通过读取KiWaitInListHead列出隐藏的进程

最新推荐文章于 2022-03-30 11:53:02 发布
原创 最新推荐文章于 2022-03-30 11:53:02 发布 · 2.5k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#attributes #null #object #include #struct #token

该程序通过读取KiWaitInListHead和KiWaitOutListHead内核链表来发现并列出可能被ROOTKIT隐藏的进程。利用/Device/PhysicalMemory访问内存,根据Jan K. Rutkowski的技术细节实现,代码适用于Windows系统。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

/*
有些ROOTKIT通过更改PsActiveProcess链表或相关Native API来隐藏进程.下面这个程序通过直接读取
KiWaitInListHead和KiWaitOutListHead(windows的dispatcher所使用的内核链表),来列出隐藏的进程.
技术细节请参照Jan K. Rutkowski的原文
http://www.blackhat.com/presentations/bh-usa-03/bh-us-03-rutkowski/rutkowski-antirootkit.zip.
原文的示范代码使用驱动来实现,这里使用了/Device/PhysicalMemory.代码很乱,勉强可以工作.这里感谢pjf的代码.
如果有错误的地方请斧正,如果你有更好的idea,与我分享?谢谢!
*/

/* code token from Jan K. Rutkowski(jkrutkowski<a>elka.pw.edu.pl) */
/*    and pjf ([email protected])'s article */
/* compile under cygwin> gcc -o kps kps.c -I/usr/include/w32api/ddk -lntdll -lntoskrnl */
/* see Jan K. Rutkowski's article for more info. */

/* This tool will list all the procs include those hiden by some rootkit. 2003/10, fantas1a*/

#include <stdio.h>
#include <stdlib.h>
#include <windows.h>
#include <ntddk.h>

typedef struct _KLISTER_PROCINFO {
    int pid;
    char name [18];
} KLISTER_PROCINFO, *PKLISTER_PROCINFO;

PLIST_ENTRY pKiWaitInListHead ;
PLIST_ENTRY pKiWaitOutListHead ;
PLIST_ENTRY pKiDispatcherReadyListHead ;
#define WAITLIST_OFFSET 0x5c    // in _KTHREAD

PVOID     g_pMapPhysicalMemory = NULL;
HANDLE     g_hMPM     = NULL;

#define MAX_PROCS 1000
KLISTER_PROCINFO procs[MAX_PROCS];
int nprocs = 0;

PVOID LinearToPhys(PULONG BaseAddress,PVOID addr)
{
    ULONG VAddr=(ULONG)addr,PGDE,PTE,PAddr;
    PGDE=BaseAddress[VAddr>>22];
    if ((PGDE&1)!=0)
    {
        ULONG tmp=PGDE&0x00000080;
        if (tmp!=0)
        {
            PAddr=(PGDE&0xFFC00000)+(VAddr&0x003FFFFF);
        }
        else
        {
            PGDE=(ULONG)MapViewOfFile(g_hMPM, 4, 0, PGDE & 0xfffff000, 0x1000);
            PTE=((PULONG)PGDE)[(VAddr&0x003FF000)>>12];
            if ((PTE&1)!=0)
            {
                PAddr=(PTE&0
最低0.47元/天 解锁文章

200万优质内容无限畅学
4.WaitForSingleObject函数分析
My classmates
10-26 898
无论可等待对象是何种类型,线程都是通过: WaitForSingleObject WaitForMultipleObjects 进入等待状态的,这两个函数是理解线程等待与唤醒进制的核心 WaitForSingleObject参数说明 WaitForSingleObject对应的内核函数: NTSTATUS stdcall NtWaitForSingleObject ( HANDLE Handl...
进程线程002 等待链表 调度链表
鬼手的博客
01-01 760
文章目录前言等待链表33个链表调度链表版本差异总结 前言 进程结构体EPROCESS(0x50和0x190)是2个链表,里面圈着当前进程的所有线程。 对进程断链,程序可以正常运行,原因是CPU执行与调度是基于线程的,进程断链只是影响一些遍历系统进程的API,并不会影响程序执行。 对线程断链也一样,断链后在Windbg或者OD无法看到被断掉的线程,但并不影响线程执行。 等待链表 线程有三种状态:就绪...
基于线程调度的同步机制
maomao171314的专栏
11-24 553
基于线程调度的同步机制 1 线程进入等待 当一个线程的控制流到达一个等待函数时,若等待的条件不满足,则线程调度器会将处理器的执行权交给其他处于备用或就绪状态的线程。这些被等待的对象可以用来协调线程之间的行为,它们被称为同步对象或者分发器对象。头部以DISPATCH_HEADER开始的对象都市分发器对象,定义如下: typedef struct _DISPATCHER_HEADER { union { struct { UCHAR Type; ...
[转](61)分析 KiFindReadyThread 函数 —— 线程优先级
weixin_41875267的博客
11-23 495
一、前言 通过之前的学习,我们知道了线程切换有两种触发情况,一种是API主动调用切换,另一种是时钟中断切换,时钟中断方式我们还没学。 当线程切换发生时,要调用 KiFindReadyThread 函数从调度链表里找到下一个就绪线程。这次课我们就来分析 KiFindReadyThread 函数是如何根据线程优先级找到就绪线程的。 这个函数用了二分查找和大量位运算,代码非常长,就算拿着源码看,都要花些功夫。 二、预备知识 逆向之前,介绍一下必不可少的预备知识。 ...
《Windows内核原理与实现笔记》(五)Windows微内核中进程和线程的数据结构KTHREAD,KPROCESS
kernweak的博客
01-09 1815
Windows中进程和线程的数据结构 Windows内核中的执行体层负责各种与管理和策略相关的功能,而内核层(或微内核)实现了操作系统的核心机制。进程和线程在这两层上都有对应的数据结构。 内核层的进程和线程对象 首先看(微)内核层的数据结构,这是进程和线程最为基本的数据结构,分别名为KPROCESS和KTHREAD。 KPROCESS的定义(见base\ntos\inc\ke.h) t...
windows内核情景分析---线程同步
maomao171314的专栏
04-04 1422
基于同步对象的等待、唤醒机制: 一个线程可以等待一个对象或多个对象而进入等待状态(也叫睡眠状态),另一个线程可以触发那个等待对象,唤醒在那个对象上等待的所有线程。 一个线程可以等待一个对象或多个对象,而一个对象也可以同时被N个线程等待。这样,线程与等待对象之间是多对多的关系。他们之间的等待关系由一个队列和一个‘等待块’来控制,等待块就是线程与等待目标对象之间的纽带。 WaitFo
Windows2000 内核级进程隐藏、侦测技术
天蓝的专栏
09-01 1710
摘要    信息对抗是目前计算机发展的一个重要的方向,为了更好的防御,必须去深入的了解敌人进攻的招式。信息对抗促使信息技术飞速的发展。下面我选取了信息对抗技术的中一个很小一角关于windows内核级病毒隐藏技术和反病毒侦测技术作为议题详细讨论。 关键字:内核,拦截,活动进程链表,系统服务派遣表,线程调度链Abstract        Nowadays, informati
等待链表_调用链表、KPCR
qq_18811919的博客
03-30 737
KPCR KPCR:CPU控制区(Process Control Region) 在逆向操作系统内核中存在三个关键的结构体, 分别是EPRCOESS(进程结构体)、ETHREAD(线程结构体)、KPCR(CPU控制区) 每一个CPU都有一个KPCR结构体用于存储一些数据。 KPCR类似于线程结构体的一个副本用于快速查询。 KPCR介绍 1.当线程进入0环时,FS:[0]指向KPCR(3环时指向FS:[0]->TEB) 2.每个CPU都有一个KPCR结构体(一个核心一个) 3.KPCR中存储了CPU本
检测隐藏进程
a572893208的博客
10-15 700
许多用户都有过用Windows自带的任务管理器查看所有进程的经验,并且很多人都认为在任务管理器中隐藏进程是不可能的。而实际上,进程隐藏是再简单不过的事情了。有许多可用的方法和参考源码可以达到进程隐藏的目的。令我惊奇的是只有很少一部分的木马使用了这种技术。估计1000个木马中仅有1个是进程隐藏的。我认为木马的作者太懒了,因为隐藏进程需要进行的额外工作仅仅是...
如何实现可动态调整隐藏header的listview
weixin_33807284的博客
09-05 129
需求:根据某种需要,可能需要动态调整listview的页眉页脚,譬如将header作为显示板使用。 难点:listView.addHeaderView()方法必须在setAdapter()方法前调用,否则就会抛异常。至于为什么会抛异常,查看下ListView的源代码即可发现。因此,在设置HeaderView之后又想将headerView移除或者隐藏,则需要绕很大的弯子:将adapter保...
rootkit学习总结2
bcbobo21cn的专栏
04-13 6595
关于rootkit小资料 一,前言 二,简介 三,rootkit的一些以公开的隐藏技术 四,一些隐藏技术的应对方法 五,about ring0 rootkit 六,rootkit的检测 七,参考资料,推荐 ************************* 一.先说几句与技术无关的话。 ************************* 二.简单的说说rootkit.
绕过内核调度链表进程检测
老裴
05-23 1031
绕过内核调度链表进程检测                                                                                               [转载自SoBeIt]    一般隐藏进程的方法实际是无法彻底隐藏进程,因为内核调度是基于线程的。下面介绍我实现的一种更隐蔽的隐藏进程的方法。我们知道线程调度内核使用3条调度链表KiWa
驱动中获取PsActiveProcessHead变量地址的五种方法
weixin_33949359的博客
11-24 252
PsActiveProcessHead的定义: 在windows系统中,所有的活动进程都是连在一起的,构成一个双链表,表头是全局变量PsActiveProcessHead,当一个进程被创建时,其ActiveProcessList域将被作为节点加入到此链表中;当进程被删除时,则从此链表中移除,如果windows需要枚举所有的进程,直接操纵此链表即可。 方法一:从Kd...
侦测隐藏进程的强文
04-22 6163
俄语原文:http://wasm.ru/article.php?article=hiddndt俄文翻译:kaohttp://community.reverse-engineering.net/viewtopic.php?t=4685中文翻译: prince后期校验:firstrose=============================侦测隐藏进程[C] Ms-Rem2002-2005 was
显示所有进程信息(进程名,PID)显示隐藏进程
weixin_34010566的博客
11-12 446
1 BOOL CDriverToolsDlg::ZyShowWindowsProInfo(void) 2 { 3 CString str; 4 CString Path; 5 PROCESSENTRY32 pe32; 6 7 //在使用这个结构前,先设置它的大小 8 9 pe32.dwSize = sizeof(pe...
Windows2003 内核级进程隐藏、侦测技术(下)
ygyangguang的专栏
01-19 784
在PspCreateProcess内核API中能清晰的找到:    InsertTailList(&PsActiveProcessHead,&Process->ActiveProcessLinks);    当进程结束的时候,该进程的EPROCESS结构当从活动进程链上摘除。(但是EPROCESS结构不一定就马上释放)。    在PspExitProcess内核API中能清晰的找到: 
4.线程到底是如何调度和切换的?
u011454830的专栏
11-07 1228
4.线程到底是如何调度和切换的? 本节内容将作为本篇文章最重要的部分来讲述,源代码才是我们的王道,在WRK-v1.2\base\ntos\ke\Yield.c文件里,我们终于看到代码了,需要说明的是这个部分并非是完整的调度,我们是从这个入手来看整个的过程,没有源代码的原理就是空中楼阁。 NTSTATUS  NtYieldExecution (VOID) {     KIRQL OldIrq
内核中的同步机制(二)
Returns' Station
05-23 1416
★.线程等待对象 一些对象时刻等待的 进程 线程 定时器 各种同步对象等等 可被等待的对象,开头都是一个分发器头,这是WRK中的定义,WDK中的定义要更复杂点 typedef struct _DISPATCHER_HEADER { union { struct { UCHAR Type; 对象类型 union
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值