2. 程式人生 > >程序隱藏實驗(隱藏notepad程序)

程序隱藏實驗(隱藏notepad程序)

阿新 發佈:2019-01-28

0x01須知
需要技術:全域性API勾取。
原理:程序是核心物件,通過相關API可以檢測到他們,使用者模式下檢測API分為2類
CreateToolhelp32Snapshot()和EnumProcess()函式。但是2個API最終都會呼叫ntdll.ZwQuerySystemInformation()API

ZwQuerySystemInformation
(
	SYSTEM_INFORMATION_CLASS        SystemInformationClass,
	PVOID													  SystemInformation,
	ULONG													  SystemInformationLength,
	PULONG 												  ReturnLength
)

系統藉助這個API可以獲得執行中所有程序的資訊(結構體),形成一個連結串列,操作該連結串列把程序資訊從列表中刪除即可隱藏相關程序。
需要解決的問題:每個程序監視的工具都需要鉤取,每個新開啟的程序監視工具也需要立即進行鉤取。

實現思路:HideProc.exe負責將stealth.dll檔案注入到所有執行的程序,Stealth.dll負責鉤取程序的ntdll.ZwQuerySystemInformation()API

0x02HideProc

InjectAllProcess()函式

#include"windows.h"
#include"tlhelp32.h"
BOOL InjectAllProcess(int nMode, LPCTSTR szDllPath)
{
	DWORD	dwPID = 0;
	HANDLE	hSnapShot = INVALID_HANDLE_VALUE;
	PROCESSENTRY32  pe;

	//獲取系統快照
	pe.dwSize = sizeof(PROCESSENTRY32);
	hSnapShot = CreateToolhelp32Snapshot(TH32CS_SNAPALL, NULL);
	//查詢程序
	Process32First(hSnapShot, &pe);
	do
	{
		dwPID = pe.th32ProcessID;
		//鑑於系統安全性考慮,PID小於100的系統程序不執行dll注入操作
		if (dwPID < 100)
		{
			continue;
		}
		if (nMode == INJECTION_MODE)
			InjectDll(dwPID, szDllPath);
		else
			EjectDll(dwPID, szDllPath);
	} while (Process32Next(hSnapShot, &pe));
	CloseHandle(hSnapShot);
	return TRUE;
}

負責獲取系統快照,,然後注入。

注入函式

BOOL InjectDll(DWORD dwPID, LPCTSTR szDllPath)//注入dll
{
	HANDLE hProcess = NULL, hThread = NULL;
	HMODULE hMod = NULL;
	LPVOID pRemoteBuf = NULL;
	DWORD dwBufSize = (DWORD)(_tcslen(szDllPath) + 1)*sizeof(TCHAR);
	LPTHREAD_START_ROUTINE pThreadProc;

	//使用dwpid獲取目標程序控制代碼
	if (!(hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID)))
	{
		_tprintf(L"OpenProcess(%d) failed!!![%d]\n", dwPID, GetLastError());
		return FALSE;
	}
	//在目標程序記憶體中分配szDllname大小的記憶體
	pRemoteBuf = VirtualAllocEx(hProcess, NULL, dwBufSize, MEM_COMMIT, PAGE_READWRITE);//分配物理儲存,可讀可寫
	//將myhack.dll路徑寫入分配的記憶體。
	WriteProcessMemory(hProcess, pRemoteBuf, (LPVOID)szDllPath, dwBufSize, NULL);
	//獲取LoadLibraryW API的地址
	hMod = GetModuleHandle(L"Kernel32.dll");//獲取已經載入模組的控制代碼
	pThreadProc = (LPTHREAD_START_ROUTINE)GetProcAddress(hMod, "LoadLibraryW");//獲取函式地址

	//在目標程序中執行執行緒
	hThread = CreateRemoteThread(hProcess, NULL, 0, pThreadProc, pRemoteBuf, 0, NULL);//建立遠端執行緒
	_tprintf(L"%d", GetLastError());
	WaitForSingleObject(hThread, INFINITE);
	CloseHandle(hProcess);
	printf("Inject  : %d", GetLastError());
	return TRUE;
}

還需要提升許可權

BOOL SetPrivilege(LPCTSTR lpszPrivilege, BOOL bEnablePrivilege)//提升許可權,只有先提升HideProc.exe程序的許可權(特權)才能準確獲取所有程序的列表
{
	TOKEN_PRIVILEGES tp;
	HANDLE hToken;
	LUID luid;

	if (!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))
	{
		_tprintf(L"LookupPrivilegeValue error: %u\n", GetLastError());
		return FALSE;
	}
	if (!LookupPrivilegeValue(NULL, lpszPrivilege, &luid))
	{
		_tprintf(L"LookupPrivilegeValue error: %u\n", GetLastError());
		return FALSE;
	}
	tp.PrivilegeCount = 1;
	tp.Privileges[0].Luid = luid;
	if (bEnablePrivilege)
		tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
	else
		tp.Privileges[0].Attributes = 0;
	//enable the privilege or disable all privileges.
	if (!AdjustTokenPrivileges(hToken, FALSE, &tp, sizeof(TOKEN_PRIVILEGES), (PTOKEN_PRIVILEGES)NULL, (PDWORD)NULL))
	{
		_tprintf(L"AdjustTokenPrivileges error: %u\n", GetLastError());
		return FALSE;
	}
	if (GetLastError() == ERROR_NOT_ALL_ASSIGNED)
	{
		_tprintf(L"the token does nothave rhe specified privilege   %d .\n",GetLastError());
		return FALSE;
	}
	printf("TQ   %d", GetLastError());
	return TRUE;
}

解除安裝dll

BOOL EjectDll(DWORD dwPID, LPCTSTR szDllPath)
{
	HANDLE hProcess = NULL, hThread = NULL;
	HMODULE hMod = NULL;
	LPVOID pRemoteBuf = NULL;
	DWORD dwBufSize = (DWORD)(_tcslen(szDllPath) + 1)*sizeof(TCHAR);
	LPTHREAD_START_ROUTINE pThreadProc;
	if (!(hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID)))
	{
		_tprintf(L"OpenProcess(%d) failed!!![%d]\n", dwPID, GetLastError());
	}
	pRemoteBuf = VirtualAllocEx(hProcess, NULL, dwBufSize, MEM_COMMIT, PAGE_READWRITE);
	WriteProcessMemory(hProcess, pRemoteBuf, (LPVOID)szDllPath, dwBufSize, NULL);
	hMod = GetModuleHandle(L"Kernel32.dll");
	pThreadProc = (LPTHREAD_START_ROUTINE)GetProcAddress(hMod, "FreeLibraryW");
	hThread = CreateRemoteThread(hProcess, NULL, 0, pThreadProc, pRemoteBuf, 0, NULL);
	_tprintf(L"%d", GetLastError());
	CloseHandle(hProcess);
	return TRUE;
}

還有一個main

int _tmain(int argc, TCHAR* argv[])
{
	int nMode = INJECTION_MODE;
	HMODULE hLib = NULL;
	PFN_SetProcName SetProcName = NULL;
	if (argc != 4)
	{
		printf("\n Usage : HideProc.exe  <-hide|-show>   <Process name>  <dll path>\n\n");
		return 1;

	}

	SetPrivilege(SE_DEBUG_NAME, TRUE);
	hLib = LoadLibrary(argv[3]);
	SetProcName = (PFN_SetProcName)GetProcAddress(hLib, "SetProcName");
	SetProcName(argv[2]);

	if (!_tcsicmp(argv[1], L"-show"))
		nMode = EJECTION_MODE;
	InjectAllProcess(nMode, argv[3]);
	FreeLibrary(hLib);
	return 0;
}
//呼叫dll匯出函式的方法:LoadLibrary --> GetProcAddress(獲取匯出函式的地址) -->  呼叫匯出函式

//使用一個函式的地址呼叫一個函式方法:定義:typedef void(*PFN_SetProcName)(LPCTSTR szProcName);   實體化:PFN_SetProcName SetProcName = NULL;    呼叫:SetProcName(argv[2]);

dll實現

#include"windows.h"
#include"tlhelp32.h"
#include "tchar.h"
#include "stdio.h"


#define STATUS_SUCCESS                      (0x00000000L) 
typedef LONG NTSTATUS;

typedef enum _SYSTEM_INFORMATION_CLASS {
	SystemBasicInformation = 0,
	SystemPerformanceInformation = 2,
	SystemTimeOfDayInformation = 3,
	SystemProcessInformation = 5,
	SystemProcessorPerformanceInformation = 8,
	SystemInterruptInformation = 23,
	SystemExceptionInformation = 33,
	SystemRegistryQuotaInformation = 37,
	SystemLookasideInformation = 45
} SYSTEM_INFORMATION_CLASS;


//該結構體連結串列中儲存著執行中所有程序的資訊,這裡的連結串列是一段連續的空間。
typedef struct _SYSTEM_PROCESS_INFORMATION {
	ULONG NextEntryOffset;
	ULONG NumberOfThreads;
	BYTE Reserved1[48];
	PVOID Reserved2[3];
	HANDLE UniqueProcessId;
	PVOID Reserved3;
	ULONG HandleCount;
	BYTE Reserved4[4];
	PVOID Reserved5[11];
	SIZE_T PeakPagefileUsage;
	SIZE_T PrivatePageCount;
	LARGE_INTEGER Reserved6[6];
} SYSTEM_PROCESS_INFORMATION, *PSYSTEM_PROCESS_INFORMATION;

typedef NTSTATUS(WINAPI *PFZWQUERYSYSTEMINFORMATION)
(SYSTEM_INFORMATION_CLASS SystemInformationClass,
PVOID SystemInformation,
ULONG SystemInformationLength,
PULONG ReturnLength);

#define DEF_NTDLL                       ("ntdll.dll")
#define DEF_ZWQUERYSYSTEMINFORMATION    ("ZwQuerySystemInformation")

BYTE g_pOrgBytes[5] = { 0 };



//global variable (in sharing memory)
#pragma comment(linker,"/SECTION:.SHARE,RWS")
#pragma data_seg(".SHARE")
TCHAR g_szProcName[MAX_PATH] = { 0 };






#pragma data_seg()

//export function
#ifdef __cplusplus
extern "C"{
#endif
	__declspec(dllexport) void SetProcName(LPCTSTR szProcName)
	{
		_tcscpy_s(g_szProcName, szProcName);
	}

#ifdef __cplusplus
}
#endif


//包含要鉤取API的dll模組檔名稱	,	要鉤取的API名稱	,	使用者提供的鉤取函式地址	,	儲存原來的5位元組緩衝區
BOOL hook_by_code(LPCSTR szDllName, LPCSTR szFuncName, PROC pfnNew, PBYTE pOrgBytes)
{
	FARPROC pfnOrg;
	DWORD dwOldProtect, dwAddress;
	byte pBuf[5] = { 0xE9, 0, };
	PBYTE pByte;

	//獲取要鉤取的API地址
	pfnOrg = (FARPROC)GetProcAddress(GetModuleHandleA(szDllName), szFuncName);//szDllName模組的szFuncName函式
	pByte = (PBYTE)pfnOrg;
	//若已被鉤取則返回FALSE
	if (pByte[0] == 0xE9)//0xE9表示跳轉指令
	{
		return FALSE;
	}

	//為了修改5個位元組,先向記憶體中新增寫屬性
	VirtualProtect((LPVOID)pfnOrg, 5, PAGE_EXECUTE_READWRITE, &dwOldProtect);
	//備份原有程式碼
	memcpy(pOrgBytes, pfnOrg, 5);
	//計算jmp地址 (E9 XXXXXXXX)
	//XXXXXXXX = (DWORD)pfnNew - (DWORD)pfnOrg - 5;

	//XXXXXXXX=要跳轉的地址-當前指令地址-當前指令長度 
	dwAddress = (DWORD)pfnNew - (DWORD)pfnOrg - 5; //減是因為採用小端儲存
	memcpy(pfnOrg, pBuf, 5);

	//恢復記憶體屬性
	VirtualProtect((LPVOID)pfnOrg, 5, dwOldProtect, &dwOldProtect);
	return TRUE;

}
//獲取函式要修改函式地址 -->  計算jmp偏移  -->  更改許可權  -->  儲存,寫入資料  -->  更改許可權
//所謂鉤取,在要鉤取的函式的開始幾個位元組改成jmp指令跳轉到注入的dll中執行設計好的函式


//
BOOL unhook_by_code(LPCSTR szDllName, LPCSTR szFuncName, PBYTE pOrgBytes)//
{
	FARPROC pfnOrg;
	DWORD dwOldProtect, dwAddress;
	byte pBuf[5] = { 0xE9, 0, };
	PBYTE pByte;

	//獲取要unhook的API地址
	pfnOrg = (FARPROC)GetProcAddress(GetModuleHandleA(szDllName), szFuncName);//szDllName模組的szFuncName函式
	pByte = (PBYTE)pfnOrg;
	//若未被鉤取則返回FALSE
	if (pByte[0] != 0xE9)//0xE9表示跳轉指令
	{
		return FALSE;
	}

	//為了修改5個位元組,先向記憶體中新增寫屬性
	VirtualProtect((LPVOID)pfnOrg, 5, PAGE_EXECUTE_READWRITE, &dwOldProtect);
	//備份原有程式碼
	memcpy(pfnOrg, pOrgBytes, 5);

	memcpy(pBuf, pfnOrg, 5);

	//恢復記憶體屬性
	VirtualProtect((LPVOID)pfnOrg, 5, dwOldProtect, &dwOldProtect);
	return TRUE;
}
//所謂unhook就是把原本模組對應函數出修改的jmp指令還原為原本的指令


NTSTATUS WINAPI NewZwQuerySystemInformation(SYSTEM_INFORMATION_CLASS SystemInformationClass, PVOID SystemInformation, ULONG SystemInformationLength, PULONG ReturnLength)
{
	NTSTATUS status;
	FARPROC pFunc;
	PSYSTEM_PROCESS_INFORMATION pCur, pPrev;
	char szProcName[MAX_PATH] = { 0, };
	//開始前先脫鉤
	unhook_by_code(DEF_NTDLL, DEF_ZWQUERYSYSTEMINFORMATION, g_pOrgBytes);

	//呼叫原始API
	pFunc = GetProcAddress(GetModuleHandleA(DEF_NTDLL), DEF_ZWQUERYSYSTEMINFORMATION);
	status = ((PFZWQUERYSYSTEMINFORMATION)pFunc)(Syst emInformationClass, SystemInformation, SystemInformationLength, ReturnLength);
	if (status != STATUS_SUCCESS)
		goto __NIQUERYSYSTEMINFORMATION_ENND;
	//僅僅針對SystemProcessInformation型別操作
	if (SystemInformationClass == SystemProcessInformation)
	{
		//SYSTEM_PROCESS_INFORMATION型別轉換
		//pCur是單向連結串列的頭
		pCur = (PSYSTEM_PROCESS_INFORMATION)SystemProcessInformation;
		while (TRUE)
		{
			//比較程序名稱
			//g_szProcName為要隱藏的程序名稱
			if (pCur->Reserved2[1] != NULL)
			{
				if (!_tcsicmp((PWSTR)pCur->Reserved2[1], g_szProcName))//Reserved2[1]裡面存放著程序名
				{
					//從連結串列中刪除要隱藏程序的名稱
					if (pCur->NextEntryOffset == 0)
						pPrev->NextEntryOffset = 0;
					else
						pPrev->NextEntryOffset += pCur->NextEntryOffset;//這裡需要用加等
				}
				else
					pPrev = pCur;
			}
			if (pCur->NextEntryOffset == 0)
				break;
			//連結串列的下一項
			pCur = (PSYSTEM_PROCESS_INFORMATION)((ULONG)pCur + pCur->NextEntryOffset);
		}

	}
__NIQUERYSYSTEMINFORMATION_ENND:
	//函式終止前再次執行API鉤取操作位下次呼叫準備
	hook_by_code(DEF_NTDLL, DEF_ZWQUERYSYSTEMINFORMATION, (PROC)NewZwQuerySystemInformation, g_pOrgBytes);
	return status;
}


BOOL WINAPI DllMain(HINSTANCE hinstDll, DWORD fdwReason, LPVOID lpvRserved)
{
	char szCurProc[MAX_PATH] = { 0, };
	char *p = NULL;
	//異常處理,如果當前程序位HideProc。exe則終止,不進行操作
	GetModuleFileNameA(NULL, szCurProc, MAX_PATH);
	p = strrchr(szCurProc, '\\');//找到filename
	//if ((p != NULL) && !_stricmp(p + 1, "HideProc.exe"))
		//return TRUE;
	switch (fdwReason)
	{
		//API鉤取
	case DLL_PROCESS_ATTACH:
		hook_by_code(DEF_NTDLL, DEF_ZWQUERYSYSTEMINFORMATION, (PROC)NewZwQuerySystemInformation, g_pOrgBytes);
		//鉤取DEF_NTDLL模組的DEF_ZWQUERYSYSTEMINFORMATION函式鉤取到了之後將執行NewZwQuerySystemInformation,用來儲存被鉤取函式的原資料

		break;
		//脫鉤
	case DLL_PROCESS_DETACH:
		unhook_by_code(DEF_NTDLL, DEF_ZWQUERYSYSTEMINFORMATION, g_pOrgBytes);
		break;

	}
	return TRUE;
}

win10測試不通過,很不穩定,暫時不知道什麼原因。

相關推薦

程序隱藏實驗(隱藏notepad程序)

0x01須知 需要技術:全域性API勾取。 原理:程序是核心物件,通過相關API可以檢測到他們,使用者模式下檢測API分為2類 CreateToolhelp32Snapshot()和EnumProcess()函式。但是2個API最終都會呼叫ntdll.ZwQue

程序管理實驗——POSIX下程序控制(一)

今天第一次真正意義上進行作業系統的實驗,比起以前C語言,Java的實驗,作業系統實驗顯得更有樂趣,也更有挑戰性,因而整理為一篇部落格,進一步的鞏固知識。 目的 通過分析實驗現象,深入理解程序及程序在排程執行和記憶體空間等方面的特點,掌握在POSIX規範中fork和kill

隱藏你寫的程序代碼

sub amp 原本 程序代碼 悲劇 ins 世紀 insert 註意 【 轉自http://blog.csdn.net/zhongguomao/article/details/9111135 】 如何隱藏你寫的程序代碼 不管是出於什麽樣的原因, 你偶爾會想到把自己寫的程序

隱藏微信小程序剪貼板提示

更多 nbsp etc div success span toast ast UC wx.setClipboardData 剪貼內容老是有一個Toast提示,很不爽,如何隱藏? 只要你代碼寫得夠快,提示都追不上你。 wx.setClipboardData({

程序中關於隱藏滾動條的方法

water pro pre fff pla play 作用 滾動條 oss 代碼: .course-list .list-wrap{ display: block; width: 678rpx; height: 353rpx; margi

memcached 實驗 (二) php程序調用

系統 運維 Linux vi /etc/php.ini加一行extension=memcache.so加入自啟動systemctl enable memcachedyum install php[root@memcache ~]# systemctl start httpd[root@memcac

20165324 Java實驗四 Android程序設計

res 實驗操作 ID 圖形界面 cnblogs sdk .cn device 設定 20165324 Java實驗四 Android程序設計 一、實驗報告封面 課程:Java程序設計 班級:1653班 姓名:何春江 學號:20165324 指導教師:婁嘉鵬 實驗日期:20

20165219第4次實驗《Android程序設計》實驗報告

事件處理 實驗報告 oid androi AC IT 安裝測試 事件 安裝 20165219第4次實驗《Android程序設計》實驗報告 一、實驗內容及步驟 (一)Android Stuidio的安裝測試 (二)Activity測試 (三) UI測試 (四) 布局測試 (五

20165232第4次實驗《Android程序設計》實驗報告

開發 roc 日期 res 構建項目 名稱 程序設計 AI 安裝 20165232第4次實驗《Android程序設計》實驗報告 一、實驗報告封面 一、實驗報告封面 課程:Java程序設計 班級:1652班 姓名:何彥達 學號:20165232 指導教師:婁嘉鵬 實驗日期:2

2017-2018-2 20165233 實驗四 Android程序設計

ID 實驗 alt 創建 碼雲 syn src device AC 20165233 實驗四 Android程序設計 實驗內容 任務一: 參考http://www.cnblogs.com/rocedu/p/6371315.html#SECANDROID,安裝 Androi

20165313Java實驗四 Android程序設計

提交 class 目錄 RoCE 分享圖片 20M 調試 shu log 實驗報告封面 課程:Java程序設計 班級:1653班 姓名:張晨暉 學號:20165313 指導教師:婁嘉鵬 實驗日期:2018年5月14日 實驗時間:13:45 - 15:25 實驗序號:實驗四

20165309 實驗四 Android程序設計

item ror version star 模擬器 port dst sch inf 2017-2018-2 20165309實驗四《Java面向對象程序設計》實驗報告 一、實驗內容 1.Android Studio的安裝測試 2.Activity測試 3.UI測試 4.布

Shellshock Attack Lab代寫、代寫網絡實驗報告程序、幫寫Shellshock程序、C/C++實驗作業代做、幫寫

rpo do it about therefore student eating pan control del SEED Labs – Shellshock Attack Lab 1Shellshock Attack LabCopyright ? 2006 - 2016

實驗4 Linux程序控制實驗指導書

實驗4 Linux程序控制實驗指導書 一、Ubuntu18下安裝fcitx及中文輸入法 1、解除安裝IBUS sudo apt-get  remove  ibus sudo apt-get  purge  ibus   2、開

匯編語言程序設計實驗報告二

color 總結 二次 image -a 分享圖片 空間 目的 用法 實驗目的: 1.熟練掌握使用debug工具編寫和調試匯編命令的方法; 2.理解並掌握內存中多字節數據的存放; 3.理解並掌握【棧】內存空間的特性和使用; 4.理解並掌握8086匯編指令 mov,add,s

匯編語言程序設計實驗報告三

內心 姓名 mage 多字節 正常 方法 bsp 不同的 程序 南京信息工程大學實驗報告 實驗名稱 實驗 3 編程、編譯、連接、跟蹤 實驗日期2018.11.18 得分 學院 計軟院 專業 計算機科學與技術 年級 2017級 班次 5班 姓名 陳奕明 學號 201

20172308 實驗三《程序設計與數據結構》查找與排序 實驗報告

sorting 折半 相關 -m 缺少 新建 找不到 png 堆排 20172308 2018-2019-1 實驗3 《查找與排序》報告 課程:《程序設計與數據結構》 班級: 1723 姓名: 周亞傑 學號:20172308 實驗教師:王誌強 實驗日期:2018年10月20

程序管理實驗——POSIX下執行緒控制(二)

實驗目的 1、通過觀察、分析實驗現象,深入理解執行緒及執行緒在排程執行和記憶體空間等方面的特點,並掌握執行緒與程序的區別。 2、掌握在POSIX 規範中pthread_create() 函式的功能和

實驗隱藏引數"_allow_resetlogs_corruption"的使用

實驗環境:OEL 5.7 + Oracle 10.2.0.5 Tips:該引數僅在特殊恢復場景下使用,需要在專業Oracle工程師指導下進行操作。 1.隱藏引數說明 2.故障場景再現 3.非常規恢復 1.隱藏引數說明 查詢隱藏引數"_allow_resetlogs_corruption

Linux程序控制實驗報告

一、實驗目的:進一步認識併發(並行)執行的概念,區別順序執行和併發(並行)執行。分析程序爭用臨界資源的現象,學習解決程序排斥的方法。二、實驗環境:一臺至少具有256MB記憶體的計算機,並安裝Red Hat Linux 9的Linux作業系統。三、實驗內容:(寫出主要的內容)1