术-看雪-安全社区|安全招聘|kanxue.com

[转帖]震惊支持XP-win10的进程隐藏居然是

发表于: 2019-10-30 14:37 11450

[转帖]震惊支持XP-win10的进程隐藏居然是

cavan

2019-10-30 14:37

11450

先上图

驱动执行完毕以后:

任务管理器和工具上的进程都不见了,那么他到底去哪里了呢?

对没错把名字抹掉了，别人都是写个别的进程的名字因为我懒所以直接写空
上代码

BOOLEAN PathSeAuditProcessCreationInfo(PEPROCESS Process, WCHAR* ProcessName){

PUNICODE_STRING Name ;

PUNICODE_STRING SelocateName;

SeLocateProcessImageName(Process, &SelocateName);

ExFreePool(SelocateName);

Name = (PUNICODE_STRING)(*(PULONG_PTR)((ULONG_PTR)Process + 0x468));//+0x468 SeAuditProcessCreationInfo

if ((wcslen(ProcessName) * 2) > Name->Length)

{

return FALSE;

}

RtlZeroMemory(Name->Buffer, Name->MaximumLength);

RtlCopyMemory(Name->Buffer, ProcessName, wcslen(ProcessName) * 2);

Name->Length = wcslen(ProcessName) * 2;

return TRUE;

}

对应结构体中

BOOLEAN PathImageFileName(PEPROCESS Process, char* cName)

{

char szNameBuff[15] = { 0 };

UCHAR* szProcessBuff = NULL;

size_t cNamelen = 0;

cNamelen = strlen(cName);

RtlZeroMemory(szNameBuff, sizeof(szNameBuff));

if (cNamelen > 15)

RtlCopyMemory(szNameBuff, cName, sizeof(szNameBuff));

else

RtlCopyMemory(szNameBuff, cName, cNamelen);

szProcessBuff = PsGetProcessImageFileName(Process);

RtlZeroMemory(szProcessBuff, sizeof(szNameBuff));

RtlCopyMemory(szProcessBuff, szNameBuff, sizeof(szNameBuff));

return TRUE;

}

bool Win10ImageNamePoint(PEPROCESS Process, WCHAR* szFullName)

{

BOOLEAN bRet ;

PFILE_OBJECT pFileObject ;

WCHAR* szNewFullName = NULL;

szNewFullName = static_cast<WCHAR*>( ExAllocatePool(NonPagedPool, MAX_PATH * 2));

RtlZeroMemory(szNewFullName, MAX_PATH * 2);

pFileObject = (PFILE_OBJECT)(*(PULONG_PTR)((ULONG_PTR)Process + 0x448)); //+0x448 ImageFilePointer

if (pFileObject->FileName.Length >= wcslen(szFullName) * 2)

{

RtlZeroMemory(pFileObject->FileName.Buffer, pFileObject->FileName.MaximumLength);

RtlCopyMemory(pFileObject->FileName.Buffer, szFullName, wcslen(szFullName) * 2);

pFileObject->FileName.Length = wcslen(szFullName) * 2;

ExFreePool(szNewFullName);

bRet = TRUE;

}

else

{

RtlCopyMemory(szNewFullName, szFullName, wcslen(szFullName) * 2);

pFileObject->FileName.Buffer = szNewFullName;

pFileObject->FileName.Length = wcslen(szFullName) * 2;

pFileObject->FileName.MaximumLength = MAX_PATH * 2;

bRet = TRUE;

}

return bRet;

}

这个结构体成员似乎只有win10 才有

还有很重要的一步

VOID modifyProcessUniqueProcessId(PEPROCESS Process)

{

PVOID64 UnProcessID;

PVOID64 InFromUnProceesID;

ULONGLONG Upid = 4;

ULONGLONG InFromPid = 0;

UnProcessID =(PULONG_PTR)((ULONGLONG)Process + 0x2e8);//+0x2e8 UniqueProcessId

RtlCopyMemory(UnProcessID, &Upid, sizeof(ULONGLONG));

InFromUnProceesID = (PULONG_PTR)((ULONGLONG)Process + 0x3e8); //+0x3e8 InheritedFromUniqueProcessId

RtlCopyMemory(InFromUnProceesID, &InFromPid, sizeof(ULONGLONG));

return ;

}

BOOLEAN checkProcessModify(HANDLE pid)

{

PEPROCESS Process = NULL;

NTSTATUS status = PsLookupProcessByProcessId((HANDLE)pid, &Process);

if (!NT_SUCCESS(status))

{

return FALSE;

}

PathImageFileName(Process, "svchost.exe");

PathWin10ImageNamePoint(Process, L" ");

PathSeAuditProcessCreationInfo(Process, L" ");

modifyProcessUniqueProcessId(Process);

ObDereferenceObject(Process);

return TRUE;

}

附上windbg的效果图

对了似乎还有3环的PEB结构中的三个链条没断，那个三环就可以做.

原帖地址:5efK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3f1#2x3Y4m8G2K9X3W2W2i4K6u0W2j5$3&6Q4x3V1k6@1K9s2u0W2j5h3c8Q4x3X3b7I4x3o6b7#2z5o6b7#2i4K6u0V1x3g2)9J5k6o6q4Q4x3X3g2Z5N6r3#2D9

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

收藏・30

免费・0

支持

最新回复 (13)
fengyunabc 雪币： 4064 活跃值： (4402) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 548 粉丝 27 关注私信	fengyunabc 1 2 楼感谢分享！ 2019-10-30 15:18 0
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 3 楼 @skill 山总有人偷你思路 2019-10-30 21:07 0
mb_qkotfqiz 雪币： 347 活跃值： (44) 能力值： (RANK：10 ) 在线值：发帖 21 回帖 106 粉丝 10 关注私信	mb_qkotfqiz 4 楼这种方法对进程兼容性太差，如果对游戏进程用这种方法，绝对奔溃。 2019-10-30 21:36 0
mb_qkotfqiz 雪币： 347 活跃值： (44) 能力值： (RANK：10 ) 在线值：发帖 21 回帖 106 粉丝 10 关注私信	mb_qkotfqiz 5 楼驱动爆搜内存，尤其是易语言挂B，特征码特别多一搜一个准，随便你用什么驱动隐藏。 2019-10-30 21:47 0
黑洛雪币： 6129 活跃值： (4971) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 80 关注私信	黑洛 1 6 楼 @skill 山总有人偷你思路 2019-10-31 04:35 0
放学打我不雪币： 4006 活跃值： (756) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 87 粉丝 16 关注私信	放学打我不 1 7 楼难顶 2019-10-31 17:08 0
mydvdf 雪币： 711 活跃值： (273) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 55 粉丝 2 关注私信	mydvdf 8 楼这是我偷山总和猪大的，为了证明自己会点驱动而写的，你这转载的，难道不扣雪币的吗？而且我本意是为了发个求职贴，不过看起来似乎并没有那么简单。最后于 2019-11-1 09:27 被mydvdf编辑，原因： 2019-11-1 09:14 0
白菜大哥雪币： 12502 活跃值： (3088) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 9 楼 mb_qkotfqiz 驱动爆搜内存，尤其是易语言挂B，特征码特别多一搜一个准，随便你用什么驱动隐藏。山总的意思。。只要搜到易语言程序不管你干啥，就封号？牛批!正在学易语言的我瑟瑟发抖。 2019-11-1 13:33 0
mb_qkotfqiz 雪币： 347 活跃值： (44) 能力值： (RANK：10 ) 在线值：发帖 21 回帖 106 粉丝 10 关注私信	mb_qkotfqiz 10 楼白菜大哥山总的意思。。只要搜到易语言程序不管你干啥，就封号？牛批!正在学易语言的我瑟瑟发抖。你说对了，腾讯就是这么干的 2019-11-1 15:38 0
YZJClear 雪币： 1192 活跃值： (609) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	YZJClear 11 楼 mark 2020-1-24 01:52 0
Jason姚雪币： 683 活跃值： (680) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 43 粉丝 1 关注私信	Jason姚 12 楼莫名喜感 2020-5-13 14:52 0
Jason姚雪币： 683 活跃值： (680) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 43 粉丝 1 关注私信	Jason姚 13 楼能不能把Path改成Patch，看着太难受了。 2020-5-13 15:05 0
大佬求关照雪币： 6 活跃值： (576) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 39 粉丝 0 关注私信	大佬求关照 14 楼楼主为什么WIN7 x64 SeAuditProcessCreationInfo 为0。。。。 2020-11-30 22:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cavan

发帖

144

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (13)
fengyunabc 雪币： 4064 活跃值： (4402) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 548 粉丝 27 关注私信	fengyunabc 1 2 楼感谢分享！ 2019-10-30 15:18 0
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 3 楼 @skill 山总有人偷你思路 2019-10-30 21:07 0
mb_qkotfqiz 雪币： 347 活跃值： (44) 能力值： (RANK：10 ) 在线值：发帖 21 回帖 106 粉丝 10 关注私信	mb_qkotfqiz 4 楼这种方法对进程兼容性太差，如果对游戏进程用这种方法，绝对奔溃。 2019-10-30 21:36 0
mb_qkotfqiz 雪币： 347 活跃值： (44) 能力值： (RANK：10 ) 在线值：发帖 21 回帖 106 粉丝 10 关注私信	mb_qkotfqiz 5 楼驱动爆搜内存，尤其是易语言挂B，特征码特别多一搜一个准，随便你用什么驱动隐藏。 2019-10-30 21:47 0
黑洛雪币： 6129 活跃值： (4971) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 80 关注私信	黑洛 1 6 楼 @skill 山总有人偷你思路 2019-10-31 04:35 0
放学打我不雪币： 4006 活跃值： (756) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 87 粉丝 16 关注私信	放学打我不 1 7 楼难顶 2019-10-31 17:08 0
mydvdf 雪币： 711 活跃值： (273) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 55 粉丝 2 关注私信	mydvdf 8 楼这是我偷山总和猪大的，为了证明自己会点驱动而写的，你这转载的，难道不扣雪币的吗？而且我本意是为了发个求职贴，不过看起来似乎并没有那么简单。最后于 2019-11-1 09:27 被mydvdf编辑，原因： 2019-11-1 09:14 0
白菜大哥雪币： 12502 活跃值： (3088) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 9 楼 mb_qkotfqiz 驱动爆搜内存，尤其是易语言挂B，特征码特别多一搜一个准，随便你用什么驱动隐藏。山总的意思。。只要搜到易语言程序不管你干啥，就封号？牛批!正在学易语言的我瑟瑟发抖。 2019-11-1 13:33 0
mb_qkotfqiz 雪币： 347 活跃值： (44) 能力值： (RANK：10 ) 在线值：发帖 21 回帖 106 粉丝 10 关注私信	mb_qkotfqiz 10 楼白菜大哥山总的意思。。只要搜到易语言程序不管你干啥，就封号？牛批!正在学易语言的我瑟瑟发抖。你说对了，腾讯就是这么干的 2019-11-1 15:38 0
YZJClear 雪币： 1192 活跃值： (609) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	YZJClear 11 楼 mark 2020-1-24 01:52 0
Jason姚雪币： 683 活跃值： (680) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 43 粉丝 1 关注私信	Jason姚 12 楼莫名喜感 2020-5-13 14:52 0
Jason姚雪币： 683 活跃值： (680) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 43 粉丝 1 关注私信	Jason姚 13 楼能不能把Path改成Patch，看着太难受了。 2020-5-13 15:05 0
大佬求关照雪币： 6 活跃值： (576) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 39 粉丝 0 关注私信	大佬求关照 14 楼楼主为什么WIN7 x64 SeAuditProcessCreationInfo 为0。。。。 2020-11-30 22:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复