- 1、本文档共12页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
进程隐藏实验报告
目录
TOC \o 1-3 \h \z \u 一、实验简介 1
1.1 实验目的 1
1.2 实验内容 1
1.3 实验环境 1
二、实验原理 1
2.1 隐藏技术 1
2.2 进程伪装 2
2.3 进程隐藏 2
三、实验过程 3
3.1 利用Windbg查看进程 3
3.2 进程隐藏 6
3.2.1 函数介绍 6
3.2.2 实现原理 8
3.2.3 编码实现 8
四、实验结果 10
五、实验总结与问题的解决 10
5.1 实验总结 10
5.2 遇到问题的解决方案 11
六、参考文献 11
PAGE 2
一、实验简介
1.1 实验目的
在本实验中,学生需要试利用windbg、DDK或SoftICE查看EProcess和PEB中活动进程相关信息,绘制出当前活动进程双向链表在内核态和用户态下的进程链表结构,并设计“断链”方法利用这两个结构体实现自己任意指定进程在任务管理器中的隐藏。
1.2 实验内容
本实验涵盖以下主题:
利用Windbg查看进程;
进程隐藏。
1.3 实验环境
Windows 10、Windbg
二、实验原理
2.1 隐藏技术
为了永久地驻留在用户计算机上,病毒木马需要披上厚厚的伪装。因为它们深深地明白,只有活下去,才会有未来。所以,就像潜伏在敌人内部的间谍一样,病毒木马需要巧妙地隐藏、伪装自己,小心翼翼地窃取计算机用户的数据和隐私,生怕因留下的蛛丝马迹而被用户或是杀软察觉。暴露的后果轻则是在该计算机上连根拔起,重则是溯源,连老巢都让人端掉。所以,做好隐藏、伪装工作是病毒木马长期驻留在用户计算机上的关键。
但是,也并非所有的病毒木马都会故意地隐藏或伪装,有些病毒木马由于自身植入技术、启动技术或是自启动技术较为隐蔽,不易被用户察觉或是被杀软检测到,所以不需要额外的隐藏伪装,也能达到隐藏的目的。
目前常见的隐藏、伪装技术主要有以下四种:
进程伪装:通过修改指定进程PEB中的路径和命令行信息实现伪装。
傀儡进程:通过进程挂起,替换内存数据再恢复执行,从而实现创建“傀儡”进程。
进程隐藏:通过HOOK函数ZwQuerySystemInformation实现进程隐藏。
DLL劫持:通过#pragma comment指令直接转发DLL导出函数或者通过LoadLibrary和GetProcAddress函数获取DLL导出函数并调用。
2.2 进程伪装
对于病毒木马来说,最简单的进程伪装方式就是修改进程名称。例如,将本地文件名称修改为svchost.exe、services.exe等系统进程,从而不被用户和杀软发现。进程伪装可以修改任意指定进程的信息,即该进程信息在系统中显示的是另一个进程的信息。这样,指定进程与伪装进程的信息相同,但实际上,它还执行着原来进程的操作,这就达到了伪装的目的。
2.3 进程隐藏
实现进程隐藏的方法有很多,一种较为直接的隐藏方式是通过HOOK API函数实现。在Windows中,用户程序的所有操作都是基于WIN32 API来实现的,例如使用任务管理器查看进程等操作,这便给了病毒木马大显身手的机会。它通过HOOK技术拦截API函数的调用,并对数据进行监控和篡改,从而达到不可告人的目的。
其中,API HOOK技术是一种改变API执行结果的技术,微软自身也在Windows操作系统里面使用了这个技术,如Windows兼容模式等。API HOOK 技术并不是病毒木马专有的技术,但是病毒木马经常使用它来达到隐藏自己的目的。
三、实验过程
3.1 利用Windbg查看进程
所有的进程都维护一个PEB(进程环境块结构);这个结构体可以在搜索引擎查找,也可以使用windbg工具获取;首先用windbg加载一个进程。我们使用“!peb”指令,解析当前进程的PEB结构:
图表 SEQ 图表 \* ARABIC 1 解析当前进程PEB结构
图表 SEQ 图表 \* ARABIC 2 DLL基地址
可以看到PEB的基地址0LDR的基地址0x7ffccf5c53c0和LDR中InInitializationOrderModuleList的地址范围。在在PEB结构中,维护着_PEB_LDR_DATA(偏移0xC)结构保存着进程加载的所有的Module信息(包括Kernel32.dll,基地址)下面我们通过“dt nt!_peb-r”的指令来获取LDR:
图表 SEQ 图表 \* ARABIC 3 详细列出PEB结构
根据获取到的LDR去获取双向链表结构:
图表 SEQ 图表 \* ARABIC 4 获取LDR中的双向链表结构
接下来我们
文档评论(0)