1. 从“隐藏”到“消失”:进程隐匿的真正含义
几年前我去面试,面试官问我怎么隐藏一个进程。我当时想都没想就说,简单啊,把进程从那个 ActiveProcessLinks 的双向链表里摘出来不就完了?面试官笑了笑,没多说什么。后来我自己动手试了试,果然,任务管理器里是看不到了,心里还挺得意。结果一打开 PC Hunter 这类内核级工具,我那“隐藏”的进程赫然在列,瞬间被打脸。用最基础的暴力枚举方法,也能轻松把它揪出来。那一刻我才明白,在 Windows 的世界里,所谓的“隐藏”远不是摘个链表那么简单。这就像玩捉迷藏,你只是躲在了门后,对于普通人(任务管理器)来说可能看不见,但对于一个熟悉房间每个角落的人(内核工具)来说,你根本无所遁形。
那么,真正的进程“消失”应该是什么样?我的理解是,要让系统里所有能“看见”进程的地方,都找不到它的踪迹。这不仅仅是躲起来,而是要从系统的“记忆”里彻底抹去关于这个进程的“登记信息”,同时这个进程还得在内存里活得好好的,继续执行它的代码。听起来有点矛盾,对吧?既要存在,又要“不存在”。这背后涉及的是 Windows 内核管理进程的一整套数据结构体系。我们常说的 EPROCESS 结构,就像是进程的“身份证”和“户口本”,里面记录了进程的所有关键信息。而系统通过多个不同的“花名册”来管理和追踪这些“户口本”。只撕掉其中一个花名册(比如 ActiveProcessLinks 链表)上的一页,是远远不够的。
所以,我们这次要聊的,就是如何在内核层面,系统地、彻底地让一个进程“消失”。我们会以经典的 Windows 7 x86 (32位) 系统为实战环境,并且直面 PC Hunter 这种强大的内核检测工具的挑战。我会把我踩过的坑、试过的方法和最终有效的思路,一步步拆开讲给你听。即使你之前没怎么接触过内核编程,跟着思路走,也能理解个七七八八。
2. 初探战场:认识进程管理的三大核心名册
想要隐藏一个进程,首先得知道系统在哪里“登记”了它。在 Windows 内核中,有三个关键的数据结构像三本名册,共同记录着进程的存在。只处理其中一本,是骗不过老练的检查者的。
2.1 名册一:ActiveProcessLinks 双向链表
这是最广为人知的一个链表。每个 EPROCESS 结构里都有一个 ActiveProcessLinks 字段(在 Win7 x86 上偏移是 0x0b8),它是一个 LIST_ENTRY 结构,把所有活跃进程串成一个双向循环链表。系统进程(System)是这个链表的头。任务管理器、tasklist 命令等大部分用户态工具,遍历的就是这个链表来枚举进程。
// 这是一个简化的查找并摘链的伪代码逻辑
PLIST_ENTRY CurrentEntry = PsGetCurrentProcess()->ActiveProcessLinks.Flink;
while (CurrentEntry != &PsGetCurrentProcess()->ActiveProcessLinks) {
// 通过链表指针反推出 EPROCESS 结构体的起始地址
PEPROCESS CurrentProcess = CONTAINING_RECORD(CurrentEntry, EPROCESS, ActiveProcessLinks);
// 获取进程名进行比较
char* ImageName = (char*)CurrentProcess + 0x16c; // ImageFileName 偏移
if (strcmp(ImageName, "calc.exe") == 0) {
// 找到目标进程,将其从链表中移除
RemoveEntryList(CurrentEntry);
// 最好将移除的节点自身前后指针置空,避免遗留引用
CurrentEntry->Flink = CurrentEntry;
CurrentEntry->Blink = CurrentEntry;
DbgPrint("已从 ActiveProcessLinks 断开 calc.exe");
break;
}
CurrentEntry = CurrentEntry->Flink;
}
做完这一步,任务管理器里就看不到 calc.exe

776

被折叠的 条评论
为什么被折叠?



