重写OpenProcess功能

最新推荐文章于 2024-04-27 19:54:04 发布
最新推荐文章于 2024-04-27 19:54:04 发布
阅读量516 收藏 1
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/signed2008/article/details/104497265 
__kernel_entry NTSYSCALLAPI NTSTATUS NtOpenProcess(
  PHANDLE            ProcessHandle,
  ACCESS_MASK        DesiredAccess,
  POBJECT_ATTRIBUTES ObjectAttributes,
  PCLIENT_ID         ClientId
);

void hftestfunc()
{
   HANDLE hProc; OBJECT_ATTRIBUTES oa; CLIENT_ID ci;

   memset(&oa, 0, sizeof(oa));
   memset(&ci, 0, sizeof(ci));
   ci.UniqueProcess = pid;

   NtOpenProcess(&hProc, MAXIMUM_ALLOWED, &oa, &ci);
}
关于API HOOK(OpenProcess),根据网上文章改写
旺财
01-12 4502
 以下是部分程序,在VC++6.0   Plat  SDK 2003 SP1下编译通过#include #include "APIHook.h"extern CAPIHook g_OpenProcess;// 自定义OpenProcess函数#pragma data_seg("YCIShared")HHOOK g_hHook = NULL;DWORD  dwCurrentProcess
构建API调用框架绕过杀软hook
hongduilanjun的博客
05-09 807
我们知道杀软在API函数的监控上一般有两种手段,一种是在3环直接通过挂钩到自己的函数判断是否调用了这个API,另外一种方式就是在0环去往SSDT表的路径上挂钩来判断进0环后的操作。那么我们如果不想杀软监控我们的行为,之前提过的内核重载是一种绕过的方式,但是内核重载的动静太大,这里我们就通过直接重写3环到0环的API,通过重写KiFastCallEntry来自己调用内核的函数,以达到规避杀软的效果。 调用过程 我们首先来看一下API函数的调用过程,这里以OpenProcess函数为例 首先在kernel32
三环重写OpenProcess
最新发布
pluginL的博客
04-27 361
调用过程重点为 KernelBase->ntdll,kernelbase中做了数据的处理,函数名字为NtOpenProcess,ntdll中则选择服务号进入0环,我们可以逆向NtOpenProcess分析具体用了什么参数。
Windows系统调用中API的3环部分
dz45693的专栏
10-22 2826
一、R3环API分析的重要性 Windows所提供给R3环的API,实质就是对操作系统接口的封装,其实现部分都是在R0实现的。 很多恶意程序会利用钩子来钩取这些API,从而达到截取内容,修改数据的意图。 现在我们使用olldbg对ReadProcessMemory进行跟踪分析,查看其在R3的实现,并根据我们的分析来重写一个ReadProcessMemory。 重写ReadProcessMe...
11、OpenProcess
Windows内核学习笔记
07-18 417
neg指令 neg指令详细解释 规则: neg reg (对寄存器操作) neg mem(对内存操作) 作用:将目的操作数的所有数据位取反加1 影响的标志:进位标志(CF),零标志(ZF),符合标志(SF),溢出标志(OF),辅助进位标志(AF),奇偶标志(PF) 当操作数为0时,置CF位为0 当操作数不为0时,置CF位为1 sbb指令 sbb是带借位减法指令,它利用了CF位上记录的借位值。 指令格式:sbb 操作对象1,操作对象2 功能:操作对象1=操作对象1-操作对象2-CF 比如指令sbb ax,b
基于C++&QT钩子实现屏蔽系统按键、任务管理器、任务栏的实例.zip
12-23
对于键盘钩子,开发者可能定义了一个事件过滤器,重写了QEvent::keyReleaseEvent方法,这样就可以捕获并处理键盘事件,选择性地忽略某些键的输入。 禁用任务管理器通常涉及到处理WM_CLOSE和WM_DESTROY消息,或者...
dll-injection:基于EasyHook的DLL注入示例,可在另一个进程(托管或非托管)的地址空间内运行代码(以.Net编写)
04-29
在.Net环境中,我们可以创建一个类继承自`EasyHook.RemoteHooking`类,并重写`OnLoad`方法,这个方法将在目标进程中运行。接着,使用`EasyHook.RemoteHooking.Inject`方法将我们的类注入到目标进程中。 标签中提到...
深入理解VC++进程注入源码及其解释
在VC++环境下,开发者可能会使用Windows API函数(如`OpenProcess`, `VirtualAllocEx`, `WriteProcessMemory`, `CreateRemoteThread`等)来实现这些操作。每一个API函数的使用都需要精确的操作和错误处理,确保注入...
C语言实战项目:双进程守护源码解析与控件颜色调整
- 守护进程的实现原理:守护进程需要周期性地检查主进程的存活状态,可以使用系统提供的API函数如GetProcessId(), OpenProcess(), GetExitCodeProcess()等来获取进程状态信息。如果主进程异常退出,守护进程将根据...
windows环境下的自保护探究
hongduilanjun的博客
09-14 1507
我们要想在32位下实现进程保护很简单,通过SSDT hook重写函数即可实现,但是在64位系统下因为引入了PG和DSE的原因,导致SSDT hook实现起来处处受限。但微软同样为了系统安全,增加了一个对象回调函数的接口,利用该回调可以实现对对象请求的过滤保护自身的进程,目前大部分64位下的安全软件保护机制都是基于该方法,我们深入进行探究。
纯汇编openprocess源码
06-02
纯汇编openprocess源码。@a6546。
iOS上应用如何兼容32位系统和64位系统
曲色年华
01-06 1815
苹果于2013年9月推出了iPhone 5S新手机,采用的全新A7处理器其最大特色就是支持64位运算。其64位A7处理器的使用意味着iPhone性能会大有提高,性能和速度更加出色;而要到达到这样的性能,开发者就要开发64位的应用了。 一、讨论宏观问题 1 Xcode 5编译的iOS 7程序包含了32位和64位两套二进制代码,在32位的i
Hook SSDT NtOpenProcess的完整代码
坦然
08-21 1531
驱动 #include "ntddk.h" #define NT_DEVICE_NAME L"\\Device\\ProtectProcess" #define DOS_DEVICE_NAME L"\\DosDevices\\ProtectProcess" #define IOCTL_PROTECT_CONTROL CTL_CODE(FILE_DEVICE_UNKNOWN
[笔记]Windows核心编程《番外篇》常用的NT API及使用示例
二次元怪兽的博客
05-19 1888
文章目录前言NtQueryInformationProcess函数原型附录用例总结 前言 NTAPI:泛指ntdll.dll模块不对外提供的API接口 一般通过动态载入库的方式(LoadLibrary + GetProcAddress)调用 NtQueryInformationProcess NtQueryInformationProcess NtQueryInformationProcess用法 函数原型 NTSYSCALLAPI NTSTATUS NTAPI NtQueryInformationPro
过 DNF TP 驱动保护(一)
weixin_34032827的博客
06-09 1787
文章目录:                   01. 博文简介: 02. 环境及工具准备: 03. 分析 TP 所做的保护: 04. 干掉 NtOpenProcess 中的 Deep InLine Hook: 05. 干掉 NtOpenThread 中的 Deep InLine Hook: 06. 干掉 NtReadVirtualMemory 中的 InLine Hook: 0...
OpenProcess讲解
xbgprogrammer的专栏
10-23 7397
HANDLE hProcess=OpenProcess(PROCESS_TERMINATE|SYNCHRONIZE,FALSE,proid); if (hProcess==NULL) { cout<<"OpenProcess failed with "<<GetLastError()<<endl; return 0; } else { TCHAR buffer[MAX_PAT
visual_c++外挂教程(较详细)
热门推荐
liujiayu2的专栏
05-14 4万+
课程分四个大章节            初级篇,中级篇,进阶篇,高级篇          初级篇内容:编写一个完整的,简单的外挂            C++的数据类型:Byte,Word,DWORD,int,float            API函数的调mouse_event,GetWindowRect,SetCursorPos,FindWindow,SendMessage)    
Windows(IA-32e模式)系统调用
m0_43422086的博客
11-16 2067
一、本文主题 Windows NT是一个面向分层的操作系统,最底层是硬件,最高层使用户接口,Windows采用这种模式来保护内核不被应用程序错误的波及,操作系统核心运行在内核层(Ring 0 ),用户模式运行在应用层(Ring 3)。这只是操作系统分层的抽象概念。而本文旨在讨论Windows操作系统在IA-32e模式下从Ring3进入Ring0的部分具体实现过程,也会对比IA-32模式下的部分差异。本文IA-32e测试系统为Windows 10 2004。 二、系统调用 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值