RtlSetProcessIsCritical将进程设置为系统严重状态(防止进程被结束)

最新推荐文章于 2025-01-17 14:04:28 发布
最新推荐文章于 2025-01-17 14:04:28 发布
阅读量4.1k 收藏 2
点赞数
分类专栏: windows编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq125096885/article/details/53572223
版权
本文展示了一个使用C++实现的Windows环境下进程特权提升的例子,包括如何启用调试权限及设置进程为关键进程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

#include <stdio.h>
#include <windows.h>

bool EnableDebugPrivilege();

typedef NTSTATUS(__cdecl *fnRtlSetProcessIsCritical)(IN  BOOLEAN  NewValue, OUT PBOOLEAN OldValue OPTIONAL, IN  BOOLEAN  CheckFlag);
fnRtlSetProcessIsCritical pRtlSetProcessIsCritical;


int main(void)
{

	EnableDebugPrivilege();

	HMODULE  hNtdll = GetModuleHandle(TEXT("ntdll.dll"));
	if (hNtdll)
	{
		pRtlSetProcessIsCritical = (fnRtlSetProcessIsCritical)GetProcAddress(hNtdll, "RtlSetProcessIsCritical");
		if (pRtlSetProcessIsCritical)
		{
			pRtlSetProcessIsCritical(TRUE, NULL, FALSE);
		}
	}


	getchar();
	getchar();
	if (pRtlSetProcessIsCritical)
	{
		pRtlSetProcessIsCritical(FALSE, NULL, FALSE);
	}
	getchar();
	getchar();
	return 0;
}


bool EnableDebugPrivilege()
{
	HANDLE hToken;
	LUID sedebugnameValue;
	TOKEN_PRIVILEGES tkp;
	if (!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))
	{
		return   false;
	}
	if (!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &sedebugnameValue))
	{
		CloseHandle(hToken);
		return false;
	}
	tkp.PrivilegeCount = 1;
	tkp.Privileges[0].Luid = sedebugnameValue;
	tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
	if (!AdjustTokenPrivileges(hToken, FALSE, &tkp, sizeof(tkp), NULL, NULL))
	{
		CloseHandle(hToken);
		return false;
	}
	return true;
}

C语言蓝屏代码,简单就是高级
weixin_56334307的博客
02-11 818
对运行中的进程进行权限提升和临界进程状态设置。此工具主要用于系统级开发、调试或特定场景下的系统行为研究,但使用不当可能会导致系统不稳定或崩溃。库,并获取上述两个函数的地址,然后直接调用这些函数实现功能。由于这两个函数是未公开的,因此通常不建议在生产环境中使用,仅供学习和研究之用。本工具是一个Windows平台下的命令行应用程序,它利用Windows内核库。本工具使用C语言编写,通过加载。
C# 保护进程不被结束(源代码)
热门推荐
康康的小窝
06-25 1万+
闲来无事,英语又学的太痛苦。看到我妈妈电脑开起在,就坐上去看看新闻,听听音乐。哎,突然间,老毛病又烦了,想起原来一直有个编程的问题没有解决——禁止别人用任务管理器,结束自己的程序进程(.NET程序)。带着这个问题,我开始Google,开始baidu,又开始编程了。和原来的搜索结果一样,什么东西都是一筹莫展,得到的答案永远是:C#没有办法自己去禁止别人用任务管理器结束自己进程。不过功夫不负有心人。我
使用RtlSetProcessIsCritical“保护”您的过程
04-08
使用Win32内核功能将进程升级为系统关键状态
RtlSetProcessIsCritical 介绍
nokianasty的专栏
12-03 3645
Introduction <br />RtlSetProcessIsCritical is yet another undocumented function hidden in the Windows kernel. It is one of the few which do not have a kernel32 equivalent. However, Microsoft has a good reason to not document this function - it should not b
恶意代码分析_RtlSetProcessIsCritical函数
weixin_46143580的博客
08-21 407
在网络安全事件发生后,取证人员会对目标机器进行调查,包括对受害机器上的可疑进程和服务进行排查和处理。攻击者可能会采取一种迷惑性的方式,试图让排查人员误认为这些进程是Windows系统进程,以阻碍调查。一种常见的手法是在相关人员试图关闭恶意软件所在的进程时,故意引发Windows蓝屏异常,从而误导排查人员。
单处理器系统进程调度_第三章:进程与线程
weixin_39977886的博客
11-21 928
第一节:多道程序设计就是允许多个程序同时进入内存并运行,多道程序设计是操作系统所采用最基本、最重要的技术,其根本目的是提高整个系统的效率。衡量系统效率的尺度是系统吞吐量,所谓系统吞吐量是指单位时间内系统所处理进程的数量。·程序的顺序执行:程序是一个在时间上按严格次序前后相继的操作序列。特点: 1、顺序性:程序所规定的动作在机器上,严格地按照顺序执行,程序和机...
用易语言实现调用RtlSetProcessIsCritical设置进程为关键进程.zip
11-28
设置进程系统关键进程结束则看蓝屏。按照网上的说法应该需要Debug权限,不过经过用调试之后会崩溃。。而且动态调用不知道为什么崩溃测试,欢迎各位帮我找问题可以学习一下未公开API的调用联系方式杨2906455468@...
取消或设定关键进程设置csrss.exe等
04-25
取消或设定关键进程,可以设置任务管理器,cmd,csrss.exe等,设为关键进程后,关闭瞬间蓝屏(慎用!)也可以取消系统关进进程,关闭也不蓝屏。注:需要输入全名如Taskmgr.exe,大小写也必须正确。可以用于防止服务器...
关于win7下r3窗口进程保护的一些方式
墨鱼菜鸡
09-09 650
背景 随着Windows PG保护的出现,过去内核挂钩inline hook的时代逐渐远去,hook OpenProcess的日子也一去不复返了。那么,如果想在Windows操作系统上不那么轻易的被结束(这里主要考虑不在r3被结束,都在内核还干不掉你),有没有什么方法? 常见方式 通常情况下如果是在r0,注册一个ObRegisterCallbac...
如何在Python中正确地调用和使用RtlSetProcessIsCritical系统函数?
10-26
在Python中直接调用Windows API函数,如`RtlSetProcessIsCritical`...# 示例中,process_id是你想要设置进程ID,is_critical是一个布尔值,True表示设置为临界状态 set_critical(0, True) # 这里0通常是当前进程的PID
易语言加载驱动防止进程关闭源码-易语言
06-13
易语言加载驱动防止进程关闭源码
深入解析RtlSetProcessIsCritical在Win32内核中的应用
- 参数“SetOnAllProcesses”决定是否将所有进程设置为关键状态,通常只需对当前进程设置即可,因此此参数通常设置为FALSE。 2. 进程标记为关键状态的意义: - 当一个进程被标记为关键时,系统会对该进程施加...
VC:如何创建SYSTEM系统进程系统关键进程
09-11 1654
VC:如何创建SYSTEM系统进程系统关键进程  本文转载至:http://zhanyonhu.blog.163.com/blog/static/1618604420088665324706/   研究这个不是为了做什么木马之类的,主要是积累知识。 一、如何创建系统进程? 1.方法一、服务进程 可以说,这是最简单的创建系统进程的方法,但是,写出来的程序一般是不能有界面的(
系统蓝屏的几种姿势,确定不了解下么?
02-28 689
前言 在 蓝屏(BSOD)转储设置,看本文就够了! 这篇文章里比较详细的介绍了蓝屏转储设置。做好设置后,我们就可以在需要的时候使系统蓝屏了。这样我们就可以拿到一份系统转储,供我们分析问题了。本文介绍几种可以使系统蓝屏的办法。当然肯定还有其它办法,如果哪位小伙伴儿知道比较实用的方法,欢迎留言分享。 几种蓝屏方法 1、通过驱动 思路是:在内核执行有问题的代码(比如,在驱动的入口处加上简单的 int*...
【病毒分析】R3强杀360:银狐远控病毒再进化
最新发布
solarset的博客
01-17 1262
银狐病毒自2022年起活跃,主要针对中国用户和企事业单位,尤其是财务、管理和专业领域的从业人员。该病毒通过多种攻击手段传播,包括伪装为税务、财务相关文件的钓鱼邮件、社交平台的恶意链接,以及利用SEO(搜索引擎优化)确保其钓鱼网站在中国搜索引擎中的排名靠前。此外,银狐还结合恶意广告投放和多次电子邮件钓鱼活动,分发远程管理木马(RATs),以实现对受害者设备的远程控制和数据窃取。以下为近期捕获到的一起银狐病毒样本,我们对其进行了深入分析。
不生效 键盘_系统蓝屏的几种姿势,确定不了解下么?
weixin_39762075的博客
01-04 354
前言在 蓝屏(BSOD)转储设置,看本文就够了! 这篇文章里比较详细的介绍了蓝屏转储设置。做好设置后,我们就可以在需要的时候使系统蓝屏了。这样我们就可以拿到一份系统转储,供我们分析问题了。本文介绍几种可以使系统蓝屏的办法。当然肯定还有其它办法,如果哪位小伙伴儿知道比较实用的方法,欢迎留言分享。几种蓝屏方法1. 通过驱动思路是:在内核执行有问题的代码(比如,在驱动的入口处加上简单的 int* p =...
windows下的反调试探究——调用API
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
03-04 911
那么可以用代码进行判断如下,若返回为TRUE则处于调试状态,若返回FALSE则未处于调试状态。那么这里为了更明显一点,首先看下QQ的PID是3872对应十六进制为F20是能够对应上的。(不考虑服务进程),而当我们处于调试状态则父进程为调试器进程,那么我们就可以通过。是微软未公开的一个API,目前只能够通过一些结构的名字和逆向的方式来推断用途。因为这里检测的是否启用内核调试,这里直接运行是不处于调试状态。的相反数,当调试器存在时,返回值为0,不存在时则返回1。字段,当进程正在被调试时,返回值为。
应用层蓝屏
125096
10-24 2194
#include #include typedef enum _HARDERROR_RESPONSE_OPTION { OptionAbortRetryIgnore, OptionOk, OptionOkCancel, OptionRetryCancel, OptionYesNo, OptionYesNoCancel, OptionShutdownSystem } HARD
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值