当前位置：首页 > news >正文

从一次面试失败到完美隐藏进程：我的Windows内核探索之旅

news 2026/5/11 21:35:28

从面试失误到内核级进程隐藏：一位开发者的技术觉醒之路

那是一个令人难忘的下午，我坐在360公司的面试室里，自信满满地回答着技术问题。当面试官问及"如何隐藏Windows进程"时，我几乎不假思索地回答："简单！从EPROCESS的ActiveProcessLinks双向链表中断开节点就行。"面试官微微一笑，没有多说什么。直到回家后我才发现，这个看似完美的方案只能欺骗任务管理器，在专业工具面前毫无隐蔽性可言。这次经历成为我深入Windows内核研究的起点。

1. 初探进程隐藏：从理论到实践的鸿沟

1.1 双向链表的局限性

我的第一个实现方案确实让calc.exe从任务管理器中消失了，但很快发现这仅仅是表面功夫。通过分析EPROCESS结构，我认识到Windows维护进程信息的方式远比想象中复杂：

// 断开ActiveProcessLinks节点的关键代码 ListEntry = (ULONG_PTR)EProcess + EPROCESS_OFFSET; if (strcmp(ImageFileName, ProcessName) == 0) { RemoveEntryList(ListEntry); }

实际测试结果对比：

检测方式	任务管理器	PC Hunter	暴力枚举
仅断开链表	隐藏成功	检测到	检测到
完整方案	隐藏成功	隐藏成功	隐藏成功

1.2 内核工具的工作原理

PC Hunter等工具采用多种途径枚举进程：

遍历PspCidTable句柄表
扫描系统内存寻找EPROCESS特征
检查线程与进程的关联性

这解释了为什么简单的链表操作无法实现真正隐藏——系统维护了多份进程信息副本。

2. 进阶方案设计：三位一体的隐藏策略

2.1 完善的技术路线

经过大量逆向分析，我确定了必须同时处理的三处关键点：

EPROCESS链表处理：断开ActiveProcessLinks连接
线程信息伪装：修改线程父进程指针
句柄表清理：从PspCidTable移除条目

// 修改线程父进程的关键代码 do { EThread = (PETHREAD)((ULONG_PTR)v2 - 0x268); *(ULONG*)((ULONG_PTR)EThread + 0x150) = __Explorer_EProcess; v2 = v2->Flink; } while (v2 != ListEntry->Flink);

2.2 PspCidTable的层次结构

Windows根据进程数量动态调整PspCidTable的组织方式：

层级	适用场景	查找复杂度
1级	进程数<512	O(1)
2级	512≤进程数<262144	O(2)
3级	进程数≥262144	O(3)

处理时需要先判断当前层级：

ULONG Flag = TableCode & 3; // 获取层级标志位 TableCode &= 0xFFFFFFFC; // 清除标志位获取基地址 switch(Flag) { case 0: Operation1(TableCode); break; case 1: Operation2(TableCode); break; case 2: Operation3(TableCode); break; }

3. 实现细节与陷阱规避

3.1 关键偏移量的获取

不同Windows版本中结构体偏移量可能变化，需要动态获取：

#define EPROCESS_OFFSET 0x0b8 #define IMAGEFILENAME_OFFSET 0x16c // 通过PsLookupProcessByProcessId定位PspCidTable RtlInitUnicodeString(&v1, L"PsLookupProcessByProcessId"); PVOID lpFunc = MmGetSystemRoutineAddress(&v1); PspCidTable = *(ULONG*)((ULONG)lpFunc + PSPCIDTABLE_OFFSEET);