|
阅读:1522回复:7
进程隐藏的另类问题
任务管理器中的隐藏可以通过api hook函数NtQuerySystemInformation来实现,但是要在附件-》系统工具-》系统信息-》软件环境-》正在运行任务(windows 2000)中看不到,要hook 什么函数啊?
|
|
|
沙发#
发布于:2005-05-17 22:42
我已经回答过了,就再回答一遍,挣点分吧
有的木马是这么做的,是定时例如1m检查进程,还是安装个全局钩子有点记不清了,如发现taskmgr.exe起来了,远程注入taskmgr.exe,修改ntdll中的zwquerysysteminformation来隐藏。这样就不需要写驱动了,毕竟对于没有做过驱动的程序员来说,上来写个驱动还是很麻烦的。 对于你说的系统信息这个程序是helpctr.exe,上面是判断进程名字是 taskmgr.exe,那就再加上个helpctr.exe,总之进程名字满足你记录的文件列表中的文件名,都去hook zwquerysysteminformation就好了。 如果不用驱动来实现,除此以外,是不是也没有什么好办法了? |
|
|
板凳#
发布于:2005-05-18 08:59
看这个
http://www.driverdevelop.com/forum/html_92153.html?1116377934 wowocock的回答是经典 |
|
|
|
地板#
发布于:2005-05-18 09:06
任务管理器中的隐藏已经实现了。但是另外一个地方的隐藏,找不到1楼所说的那个程序啊。我的思路是通过api hook 的方法,所以想找到另一个地方调用的api。在2楼所说的帖子我已经问过一次了,还是一楼所说的方法。但是好象不行 。我hook NtQuerySystemInformation的时候,并没有判断进程,但是隐藏只在任务管理器管用。
[编辑 - 5/18/05 by fenghaifu] |
|
|
地下室#
发布于:2005-05-18 09:28
任务管理器中的隐藏已经实现了。但是另外一个地方的隐藏,找不到1楼所说的那个程序啊。我的思路是通过api hook 的方法,所以想找到另一个地方调用的api。在2楼所说的帖子我已经问过一次了,还是一楼所说的方法。但是好象不行 。我hook NtQuerySystemInformation的时候,并没有判断进程,但是隐藏只在任务管理器管用。 附件-》系统工具-》系统信息不是个程序吗?名字不是helpctr.exe吗?对它的处理和对taskmgr.exe的处理有什么不同吗? 同样的注入,同样的api hook. 没有理解你说的不行是什么意思,除非它没有通过NtQuerysystemInformation来枚举进程? |
|
|
5楼#
发布于:2005-05-18 09:33
根据我的程序来看,它并不是通过NtQuerySystemInformation来获取进程列表的,因为我做api钩子的时候,是钩所有进程的,如果是的话,应该就可以了,但是现在不行,我怀疑是不是通过wmi接口来查的。
|
|
|
6楼#
发布于:2005-05-18 10:10
那你就用ice跟踪一下,确认它是不是调的wmi接口吧。在用ida静态的反一下找找是不是调用了wmi的函数什么的。不熟悉wmi.
|
|
|
7楼#
发布于:2005-05-18 10:21
我不是很会用soft ice,大家做进程隐藏时难道没有碰到过这个问题吗?
|
|