清除句柄表保护进程

已于 2024-05-07 06:46:15 修改
阅读量300 收藏 1
点赞数 2
CC 4.0 BY-SA版权
文章标签: c语言 操作系统 windows
于 2024-05-07 04:11:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/pluginL/article/details/138515949

上节课老师讲错了属性是最后两位,0xfffffffc,并且从句柄表中取出来的值也要-1才能用通过逆向PsLookupProcessByProcessId可以知道

//关键代码
 v4 = (struct _KPROCESS **)ExMapHandleToPointer(ProcessId);
 //->
     v2 = (volatile signed __int32 *)ExpLookupHandleTableEntry(NewIrql);
    if ( v2 )
    {
      while ( 1 )
      {
        v3 = *v2;
        if ( (*v2 & 1) != 0 )
        {
        //_InterlockedCompareExchange这个函数就是比较1,3参数一样就把值给参数1
          if ( _InterlockedCompareExchange(v2, v3 - 1, v3) == v3 )
            return v2;
        }

之后讲了利用系统使用ExpLookupHandleTableEntry判断是否超过最大句柄返回0,就不会蓝屏(老师说这里会返回0)

if ( (a2 & 0xFFFFFFFC) >= this[13] )
    return 0;

但是事实上当你把PID修改为0时,系统调用时并不会返回,他会按部就班的去寻找这个PID的句柄。没有蓝屏只是因为这个PID的进程没有退出或者根本就没有时,软件的退出才不会蓝屏,所以如果你把PID修改为4(system的PID)时也不会蓝屏。但是你要是按照条件去做这个判断时比如说填个0XFFFF FFFF时还是会蓝屏的

VOID ClearHandleTableByPid(ULONG pid) {
	UNICODE_STRING funcName = { 0 };
	RtlInitUnicodeString(&funcName, L"PsLookupProcessByProcessId");
	PUCHAR targetAddr = MmGetSystemRoutineAddress(&funcName);
	if (!targetAddr) {
		DbgPrint("MmGetSystemRoutineAddress\n");
		return;
	}

	PULONG PspCidTable = 0;
	USHORT keyWord = 0x3d8b;
	for (size_t i = 0; i < 100; i++) {
		if (!(*(PUSHORT)targetAddr - keyWord)) {
			PspCidTable = *(PULONG)(targetAddr + 2);
			DbgPrint("PspCidTable:%p\n", PspCidTable);
		}
		targetAddr++;
	}

	pid /= 4;
	ULONG handleTableDir = pid / HANDLE_TABLE_SIZE;
	ULONG handleEntry = pid % HANDLE_TABLE_SIZE;
	handleTableDir = (*(PULONG)(*PspCidTable) & 0xfffffffc) + sizeof(PVOID) * handleTableDir;
	handleEntry = *(PULONG)handleTableDir + handleEntry * 8;

	HANDLE handle = (ULONG)(*(PHANDLE)handleEntry) & 0xfffffffc;
	memset(handleEntry, 0, 8);

	DbgPrint("handle:%p\n", handle);
	DWORD offset = GetProcessIdOffset();
	*(PULONG)((PUCHAR)handle + offset) = 0;
}
123qweqew
关注
C++通过进程句柄进程id或进程名去杀掉进程(附完整源码)
dvlinker的技术专栏
07-26 284
本文讲述如何通过进程句柄进程id或进程名去杀掉进程(附完整源码)。
5 句柄
最新发布
史D芬周
01-08 899
当一个进程创建或者打开一个内核对象,都会获得一个句柄,通过句柄我们可以访问到内核对象,,并不是我们之前所了解的窗口之类的3环句柄句柄的存在是为了避免在应用层直接修改内核对象,如果你创建一个线程,随之返回给你内核对象的地址,你就可以通过这个地址去修改内核对象,。为了规避以上所述的情况,微软将内核对象的地址隐藏起来,但为了让3环可以使用,又设计了一张(即句柄),在这个中存储着内核对象的地址,,这样在3环中就可以通过句柄来使用内核对象。
逆向学习Windows篇:进程句柄操作详解
Web安全工具库
06-19 1646
本节课在线学习视频(网盘地址,保存后即可免费观看):​​。
抹掉所有进程中自己的句柄(源代码)
12-09 2224
 by  achillis之前听过一个检测进程的想法,就是暴力枚举所有进程中的handle,查找其中类型为PROCESS的.此法也被炉子牛用于他的LzOpenProcess().下面我就写了一断代码来对抗这个方法,纯属小伎俩,牛牛们飘过~严格说,此段代码不算原创,是从某rootkit的bin中扒出来的,因此基本保留其原貌,经我修改测试,主要函数如下:Copy codevoid CloseAllmy
全局句柄 —— 抹除进程PID
walker的博客
03-16 869
简介 进程 PID 是进程的唯一标识,那么如果我们尝试抹除进程的 PID 会发生什么情况呢? 本次的测试代码以及关于全局句柄,可参考 全局句柄 —— 遍历全局句柄 Code 驱动程序的关键代码如下: // 该句柄进程句柄 if (!RtlCompareUnicodeString(&pWkPOBJECT_TYPE->Name, &unicode_Process, TRUE)) { DbgPrint("句柄类型: Process, 句柄号: %u.\n", uHand
隐藏句柄防止结束进程
qq_45844442的博客
07-24 564
三环传入一个指定的PID,驱动将保护通过删除目标进程句柄和PID,这样在任务管理器中将无法结束进程(注意:虽然任务管理器无法结束,但是由于VMware注册了一个回调函数,导致只要自身关闭会发生蓝屏,所以需要把VM3DMP.sys去掉)我所使用的系统是Win7 sp1,不同的系统特征码等也会不一样,请自行提取。
操作系统进程句柄
no_pain_no_gain_的博客
03-10 1118
它指向进程所要访问的进程对象的地址,是用来找到目标进程的索引,当我们想要访问对象进程时,就要利用存储在本进程中的句柄来找到对象进程。需要不断地将内存中的数据与外存进行调度,而每次调入内存的数据是不会存放到相同位置的(为了提高效率)。以windows系统为例,句柄就是用来标识进程对象的一个序号,用来找到目标进程。例如,进程A和进程B都需要访问进程C,那么,进程A和进程B的句柄中都会保存指向进程C的句柄,而。,并且这块区域要维护目标进程地址的变化以应对下一次访问的需求,而这块区域内的每一个。
系统进程句柄查看工具:LJC压缩包详解
- 安全软件:病毒和恶意软件扫描器通常需要访问进程句柄来检测和清除威胁。 在进行这类操作时,由于涉及系统底层的进程管理,操作不当可能会对系统稳定性造成影响,甚至导致系统崩溃。因此,通常需要较高的系统权限...
关于句柄操作窗体集合
05-03
Windows编程中,句柄(Handle)是一种非常重要的概念,它是操作系统用来标识和引用系统对象(如窗口、控件、线程、进程等)的一种唯一标识。本篇将深入探讨句柄操作窗体的基础知识,这对于任何希望进行Windows API...
pchuner秒删自身sys效果,无视win10句柄占用_PCHunter_
09-30
1. **句柄枚举与释放**:PCHunter可能通过枚举并释放所有持有该sys文件句柄进程,使得文件可以被安全删除。 2. **权限提升**:可能利用某些漏洞或者权限提升技术,使得PCHunter获得足够的权限来执行删除操作。 3...
各种进程保护方法的比较
马大叔的工作日记
09-19 4037
一.利用hook 保护进程 1.inline hook 采用inlink hook 保护自身的进程,对抗CreateRemoteThread的Dll注入。在ring3下Dll注入的标准做法是使用CreateRemoteThread控制目标进程调用Loadlibrary
32位/64位WINDOWS驱动之进程保护
a756598009的博客
06-19 2292
加载驱动代码里面加入破解驱动签名限制代码在创建驱动设备后面,在调用一下安装内存保护();//函数在到驱动卸载里面调用一下卸载内存保护();//函数开发环境设置方式是:右击项目,选择属性;选中配置属性中的链接器,点击命令行;在其它选项中输入: /INTEGRITYCHECK 示设置;/INTEGRITYCHECK:NO 示不设置。对于使用sources文件编译的方式,增加LINKER_FLAGS=/INTEGRITYCHECK。
进程隐藏与进程保护(SSDT Hook 实现)(二)
weixin_34102807的博客
06-23 303
文章目录: 1. 引子 – Demo 实现效果: 2. 进程隐藏与进程保护概念: 3. SSDT Hook 框架搭建: 4. Ring0 实现进程隐藏: 5. Ring0 实现进程保护: 6. 隐藏进程保护进程的维护: 7. 小结: 1. 引子 – Demo 实现效果: 进程隐藏效果: 应用程序主界面: 隐藏进程 taskmgr.exe: 取消进程隐藏 t...
驱动保护进程 句柄降权 杀软自保 游戏破图标技术原理和实现
鬼手的博客
11-26 9017
驱动保护进程 句柄降权 杀软自保 游戏破图标技术原理和实现
02 全局句柄
qq_50242229的博客
05-11 152
全局句柄的TableCode 的元素指的就是EPROCESS 或者 ETHREAD 的头了,不再是 _OBJECT_HANDLE。2.每个进程和线程都有一个唯一的编码 : PID和CID 这两个值其实就是全局句柄中的索引。1.所有的进程和线程无论是否打开,都在这个中。
Win10遍历句柄+修改权限过Callback保护
xlaomlng的博客
05-26 3795
本帖转载于http://www.m5home.com/bbs/thread-8847-1-1.html 本想发到看雪,但自己太菜,看雪“牛人”又太多,想想还是发到紫水晶吧。 感谢 TA 的 WIN64 教程带我走上驱动之路,想想除了个 VIP 账号就没教过学费,以后多在论坛发帖来回报一下吧。 正篇: XP 和 Win7 上关于句柄的文章不少,一点不懂的朋友请自行百度谷歌搜索,方法没变,依旧使用 ...
记录一下 关于进程隐藏摘链操作的问题
zfdyq
12-09 2350
隐藏进程有好多方法,抹除句柄抹除csrss中的注册进程信息,摘除Active链等等,今天来记录一下摘链注意的问题。 网上有很多摘链的DEMO,至于稳定性。。。。时不时的蓝~~ 原因为什么,很多代码都只是一味的拆除了相应进程的链,但是却没有考虑到系统在操作动态链的一系列问题,先看一下WRK中的销毁进程的操作, 目录:WRK-v1.2\base\ntos\ps\p
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值