清除句柄表保护进程

原创 已于 2024-05-07 06:46:15 修改 · 378 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#c语言 #操作系统 #windows

于 2024-05-07 04:11:23 首次发布

上节课老师讲错了属性是最后两位,0xfffffffc,并且从句柄表中取出来的值也要-1才能用通过逆向PsLookupProcessByProcessId可以知道

//关键代码
 v4 = (struct _KPROCESS **)ExMapHandleToPointer(ProcessId);
 //->
     v2 = (volatile signed __int32 *)ExpLookupHandleTableEntry(NewIrql);
    if ( v2 )
    {
      while ( 1 )
      {
        v3 = *v2;
        if ( (*v2 & 1) != 0 )
        {
        //_InterlockedCompareExchange这个函数就是比较1,3参数一样就把值给参数1
          if ( _InterlockedCompareExchange(v2, v3 - 1, v3) == v3 )
            return v2;
        }

之后讲了利用系统使用ExpLookupHandleTableEntry判断是否超过最大句柄返回0,就不会蓝屏(老师说这里会返回0)

if ( (a2 & 0xFFFFFFFC) >= this[13] )
    return 0;

但是事实上当你把PID修改为0时,系统调用时并不会返回,他会按部就班的去寻找这个PID的句柄。没有蓝屏只是因为这个PID的进程没有退出或者根本就没有时,软件的退出才不会蓝屏,所以如果你把PID修改为4(system的PID)时也不会蓝屏。但是你要是按照条件去做这个判断时比如说填个0XFFFF FFFF时还是会蓝屏的

VOID ClearHandleTableByPid(ULONG pid) {
	UNICODE_STRING funcName = { 0 };
	RtlInitUnicodeString(&funcName, L"PsLookupProcessByProcessId");
	PUCHAR targetAddr = MmGetSystemRoutineAddress(&funcName);
	if (!targetAddr) {
		DbgPrint("MmGetSystemRoutineAddress\n");
		return;
	}

	PULONG PspCidTable = 0;
	USHORT keyWord = 0x3d8b;
	for (size_t i = 0; i < 100; i++) {
		if (!(*(PUSHORT)targetAddr - keyWord)) {
			PspCidTable = *(PULONG)(targetAddr + 2);
			DbgPrint("PspCidTable:%p\n", PspCidTable);
		}
		targetAddr++;
	}

	pid /= 4;
	ULONG handleTableDir = pid / HANDLE_TABLE_SIZE;
	ULONG handleEntry = pid % HANDLE_TABLE_SIZE;
	handleTableDir = (*(PULONG)(*PspCidTable) & 0xfffffffc) + sizeof(PVOID) * handleTableDir;
	handleEntry = *(PULONG)handleTableDir + handleEntry * 8;

	HANDLE handle = (ULONG)(*(PHANDLE)handleEntry) & 0xfffffffc;
	memset(handleEntry, 0, 8);

	DbgPrint("handle:%p\n", handle);
	DWORD offset = GetProcessIdOffset();
	*(PULONG)((PUCHAR)handle + offset) = 0;
}
123qweqew
关注
C++通过进程句柄进程id或进程名去杀掉进程(附完整源码)
dvlinker的技术专栏
07-26 381
本文讲述如何通过进程句柄进程id或进程名去杀掉进程(附完整源码)。
逆向学习Windows篇:进程句柄操作详解
Web安全工具库
06-19 1754
本节课在线学习视频(网盘地址,保存后即可免费观看):​​。
全局句柄 —— 抹除进程PID
walker的博客
03-16 947
简介 进程 PID 是进程的唯一标识,那么如果我们尝试抹除进程的 PID 会发生什么情况呢? 本次的测试代码以及关于全局句柄,可参考 全局句柄 —— 遍历全局句柄 Code 驱动程序的关键代码如下: // 该句柄进程句柄 if (!RtlCompareUnicodeString(&pWkPOBJECT_TYPE->Name, &unicode_Process, TRUE)) { DbgPrint("句柄类型: Process, 句柄号: %u.\n", uHand
隐藏句柄防止结束进程
qq_45844442的博客
07-24 630
三环传入一个指定的PID,驱动将保护通过删除目标进程句柄和PID,这样在任务管理器中将无法结束进程(注意:虽然任务管理器无法结束,但是由于VMware注册了一个回调函数,导致只要自身关闭会发生蓝屏,所以需要把VM3DMP.sys去掉)我所使用的系统是Win7 sp1,不同的系统特征码等也会不一样,请自行提取。
JAR文件句柄:烦恼后清理!
最佳 Java 编程
06-15 541
在Ultra ESB中,我们使用特殊的热交换类加载器 ,该加载器使我们可以按需重新加载Java类。 这使我们能够从字面上热交换我们的部署单元 -加载,卸载,使用更新的类重新加载,以及正常地逐步退出-无需重启JVM。 Windows:支持禁地 在Ultra ESB Legacy中 ,加载程序在Windows上可以正常运行,但在较新的X版本上 ,似乎有些困难。 我们不支持将Windows作...
抹掉所有进程中自己的句柄(源代码)
12-09 2247
 by  achillis之前听过一个检测进程的想法,就是暴力枚举所有进程中的handle,查找其中类型为PROCESS的.此法也被炉子牛用于他的LzOpenProcess().下面我就写了一断代码来对抗这个方法,纯属小伎俩,牛牛们飘过~严格说,此段代码不算原创,是从某rootkit的bin中扒出来的,因此基本保留其原貌,经我修改测试,主要函数如下:Copy codevoid CloseAllmy
系统进程句柄查看工具:LJC压缩包详解
- 安全软件:病毒和恶意软件扫描器通常需要访问进程句柄来检测和清除威胁。 在进行这类操作时,由于涉及系统底层的进程管理,操作不当可能会对系统稳定性造成影响,甚至导致系统崩溃。因此,通常需要较高的系统权限...
Windows窗口句柄管理工具:遍历与控制进程窗口
对于顽固广告进程,若常规关闭无效,还可结合进程管理器终止其PID,实现彻底清除。 值得注意的是,压缩包中包含“MD5.txt”文件,明该工具可能集成了文件完整性校验功能。MD5是一种广泛使用的哈希算法,可用于...
关于句柄操作窗体集合
05-03
Windows编程中,句柄(Handle)是一种非常重要的概念,它是操作系统用来标识和引用系统对象(如窗口、控件、线程、进程等)的一种唯一标识。本篇将深入探讨句柄操作窗体的基础知识,这对于任何希望进行Windows API...
进程保护
最新发布
08-23
### 进程保护的实现方法 进程保护是一种防止进程被意外终止或恶意修改的技术手段。在实际应用中,可以通过多种方式实现进程保护,包括但不限于以下几种方法: 1. **钩住系统调用**:通过钩住如`OpenProcess`等系统...
linux 查看文件句柄,查看linux下进程打开的文件句柄数并清理
weixin_42627812的博客
04-28 1226
---查看系统默认的最大文件句柄数,系统默认是1024# ulimit -n1024----查看当前进程打开了多少句柄数# lsof -n|awk '{print $2}'|sort|uniq -c|sort -nr|more131 2420457 2424457 24231   ........其中第一列是打开的句柄数,第二列是进程ID。可以根据ID号来查看进程名。# ps aef|grep 2...
操作系统进程句柄
no_pain_no_gain_的博客
03-10 1183
它指向进程所要访问的进程对象的地址,是用来找到目标进程的索引,当我们想要访问对象进程时,就要利用存储在本进程中的句柄来找到对象进程。需要不断地将内存中的数据与外存进行调度,而每次调入内存的数据是不会存放到相同位置的(为了提高效率)。以windows系统为例,句柄就是用来标识进程对象的一个序号,用来找到目标进程。例如,进程A和进程B都需要访问进程C,那么,进程A和进程B的句柄中都会保存指向进程C的句柄,而。,并且这块区域要维护目标进程地址的变化以应对下一次访问的需求,而这块区域内的每一个。
各种进程保护方法的比较
马大叔的工作日记
09-19 4118
一.利用hook 保护进程 1.inline hook 采用inlink hook 保护自身的进程,对抗CreateRemoteThread的Dll注入。在ring3下Dll注入的标准做法是使用CreateRemoteThread控制目标进程调用Loadlibrary
32位/64位WINDOWS驱动之进程保护
a756598009的博客
06-19 2528
加载驱动代码里面加入破解驱动签名限制代码在创建驱动设备后面,在调用一下安装内存保护();//函数在到驱动卸载里面调用一下卸载内存保护();//函数开发环境设置方式是:右击项目,选择属性;选中配置属性中的链接器,点击命令行;在其它选项中输入: /INTEGRITYCHECK 示设置;/INTEGRITYCHECK:NO 示不设置。对于使用sources文件编译的方式,增加LINKER_FLAGS=/INTEGRITYCHECK。
进程隐藏与进程保护(SSDT Hook 实现)(二)
weixin_34102807的博客
06-23 319
文章目录: 1. 引子 – Demo 实现效果: 2. 进程隐藏与进程保护概念: 3. SSDT Hook 框架搭建: 4. Ring0 实现进程隐藏: 5. Ring0 实现进程保护: 6. 隐藏进程保护进程的维护: 7. 小结: 1. 引子 – Demo 实现效果: 进程隐藏效果: 应用程序主界面: 隐藏进程 taskmgr.exe: 取消进程隐藏 t...
驱动保护进程 句柄降权 杀软自保 游戏破图标技术原理和实现
鬼手的博客
11-26 9743
驱动保护进程 句柄降权 杀软自保 游戏破图标技术原理和实现
02 全局句柄
qq_50242229的博客
05-11 176
全局句柄的TableCode 的元素指的就是EPROCESS 或者 ETHREAD 的头了,不再是 _OBJECT_HANDLE。2.每个进程和线程都有一个唯一的编码 : PID和CID 这两个值其实就是全局句柄中的索引。1.所有的进程和线程无论是否打开,都在这个中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值