遍历隐藏进程制造技术

本发明专利技术涉及内核驱动技术领域，尤其是遍历隐藏进程,具体的遍历进程包括以下步骤：将计算机进程由导出函数KeSetAffinityThread处理获得KiSetAffinityThread的地址；从已获得的KiSetAffinityThread地址往上查找一个字节获得一个CMP指令，这个指令继续往上查找的一个DWORD就是KiDispatcherReadyListHead；进入KiDispatcherReadyListHead后，通过SSDT获取KiDispatcherReadyListHead的地址，并将指令lea装载KiDispatcherReadyListHead的地址，并准备遍历程序；判断KiWaitListEntry链表里可以指向Wait List Entry或者Queue List Entry任一位置的指针的指向；通过Thread Process域得到遍历的进程的EPROCESS，通过EPROCESS可以获得遍历的进程的全部信息，本发明专利技术通过遍历线程结构中的链表，能够查到出所有计算机中正在运行的木马病毒，可以提高反病毒工具查找隐藏程序的能力。程序的能力。

【技术实现步骤摘要】
遍历隐藏进程


[0001]本专利技术涉及内核驱动
，尤其涉及遍历隐藏进程。

技术介绍

[0002]木马程序隐藏自身是木马程序要做的第一步也是木马程序能否存活的最关键的一步；目前Rootkit使用的主要的进程隐藏技术有：挂钩 NtQuerySystemInformation、NtOpenProcess、ObReference和ObjectHandle 等api隐藏，在进程链上Activeprocess摘除自身来隐藏。
[0003]计算机的任务管理器就是遍历Activeprocess链表获得进程信息的；通过驱动层调用遍历PspCidTable链表、EPROCESS结构里的HandleTable结构和PCB里面的ProcssListEntry链表均可以获得隐藏进程；用户的反病毒工具可以遍历到的数据链表，病毒一样可以找到并把进程信息从链表中移除掉；所以大多数反病毒隐藏的工具只能对某些隐藏的病毒遍历到，而这些工具所依赖的遍历进程信息的数据链表如果也被病毒处理了，就遍历不到病毒了，针对此种情况需要对目前遍历隐藏进程的方法进行调整。
专本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.遍历隐藏进程,包括Windows线程分派器，其特征在于，所述Windows线程分派器的线程分派主要利用KTHREAD中的三个双向链表结构Wait List Entry、Queue List Entry和Thread List Entry来完成，具体的遍历进程包括以下步骤：(i)将计算机进程由导出函数KeSetAffinityThread处理获得KiSetAffinityThread的地址；(ii)从已获得的KiSetAffinityThread地址往上查找一个字节获得一个CMP指令，这个指令继续往上查找的一个DWORD就是KiDispatcherReadyListHead；(iii)进入KiDispatcherReadyListHead后，通过SSDT获取KiDispatcherReadyListHead的地址，并将指令lea...

【专利技术属性】
技术研发人员：肖宏岩，
申请(专利权)人：北京辰信领创信息技术有限公司，
类型：发明
国别省市：