PspCidTable句柄表辅助检测隐藏进程

最新推荐文章于 2023-12-08 19:59:25 发布
VIP文章 最新推荐文章于 2023-12-08 19:59:25 发布
阅读量2k 收藏
点赞数
分类专栏: Anti-rootkit 文章标签: 检测隐藏进程 枚举隐藏进程 Anti-rootkit 句柄表 ixer
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Chinghoi/article/details/9174847
版权

一、获取PspCidTable的地址

1.特征码搜索以下几个函数之一提取Call PspCidTable地址:

PsLookupProcessByProcessId()
PsLookupProcessThreadByCid()
PsLookupThreadByThreadId()

0: kd> u PsLookupProcessByProcessId l 20
nt!PsLookupProcessByProcessId:
805d40de 8bff            mov     edi,edi
805d40e0 55              push    ebp
805d40e1 8bec            mov     ebp,esp
805d40e3 53              push    ebx
805d40e4 56              push    esi
805d40e5 64a124010000    mov     eax,dword ptr fs:[00000124h]
805d40eb ff7508          push    dword ptr [ebp+8]
805d40ee 8bf0            mov     esi,eax
805d40f0 ff8ed4000000    dec     dword ptr [esi+0D4h]
805d40f6 ff35c0495680    push    dword ptr [nt!PspCidTable (805649c0)]	<-就这儿! 特征码:ff 35 E8
805d40fc e859ad0300      call    nt!ExMapHandleToPointer (8060ee5a)
..

/*==
最低0.47元/天 解锁文章
Chinghoi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
驱动保护进程_隐藏进程_遍历内核句柄
07-02
1、改进程PID,隐藏自己的进程 2、断链隐藏自己的进程,防PG 3、设置R3层的访问权限 4、保护指定进程的内存权限 5、遍历进程句柄,并降低指定进程PID句柄权限,里面有遍历内存进程和每个进程句柄的方法 6、操作debugport,防止调试或者使自己脱离调试,检测调试
进程的攻与“防” ---- 进程隐藏(Win7 x32 绕过PC Hunter)
qq_42021840的博客
05-04 2336
说来惭愧,360一面的时候,面试官问我如何去隐藏一个进程,我说很简单那,从EProcess的ActiveProcessLinks的双向列中断开就完事了啊,面试官当时也没有提醒我,直到面试完,我自己研究了一下从双向列中断开,但是发现只能躲过任务管理器的眼睛,但是用PcHunter 还是可以枚举出来的,我自己又试了一下从暴力方式去枚举进程,发现也是枚举出来,这时候我才想到,双向列的断开,其本质上...
Linux内存管理原理及应用总结
sensor_my的博客
08-07 217
内存的基本概念 页 内核将物理页作为内存管理的基本单位 一般而言 32位体系结构支持页大小为4KB 64位体系结构支持页大小为8KB 内核中的<linux/mm_types.h> struct page结构体来描述系统中的每个物理页 仅描述物理页属性,与里面保存的数据无关,所以在数据交换过程中,数据可能会更换page 区 由于硬件的限制 一些只能被直接访问的内存 由于某些体系物理寻址范围大于虚拟寻址范围,故而有一些内存无法永久的映射在内核空间 故而,linux分了四个区 ZON
mysql 句柄_经验分享|如何从内存、IO与文件句柄限制方面对MySQL数据库进行监控调优?...
weixin_29820757的博客
01-18 98
作为开发人员,平时和MySQL数据库打交道时,更加关注的是如何写出满足业务需求的SQL语句,而作为MySQL DBA除了关心开发人员写的业务SQL语句之外,对MySQL实例的整体运行状态也要十分关注。MySQL实例就像是一部精密的“机器”,如果某个方面出现短板,则将会对这部“机器”整体运行性能造成负面影响,影响MySQL数据库运行性能的方面有很多,本文将主要从内存方面、IO与文件句柄限制方面、以及...
PsLookupProcessByProcessId分析
weixin_30892037的博客
03-13 1425
本文是在讨论枚举进程的时候产生的,枚举进程有很多方法,Ring3就是ZwQuerySystemInformation(),传入SysProcessesAndThreadsInformation这个宏,或者用CreateToolhelp32Snapshot系统快照的方式枚举进程,还用就是用WTSOpenServer这个第三方库的函数,Ring0就是进程活动链,系统句柄枚举。然后就是Ps...
Windows 10 / 11 环境变量 (用户变量与系统变量)
热门推荐
既然选择了远方 便只顾风雨兼程 - 永强
05-03 13万+
Windows 10 / 11 环境变量 (用户变量与系统变量)
什么是环境变量、系统变量、用户变量
coder的博客
03-03 2万+
本文主要介绍环境变量 系统变量和用户变量的宏观关系,有些列子只是用来给计算机基础比较薄弱的it人提供一些直观思路,所以有些措辞确实不太合适.但是写得太官方,又怕读者不懂,所以,更多是帮助一些it入门者
句柄及全局句柄
Harlan的博客
09-01 3285
句柄结构   1.这一块共计两个字节,低字节保留为0,高位字节是给SetHandleInformation这个函数用的,比如写成SetHandleInformation(Handle,HANDLE_FLAG_PROTECT_FROM_CLOSE,HANDLE_FLAG_PROTECT_FROM_CLOSE),那么这个位置将被写入0x02; HANDLE_FLAG_PROTECT_FRO...
【计算机常识】环境变量,这下你一定懂环境变量了!(用户变量、系统变量、PATH变量)
m0_61465749的博客
12-08 2987
环境变量重点是在变量上,类似于Java中变量,他是全局变量,方便使用。假如一些路径或者配置信息记不住就可以使用变量来存储,直接调用变量就可。(有点类似于Java中的properties配置文件)
隐藏句柄防止结束进程
qq_45844442的博客
07-24 217
三环传入一个指定的PID,驱动将保护通过删除目标进程句柄和PID,这样在任务管理器中将无法结束进程(注意:虽然任务管理器无法结束,但是由于VMware注册了一个回调函数,导致只要自身关闭会发生蓝屏,所以需要把VM3DMP.sys去掉)我所使用的系统是Win7 sp1,不同的系统特征码等也会不一样,请自行提取。
超级句柄查找模块_句柄查找辅助_VB_
09-29
句柄分析工具.exe》拖动图标》获得句柄树》(此处可略:修改类名、标题、序号以实现模糊查询)》测试句柄树》一键复制,获得相关参数。最后,通过SFHwnd.dll以实现获得所需句柄。另:SFHwnd.dll可以自己修改本软件源码...
易语言通过窗口句柄取得进程ID
08-21
通过窗口句柄取得进程ID系统结构:句柄获得进程ID_DLL, ======窗口程序集1 || ||------_按钮1_被单击 || || ======调用的Dll || ||---[dll]------句柄获得进程ID_DLL 调用的DLL命令: .DLL命令句柄获得进程
枚举进程句柄.rar
02-01
Delphi枚举指定进程打开的文件句柄、Mutex、注册句柄。Delphi2006正常运行
LJC.rar_句柄_进程句柄
09-19
显示当前系统中所有的进程句柄以及进程名称
2010考研管理类联考综合能力答案解析.pdf
04-24
考研管理类联考综合能力答案解析,考研真题,考研历年真题,考研管理类联考历年真题,真题解析。
NumPy Matplotlib Matplotlib 是 Python 的绘图库 .zip
04-24
matplotlib绘图 通过 Matplotlib,开发者可以仅需要几行代码,便可以生成绘图、直方图、功率谱、条形图、错误图、散点图等。 Matplotlib基础知识 1.Matplotlib中的基本图包括的元素 x轴和y轴 水平和垂直的轴线 x轴和y轴刻度 刻度标示坐标轴的分隔,包括最小刻度和最大刻度 x轴和y轴刻度标签 示特定坐标轴的值 绘图区域 实际绘图的区域 2.hold属性 hold属性默认为True,允许在一幅图中绘制多个曲线;将hold属性修改为False,每一个plot都会覆盖前面的plot。 但是不推荐去动hold这个属性,这种做法(会有警告)。因此使用默认设置即可。 3.网格线 grid方法 使用grid方法为图添加网格线 设置grid参数(参数与plot函数相同) .lw代linewidth,线的粗细 .alpha示线的明暗程度 4.axis方法 如果axis方法没有任何参数,则返回当前坐标轴的上下限 5.xlim方法和ylim方法 除了plt.axis方法,还可以通过xlim,ylim方法设置坐标轴范围
毕业设计:基于微信小程序大学校园二手教材与书籍拍卖系统(源码 + 数据库 + 说明文档)
04-24
毕业设计:基于微信小程序大学校园二手教材与书籍拍卖系统(源码 + 数据库 + 说明文档) 毕业设计:基于微信小程序大学校园二手教材与书籍拍卖系统(源码 + 数据库 + 说明文档) 第二章 需求分析 4 2.1可行性分析 4 2.1.1技术的可行性 4 2.1.2经济的可行性 4 2.1.3操作可行性 4 2.2需求调研 4 第三章 数据库设计 6 3.1数据库的分析与设计 6 3.1.1数据库的概念结构设计 6 3.1.2数据的逻辑结构设计 7 第四章 系统功能实现 8 4.1 系统后台界面 8 4.2书籍类别管理 8 4.3 书籍信息界面 9 4.4竞拍管理界面 9 4.5 微信小程序首页 9 4.6书籍信息添加 10 4.7书籍竞拍界面 11 4.8用户后台界面 11 第五章 系统测试 12 5.1 系统测试的意义 12 5.2 系统测试的内容 12 5.3系统测试结果 12 总结 13
利用openCV控制单片机小车运动轨迹.zip
最新发布
04-24
利用openCV控制单片机小车运动轨迹.zip
基于Python的PCA人脸识别算法的原理及实现代码+文档详解.zip
04-24
基于Python的PCA人脸识别算法的原理及实现代码+文档详解.zip个人经导师指导并认可通过的98分课程设计项目,主要针对计算机相关专业的正在做课程设计、期末大作业的学生和需要项目实战练习的学习者。
进程句柄保存在哪里是进程中吗
07-14
当一个进程通过API函数(如OpenProcess)打开其他进程时,操作系统内核会为该进程分配一个新的进程句柄,并将其保存到其句柄中的一个条目中。进程句柄通常是一个整数值(如32位或64位),它在操作系统内核中具有...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值