进程之远程线程保护

最新推荐文章于 2023-04-07 21:57:37 发布
最新推荐文章于 2023-04-07 21:57:37 发布
阅读量720 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SR0ad/article/details/8021921
版权
本文介绍了进程保护的一种方法——远程线程保护,通过在Ring3层之外,如winlogon.exe系统进程中创建远程线程,监视并确保目标进程不被意外终止。保护程序会检测目标进程句柄,一旦发现结束则重新启动。实现过程中涉及API重定位等技术。
摘要由CSDN通过智能技术生成

在Ring3对进程进行保护的方法总是很乏力,HOOK一些Ring3层的函数,对进程名或进程ID进行判断等。今天看了一个比较老的方法,远程线程保护,整理代码,学习到不少,在此记录跟大家分享。

线程保护的思路让其它程序监视自身,如果自身程序退出,那么监视程序就重新启动该程序。使用远程线程将监视代码插入到其他进程,例如winlogon.exe等系统进程。将自己进程的句柄传给保护进程,保护进程通过用WaitForSingleObject() 函数来检测句柄来判断要保护的进程是否结束。

因为保护自身的代码要注入到winlogon.exe进程,而执行在远程线程代码的API都需要重新定位,为解决这个问题需要定义如下的结构

typedef struct _REMOTEPARAM
{
	DWORD  rpWaitForSingleObject;
	DWORD  rpOpenProcess;
	DWORD  rpWinExec;
	DWORD  rpProcessPID;       //被保护进程PID    
	HANDLE rpProcessHandle;    //被保护进程句柄
	char   Path[MAX_PATH];     //被保护进程路径
} RemoteParam;

为了方便我整个代码都贴出来,VS2008下能够编译,并且达到进程保护,注入系统进程时,安全软件会进行提示,因为是老技术,此处仅为学习。 

#include <Windows.h>
#include <Psapi.h>
#include <stdio.h>
#pragma comment(lib,"Psapi.li
最低0.47元/天 解锁文章
SR0ad
关注
易语言创建远程线程
07-21
易语言创建远程线程源码,创建远程线程,CALL,GetProcessID,OpenProcess,VirtualAllocEx,WriteProcessMemoryByte,CreateRemoteThread,WaitForSingleObject,CreateToolhelp32Snapshot,Process32Next,Process32First,...
守护线程
weixin_34187822的博客
12-04 216
守护线程在没有用户线程可服务时自动离开,在Java中比较特殊的线程是被称为守护(Daemon)线程的低级别线程。这个线程具有最低的优先级,用于为系统中的其它对象和线程提供服务。将一个用户线程设置为守护线程的方式是在线程对象创建之前调用线程对象的setDaemon方法。典型的守护线程例子是JVM中的系统资源自动回收线程,我们所熟悉的Java垃圾回收线程就是一个典型的守护线程,当我们的程序中不再有任何...
利用远程线程将代码注入到目标进程中执行
FCzhandu0的专栏
07-30 1873
/* ************************************ * remote.c * 创建远程线程、将代码注入到其他进程中执行 **************************************/ /* 头文件 */ #include #include /************************************* * BOOL
通过远程线程注入代码
最新发布
2301_77498991的博客
04-07 479
上一篇文章文章学习了通过CreateRemoteThread创建远程线程后在目标进程中通过LoadLibrary加载我们自己的DLL来将DLL注入目标进程。在学习的过程中了解到还有一种通过CreateRemoteThread创建远程线程注入的操作:代码注入。不同于DLL注入,代码注入的体积量更小也更加隐蔽,注入的代码隐藏在进程的内存中,不容易被发现,而DLL注入后很容易就会被发现注入的痕迹(比如前面的文章中完成注入操作后使用ProcessExplorer查看进程加载DLL)
保障线程安全的设计技术
Frasensy
01-12 160
1、Java运行时存储空间 1、堆空间(Heap) 可以被多个线程共享 存储对象,Java虚拟机启动时分配的一段可以动态扩容的内存空间 存储类的实例 垃圾回收器的工作场所 进一步划分:年轻代、年老代 2、栈空间(Stack) 线程的私有空间 线程创建时分配的固定大小的内存空间 局部变量的变量值存储在栈空间,基础类型变量和引用类型变量的变量值直接存储在栈帧空间 3、非堆空间(Non-Heap...
线程保护设计及清除
07-03 1666
#include #include #include /*线程清理函数*/ void *clean(void *arg) { printf("clean up:%s \n",(char *)arg); return (void*)0; } /*线程1的执行程序*/ void *thr_fn1(void *arg) { printf("thread1 start..\n");
远程线程注入_远程_远程线程_dll注入_注入_
10-01
远程线程注入是一种在计算机编程中常见的技术,主要用于在另一个进程中执行代码,通常是用来实现调试、监控、自动化或恶意软件的功能。在这个场景中,我们关注的是"远程线程注入"和"DLL注入"这两个概念。 远程线程...
易语言源码易语言创建远程线程源码.rar
03-30
在易语言中创建远程线程是一项重要的系统编程技术,通常用于在远程进程中执行特定任务,例如监控、调试或者注入代码。这篇文档将深入探讨易语言中创建远程线程的原理和实践方法。 首先,我们需要理解什么是线程。...
远程线程注入工具,可生成代码 可自定义shellcode注入进程-易语言
06-14
双击第三个输入框即可生成shellcode,这里默认的shellcode是远程线程注入 注入的是当前程序选择注入进程 这里选择最左下角的选项,然后再双击输入框 即可生成在自身程序执行的shellcode 这里说明一下哈,这里是...
c++ 进程守护之打不死的小强
云守护的专栏
03-17 6328
//进程守护之打不死的小强 云守护 #include #include #include #include "PSAPI.H" #pragma comment( lib, "PSAPI.LIB" ) HANDLE CreateRemoteThreadProc(char* ProcessName); DWORD WINAPI WatchThread(LPVOID lpara
线程访问文件问题中WaitForSingleObject方法的使用,及其效率!
benny5609的专栏
02-29 2241
//多线程读取文件,同时把读取到的文件内容再用多线程写入到指定的空白文件中,实现多线程读写文件//从程序中可以看到使用WaitForSingleObject()函数。来控制多线程访问同一文件时不至于发生冲突。通过CEvent g_fileReadEvent, g_fileWriteEvent;这两个变量的ResetEvent()函数和SetEvent()函数来设置信号量的nonsignaled
代码注入远程线程
weixin_33717298的博客
08-11 268
引子           前些日子由于项目要求,在网上到处找资料,于无意中发现了 CodeProject 上的一篇很老的文章,文章标题为: Three Ways to Inject Your Code into Another Process 这篇文章呢,出来很久咯,还是 03 年的文章了,可惜我弄底层弄得时间不久哦,不然应该早就看过这篇大作了, 由于是大作,而且出来的又久了,自然在网...
【多线程线程安全保护机制
Money、坤的博客
07-03 1185
在JDK中,JAVA语言为了维持顺序内部的顺序化语义,也就是为了保证程序的最终运行结果需要和在单线程严格意义的顺序化环境下执行的结果一致,程序指令的执行顺序有可能和代码的顺序不一致,这个过程就称之为指令的重排序。总结,Lock锁相对synchronized使用更加灵活,它使用锁的策略包括可以一直请求锁,也可以尝试请求锁,可以使用带超时的尝试请求锁,还可以带中断的锁,使用lock更加灵活。你会发现,上述代码在正常情况下应该输出是0,但某些时候会出现和理想结果不一致的情况,此时,就表示线程出现了安全问题。...
Win32环境下代码注入与API钩子的实现
weixin_30755393的博客
12-31 292
本文详细的介绍了在Visual Studio(以下简称VS)下实现API钩子的编程方法,阅读本文需要基础:有操作系统的基本知识(进程管理,内存管理),会在VS下编写和调试Win32应用程序和动态链接库(以下简称DLL)。 API钩子是一种高级编程技巧,常常用来完成一些特别的功能,比如词典软件的屏幕取词,游戏修改软件的数据修改等。当然,此技术更多的是被黑客或是病毒用来攻击其它程序,截获需要的数据或...
这8种保证线程安全的技术你都知道吗?
分享Java技术知识,共同成长进步!
09-10 633
并发情况下如何保证数据安全,一直都是开发人员每天都要面对的问题,稍不注意就会出现数据异常,造成不可挽回的结果。笔者根据自己的实际开发经验,总结了下面几种保证数据安全的技术手段: 无状态 不可变 安全的发布 volatile synchronized lock cas threadlocal 一.无状态 我们都知道只有多个线程访问公共资源的时候,才可能出现数据安全问题,那么如果我们没有公共资源,是不是就没有这个问题呢? pu
线程控制和线程资源保护
境界の彼方
08-18 3904
第十五篇 线程控制和线程资源保护1、引言 1)从前面的课程我们知道,每个进程都有自己的进程空间(也称为虚拟内存空间),并且在内核中每 个进程都有属于自己的task_struct进程表项来描述自己,这个表项中包含一个很重要的东西,那 就是虚拟地址与实际物理地址的映射表。 2)每个进程的空间的范围都是0到4G,而且都是自己私有的,进程间的切换,会导致虚拟空间的 切换,需要os+mmu一
VB远程线程注入与卸载技术解析
1. 远程线程注入:通过`RtlCreateUserThread` API创建远程线程,实现在目标进程中执行自定义代码。 2. `RtlCreateUserThread`和`ZwCreateThread`:理解这两个API的工作原理和在VB中的使用方法。 3. 自我删除机制:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值