吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 19211|回复: 308
上一主题 下一主题
收起左侧

[系统底层] win10-win11进程隐藏小技巧

    [复制链接]
跳转到指定楼层
楼主
Panel 发表于 2023-12-8 11:05 回帖奖励

win10-win11进程隐藏小技巧

1.EPROCESS结构

在Windows内核中进程信息的数据存储结构有一个是叫做EPROCESS,通过这个数据结构我们能够遍历系统中的进程信息,同理我们对该结构进行操作也可以隐藏进程信息,接下来我们用windbg来解析一下这个结构:

0: kd> dt _eprocess
nt!_EPROCESS
   +0x000 Pcb              : _KPROCESS
   +0x438 ProcessLock      : _EX_PUSH_LOCK
   +0x440 UniqueProcessId  : Ptr64 Void
   +0x448 ActiveProcessLinks : _LIST_ENTRY
   +0x458 RundownProtect   : _EX_RUNDOWN_REF
   +0x460 Flags2           : Uint4B
   +0x460 JobNotReallyActive : Pos 0, 1 Bit
   +0x460 AccountingFolded : Pos 1, 1 Bit
   +0x460 NewProcessReported : Pos 2, 1 Bit
   +0x460 ExitProcessReported : Pos 3, 1 Bit
   +0x460 ReportCommitChanges : Pos 4, 1 Bit
   +0x460 LastReportMemory : Pos 5, 1 Bit
   +0x460 ForceWakeCharge  : Pos 6, 1 Bit
   +0x460 CrossSessionCreate : Pos 7, 1 Bit
   +0x460 NeedsHandleRundown : Pos 8, 1 Bit
   +0x460 RefTraceEnabled  : Pos 9, 1 Bit
   +0x460 PicoCreated      : Pos 10, 1 Bit
   +0x460 EmptyJobEvaluated : Pos 11, 1 Bit
   +0x460 DefaultPagePriority : Pos 12, 3 Bits
   +0x460 PrimaryTokenFrozen : Pos 15, 1 Bit
   +0x460 ProcessVerifierTarget : Pos 16, 1 Bit
   +0x460 RestrictSetThreadContext : Pos 17, 1 Bit
   +0x460 AffinityPermanent : Pos 18, 1 Bit
   +0x460 AffinityUpdateEnable : Pos 19, 1 Bit
   +0x460 PropagateNode    : Pos 20, 1 Bit
   +0x460 ExplicitAffinity : Pos 21, 1 Bit
   +0x460 ProcessExecutionState : Pos 22, 2 Bits
   +0x460 EnableReadVmLogging : Pos 24, 1 Bit
   +0x460 EnableWriteVmLogging : Pos 25, 1 Bit
   +0x460 FatalAccessTerminationRequested : Pos 26, 1 Bit
   +0x460 DisableSystemAllowedCpuSet : Pos 27, 1 Bit
   +0x460 ProcessStateChangeRequest : Pos 28, 2 Bits
   +0x460 ProcessStateChangeInProgress : Pos 30, 1 Bit
   +0x460 InPrivate        : Pos 31, 1 Bit
   +0x464 Flags            : Uint4B
   +0x464 CreateReported   : Pos 0, 1 Bit
   +0x464 NoDebugInherit   : Pos 1, 1 Bit
   +0x464 ProcessExiting   : Pos 2, 1 Bit

因为成员太多我就只例举到上面这些,其中 +0x440 UniqueProcessId  : Ptr64 Void是进程的ID,也就是pid,我们将这个值改为一个其他进程的ID的话就能够将该进程隐藏起来,我们试一下:

此时notepad进程是在任务管理器的,我们现在将他的进程id改为4试试。

修改成功,看一下各个软件能够遍历到的进程有包括吗:

可以看到notepad在运行,但是x32dbg和任务管理器都枚举不到了,这个隐藏不是基于hook某个dll的ntqueryxxx函数,所以是全局生效的

2.实践了win10 1503 - win11 23h1 都生效,因为每个版本的偏移可能有所不同,大家要写成成品的话自己收集一下偏移即可,成品我就不放出来了,自己动手丰衣足食。

免费评分

参与人数 66吾爱币 +61 热心值 +56 收起 理由
caizplsj1226 + 1 + 1 谢谢@Thanks!
awfyygy520 + 1 + 1 谢谢@Thanks!
hizlez + 1 谢谢@Thanks!
腐烂世界 + 1 + 1 我很赞同!
r2r + 1 谢谢@Thanks!
Mooshed88 + 1 + 1 我很赞同!
yayul + 1 + 1 热心回复!
werth + 1 + 1 我很赞同!
Jien + 1 我很赞同!
bbj2024 + 1 用心讨论,共获提升!
a14377 + 1 热心回复!
AC8077 + 1 我很赞同!
lxgroot + 1 + 1 谢谢@Thanks!
daihailiang2024 + 1 + 1 我很赞同!
我不该爱你的 + 1 + 1 谢谢@Thanks!
jjhan123453 + 1 谢谢@Thanks!
heikis + 1 + 1 我很赞同!
canfeng0522 + 1 + 1 我很赞同!
w220913 + 1 + 1 热心回复!
longjiuzhou114 + 1 + 1 我很赞同!
pj20131111 + 1 我很赞同!
杨辣子 + 1 + 1 用心讨论,共获提升!
猫吃 + 1 每天一个小技巧
xyz2000cn007 + 1 + 1 我很赞同!
weidechan + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
tocabd + 1 + 1 谢谢@Thanks!
xljh888 + 1 + 1 谢谢@Thanks!
lqzc521 + 1 我很赞同!
yxpp + 1 谢谢@Thanks!
yuze0804007 + 1 + 1 我很赞同!
lyslxx + 1 + 1 我很赞同!
yzhl + 1 + 1 用心讨论,共获提升!
0xUYR7s + 1 我很赞同!
random1 + 1 + 1 热心回复!
zzddys0201 + 1 + 1 用心讨论,共获提升!
yuzaizi521 + 1 + 1 谢谢@Thanks!
yaan + 1 + 1 我很赞同!
t55555 + 1 + 1 我很赞同!
che_shen + 1 + 1 鼓励转贴优秀软件安全工具和文档!
411183343 + 1 谢谢@Thanks!
Hmily + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
hscxdesign + 1 用心讨论,共获提升!
angel8327 + 1 + 1 我很赞同!
THMZ + 1 我很赞同!
韦大潮 + 1 + 1 我是小白想要一份成品
Lixiangnanyue + 1 + 1 我很赞同!
tianyu925 + 1 我很赞同!
piaopiao030 + 1 + 1 用心讨论,共获提升!
Cleverwwh + 1 + 1 我很赞同!
唐三没藏 + 1 谢谢@Thanks!
快手 + 1 隐藏进程能干什么好事?
yp17792351859 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
rgyjc + 1 + 1 谢谢@Thanks!
aiwuwawa + 1 + 1 谢谢@Thanks!
Styang + 1 热心回复!
孺子韫 + 1 + 1 我很赞同!
timeni + 1 + 1 谢谢@Thanks!
15971996922 + 1 + 1 已经处理,感谢您对吾爱破解论坛的支持!
SakuraYaaa + 1 + 1 用心讨论,共获提升!
ndtinfo + 1 + 1 谢谢@Thanks!
debug_cat + 2 + 1 用心讨论,共获提升!
NTMD + 1 + 1 热心回复!
sysmu + 1 + 1 谢谢@Thanks!
Jackin + 1 我很赞同!
mmffddyy + 1 + 1 我很赞同!
freecat + 1 我很赞同!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
zhouyulong 发表于 2023-12-9 09:49
公司电脑的监控程序是不是也是这么隐藏的
推荐
破解专用户 发表于 2023-12-8 13:13
Panel 发表于 2023-12-8 11:17
不会,只不过建议改非系统进程的id,因为系统进程好像关机的时候会蓝,其他时候不会

我不懂,那问下这是不是也是在教病毒隐身
3#
zhichengishero 发表于 2023-12-8 11:14
4#
jiang12 发表于 2023-12-8 11:16
自己动手,试试看😃
5#
 楼主| Panel 发表于 2023-12-8 11:17 |楼主
zhichengishero 发表于 2023-12-8 11:14
还能这样操作?那别的程序会崩溃么?

不会,只不过建议改非系统进程的id,因为系统进程好像关机的时候会蓝,其他时候不会
6#
李现在哪 发表于 2023-12-8 11:48
这个思路牛逼
7#
雾都孤尔 发表于 2023-12-8 12:19
可以可以,学会了一招。感谢分享。
8#
apull 发表于 2023-12-8 12:32
这个可以,学习了。。
9#
fj51758 发表于 2023-12-8 12:55
学习了。。
10#
lopk666 发表于 2023-12-8 13:42
蛮有用的,感谢分享
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-21 13:06

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表