هوک کردن تابع NtQuerySystemInformation [بایگانی]

View Full Version : هوک کردن تابع NtQuerySystemInformation

fahimeh1512

پنج شنبه 21 آذر 1392, 12:55 عصر

باسلام و خسته نباشید
من میخوام بدونم برای مخفی کردن فرایندهای درحال اجرا روی سیستمم (کارم تو حوزه یوزرمده) میتونم تابع NtQuerySystemInformation رو هوک کنم
میخوام یه تابعی ک لیست فرایندهای موجود روی سیستمم رو نشون میده رو هوک کنم ک مثلا یکی از اونا رو ک مد نظرم هست نشون نده
میدونم اگه از CreateToolhelp32Snapshot یا EnumProcess استفاده کنم میشه
ولی این تابع رو نمیدونم برای یوزرمد هم استفاده میشه کرد یا فقط کرنل مده؟
باتشکر

بهروز عباسی

پنج شنبه 21 آذر 1392, 20:38 عصر

درود

چه سوال خوبی:لبخندساده:

بهترین راه برای این کار کرنل مده و بس . چرا ؟ چون مثلا برنامه TaskMgr خودش از توابع کرنل استفاده میکنه:شیطان: (میشه از توابع ZwXXX,NtXXXX توی User land هم استفاده کرد(تصویر زیر رو ببین TaskMgr)) به همین خاطر شما اگه توابع معمول در User land رو Hook کنید در مقابل چنین برنامه های شانسی ندارید. OK ?

113856

میدونم اگه از CreateToolhelp32Snapshot یا EnumProcess استفاده کنم میشه
ولی این تابع رو نمیدونم برای یوزرمد هم استفاده میشه کرد یا فقط کرنل مده؟
:افسرده: این توابع User mode هستن.

fahimeh1512

پنج شنبه 21 آذر 1392, 22:47 عصر

ببخشید من این نرم افزار cerbero pe insider رو دانلود کردم با چند تا برنامه امتحانش کردم خوبه
ولی میخوام تسک منیجر و مثل این ک شما عکسشو گذاشتین بازش کنم مسیرشو پیدا نمیکنم
باید چیکارکنم؟:خجالت:

بهروز عباسی

پنج شنبه 21 آذر 1392, 22:56 عصر

من الان ویندوزم 7 و این برنامه هم در این مسیر قرار داره

C:\Windows\System32\taskmgr.exe

fahimeh1512

شنبه 23 آذر 1392, 23:04 عصر

یه سوال دیگه هم دارم
به برنامه تسک منیجر چطوری میشه اینجکت کرد؟؟؟ ب چه نوع دسترسی نیاز داره ؟ با کد معمولی اینجکت ک نتیجه نمیده من اگه بخوام این تابع (NtQuerySystemInformation) رو توش هوک کنم باتوجه به این ک دسترسی یوزرمد دارم چطوری این کارو بکنم؟

Mask

شنبه 23 آذر 1392, 23:53 عصر

سلام.
با این روش سوال حس میکنم،خودتون هم دقیق نمیدونید چی نیاز دارید.

به برنامه تسک منیجر چطوری میشه اینجکت کرد؟؟؟
چی رو بهش اینجکت کنید؟
چرا به تسک منیجر؟

ب چه نوع دسترسی نیاز داره ؟
کلا برای dll injection و یا Code Injection در همون حال یوزر مد و با privileges سیستمی میتونید انحام بدید.

fahimeh1512

یک شنبه 24 آذر 1392, 00:16 صبح

سلام ممنون از پاسختون
من دارم بخشی از یه روت کیت رو مینویسم که همونطور که احتمالا میدونید یکی از کارهایی که باید بتونه انجام بده اینه که خودشو و فعالیت هاشو از دید سیستم مخفی کنه و مطمئنا تو لیست پروسه ها و سرویس هایی که تسک منیجر داره نشون میده فایل روت کیت من نباید اشکار باشه
کاری که من میخوام بکنم اینه که با اینجکت کردن یه دی ال ال به تسک منیجر و هوک کردن تابعی که داره این پروسه ها رو بررسی میکنه (گویا با NtQuerySystemInformation این کارو انجام میده) از اشکار شدن روت کیتم جلوگیری کنم
تا این بخش قضیه برام روشنه دارم کم کم پیش میرم و سعی میکنم ابهاماتم رو برطرف کنم

بهروز عباسی

پنج شنبه 28 آذر 1392, 05:34 صبح

این مثال روببین
Hide process with NtQuerySystemInformation hook (http://www.rohitab.com/discuss/topic/40323-hide-process-with-ntquerysysteminformation-hook/)

بچه های اون فروم همه کرنل کارن، مثال و آموزش هم زیاد میزارن :لبخند:.