首页
论坛
课程
招聘
[求助]关于用MiProcessLoaderEntry隐藏进程的问题
2019-1-2 17:47 9163

[求助]关于用MiProcessLoaderEntry隐藏进程的问题

2019-1-2 17:47
9163
甘迪文大牛的巨著《Windows 黑客编程技术详解》提到使用MiProcessLoaderEntry来隐藏进程可以避过PG的检测。但我用IDA看了一下WIN10的内核文件,这个函数好像只有用来处理驱动加载/卸载,没有用来处理进程的创建/销毁啊。

重新开个贴,麻烦卖隐藏进程的山总别进来捣乱了(我不卖隐藏进程,不跟山总抢生意,只想弄清楚这个技术问题)。还有请版主把旧的帖子删除吧。

[培训] 优秀毕业生寄语:恭喜id:一颗金柚子获得阿里offer《安卓高级研修班》火热招生!!!

最后于 2019-1-2 17:49 被tdsss编辑 ,原因:
收藏
点赞0
打赏
分享
最新回复 (13)
雪    币: 250
活跃值: 活跃值 (541)
能力值: ( LV5,RANK:68 )
在线值:
发帖
回帖
粉丝
万剑归宗 活跃值 1 2019-1-3 09:07
2
0
没听说过这号人,至于利用这个隐藏进程,更是闻所未闻
雪    币: 539
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
demongwc 活跃值 2019-1-3 10:37
3
0
  
最后于 2019-4-6 11:43 被demongwc编辑 ,原因:
雪    币: 93
活跃值: 活跃值 (38)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
isdebug 活跃值 2019-1-3 11:38
4
0
这个和系统版本有关系哦
雪    币: 953
活跃值: 活跃值 (71)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
tdsss 活跃值 2019-1-3 15:17
5
0
isdebug 这个和系统版本有关系哦
具体说说跟什么版本有关系,以及有什么关系。
雪    币: 89
活跃值: 活跃值 (410)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
柒雪天尚 活跃值 2019-1-3 15:45
6
0
笑出声。。。重新开个贴,麻烦卖隐藏进程的山总别进来捣乱了
雪    币: 93
活跃值: 活跃值 (38)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
isdebug 活跃值 2019-1-3 22:28
7
0
tdsss 具体说说跟什么版本有关系,以及有什么关系。
大手子饶命,小弟不欠你的
雪    币: 298
活跃值: 活跃值 (443)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
章鱼C 活跃值 2019-2-17 01:48
8
0
https://github.com/Sqdwr/HideDriver
可以隐藏驱动 不会触发PG 书上估计是写错了
这书感觉就是吧github项目拔下来讲一遍
雪    币: 1023
活跃值: 活跃值 (931)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
灵幻空间 活跃值 2020-2-26 17:19
9
0
可以隐藏进程利用这个函数将其指定进程从 _EPROCESS.ActiveProcessLinks 链表剔除就可以了,但是句柄表还是可以找到,以及可以Hook进程和线程的相关内核函数也可以找到
雪    币: 213
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
wx_第七子 活跃值 2020-5-3 11:11
10
0
不同版本内核是不一样的,需要重新修改代码的细节,不过思路和代码框架是值得学习的
雪    币: 5848
活跃值: 活跃值 (1013)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
黑洛 活跃值 1 2020-5-3 22:17
11
0
这本书的作者我只有两个字:呵呵
雪    币: 0
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
年少时的懵马 活跃值 2020-11-18 20:30
12
0
在Win10 X64 1511,1607上都试了一下,用MiProcessLoaderEntry来摘链确实可以实现进程隐藏,至少任务管理器看不到了。但是如楼主所说,这种方式没有对进程销毁的情况进行处理,所以在没Bypass Patch Guard的情况下,一旦隐藏的进程被销毁,系统就会蓝屏。
KERNEL_SECURITY_CHECK_FAILURE (139)
A kernel component has corrupted a critical data structure.  The corruption
could potentially allow a malicious user to gain control of this machine.
这个是windbg调试蓝屏dump文件给的信息
通过分析dump文件可以看到异常发生在PspProcessDelete调用的过程中。
雪    币: 10
活跃值: 活跃值 (184)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
大佬求关照 活跃值 2020-12-6 22:18
13
0
年少时的懵马 在Win10 X64 1511,1607上都试了一下,用MiProcessLoaderEntry来摘链确实可以实现进程隐藏,至少任务管理器看不到了。但是如楼主所说,这种方式没有对进程销毁的情况进行处理 ...
这个蓝屏有办法解决吗
雪    币: 0
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
年少时的懵马 活跃值 2020-12-8 16:14
14
0
大佬求关照 这个蓝屏有办法解决吗
后来还是没能解决这个蓝屏,就干脆没继续做下去了
游客
登录 | 注册 方可回帖
返回