首页
论坛
课程
招聘
[原创]任务管理器里隐藏服务名HideSrv
2020-4-11 15:31 7779

[原创]任务管理器里隐藏服务名HideSrv

2020-4-11 15:31
7779
背景:
    前段时间有个需求,一个正规项目需要不考虑杀毒的情况下在任务管理器里隐藏服务名,各位大佬别喷先,声明一点:绝对是正规项目。虽然解释有点尴尬,但是的确是正规项目里有这个需求,不是病毒不是木马。职业操守是有的。不多说了,因为这个需求很容易越描越黑。。。

    遥想多年前就隐约的记得做过这么个东西,当时是hook的taskmgr.exe里四个api( EnumServicesStatusA/W/ExA/ExW )和mmc.exe里的EnumServiceGroupW
    于是找出代码来往win7下面实验了下,结果还是令人满意的。但是在win8和win10下实验了一下的时候,却发现了问题。结果不行!!!

    这一下就麻烦大了,研究点东西资料不多的时候还是很头疼的,最终没结果的时候问了下prochg老大,经过老大指点原来开始走rpc了,有了这个指引点之后
迅速的就想办法hookservices了,这样也方便全部接管,也顺利的定位到了 rpcrt4.dll!NdrClientCall2这个,然后这个是一个变参,不好hook,不过功夫不付有心人,
至于可变参数如何hook不在讨论范围,有兴趣的可以自行搜索一下,还是很有意思的。当hook这个成功之后,又是一个问题,如何注入services.exe.

    接下来不说怎么注入这个,我只想说的是:这两个大动作 注入services.exe和hook  rpcrt4.dll!NdrClientCall2 完全就有大概率让用户蓝屏死机了。。考虑了良久,决定放弃这个想法,但是路在何方?

    还是经prochg老大一句点醒,一个关键词 acl.

    哎呀我去,acl三个字母,就搞定了,其实说到这里懂的就都懂了,安全可靠稳定放心实用。

    感慨一句,认识大佬就是爽,虽然简单的一个关键词,但是那都是搞定问题的关键。好了,放码。

    收了代码不回帖的木有小jj


【公告】看雪团队招聘安全工程师,将兴趣和工作融合在一起!看雪20年安全圈的口碑,助你快速成长!

上传的附件:
收藏
点赞5
打赏
分享
最新回复 (30)
雪    币: 1011
活跃值: 活跃值 (444)
能力值: ( LV9,RANK:181 )
在线值:
发帖
回帖
粉丝
FiveEyes 活跃值 2020-4-11 15:39
2
0
雪    币: 23
活跃值: 活跃值 (243)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
靴子 活跃值 2020-4-11 15:58
3
0
试了下 没效果。。win7X64
雪    币: 444
活跃值: 活跃值 (192)
能力值: ( LV6,RANK:81 )
在线值:
发帖
回帖
粉丝
mlgbwoai 活跃值 1 2020-4-11 16:02
4
1
管理员 并重启taskmgr.exe
雪    币: 23
活跃值: 活跃值 (243)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
靴子 活跃值 2020-4-11 16:11
5
0
重启好用了 谢谢分享 好像是用SetServiceObjectSecurity实现的。 
雪    币: 9549
活跃值: 活跃值 (1665)
能力值: ( LV6,RANK:87 )
在线值:
发帖
回帖
粉丝
Lixinist 活跃值 1 2020-4-11 16:32
6
0
6次下载,2个人回帖。嗯emmm
最后于 2020-4-11 16:32 被Lixinist编辑 ,原因:
雪    币: 444
活跃值: 活跃值 (192)
能力值: ( LV6,RANK:81 )
在线值:
发帖
回帖
粉丝
mlgbwoai 活跃值 1 2020-4-11 16:36
7
0
这下得找 雮尘珠 解除jj了
雪    币: 20
活跃值: 活跃值 (486)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
猪会被杀掉 活跃值 1 2020-4-11 16:54
8
0
靴子 重启好用了 谢谢分享 好像是用SetServiceObjectSecurity实现的。 [em_1]
里面是LIB文件。。。。花几分钟凑了段隐藏的代码给伸手党。
雪    币: 20
活跃值: 活跃值 (486)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
猪会被杀掉 活跃值 1 2020-4-11 16:55
9
0
靴子 重启好用了 谢谢分享 好像是用SetServiceObjectSecurity实现的。 [em_1]