vista下扫描内存检测隐藏进程

以前看过一个牛人uty写的文章：搜索内存枚举进程http://www.cnxhacker.com/article/show/3412.html，他是在Windows
XP sp1上实现的这种方法，但是我却没能跑通，后来详细地考虑了这种方法的细节，在sp2上把它实现了，后来刚好做Vista下的隐形软件检测的小项目，我就把进程拿出来做了，经过一番努力，终于在Vista下面搞定了。现在，总结一下这个方法，防止我把它给忘了……
一．内核对象
在操作系统的运行过程中，需要维护一些数据结构，操作系统会在内存中存储这些信息，这些信息通常采用结构或对象的形式，这就是内核对象。在Windows里面，内核对象的结构是一个对象头紧接着一个对象体的方式组织的，这些对象体包括表示进程的nt!_EPROCESS、表示线程的nt!_ETHREAD、表示驱动的nt!_DRIVER_OBJECT、表示IRP的nt!_IRP等等等等。
二．EPROCESS
EPROCESS块是Windows操作系统管理进程所使用的内核对象。EPROCESS块包含了进程的PID、进程名、创建时间、PEB等属性。每一个进程都有一个EPROCESS块与之一一对应。（在WinDbg中输入命令dt nt!_EPROCESS可以查看其结构）。
三．检测方法的实现
检测方法是基于一种交叉视图的方法，其实就是分别从高层和底层获得列表，然后比较这两种列表，如果在底层有但是在高层没有的，就认为是被rootkit隐藏掉的对象了。
1.
获取高层进程列表
在高层的话有很多API可以用，在XP下做的使用我用的是使用CreateToolhelp32Snapshot、Process32First和Process32Next。后来在Vista下面用C#做，直接用Process.GetProcesses()就可以了：
Process[] processes =
Process.GetProcesses();
但是Process的ProcessName没有扩展名，这个问题比较麻烦，我的解决方法是去找进程在磁盘上的映像文件的扩展名，通过process.MainModule.FileName可以找到，但是里面有权限问题，参考这个网址可以解决：http://social.msdn.microsoft.com/Forums/en-US/csharpgeneral/thread/3aa75320-0524-4c74-ac3b-2d8aca319c51。
2.
获取底层列表
(1)
Vista的EPROCESS
首先用windbg看一下Vista下面的EPROCESS的结构，和XP下有一些差别。vista的EPROCSS后面跟了个_ALPC_PROCESS_CONTEXT，我还没看是怎么回事。主要看几个属性的位置：peb、id、exit time。然后看看内核对象头的结构（dt nt!_OBJECT_HEADER），这个结构跟XP下是一样的。
(2)
扫描内存
枚举MmSystemRangeStart(0x80000000，唉，跟linux不一样，写程序的时候千万别写成0xc0000000了)以上的虚拟地址，关键在于判断该虚拟地址是否有效，uty的方法是判断PDE和PTE的present位是否为1，我在XP下也是那样的，感觉很过瘾，有点无限接近系统底层的感觉，但是到了vista下面就不对了，我猜想可能是PAE的原因？所以我直接用了MmIsAddressValid()来判断。
(3)
判断EPROCESS的有效性
每个EPROCESS的对象头里的type是相同的，所以只需要获得System进程的对象头，然后和其它的对比就可以了，但是有一些已经停止运行的进程的EPROCESS还保留着内存中，所以扫描得到的结果会包含已经停止运行的进程。所以还需要判断EPROCESS是不是正在运行的进程的，判断EPROCESS里的exit time是不是0就可以了。
3.
通信
内核里得到的进程怎么传出来呢？找了找DeviceIoControl的介绍，设置了两个控制码：得到进程个数的和得到进程列表的。
4.
贴个图
做了一半的工具



四．一点想法
先记下来备忘吧！
1.
可以扩展到其他的内核对象，下一步试试扫描驱动对象
2.
EPROCESS里有很多可挖的东西，比如说导入的dll。现在dll注入很多，写个钩子能够实现隐藏进程导入的dll的rootkit，似乎还没有这样的rootkit，如果有的话，试试从EPROCESS里扫描得到真实的dll列表。