三环重写OpenProcess

逆向分析:Windows系统进程打开过程中的NtOpenProcess函数细节
原创 于 2024-04-27 19:54:04 发布 · 407 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#c语言 #操作系统 #windows

文章详细描述了如何通过逆向工程分析`NtOpenProcess`函数,该函数在`kernelbase`和`ntdll`模块中使用,涉及`OBJECT_ATTRIBUTES`和`CLIENT_ID`结构体,展示了调用过程中的关键参数设置和结构体传递。

调用过程重点为 KernelBase->ntdll,kernelbase中做了数据的处理,函数名字为NtOpenProcess,ntdll中则选择服务号进入0环,我们可以逆向NtOpenProcess分析具体用了什么参数

在头文件<winternl.h>中包含了这两个结构体,当然CLIENT_ID这个结构体少了一个结构体指针
typedef struct _OBJECT_ATTRIBUTES {
   
   
    ULONG Length;
    HANDLE RootDirectory;
    PUNICODE_STRING ObjectName;
    ULONG Attributes;
    PVOID SecurityDescriptor;
    PVOID SecurityQualityOfService;
} OBJECT_ATTRIBUTES;
typedef OBJECT_ATTRIBUTES *POBJECT_ATTRIBUTES;
typedef struct _CLIENT_ID {
   
   
    HANDLE UniqueProcess;
    HANDLE UniqueThread;
} CLIENT_ID;

第一步
把原本参数的PID写进CLIENT_ID结构体中
.text:0DCE9175                 mov     eax, [ebp+dwProcessId]
.text:0DCE9178                 mov     [ebp+ClientId.UniqueProcess], eax
第二步
如果bInheritHandle为0则最后计算后还是0,如果为其他数则置为1,并且填入ObjectAttributes中
text:0DCE917B                 mov     eax, [ebp+bInheritHandle]
<
最低0.47元/天 解锁文章
123qweqew
关注
重写OpenProcess功能
ChinaPrc
02-25 549
__kernel_entry NTSYSCALLAPI NTSTATUS NtOpenProcess( PHANDLE ProcessHandle, ACCESS_MASK DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes, PCLIENT_ID ClientId ); voi...
5.SSDT再增加一个NtReadVirtualMemory函数
Mikasys的博客
11-04 593
代码如下,如果看不懂请看上一篇文章 Ring0 #include <ntifs.h> #include <ntstatus.h> typedef struct _KSYSTEM_SERVICE_TABLE { PULONG ServiceTableBase; //函数地址表基地址 PULONG ServiceCounterTableBase; //被访问了多少次 ULONG NumberOfService; //表中服务函数的总数 PUCHAR ParamTable
C语言进程隐藏NTOpenprocess,64位下Hook NtOpenProcess的实现进程保护 + 源码 (升级篇 )...
weixin_32893479的博客
05-23 1061
【PS: 如果在64位系统下,出现调用测试demo,返回false的情况下,请修改Hook Dll的代码】glhHook = SetWindowsHookEx(WH_SHELL,ShellHookProc, 0 , 0);//改成跟X86下一样的glhHook = SetWindowsHookEx(WH_SHELL,ShellHookProc,glhInstance, 0);2013.09.11...
NtOpenProcess
weixin_34214500的博客
03-29 4167
一般在内核SSDT HOOK的时候就是直接钩住SSDT表替换NtOpenProcess的地址来达到保护进程的目的。而在InlineHook中,侧需要更进一步的了解NtOpenProcess函数,才能更好的做inlinehook。 首先说说Windows中用户层 OpenProces,WIN32函数OpenProces执行后,调用NTDLL.DLL中NtOpenProces...
过NtOpenProcess保护的方法总结
xrain_zh的专栏
05-03 2380
来自:http://blog.youkuaiyun.com/jepco1/article/details/5531449 过NtOpenProcess保护的方法总结,搜集了一下网上的方案,自己整理了一下。 一般的保护程序喜欢在NtOpenProcess中设置inline hook,修改返回句柄。调试程序使用该程序附加附加到被保护进程的时候,就得不到正确的进程访问句柄,因而附加失败。 反此类保
Windows.h中的函数有哪些?
2301_76479167的博客
01-21 8500
今天我来给大家介绍一些常用的Windows.h中的函数。 这些函数非常适合做病毒,,对病毒感兴趣的朋友可以来看看。
纯汇编openprocess源码
06-02
OpenProcessWindows操作系统中的一个API函数,用于获取对指定进程的访问权限。这篇文档将深入探讨如何用纯汇编语言实现OpenProcess函数的源码。 在Windows API中,OpenProcess函数的主要作用是打开一个已经存在的...
Dll.rar_VB HookOpenProce_hook_openprocess_ring3 hook_vb HookOpen
09-24
标题"Dll.rar_VB HookOpenProce_hook_openprocess_ring3 hook_vb HookOpen"涉及到的是在Windows操作系统中,使用Visual Basic(VB)实现Ring3级别的OpenProcess函数Hook技术。Ring3是用户模式,即应用程序通常运行的...
WinAPI-函数OpenProcess/ReadProcessMemory/WriteProcessMemory
文天大人
12-31 1001
怀念二抱三抱
Windows内核新手上路1——挂钩SSDT
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-15 967
Windows内核新手上路1——挂钩SSDT          这个系列记录学习我学习windows内核的点点滴滴,高手请直接无视。          文章核心内容:挂钩SSDT中函数列NtOpenProcess,NtDuplicateObject,NtCreateThread,NtOpenThread,NtWriteVirtualMemory,过滤进程操作来保护目标进程空间。   SSD
OpenProcess | Process32First | GetExitCodeProcess - WINDOWS API 第二弹 非通信方式的子进程获取父进程信息
Bobowen的博客
10-28 1687
OpenProcess | Process32First | GetExitCodeProcess - WINDOWS API 第二弹 进程相关
构建API调用框架绕过杀软hook
hongduilanjun的博客
05-09 853
我们知道杀软在API函数的监控上一般有两种手段,一种是在3环直接通过挂钩到自己的函数判断是否调用了这个API,另外一种方式就是在0环去往SSDT表的路径上挂钩来判断进0环后的操作。那么我们如果不想杀软监控我们的行为,之前提过的内核重载是一种绕过的方式,但是内核重载的动静太大,这里我们就通过直接重写3环到0环的API,通过重写KiFastCallEntry来自己调用内核的函数,以达到规避杀软的效果。 调用过程 我们首先来看一下API函数的调用过程,这里以OpenProcess函数为例 首先在kernel32
Windows系统调用中API的3环部分
dz45693的专栏
10-22 2866
一、R3环API分析的重要性 Windows所提供给R3环的API,实质就是对操作系统接口的封装,其实现部分都是在R0实现的。 很多恶意程序会利用钩子来钩取这些API,从而达到截取内容,修改数据的意图。 现在我们使用olldbg对ReadProcessMemory进行跟踪分析,查看其在R3的实现,并根据我们的分析来重写一个ReadProcessMemory。 重写ReadProcessMe...
32位/64位WINDOWS驱动之 遍历+HOOK_SSDT_NtOpenProcess函数_w7_w10通用系统版本
a756598009的博客
01-21 1359
KIRQL WPOFF()//关闭写保护//ULONG_PTR 这个类型在x86上是32位 x64就是64位#else#endif_disable();//关闭中断//关闭写保护位VOID WPON(KIRQL irql)//打开写保护//恢复写保护位_enable();//恢复中断/*aria v1.0*在易编程学院发布。*版权所有 2023*许可证:ybc-cn*修改时间:2024年1月21日17:42:26(中国标准时间)
11、OpenProcess
Windows内核学习笔记
07-18 436
neg指令 neg指令详细解释 规则: neg reg (对寄存器操作) neg mem(对内存操作) 作用:将目的操作数的所有数据位取反加1 影响的标志:进位标志(CF),零标志(ZF),符合标志(SF),溢出标志(OF),辅助进位标志(AF),奇偶标志(PF) 当操作数为0时,置CF位为0 当操作数不为0时,置CF位为1 sbb指令 sbb是带借位减法指令,它利用了CF位上记录的借位值。 指令格式:sbb 操作对象1,操作对象2 功能:操作对象1=操作对象1-操作对象2-CF 比如指令sbb ax,b
[驱动开发] 手写 r0 hook(NtOpenProcess 为例)
LYSM
11-09 1882
inlineHook的原理: 为了方便好理解,一些变量名和函数名在这里使用中文命名,有些编译器不支持中文命名,在这里要注意(我的是VS2019) hook.h: #pragma once #include<ntifs.h> #include<ntddk.h> #pragma intrinsic(__readmsr) //SSDT的结构 typedef struct _SYSTEM_SERVICE_TABLE { PLONG ServiceTableBase; PVOI
【系统底层】系统调用(R3API调用过程详解)
子曰小玖的博客
10-20 1594
WindowsAPI API(Application Programming Interface),我们调用时只需提供正确的参数以及接收返回值就可以判断API执行是否成功或者通过GetLastError获得错误原因. 大部分API在R3都是处理各种校验,真正执行功能都是在R0(并不是所有的API都是在R0处理). 系统中几个核心DLL(Kernel32.dll,User32.dll,GDI32.dll,Ntdll.dll(大多数API通过此DLL进入内核)). 通过API
漫谈兼容内核之十四:Windows的跨进程操作
周寅的专栏
03-13 2318
 Jeffrey Richter在他的“Advanced Windows”一书第18章“打破进程壁垒(Breaking Through Process Boundary Walls)”中讲述了一个有趣的实验,就是利用OpenProcess()、CreateRemoteThread()、VirtualAllocEx()、WriteProcessMemory()等等Win32 API函数从一个进程向另
openprocess
最新发布
12-11
`OpenProcess` 是 Windows API 中的一个函数,用于打开一个已存在的进程对象,并返回该进程的句柄。通过这个句柄,调用者可以对进程进行各种操作,例如读取内存、写入内存、终止进程等。 `OpenProcess` 的函数原型...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值