实战|使用Windows API绕过进程保护

最新推荐文章于 2024-06-06 22:13:02 发布
最新推荐文章于 2024-06-06 22:13:02 发布
阅读量2.3k 收藏 6
点赞数 2
文章标签: github 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/li49665/article/details/121374741
版权
本文探讨如何在用户层实现进程保护,避免被类似360SelfProtection的系统保护机制阻止。通过hook TerminateProcess API,阻止其他进程被结束。详细介绍了hook过程,包括创建DLL注入目标进程,并使用Detours库提高稳定性。举例展示了如何保护特定进程,以防止被误操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

首发于奇安信攻防社区

文章地址:https://forum.butian.net/share/817

前言

最近在研究某数字杀软的时候看到有个配置选项:

图片

img

这个自我保护实际上是加载360SelfProtection.sys驱动(看这名字应该还有360SelfProtection_win10.sys文件),丰告网在0环通过hook等手段保护注册表项,重要进程进程等。

图片

img

比如这里要结束某核心进程,会显示无法结束,拒绝访问。

图片

img

图片

img

这个并不是说权限不够的问题,即便是system权限也不行。而是由于在底层,杀死进程的API已经被hook了,这里应该是内核hook,当想要结束的进程为核心进程时,就直接返回一个无法终止进程的弹窗。本文就如何实现一个进程保护功能进行探究,驱动就不写了,就写一个用户层的。

实现原理

windows提供了一个可以杀死其他进程的API:TerminateProcess。如果是结束本身进程为:ExitProcess。

BOOL TerminateProcess([in] HANDLE hProcess,[in] UINT   uExitCode);

通过命令taskkill或者通过任务管理器等GUI工具去结束进程,本质上都是调用的TerminateProcess,有些可能是调用更为底层的ZwTerminateProcess,但是本质都差不多,只是看该进程用的什么API,品渡雅创 这里为了方便就使用TerminateProcess进行演示。

通过hook TerminateProcess让执行该函数时直接返回没有权限。

获取API地址并创建新的hook函数

static BOOL(WINAPI* OldTerminateProcess)(    HANDLE hProcess,    UINT   uExitCode) = TerminateProcess;BOOL WINAPI New_TerminateProcess(_In_ HANDLE hProcess,_In_ UINT uExitCode) {
      unhookTerminateProcess();MessageBox(NULL,L"该进程受保护!", L"Access Denied",NULL);    hookTerminateProcess();returnfalse;}

这里是64位的进程,要改变的硬编码是12个字节,而且不需要去算偏移。

48 b8 _dwNewAddress(0x1122334455667788)ff e0mov rax, _dwNewAddress(0x1122334455667788)jmp rax

将原来函数的调转地址改为我们自己函数的跳转地址

void hookTerminateProcess() {
      DWORD dwTerminateProcessOldProtect;    BYTE pData[12] = { 0x48,0xb8,0x0,0x0,0x0,0x0,0x0,0x0,0x0,0x0,0xFF,0xE0};    ULONGLONG ullNewFuncAddr = (ULONGLONG)New_TerminateProcess;//保存本来的字节::RtlCopyMemory(g_OldTerminateProcess, OldTerminateProcess, sizeof(pData));//更改权限VirtualProtect(OldTerminateProcess, 12, PAGE_EXECUTE_READWRITE, &dwTerminateProcessOldProtect);//更改原来的机器码,改为我们自己函数的地址::RtlCopyMemory(&pData[2], &ullNewFuncAddr, sizeof(ullNewFuncAddr));::RtlCopyMemory(OldTerminateProcess, pData, sizeof(pData));//恢复属性VirtualProtect(OldTerminateProcess, 12, dwTerminateProcessOldProtect, &dwTerminateProcessOldProtect);}

恢复硬编码,还原调转地址。

void unhookTerminateProcess() {
      DWORD dwOldProtect = NULL;//改为可写属性VirtualProtect(OldTerminateProcess, 12, PAGE_EXECUTE_READWRITE, &dwOldProtect);//还原原来的硬编码RtlCopyMemor
最低0.47元/天 解锁文章
li49665
关注
二、C++反作弊对抗实战 (进阶篇 —— 14.利用内存加载+重定向绕过inline iat hook)
Koma的主页
03-04 1546
这一章节将详细的讲述《如何从一个DLL的资源中使用内存的方式加载另一个DLL》
openprocess打开进程失败_【渗透实战】如何利用API unhooking执行进程注入,绕过Bitdefender安全检测...
weixin_39575054的博客
12-03 356
点击上方蓝字关注我们1概述绕过AV/EDR等端点检测是红队行动过程中的一项重要工作,在开始进行绕过时,我们需要先了解这些防护软件的工作方式。网络上公布了大量安全产品的工作原理以及绕过方法。本文主要分享如何利用Windows API unhooking 技术绕过Bitdefender安全防护软件,以下为演示视频:2什么是API Hooking?API hooking是一种用于拦截和检查w...
openprocess打开进程失败_利用API unhooking完成进程注入,成功绕过Bitdefender检测
weixin_39531780的博客
12-03 673
绕过端点防护软件(如AV/EDR)是红队行动中的一项重要工作,但是在完成这项工作之前,我们可能需要一些时间来了解这些防护软件是如何工作的。而随着网上发布了大量关于这个主题的资源,了解这些产品的工作原理以及如何绕过它们也变得更加容易。在这篇文章中,我将向大家展示如何利用windows API unhooking技术来绕过BitDefender全功能安全套装的。在此过程中,我们将为读者介绍关...
WindowsAPI详解——TerminateProcess 终止|杀死其它进程
热门推荐
jfkidear的专栏
05-26 3万+
WindowsAPI详解——TerminateProcess 终止|杀死其它进程 - [VC++编程] 版权声明:转载时请以超链接形式标明文章原始出处和作者信息及本声明 http://www.blogbus.com/flyxxtt-logs/43973152.html       这个函数可以用来终止或者说杀死一个进程,它不会留给进程及其所有线程清理的时间,系统会马上
进程保护原理Hook函数Openprocess
Fly20141201. 的专栏
11-10 7835
Win32子系统:                                                                                                                                                                Win32是Windows的一个子系统,还有另外的子系统
过NtOpenProcess保护的方法总结
xrain_zh的专栏
05-03 2289
来自:http://blog.youkuaiyun.com/jepco1/article/details/5531449 过NtOpenProcess保护的方法总结,搜集了一下网上的方案,自己整理了一下。 一般的保护程序喜欢在NtOpenProcess中设置inline hook,修改返回句柄。调试程序使用该程序附加附加到被保护进程的时候,就得不到正确的进程访问句柄,因而附加失败。 反此类保
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 2130
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
马哥Linux运维 | 深入理解Python多进程:从基础到实战
最新发布
csdn_xmj的博客
06-06 787
在Python中,多线程受到全局解释器锁的限制,多进程能更好地利用多核处理器,选择合适的并发编程方式可以提高程序的运行效率。通过合理的错误处理策略、使用logging和traceback记录错误信息,以及灵活运用调试工具与技术,可以更好地处理进程间的错误和调试工作,提高程序的稳定性和可靠性。总之,选择多进程可以让我们更好地利用计算资源,提高程序的运行效率,同时避免了一些多线程并发编程中的问题,是一种值得掌握的并发编程方式。通过合理设计进程之间的通信和同步机制,可以实现多进程之间的协同工作。
实战 绕过自定义SSP的凭证保护抓取密码_addsecuritypackage
2401_84240129的博客
04-19 1071
但是,如果 DLL 位于其他路径中,请在名称中包含 DLL 的完整路径。SpShutDown 函数在卸载安全支持提供程序/身份验证包 (SSP/AP) 之前,由本地安全机构(LSA)调用,用于在卸载 SSP/AP 之前执行所需的任何清理,以便释放资源。将编译生成的 CustSSP.dll 置于 C:\Windows\System32 目录中,并将 “CustSSP” 添加到以下注册表值的数据中,如下图所示。该函数会被本地安全机构(LSA)调用一次,从而将 CustSSP 中实现的函数的指针提供给 LSA。
C语言实战:学习如何使用Qt暴力结束进程
这种做法虽然快速,但并不推荐作为常规操作,因为它会绕过进程自身的清理机制,可能会导致资源未被正确释放、数据丢失等问题。在实际应用中,开发者应该尽量避免使用这种“暴力”手段,只有在其他方法无效或有特殊...
API HOOK 全局钩子, 防止进程被杀
03-22
API拦截 防止进程被控制台杀死. 用的是全局钩子 通过修改进程的导入表修改OpenProcess的地址指向我们自定义的函数
Windows 反调试技术——OpenProcess 权限过滤 - ObRegisterCallback
07-04 1802
转载: https://blog.xpnsec.com/anti-debug-openprocess/ 看雪翻译:https://bbs.pediy.com/thread-223857.htm 本周我有了休息时间,来回顾一下反调试技术。目前,Bug Bounty平台上有大量程序依赖于客户端应用,而且许多安全产品和游戏反作弊引擎都采用了这些反调试技术来阻止你调试核心模块。我想有必要...
实现简单的ring3进程保护、hook OpenProcess函数、简单分析
weixin_34277853的博客
02-20 1168
简单的HOOK OpenProcess函数、达到不让任务管理器使用OpenProcess来获取我们要保护进程的句柄、从而达到使任务管理器使用TerminateProcess无法结束该进程的目的、、、当我们HOOK到OpenProcess的时候、我们要在自己的MyOpenProcess中、判断一下、所打开的进程是否为我们要保护进程、如果是简单的返回错误码0、如果不是就在我们...
怎样让自己的程序进程不让别人强行关闭掉
-源码交流区
06-20 1万+
作者:潘枫  技术交流QQ:598432467 完整源代码:http://download.youkuaiyun.com/source/196884今天刚注册了优快云用户,前面在这里学到了很多东西,一直也想自己写点什么,可注册了好多次居然不成功。呵,其它的题外话就不说了,我们今天要谈论的话题是“怎样让自己的程序进程不让别人强行关闭掉”。昨天公司让我写了一个软件,并且不能让别人结束这个程序的进程。前面
防止进程被任务管理器关掉的办法
yuntianhai的专栏
08-22 9971
1.任务管理器的“结束任务”实际上就是强制终止进程,它所使用的是一个叫做TerminateProcess()的Win32 API函数以下是此函数的定义: BOOL TerminateProcess( HANDLE hProcess; // 将被结束进程的句柄 UINT uExitCode; // 指定进程的退出码 );2.为了得到要杀掉的进程的句柄,首先要取得该进程的句柄,即采用以下函数获取进
ssdkhook之ntopenprocess_保护用户层的应用程序不被ce打开_完美版
01-31 948
#include"ntddk.h" NTSTATUS PsLookupProcessByProcessId( _In_ HANDLE ProcessId, _Out_ PEPROCESS *Process ); #pragma pack(1) //写这个内存以一字节对齐 如果不写是以4字节的对齐的 typedef struct ServiceDescriptorEntry {//这个
常见waf绕过进程及识别工具
weixin_45106410的博客
12-02 1818
0X00 WAF简介 WAF对于一些常规漏洞(如注入漏洞、XSS漏洞、命令执行漏洞、文件包含漏洞)的检测大多是基于“正则表达式”和“AI+规则”的方法,因此会有一定的概率绕过其防御。绕过waf的测试中,有很多方法可以使用,以下常用方法: 大小写绕过 注释符绕过 编码绕过 分块传输绕过 使用空字节绕过 关键字替换绕过 http协议覆盖绕过 白名单ip绕过 真实ip绕过 Pipline绕过 参数污染 溢出waf绕过 可以把WAF分为四类 云WAF类硬件WAF类软件WAF类网站内置WAF类 云wa
绕过系统文件保护的另一种方法
The_IT_Crowd的专栏
06-18 1098
起到系统文件保护作用的是sfc_os.dll这个文件 他被注入到了Winlogon中 我的思路就是在Winlogon中的进程找到这个DLL的线程然后挂起掉自然就失效了 以下是Powerbasic写的源代码XPSP3通过测试 #编译的EXE  #暗淡 #INCLUDE“Win32Api.inc”  #包括“TlHelp32.inc的”
域渗透——绕过LSA保护机制总结
灰太的表格的博客
08-06 1243
LSA绕过
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值