如何在Windows+NT中隐藏自己.pdf

如何在Windows NT 中隐藏自己 =====[ 1. 目录 ]================================================================ 1. 目录 2. 介绍 3. 文件 3.1 NtQueryDirectoryFile 3.2 NtVdmControl 4. 进程 5. 注册表 5.1 NtEnumerateKey 5.2 NtEnumeratevalueKey 6. 系统服务和驱动 7. 挂钩和展开 7.1 权限 7.2 全局钩子 7.3 新进程 7.4 DLL 8. 内存 9. 句柄 9.1 命名句柄并获得类型 10. 端口 10.1 WinXP 的Netstart ，OpPorts，WinXP 的FPort 10.2 Win2k 和NT4 的OpPorts，Win2k 的FPort 11. 结束语 =====[2. 介绍 ]================================================================= 这篇文档是关于在Windows NT 中隐藏对象、文件、服务和进程等的技术。这些方法是建立在 挂钩Windows API 的基础上的，具体描述见我的“挂钩Windows API” 。 所有的这些都是我在编写rootkit 代码时自己研究出来的，所有我在写这篇文章时的效率很高， 而且很容易就写成了。这要归功于我的付出。 在这篇文档中所提到的对任意对象的隐藏是指通过改变命名对象的系统过程使之跳过对这个 对象的命名过程。这样这个对象就只是这个过程的返回值，好象它不存在一样。 基本方法（不包括描述上的区别）是我们使用原始调用和原始函数然后我们改变它的输出。 在这个版本的文档中我们讲述如何隐藏文件、进程、关键字和注册表键值，系统服务和驱动， 分配的内存和句柄。 =====[ 3. 文件 ]================================================================ 有很多隐藏文件而使其对系统不可见的可能。我们只针对改变API 的技术而不涉及那些修改文 件系统的技术。这也更加简单因为我们不需要知道很多实际的文件系统是如何工作的。 =====[ 3.1 NtQueryDirectoryFile ]=============================================== Windows NT 中，在目录中寻找文件是通过在这个目录和它所有的子目录中寻找得到的。因为 枚举文件要用到NtQueryDirectoryFile 。 NTSTATUS NtQueryDirectoryFile( IN HANDLE FileHandle, IN HANDLE Event OPTIONAL, IN PIO_APC_ROUTINE ApcRoutine OPTIONAL, IN PVOID ApcContext OPTIONAL, OUT PIO_STATUS_BLOCK IoStatusBlock, OUT PVOID FileInformation, IN ULONG FileInformationLength, IN FILE_INformATION_CLASS FileInformationClass, IN BOOLEAN ReturnSingleEntry, IN PUNICODE_STRING FileName OPTIONAL, IN BOOLEAN RestartScan ); 对我们来说重要的参数是FileHandle ，FileInformation 和FileInformationClass 。File- Handle 是一个可以从NtOpenFile 得到的目录对象的句柄。FileInformation 是一个指向一块 已分配内存的指针，函数向这里写入用户想要得到的信息。FileInformationClass 决定在 FileInformation 中写入的记录类型。 FileInformationClass 是一个可变的枚举类型，但是我们只需要其中的四个值，这四个值用 来枚举目录的内容。 #define FileDirectoryInformation 1 #define FileFullDire