三两行代码实现进程防杀,免驱动,IceSword,WSysCheck等无效.

最新推荐文章于 2024-06-17 17:04:42 发布
最新推荐文章于 2024-06-17 17:04:42 发布
阅读量1w 收藏 27
点赞数 1
文章标签: thread null system delete access 汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/KeSummer/article/details/2455379
版权
通过修改线程的CrossThreadFlags值为PS_CROSS_THREAD_FLAGS_SYSTEM,使得进程在试图被强制结束时,系统会返回拒绝访问,从而达到防杀效果。在Windows中,当CrossThreadFlags等于PS_CROSS_THREAD_FLAGS_SYSTEM时,结束线程操作会失败。虽然仍可通过恢复值或投递ExitThread APC解除保护,但此技巧提供了一种免驱动的防杀手段。代码实现主要涉及OpenThread、ZwQuerySystemInformation和NtSystemDebugControl等API,可在用户模式下完成。
摘要由CSDN通过智能技术生成

其实这个已经是一个很老的技巧了,今天挖出来写到blog上。windows在强制结束进程的时候会先结束掉所有的线程,而结束线程调用的是:PspTerminateThreadByPointer,这个函数很有意思。看看就知道了。

 它判断ETHREAD里面的CrossThreadFlags;的值,如果这个值等于PS_CROSS_THREAD_FLAGS_SYSTEM ,即是一个系统线程,那么直接返回拒绝访问,那么进程就无法结束了。所以我们把程序的线程改成系统线程,那么就可以达到防杀的目的。当然要杀还是很快的,把值修改回去或者投递一个ExitThread的APC就OK了。当然,觉得不够刺激可以改成PS_CROSS_THREAD_FLAGS_BREAK_ON_TERMINATION,那么结束线程的时候,系统会中断下来,一般是因为没有调试器附加而产生一个bugcheck,即蓝屏。

 

NTSTATUS
PspTerminateThreadByPointer(
    IN PETHREAD Thread,
    IN NTSTATUS ExitStatus,
    IN BOOLEAN DirectTerminate
    )

 /**/ /*++

Routine Description:

    This function causes the specified thread to terminate.

Arguments:

    ThreadHandle - Supplies a referenced pointer to the thread to terminate.

    ExitStatus - Supplies the exit status associated with the thread.

    DirectTerminate - TRUE is its ok to exit without queing an APC, FALSE otherwise

--*/

... {
    NTSTATUS Status;
    PKAPC    ExitApc=NULL;
    ULONG    OldMask;

    PAGED_CODE();

    if (Thread->CrossThreadFlags
    & PS_CROSS_THREAD_FLAGS_BREAK_ON_TERMINATION) ...{
      PspCatchCriticalBreak("Terminating critical thread 0x%p (in %s) ",
                Thread,
                THREAD_TO_PROCESS(Thread)->ImageFileName);
    }

    if (DirectTerminate && Thread == PsGetCurrentThread()) ...{

        ASSERT (KeGetCurrentIrql() < APC_LEVEL);

<
最低0.47元/天 解锁文章
KeSummer
关注
  • 1
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
进程防杀 HOOK ,防止任务管理杀死程序
11-30
通过HOOK,防止任务管理器杀死进程,做到初步的进程保护
hook 任务管理器 进程防杀
07-30
原创的hook任务管理器的代码,拦截结束进程的按钮事件 达到进程防杀的效果 WH_CBT钩子 vc++代码 支持任和的windows平台
win2k下隐藏进程
超然楼
08-18 2012
win2k下隐藏进程 【关键词】:win2k下隐藏进程  录入:曾进 来源:huiyun.net 时间:2004-2-20 18:44:42 点击:62次 WINDOWS操作系统下,当我们无法结束或者不知道怎样结束一个程序的时候,或者是懒得去找“退出”按钮的时候,通常会按“CTRL+ALT+DEL”呼出
杀基本知识,shellcode混淆
最新发布
白帽子凯哥聊黑客
06-17 1070
根据源代码我们看到在执行完call ebp以后,就执行了设置地址的操作,也就是说在shellcode中存在了反弹连接的ip地址,这里我们将生成的exe程序放到debug程序中,根据c的源代码,我们的shellcode是在call eax中,所以首先要搜索call eax步入进去以后就进入到shellcde中的代码,在shellcode中找到call ebp。最常见的就是360,刚刚上传的木马没有报毒,但是几分钟之内就会被检测为病毒程序,就是因为360会使用云查杀技术,这也是360查杀能力强的原因。
很巧妙的进程防杀方法
06-11 1254
很巧妙的进程防杀方法 文章作者:秋镇菜     文章来源:军团论坛     发布时间:2005-06-02 07:32:38 刚刚学内核对象,想写个可以防杀进程,但其他方法太高级,本菜鸟不感高攀,想了几天,想到一个很本的办法,不正确的方还请高手指点一下.程序运行两个事例,每个实例互相监视另外的实例是否存在,如果不存在,就运行一个.代码:// test_process.cpp : Defines
很巧妙的进程防杀方法[秋镇菜原创]
小发猫
05-23 5232
刚刚学内核对象,想写个可以防杀进程,但其他方法太高级,本菜鸟不感高攀,想了几天,想到一个很本的办法,不正确的方还请高手指点一下.程序运行两个事例,每个实例互相监视另外的实例是否存在,如果不存在,就运行一个.代码:// test_process.cpp : Defines the entry point for the console application.//#include "stdafx.
进程防杀实现
热门推荐
wangjieest的专栏
12-13 2万+
WINDOWS操作系统下,当我们无法结束或者不知道怎样结束一个程序的时候,或者是懒得去找“退出”按钮的时候,通常会按 “CTRL+ALT+DEL”呼出任务管理器,找到想结束的程序,点一下“结束任务”就了事了,呵呵,虽然有点粗鲁,但大多数情况下都很有效,不是吗? 设想一下,如果有这么一种软件,它所要做的工作就是对某个使用者在某台电脑上的活动作一定的限制,而又不能被使用者通过“结束任务”这种方
6种进程防杀方案和源码.rar
09-27
优点:ring3实现进程防杀,无驱动无hook,原理及代码都较为简单,能防止任务管理器杀掉进程 缺点:只能下xp下有效(与xp打的补丁也有关,有的xp系统会失败)防杀能力有限,例如不能防住IceSword等工具 该方法是参考了csdn一...
计算机病毒与防护:IceSword冰刃使用教程.pdf
06-10
2. **设置运行**:运行IceSword.exe,如果遇到问题,尝试以随机文件名重命名。在"文件"菜单中选择"设置",勾选底部的个选项,并确认设置。请注意,设置后将无法开启新程序。如果需要配合其他软件(如SREng)分析...
计算机病毒与防护:冰刃IceSword详细的使用方法.pdf
06-10
1.IceSword 的“防” 打开软件,看出什么没?有经验的用户就会发现,这把冰刃可谓独特,它显示在系统任务 栏或软件标题栏的都只是一串随机字串“CE318C”,而并是通常所见的软件程序名(见图1)。 这就是IceSword 独有...
安全稳定的实现进线程监控.zip_MyCopyHook.rar_create process_sys文件_监视 进程_驱动进程
09-24
用PsSetCreateProcessNotifyRoutine,PsSetCreateThreadNotifyRoutine来进行进程线程监控我想大家已经都非常熟练了.sinister在编写进程/线程监视器>>一文中已经实现得很好了.前一段时间看到网上有人在研究监视远线程...
进程防杀程序(小心使用)
09-02
进程防杀程序(小心使用)驱动级别的进程防杀,大家下载
进程防杀——双进程守护
08-14
进程A为主进程进程B为守护进程,例如:通过一个事件event,判断进程A是否存在,若存在,无动作,若不存在,则启动进程A; B—>启动临时进程—>启动进程A;临时进程的作用是防止通过进程树把两个进程同时杀死。
Process-prevent-killed:防止进程被杀死的某种方法
05-15
防止死亡的过程 ring3右 将程序的流程修改为系统流程 原理和代码很简单,它可以防止Taskmgr杀死进程 仅在XP中有效。防止杀戮受限,不能保护冰剑 挂钩NtQuerySystemInformation 将NtQuerySystemInformation钩到隐藏的进程(3级环) 它可以防止任务管理器终止进程 仅在NT2000中有效。 不普遍 绕道行驶lib防止被杀 原理与HookNtQuerySystemInformation类似,将OpenProcess挂钩以防止被杀。 在NT2000,xp和NT2003中有效 使用detourslib,不能阻止某些流程工具 挂钩Taskmgr 钩挂Taskmgr,使用CBT钩挂块结束过程消息。 在Windows版本中有效(自2009年起) 仅适用于Taskmgr 双过程保护 两个进程互相监视,发现另一个防止被杀死,请启动它。 多功能,
进程防杀hook openprocess[C]
06-01
进程防杀 hook openprocess hook openprocess
API HOOK 全局钩子, 防止进程被杀
03-22
API拦截 防止进程被控制台杀死. 用的是全局钩子 通过修改进程的导入表修改OpenProcess的地址指向我们自定义的函数
ring3实现进程防杀
05-18
在IT安全领域,"ring3实现进程防杀"是一个重要的技术话题,它涉及到系统级保护和反恶意软件策略。Ring3是CPU操作模式之一,通常指用户模式,与Ring0(内核模式)相对。在用户模式下运行的代码不能直接访问硬件资源...
Service进程防杀
noonehide的博客
03-20 343
Serviceservice:是一个后台服务,专门用来处理常驻后台的工作的组件。即时通讯:service来做常驻后台的心跳传输。 1.良民:核心服务尽可能地轻!!! 很多人喜欢把所有的后台操作都集中在一个service里面。 为核心服务专门做一个进程,跟其他的所有后台操作隔离。 树大招风,核心服务千万要轻。一、优先级进程的重要性优先级:(越往后的就越容易被系统杀死) 1.前台进程;Fore
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值