网络安全-2 进程隐藏.docxVIP

进程隐藏实验报告 目录 TOC \o 1-3 \h \z \u 一、实验简介 1 1.1 实验目的 1 1.2 实验内容 1 1.3 实验环境 1 二、实验原理 1 2.1 隐藏技术 1 2.2 进程伪装 2 2.3 进程隐藏 2 三、实验过程 3 3.1 利用Windbg查看进程 3 3.2 进程隐藏 6 3.2.1 函数介绍 6 3.2.2 实现原理 8 3.2.3 编码实现 8 四、实验结果 10 五、实验总结与问题的解决 10 5.1 实验总结 10 5.2 遇到问题的解决方案 11 六、参考文献 11 PAGE 2 一、实验简介 1.1 实验目的 在本实验中，学生需要试利用windbg、DDK或SoftICE查看EProcess和PEB中活动进程相关信息，绘制出当前活动进程双向链表在内核态和用户态下的进程链表结构，并设计“断链”方法利用这两个结构体实现自己任意指定进程在任务管理器中的隐藏。 1.2 实验内容 本实验涵盖以下主题： 利用Windbg查看进程； 进程隐藏。 1.3 实验环境 Windows 10、Windbg 二、实验原理 2.1 隐藏技术 为了永久地驻留在用户计算机上，病毒木马需要披上厚厚的伪装。因为它们深深地明白，只有活下去，才会有未来。所以，就像潜伏在敌人内部的间谍一样，病毒木马需要巧妙地隐藏、伪装自己，小心翼翼地窃取计算机用户的数据和隐私，生怕因留下的蛛丝马迹而被用户或是杀软察觉。暴露的后果轻则是在该计算机上连根拔起，重则是溯源，连老巢都让人端掉。所以，做好隐藏、伪装工作是病毒木马长期驻留在用户计算机上的关键。 但是，也并非所有的病毒木马都会故意地隐藏或伪装，有些病毒木马由于自身植入技术、启动技术或是自启动技术较为隐蔽，不易被用户察觉或是被杀软检测到，所以不需要额外的隐藏伪装，也能达到隐藏的目的。 目前常见的隐藏、伪装技术主要有以下四种： 进程伪装：通过修改指定进程PEB中的路径和命令行信息实现伪装。 傀儡进程：通过进程挂起，替换内存数据再恢复执行，从而实现创建“傀儡”进程。 进程隐藏：通过HOOK函数ZwQuerySystemInformation实现进程隐藏。 DLL劫持：通过#pragma comment指令直接转发DLL导出函数或者通过LoadLibrary和GetProcAddress函数获取DLL导出函数并调用。 2.2 进程伪装 对于病毒木马来说，最简单的进程伪装方式就是修改进程名称。例如，将本地文件名称修改为svchost.exe、services.exe等系统进程，从而不被用户和杀软发现。进程伪装可以修改任意指定进程的信息，即该进程信息在系统中显示的是另一个进程的信息。这样，指定进程与伪装进程的信息相同，但实际上，它还执行着原来进程的操作，这就达到了伪装的目的。 2.3 进程隐藏 实现进程隐藏的方法有很多，一种较为直接的隐藏方式是通过HOOK API函数实现。在Windows中，用户程序的所有操作都是基于WIN32 API来实现的，例如使用任务管理器查看进程等操作，这便给了病毒木马大显身手的机会。它通过HOOK技术拦截API函数的调用，并对数据进行监控和篡改，从而达到不可告人的目的。 其中，API HOOK技术是一种改变API执行结果的技术，微软自身也在Windows操作系统里面使用了这个技术，如Windows兼容模式等。API HOOK 技术并不是病毒木马专有的技术，但是病毒木马经常使用它来达到隐藏自己的目的。 三、实验过程 3.1 利用Windbg查看进程 所有的进程都维护一个PEB（进程环境块结构）；这个结构体可以在搜索引擎查找，也可以使用windbg工具获取；首先用windbg加载一个进程。我们使用“!peb”指令，解析当前进程的PEB结构： 图表 SEQ 图表 \* ARABIC 1 解析当前进程PEB结构 图表 SEQ 图表 \* ARABIC 2 DLL基地址 可以看到PEB的基地址0LDR的基地址0x7ffccf5c53c0和LDR中InInitializationOrderModuleList的地址范围。在在PEB结构中，维护着_PEB_LDR_DATA（偏移0xC）结构保存着进程加载的所有的Module信息（包括Kernel32.dll，基地址）下面我们通过“dt nt!_peb-r”的指令来获取LDR： 图表 SEQ 图表 \* ARABIC 3 详细列出PEB结构 根据获取到的LDR去获取双向链表结构： 图表 SEQ 图表 \* ARABIC 4 获取LDR中的双向链表结构 接下来我们