重写OpenProcess功能

最新推荐文章于 2024-05-30 09:36:38 发布
原创 最新推荐文章于 2024-05-30 09:36:38 发布 · 551 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨了Windows内核API函数NtOpenProcess的使用方法,详细解释了如何通过此函数打开一个进程,并展示了具体的代码实现。文章首先定义了NtOpenProcess函数,随后通过一个示例函数hftestfunc()演示了如何设置参数并调用该函数。 
__kernel_entry NTSYSCALLAPI NTSTATUS NtOpenProcess(
  PHANDLE            ProcessHandle,
  ACCESS_MASK        DesiredAccess,
  POBJECT_ATTRIBUTES ObjectAttributes,
  PCLIENT_ID         ClientId
);

void hftestfunc()
{
   
   
   HANDLE hProc; OBJECT_ATTRIBUTES oa; CLIENT_ID ci;

   memset(
最低0.47元/天 解锁文章
三环重写OpenProcess
pluginL的博客
04-27 408
调用过程重点为 KernelBase->ntdll,kernelbase中做了数据的处理,函数名字为NtOpenProcess,ntdll中则选择服务号进入0环,我们可以逆向NtOpenProcess分析具体用了什么参数。
关于API HOOK(OpenProcess),根据网上文章改写
旺财
01-12 4536
 以下是部分程序,在VC++6.0   Plat  SDK 2003 SP1下编译通过#include #include "APIHook.h"extern CAPIHook g_OpenProcess;// 自定义OpenProcess函数#pragma data_seg("YCIShared")HHOOK g_hHook = NULL;DWORD  dwCurrentProcess
Windows系统调用中API的3环部分
dz45693的专栏
10-22 2868
一、R3环API分析的重要性 Windows所提供给R3环的API,实质就是对操作系统接口的封装,其实现部分都是在R0实现的。 很多恶意程序会利用钩子来钩取这些API,从而达到截取内容,修改数据的意图。 现在我们使用olldbg对ReadProcessMemory进行跟踪分析,查看其在R3的实现,并根据我们的分析来重写一个ReadProcessMemory。 重写ReadProcessMe...
构建API调用框架绕过杀软hook
hongduilanjun的博客
05-09 856
我们知道杀软在API函数的监控上一般有两种手段,一种是在3环直接通过挂钩到自己的函数判断是否调用了这个API,另外一种方式就是在0环去往SSDT表的路径上挂钩来判断进0环后的操作。那么我们如果不想杀软监控我们的行为,之前提过的内核重载是一种绕过的方式,但是内核重载的动静太大,这里我们就通过直接重写3环到0环的API,通过重写KiFastCallEntry来自己调用内核的函数,以达到规避杀软的效果。 调用过程 我们首先来看一下API函数的调用过程,这里以OpenProcess函数为例 首先在kernel32
11、OpenProcess
Windows内核学习笔记
07-18 436
neg指令 neg指令详细解释 规则: neg reg (对寄存器操作) neg mem(对内存操作) 作用:将目的操作数的所有数据位取反加1 影响的标志:进位标志(CF),零标志(ZF),符合标志(SF),溢出标志(OF),辅助进位标志(AF),奇偶标志(PF) 当操作数为0时,置CF位为0 当操作数不为0时,置CF位为1 sbb指令 sbb是带借位减法指令,它利用了CF位上记录的借位值。 指令格式:sbb 操作对象1,操作对象2 功能:操作对象1=操作对象1-操作对象2-CF 比如指令sbb ax,b
全面解析自实现的Windows OpenProcess API
描述部分说明了该压缩包中包含了重写OpenProcess函数的完整源代码。OpenProcess是Windows操作系统提供的一个API,用于打开一个已存在的本地进程对象,并返回一个进程句柄。这个句柄可以被用来读写进程的内存,获取...
Qt使用Windows系统函数
chenyazhou88的博客
05-30 866
Qt Windows API 进程
#include <windows.h> #include <metahost.h> #include <iostream> #include <string> #pragma comment(lib, "mscoree.lib") // 使用CLR托管API加载.NET DLL bool LoadNetDLL(DWORD pid, const wchar_t* dllPath, const wchar_t* className, const wchar_t* methodName) { // 1. 打开目标进程 HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid); if (!hProcess) { std::cout << "打开进程失败: " << GetLastError() << std::endl; return false; } // 2. 初始化CLR宿主 ICLRMetaHost* pMetaHost = nullptr; if (CLRCreateInstance(CLSID_CLRMetaHost, IID_ICLRMetaHost, (LPVOID*)&pMetaHost) != S_OK) { std::cout << "创建CLR实例失败" << std::endl; CloseHandle(hProcess); return false; } // 3. 获取运行时信息(使用最新版本) ICLRRuntimeInfo* pRuntimeInfo = nullptr; if (pMetaHost->GetRuntime(L"v4.0.30319", IID_ICLRRuntimeInfo, (LPVOID*)&pRuntimeInfo) != S_OK) { std::cout << "获取运行时信息失败" << std::endl; pMetaHost->Release(); CloseHandle(hProcess); return false; } // 4. 检查运行时是否可加载 BOOL isLoadable; if (pRuntimeInfo->IsLoadable(&isLoadable) != S_OK || !isLoadable) { std::cout << "运行时不可加载" << std::endl; pRuntimeInfo->Release(); pMetaHost->Release(); CloseHandle(hProcess); return false; } // 5. 获取ICLRRuntimeHost接口 ICLRRuntimeHost* pRuntimeHost = nullptr; if (pRuntimeInfo->GetInterface(CLSID_CLRRuntimeHost, IID_ICLRRuntimeHost, (LPVOID*)&pRuntimeHost) != S_OK) { std::cout << "获取运行时宿主失败" << std::endl; pRuntimeInfo->Release(); pMetaHost->Release(); CloseHandle(hProcess); return false; } // 6. 启动CLR运行时 if (pRuntimeHost->Start() != S_OK) { std::cout << "启动CLR运行时失败" << std::endl; pRuntimeHost->Release(); pRuntimeInfo->Release(); pMetaHost->Release(); CloseHandle(hProcess); return false; } // 7. 在目标进程中执行托管代码 DWORD retCode = 0; HRESULT hr = pRuntimeHost->ExecuteInDefaultAppDomain( dllPath, // DLL路径 className, // 完全限定类名 methodName, // 静态方法名 L"参数", // 字符串参数 &retCode); // 返回值 if (hr != S_OK) { std::cout << "执行托管代码失败: 0x" << std::hex << hr << std::endl; } // 8. 清理资源 pRuntimeHost->Stop(); pRuntimeHost->Release(); pRuntimeInfo->Release(); pMetaHost->Release(); CloseHandle(hProcess); return hr == S_OK; } 打印执行托管代码失败: 0x80131018
最新发布
11-14
注意:由于代码较长,我们将只重写关键部分,并添加注释说明。 但是,由于用户要求的是分析现有代码并解决问题,我们可以提供两种方法: 方法1:修改代码以使用最新版本的运行时(推荐)。 方法2:确保目标机器...
windows环境下的自保护探究
hongduilanjun的博客
09-14 1602
我们要想在32位下实现进程保护很简单,通过SSDT hook重写函数即可实现,但是在64位系统下因为引入了PG和DSE的原因,导致SSDT hook实现起来处处受限。但微软同样为了系统安全,增加了一个对象回调函数的接口,利用该回调可以实现对对象请求的过滤保护自身的进程,目前大部分64位下的安全软件保护机制都是基于该方法,我们深入进行探究。
iOS上应用如何兼容32位系统和64位系统
曲色年华
01-06 1892
苹果于2013年9月推出了iPhone 5S新手机,采用的全新A7处理器其最大特色就是支持64位运算。其64位A7处理器的使用意味着iPhone性能会大有提高,性能和速度更加出色;而要到达到这样的性能,开发者就要开发64位的应用了。 一、讨论宏观问题 1 Xcode 5编译的iOS 7程序包含了32位和64位两套二进制代码,在32位的i
纯汇编openprocess源码
06-02
纯汇编openprocess源码。@a6546。
Hook SSDT NtOpenProcess的完整代码
坦然
08-21 1555
驱动 #include "ntddk.h" #define NT_DEVICE_NAME L"\\Device\\ProtectProcess" #define DOS_DEVICE_NAME L"\\DosDevices\\ProtectProcess" #define IOCTL_PROTECT_CONTROL CTL_CODE(FILE_DEVICE_UNKNOWN
[检测&过检测] 重写 ReadProcessMemory 、WriteProcessMemory
LYSM
07-12 3074
一、本文大纲 系统调用的两种方式:中断门和快速调用 _KUSER_SHARED_DATA 结构 使用 cpuid 指令判断当前CPU是否支持快速调用 3环进0环需要更改的4个寄存器 以 ReadProcessMemory 为例说明系统调用全过程 重写 ReadProcessMemory 和 WriteProcessMemory int 0x2e 和 sysenter 都做了什么工作? 二、中断门和快速调用 以我的理解,系统调用,即从调用操作系统提供的3环API开始,到进0环,再到返回结果到3环的全过程
[笔记]Windows核心编程《番外篇》常用的NT API及使用示例
二次元怪兽的博客
05-19 2000
文章目录前言NtQueryInformationProcess函数原型附录用例总结 前言 NTAPI:泛指ntdll.dll模块不对外提供的API接口 一般通过动态载入库的方式(LoadLibrary + GetProcAddress)调用 NtQueryInformationProcess NtQueryInformationProcess NtQueryInformationProcess用法 函数原型 NTSYSCALLAPI NTSTATUS NTAPI NtQueryInformationPro
过 DNF TP 驱动保护(一)
weixin_34032827的博客
06-09 1811
文章目录:                   01. 博文简介: 02. 环境及工具准备: 03. 分析 TP 所做的保护: 04. 干掉 NtOpenProcess 中的 Deep InLine Hook: 05. 干掉 NtOpenThread 中的 Deep InLine Hook: 06. 干掉 NtReadVirtualMemory 中的 InLine Hook: 0...
OpenProcess讲解
xbgprogrammer的专栏
10-23 7562
HANDLE hProcess=OpenProcess(PROCESS_TERMINATE|SYNCHRONIZE,FALSE,proid); if (hProcess==NULL) { cout<<"OpenProcess failed with "<<GetLastError()<<endl; return 0; } else { TCHAR buffer[MAX_PAT
visual_c++外挂教程(较详细)
热门推荐
liujiayu2的专栏
05-14 4万+
课程分四个大章节            初级篇,中级篇,进阶篇,高级篇          初级篇内容:编写一个完整的,简单的外挂            C++的数据类型:Byte,Word,DWORD,int,float            API函数的调mouse_event,GetWindowRect,SetCursorPos,FindWindow,SendMessage)    
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值