找NT!openprocess的当前和起源地址

最新推荐文章于 2024-10-18 10:24:44 发布
最新推荐文章于 2024-10-18 10:24:44 发布
阅读量902 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: hook c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/huangjunfengok/article/details/6312835

今天学了下找NT!openprocess的地址 当前地址和起源地址 为什么有当前地址和起源 因为如果被SSDT被hook了地址就发生变化

 

第一个函数功能是找到OpenProcess在SSDT中的当前地址 并保存在szSSDT_NtOpenProcess中

第二个函数功能是找到OpenProcess在SSDT中的起源地址 并保存在szSSDT_OldNTOpenProcess中

 

szOldOpenProcess  dw 'N','t','O','p','e','n','P','r','o','c','e','s','s',0

.

.

.

szSSDT_NtOpenProcess dd ?

szSSDT_CurNTOpenProcess dd ?

.

.

.

_FindOpenSSDTaddr proc
pushad

mov eax,KeServiceDescriptorTable 

mov eax,dword ptr [eax]
mov eax,dword ptr [eax]

mov ebx,7ah
shl ebx,2

add eax,ebx
mov eax,dword ptr [eax]
mov szSSDT_NtOpenProcess,eax

popad
ret
_FindOpenSSDTaddr endp

 

_FindOpenSSDTOldaddr proc ;找到NT!OpenProcess在在SSDT中的起源地址 并保存在szSSDT_CurNTOpenProcess中
local OldOpenPrecessaddr:UNICODE_STRING
pushad
invoke RtlInitUnicodeString,addr OldOpenPrecessaddr,offset szOldOpenProcess
invoke MmGetSystemRoutineAddress,addr OldOpenPrecessaddr
mov szSSDT_CurNTOpenProcess,eax

popad
ret
_FindOpenSSDTOldaddr endp

huangjunfengok
关注
C语言学习day22:OpenProcess函数/句柄与进程打开权限
q13407441836的博客
12-16 621
之后就可以把句柄传给任何别的函数,让这些函数操作。好像一张通行证,拿到它,就可以在编程之路上畅通无阻。在此之前,我们发现有的WindowsAPI函数调用,必须传入相关的句柄。比如通过Findwindow获取窗口句柄,这个窗口。然后就可以把这个句柄传给其他的进程操作函数调用。拿到进程句柄,就相当于拿到了进程操作的权限。就成为了另外的API函数调用的重要的。这就足以说明句柄的重要地位。之后,也就拿到操作它的。简单来说,当获取到了。而窗口有窗口的句柄。
NtOpenProcess
weixin_34214500的博客
03-29 4099
一般在内核SSDT HOOK的时候就是直接钩住SSDT表替换NtOpenProcess的地来达到保护进程的目的。而在InlineHook中,侧需要更进一步的了解NtOpenProcess函数,才能更好的做inlinehook。 首先说说Windows中用户层 OpenProces,WIN32函数OpenProces执行后,调用NTDLL.DLL中NtOpenProces...
C++ 修改指定进程 PEB 中路径命令行信息实现进程伪装
LYSM
06-24 3167
背景 所谓的进程伪装,指的修改任意一个指定进程的信息,是它的信息在系统中的显示是另一个进程的信息,这样看来,指定的进程就像是被伪装的进程一样,因为进程信息相同,但实际上,它还是原来的进程,做着原来的进程操作。 函数介绍 NtQueryInformationProcess NTSTATUS WINAPI NtQueryInformationProcess( _In_ HANDLE ProcessHandle, // 要获取信息的进程的句柄。
NtOpenProcess保护的方法总结
xrain_zh的专栏
05-03 2341
来自:http://blog.youkuaiyun.com/jepco1/article/details/5531449 过NtOpenProcess保护的方法总结,搜集了一下网上的方案,自己整理了一下。 一般的保护程序喜欢在NtOpenProcess中设置inline hook,修改返回句柄。调试程序使用该程序附加附加到被保护进程的时候,就得不到正确的进程访问句柄,因而附加失败。 反此类保
5.SSDT再增加一个NtReadVirtualMemory函数
Mikasys的博客
11-04 569
代码如下,如果看不懂请看上一篇文章 Ring0 #include <ntifs.h> #include <ntstatus.h> typedef struct _KSYSTEM_SERVICE_TABLE { PULONG ServiceTableBase; //函数地表基地 PULONG ServiceCounterTableBase; //被访问了多少次 ULONG NumberOfService; //表中服务函数的总数 PUCHAR ParamTable
Windows内核新手上路1——挂钩SSDT
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-15 920
Windows内核新手上路1——挂钩SSDT          这个系列记录学习我学习windows内核的点点滴滴,高手请直接无视。          文章核心内容:挂钩SSDT中函数列NtOpenProcessNtDuplicateObject,NtCreateThread,NtOpenThread,NtWriteVirtualMemory,过滤进程操作来保护目标进程空间。   SSD
对运行中的进程保护
onlyfunboy的专栏
12-05 646
也许大家也是研究腾讯游戏的爱好者,对腾讯的游戏都有过这样的体会例如OD与CE无法进行如以下操作: (1)无法附加进程, (2)无法打开进程, (3)游戏进程被隐藏无法在工具中查看到, (4)内存无法读取代码 (5)内存修改后游戏掉线 (6)无法双机进行调试 (7)出现SX非法模块提示 `例如DNF的TP保护就是HOOK了以下几个API函数来禁止上面刚才说的那些: NtOpe...
显示杀死系统当前进程.rar_OpenProcess_TerminateProcess
09-21
此代码示范了如何利用 CreateToolhelp32Snapshot API函数枚举系统当前进程。以及如何用HANDLE OpenProcess(...),TerminateProcess(...)来打开关闭活动进程。
纯汇编openprocess源码
06-02
请注意,这个例子是高度简化抽象的,实际的汇编代码会更复杂,因为它需要处理错误码、查NTDLL中的函数地以及可能的异常处理。此外,为了运行这段代码,需要一个完整且合法的Windows环境,以及正确配置的动态...
Dll.rar_VB HookOpenProce_hook_openprocess_ring3 hook_vb HookOpen
09-24
标题"Dll.rar_VB HookOpenProce_hook_openprocess_ring3 hook_vb HookOpen"涉及到的是在Windows操作系统中,使用Visual Basic(VB)实现Ring3级别的OpenProcess函数Hook技术。Ring3是用户模式,即应用程序通常运行的...
ApiHook.rar_APIHOOK_OpenProcess_delphi Openprocess_delphi 拦截api_
09-24
在Delphi中,可以使用像`Jedi API Hooks`这样的库,或者手动实现hook机制,例如通过钩子链表(Hook Chain)替代函数地(Detouring)来实现。 对于`OpenProcess``TerminateProcess`的API Hook,目的可能是为了...
一文读懂远程线程注入
qq_53058639的博客
10-27 209
在红队行动中,红队的目的都是要在不暴露自身行动的前提下,向蓝队发动攻击。他们使用各种技术程序来隐藏C2连接数据流。攻击活动的第一步是获得初始访问权。他们会使用定制的恶意软件有效载荷来躲避防杀软EDR等防御工具。本文涉及知识点实操练习:[DLL注入型病毒实验](https://www.hetianlab.com/expc.do?wemedia)(通过实验了解DLL注入型病毒的攻击过程)进程注入是用来逃避防御机制的重要技术之一。
防病毒 EDR 绕过技术,总结到目前EDR绕过方法详细攻略
若有战,召必回
10-18 2189
防病毒、反恶意软件EDR是预防攻击的常用工具。但它们可以被绕过,本文探讨了在加载程序中实现的各种绕过技术。加载程序是一种通过绕过保护措施执行恶意负载的程序。文章将展示这些技术如何帮助渗透测试团队,并介绍各种可能的安全措施及其绕过技术 在我们的审计过程中,特别是在进行基础设施网络渗透测试时,我们的安全专家可能需要在安装了防病毒软件的环境中运行特定的评估工具。这些工具,如用于评估Active Directory安全性的RubeusSharpHound等,由于其功能与实际网络攻击中可能使用的工具相
[内核安全7]内核级的进程的监控
輚至消亡
02-17 935
0. 导言 进程的监控可以通过挂钩SSDT表中的NtOpenProcess来实现,但是现在这种方式已经不怎么用了,因为不稳定在者可能会被认为是恶意软件。微软知道这个问题所以为我们提供了专门的内核接口来实现这种功能。 1. PsSetCreateProcessNotifyRoutine 通过PsSetCreateProcessNotifyRoutine来监控进程, 该内核函数有个升级版PsSetCreateProcessNotifyRoutineEx。这个升级版功能更强大但只能在Vista版本以后使用,
三环重写OpenProcess
pluginL的博客
04-27 370
调用过程重点为 KernelBase->ntdll,kernelbase中做了数据的处理,函数名字为NtOpenProcessntdll中则选择服务号进入0环,我们可以逆向NtOpenProcess分析具体用了什么参数。
读取无保护的SSDT表中的NtOpenProcess函数的当前
junning51的专栏
06-12 1139
// 无技术含量,是抄来的,驱动已入门的请飘过 /************************************************************************ * 文件名称:Driver.h                                                  * 作    者: * 完成日期: **********
OpenProcess()函数
热门推荐
夜空中最亮的星
10-06 5万+
通过一个进程关闭另外一个进程的时候,一般的做法就是枚举系统打开的所用进程的标识符(PID),使用OpenProcess函数获得进程的句柄,该函数可以通过第一个参数来设置句柄的新的访问权限(不清楚句柄是不是原来的一模一样?有待证明学习),比如如果打开的句柄不具备终止句柄的权限,直线终止进程操作会失败,返回的错误代码为5(意思为拒绝访问)。通过获得的句柄就可以获得进程名字(通过GetModuleB
HOOK ntopenprocess
qq_41071646的博客
01-06 1137
先来说一下我对SSDT的体会把   我感觉SSDT 就是一张表  这个表里面 有很多数组  然后 算是 内核层的 导入表只不过 他是整个操作系统的导入表  然后里面有很多数组  然后当我们 调用 api的时候  应用层的api 会经过封装 可能会多传出一些  参数 比如 那张表  表的 地 那个数组  然后 进去调用就好了  听群里的大佬说   x86 的ssdt 好像是固定的   但是 ...
OpenProcess讲解
xbgprogrammer的专栏
10-23 7419
HANDLE hProcess=OpenProcess(PROCESS_TERMINATE|SYNCHRONIZE,FALSE,proid); if (hProcess==NULL) { cout<<"OpenProcess failed with "<<GetLastError()<<endl; return 0; } else { TCHAR buffer[MAX_PAT
OpenProcess不到进程
最新发布
07-05
<think>好的,用户问的是“OpenProcess不到进程”,我需要先理解这个问题的背景。通常这种情况发生在Windows系统中,当尝试使用OpenProcess函数访问另一个进程时,如果没有足够的权限或者进程不存在,就会失败。 首先,我应该考虑常见的原因。比如权限不足,用户可能没有以管理员身份运行程序,导致无法访问某些受保护的进程。另外,进程ID可能不正确,或者目标进程已经结束,导致不到该进程。还有可能是系统保护机制,比如某些关键系统进程不允许被随意访问。 接下来,解决方法方面,用户可能需要检查进程是否存在,确认PID是否正确。可以建议使用任务管理器或命令行工具如tasklist来查看进程列表。另外,确保程序有足够的权限,可能需要以管理员身份运行。如果问题仍然存在,可能需要使用更高级的调试工具或者检查是否有安全软件阻止了访问。 然后,用户可能还想知道如何正确使用OpenProcess函数,比如参数是否正确,特别是dwProcessId是否有效。另外,错误处理部分,比如调用GetLastError获取具体的错误代码,这有助于诊断问题。 还要考虑其他可能性,比如进程处于挂起状态或者由其他用户账户运行,导致当前用户无法访问。这时候可能需要调整访问控制列表(ACL)或者使用其他工具如PsExec来提升权限。 最后,需要提醒用户操作进程时要小心,避免导致系统不稳定或安全问题。如果用户是开发者,可能需要检查代码逻辑,确保正确处理错误情况,并释放获得的句柄。 总结一下,回答应该包括常见原因解决步骤,同时提供相关的问题扩展,帮助用户全面了解解决这个问题。 </think>当使用 `OpenProcess` 函数时无法到目标进程,通常有以下原因及解决方法: ### 常见原因与解决方法 1. **权限不足** - 确保程序以管理员身份运行(右键选择“以管理员身份运行”)。 - 检查目标进程是否受系统保护(如Windows关键进程)。 2. **进程ID(PID)错误** - 确认目标进程的PID是否正确。可通过任务管理器(详细信息页)或命令行 `tasklist` 命令验证。 - 如果进程已退出,PID可能已被释放,需重新获取有效PID。 3. **进程不存在或已终止** - 检查目标进程是否仍在运行。例如,某些程序在后台短暂运行后可能已关闭。 4. **系统保护机制** - 部分系统进程(如 `System` 或 `Registry`)受内核保护,普通用户无法直接访问。 5. **代码逻辑问题** - 检查 `OpenProcess` 的参数是否正确,尤其是 `dwProcessId` 是否合法。 - 调用后立即调用 `GetLastError()` 获取错误代码(如 `ERROR_INVALID_PARAMETER` 或 `ERROR_ACCESS_DENIED`)。 ### 示例代码(检查错误) ```c HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessId); if (hProcess == NULL) { DWORD error = GetLastError(); printf("OpenProcess失败,错误代码: %d\n", error); } ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值