枚举进程——暴力搜索内存(Ring0)
2024-08-29 10:19:23
上面说过了隐藏进程,这篇博客我们就简单描述一下暴力搜索进程。
一个进程要运行,必然会加载到内存中,断链隐藏进程只是把EPROCESS从链表上摘除了,但它还是驻留在内存中的。这样我们就有了找到它的方法。
在内核中,传入进程ID,通过ZwOpenProcess得到句柄,再传入句柄,通过ObReferenceObjectByHandle,可以获得EPROCESS,既然获得了EPROCESS,问题就迎刃而解了。
既可以选择用加偏移的方法得到进程名,也可以用PsGetProcessFileName来获取进程名。这样就得到了进程的信息。
所以,我们从0枚举到一个很大的数,比如100000(我们所见过的进程ID没有大过100000的),作为进程ID,为了提高效率,可以只把4的倍数作为进程ID(进程ID都是4的倍数),在Ring3层通过OpenProcess打开,如果得到的句柄不为空,在将其ID传入Ring0层,通过上面的方法,就可以搜索出内存中的所有进程。
下面是关键部分源码:
BOOLEAN
GetProcessImageNameByProcessID(/*IN*/ULONG ulProcessID,/*OUT*/char* szProcessImageName,/*OUT*/ULONG* ulProcessNameLen)
{
CLIENT_ID Cid;
HANDLE hProcess;
NTSTATUS Status;
OBJECT_ATTRIBUTES oa;
PEPROCESS EProcess = NULL; Cid.UniqueProcess = (HANDLE)ulProcessID;
Cid.UniqueThread = ; InitializeObjectAttributes(&oa,,,,); Status = ZwOpenProcess(&hProcess,PROCESS_ALL_ACCESS,&oa,&Cid); if (!NT_SUCCESS(Status))
{
return FALSE;
} Status = ObReferenceObjectByHandle(hProcess,FILE_READ_DATA,,
KernelMode,&EProcess, ); if (!NT_SUCCESS(Status))
{ ZwClose(hProcess);
return FALSE;
} ObDereferenceObject(EProcess); //上面用过ObReferenceObjectByHandle,所以这里要解一次引用计数 *ulProcessNameLen = strlen((const char*)PsGetProcessImageFileName(EProcess)); memcpy(szProcessImageName,(const char*)PsGetProcessImageFileName(EProcess),*ulProcessNameLen);
DbgPrint("%s\r\n",szProcessImageName); ZwClose(hProcess);
}
最新文章
- java中字节流与字符流的区别
- Webstorm 下的Angular2.0开发之路
- http://blog.csdn.net/krislight/article/details/9391455
- reduce方法
- 用#define来实现多份近似代码 - map,set中的应用
- Javascript模块化编程(一):模块的写法 作者: 阮一峰
- 从零开始学习Node.js例子四 多页面实现数学运算
- iis php5.3.8 默认文档无效 404 - 找不到文件或目录
- July 18th, Week 30th Monday, 2016
- [转]JAVA程序员一定知道的优秀第三方库(2016版)
- Debug.print的用法
- Differential Geometry之第三章曲面的局部理论
- HW4.8
- HDU5311
- oschina应用工具
- 关于微信小程序拒绝授权后,重新授权并获取用户信息
- ES6模块之export和import详解
- Java提高班(三)并发中的线程同步与锁
- Beta冲刺(4/5)(麻瓜制造者)
- Pyqt5自定义浏览器