反调试 - OpenProcess 权限

最新推荐文章于 2023-05-05 11:23:32 发布
最新推荐文章于 2023-05-05 11:23:32 发布
阅读量817 收藏 3
点赞数 1
分类专栏: 调试&检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Simon798/article/details/107321175
版权

原理

在没有调试器的情况下,程序默认没有 “调试权限” 的,在默认权限下使用 OpenProcess 已 PROCESS_QUERY_LIMITED_INFORMATION 作为第一个参数是无法打开类似与 Csrss.exe 这种系统进程的。但如果程序处于被调试状态,就会被赋予一个 “调试权限”,这时 OpenProcess 就会成功。

代码示例

// Test_Console_1.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//

#include <iostream>
#include <Windows.h>
#include <intrin.h>

using namespace std;

typedef NTSTATUS(WINAPI* pCsrGetProcessId)();

int main()
{
    // 获取 csrss.exe 进程 ID
    HANDLE h_csrss = NULL;
    pCsrGetProcessId CsrGetProcessId = (pCsrGetProcessId)GetProcAddress(LoadLibrary(L"ntdll.dll"), "CsrGetProcessId");
    if (CsrGetProcessId == NULL) {
        goto main_end;
    }

    // 使用 PROCESS_QUERY_LIMITED_INFORMATION 权限打开 csrss.exe
    h_csrss = OpenProcess(PROCESS_QUERY_LIMITED_INFORMATION, FALSE, CsrGetProcessId());
    if (h_csrss) {
        cout << "发现调试器!" << endl;
    }
    else {
        cout << "没有调试器" << endl;
    }

main_end:
    getchar();
    return 0;
}

效果图

vs调试:
在这里插入图片描述

正常启动:
在这里插入图片描述

(-: LYSM :-)
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
window内核监控工具源代码
09-26
一:SSDT表的hook检测和恢复 ~!~~~ 二:IDT表的hook检测和恢复 ~~~~~~(idt多处理器的恢复没处理,自己机器是单核的,没得搞,不过多核的列举可以) 三:系统加载驱动模块的检测 通过使用一个全局hash表(以DRIVEROBJECT为对象)来使用以下的方法来存储得到的结果,最终显示出来 1.常规的ZwQuerySystemInformation来列举 2通过打开驱动对象目录来列举 3搜索内核空间匹配驱动的特征来列举(这个功能里面我自己的主机一运行就死机,别的机器都没事,手动设置热键来蓝屏都不行,没dump没法分析,哎,郁闷) 4从本驱动的Modulelist开始遍历来列举驱动 四:进程的列举和进程所加载的dll检测 采用以下方法来列举进程: 1ZwQuerySystemInformation参数SystemProcessesAndThreadsInformation来枚举 2进程EPROCESS 结构的Activelist遍历来枚举 3通过解析句柄表来枚举进程 4通过Handletablelisthead枚举进程 5进程创建时都会向csrss来注册,从这个进程里面句柄表来枚举进程 6通过自身进程的HANDLETABLE来枚举进程 7通过EPROCESS的SessionProcessLinks来枚举进程 8通过EPROCESS ---VM---WorkingSetExpansionLinks获取进程 9暴力搜索内存MmSystemRangeStart以上查找PROCESS对象 进程操作: 进程的唤醒和暂停通过获取PsSuspendProcess和PsResumeProcess来操作的 进程结束通过进程空间清0和插入apc。 采用以下方法查找DLL: 1遍历VAD来查找dll 2挂靠到对应的进程查找InLoadOrderLinks来枚举dll 3暴力搜索对应进程空间查找pe特征来枚举dll DLL的操作: Dll的卸载是通过MmUnmapViewOfSection和MmmapViewOfSection(从sdt表中相应函数搜索到的)来实现的(本来想直接清0 dll空间,有时行有时不行)(只要将这个进程的ntdll卸载了,进程就结束了,一个好的杀进程的办法撒,绿色环保无污染),注入dll使用的是插入apc实现的。(注入的dll必须是realse版的。Debug版会出现***错误,全局dll注入貌似也是)插入apc效果不是很好,要有线程有告警状态才执行。 五:线程信息的检测 遍历ThreadList来枚举线程 线程的暂停和唤醒都是通过汇编获取PsResumeThread和PsSuspendThread直接从r3传来ETHREAD来操作的,通过插入APC来结束线程 六:shadow sdt表的hook检测与恢复 没有采用pdb来解决函数名问题,直接写入xp和03的shandow表函数名(主要是自己的网不稳定,连windbg有时都连不上微软) 七:系统所有的过滤驱动的检测 查看各device下是否挂接有驱动之类的,可直接卸载 八:系统常用回调历程的检测和清除 只检查了PsSetLoadImageNotifyRoutine PsSetCreateThreadNotifyRoutine PsSetCreateProcessNotifyRoutine CmRegisterCallback这几个,至于那个什么shutdown回调不知道是啥玩意,就没搞了,有知道的顺便告诉我下撒,谢谢 九:文件系统fat和ntfs的分发函数检测 直接汇编fat和ntfs的DriverEntry得到对应的填充分发的偏移,然后和当前已经运行的文件系统的分发相比是否被hook,并附带恢复 十:文件查看功能 自己解析ntfs和fat的结构,来实现列举文件和直接写磁盘删除。附带有普通的删除和发生IRP来删除。不过这里面有点问题,ntfs删除有时把目录给搞坏了,大家凑合着吧, Ntfs网上删除这些操作的代码不多,就是sudami大大的利用ntfs-3g来实现的,看了下,太多了,充满了结构。然后自己对照着系统删除文件时目录的变化来自己实现的。只处理了$BITMAP对应的位清除,父目录的对应文件的索引项的覆盖,删除文件对应的filerecord清0. 另外偷懒时间都没处理,呵呵,y的,一个破时间都都搞好几个字节移来移去的。 十一:常用内核模块钩子的检测和恢复 这里只检测了主要的内核模块nkrnlpa**.exe的.win32k.sys,hal.dll,比对它们的原始文件从而查找eat inline hook,iat hook ,和inline hook。Inline是从TEXT段开始一段位置开始比较的。(有点慢貌似,等待显示扫描完成就好了) 十二:应用层进程所加载dll的钩子 应用层钩子检测和内核模块钩子检测原理一样,不过为了能读写别的进程的空间,并没有使用openprocess去打开进程,而是通过KiattachProcess挂靠到当前进程,然后通过在r0直接读写进程空间的。
OpenProcessToken等函数的用法
编程爱好者
02-14 1491
GetCurrentProcessID 得到当前进程的ID OpenProcessToken 得到进程的令牌句柄LookupPrivilegeValue 查询进程权限 AdjustTokenPrivileges 判断令牌权限 要对一个任意进程(包括系统安全进程和服务进程)进行指定了写相关的访问权的OpenProcess操作,只要当前进程具有SeDeDebug权限就可以了。要是一个用户是Admin
OpenProcess讲解
xbgprogrammer的专栏
10-23 7136
HANDLE hProcess=OpenProcess(PROCESS_TERMINATE|SYNCHRONIZE,FALSE,proid); if (hProcess==NULL) { cout<<"OpenProcess failed with "<<GetLastError()<<endl; return 0; } else { TCHAR buffer[MAX_PAT
windows下的csrss.exe进程
LiangSton的专栏
01-12 2490
csrss.exe - csrss - 进程管理信息 进程文件: csrss or csrss.exe   进程名称: Microsoft Client/Server Runtime Server Subsystem   进程类别:其他进程   英文描述:   csrss.exe is the main executable for the Microsoft Clie
《Windows内核原理与实现笔记》(三)Windows引导过程
kernweak的博客
12-26 813
内核加载 在Intel x86系统上,Windows操作系统获得控制首先从硬盘的主引导记录(MBR,MasterBoot Record)开始,Windows Setup程序在安装Windows时填充MBR(其他的磁盘管理程序也可能填充MBR)。MBR包含代码和数据,其代码称为引导代码,在系统引导时首先获得控制;MBR中的数据是一张分区表,指定了每个分区在磁盘上的位置和大小,以及分区的类型。当...
(转) Csrss进程剖析
weixin_30794851的博客
12-27 440
http://bbs.pediy.com/showthread.php?t=150284 这几天想了解下神秘的进程csrss,在学习和了解的过程中就写下了自己对csrss进程的理解。  Csrss(客户端/服务器运行时子系统)是Win32子系统的用户模式部分,在桌面管理、终端登录、控制台管理、错误报告报告和DOS虚拟机等方面起着重要作用,另外还监控着系统内所有Win32子系统进...
如何知道自己用openProcess打开一个进程是否拥有其权限
weixin_35749545的博客
01-03 248
你可以使用 GetLastError 函数来检查是否打开进程成功。如果函数返回 ERROR_ACCESS_DENIED,则表明你没有权限打开该进程。 你也可以使用 GetSecurityInfo 函数来获取进程的安全描述符,然后使用 AccessCheck 函数来检查你是否拥有打开进程权限。 还有,你可以使用 OpenProcessToken 函数来获取进程的访问令牌,然后使用 GetToken...
调试调试
cyynid的博客
05-05 1038
该函数不会对正常运行的程序产生任何影响,但若运行的是调试器程序,因为该函数隐藏了当前线程,调试器无法再收到该线程的调试事件,最终停止调试。一个进程的所有TEB都以堆栈的方式,存放在从0x7FFDE000开始的线性内存中,每 4KB为一个完整的TEB,不过该内存区域是向下扩展的。方案二:暴力破解,定位该函数,对其二进制代码进行修改,进而跳过该函数的判断,该方法几乎对所有的调试都适用,但是定位程序比较繁琐,因为调试代码位置不固定,而且也不一定会有很明显的逻辑区分,比如程序强制关闭等。
提升进程权限函数OpenProcessToken 及相关函数详解
wjcapple的专栏
01-06 690
要对一个任意进程(包括系统安全进程和服务进程)进行指定了写相关的访问权的OpenProcess操作,只要当前进程具有SeDeDebug权限就可以了。要是一个用户是Administrator或是被给予了相应的权限,就可以具有该权限。可是,就算我们用Administrator帐号对一个系统安全进程执行OpenProcess(PROCESS_ALL_ACCESS,FALSE,       dwPro
关于OpenProcess权限
aktostream的专栏
09-29 1999
今天写了一个程序试图在用户模式下获得系统进程csrss.exe进程句柄,然后得到该进程的一些信息。打开句柄权限PROCESS_QUERY_INFORMATION,HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION,F
易语言汇编调试
07-21
易语言汇编调试源码,汇编调试,是否被调试,是否被调试1,是否被调试2,GetCurrentProcessId,NtSetDebugFilterState,OpenProcess,ZwQueryInformationProcess
易语言-纯汇编openprocess
06-25
纯汇编openprocess源码
发一个纯汇编openprocess-易语言
06-11
发一个纯汇编openprocess-易语言
易语言检测调试器源码,易语言程序调试调试
07-22
易语言程序调试调试源码,程序调试调试,错误提示管理_,是否被调试,取进程文件名,CreateToolhelp32Snapshot,Process32First,Process32Next,OpenProcess,Module32First,TerminateProcess,CloseHandle,...
hoh.rar_OpenProcess
09-19
显示如何找出系统中正在运行的所有进程,如何利用OpenProcess() API函数来获得每一个访问进程的进一步信息。
windows系统安全基础知识——系统进程与病毒
weixin_34388207的博客
02-28 424
如何强制结束一个运行中的进程   Windows操作系统中只有System、SMSS.EXECSRSS.EXE不能杀。前两个是纯内核态的,最后那个是Win32子系统,ntsd本身需要它。ntsd从2000开始就是系统自带的用户态调试工具。被调试器附着(attach)的进程会随调试器一起退出,所以可以用来在命令行下终止进程。使用ntsd自动就获得了debug权限,从而能杀掉...
openprocess 提升权限结束进程(来自网络)
scollins的专栏
07-10 6651
<br />1、进程相当于系统提供的一个平台,它可以包括一个或多个线程,如IE是个进程, <br /><br />  打开多个网页是它的多个线程,把IE进程Kill掉即可关闭多个打开网页的线程。 <br /><br />  2、98和NT不一样。98下可以用CreateToolhelp32Snapshot函数Process32First和 <br /><br />  Process32Next来枚举当前所有进程进程ID(先调用函数CreateToolhelp32Snapshot) <br /><br />
csrss.exe病毒的清除方法
07-06 1598
csrss.exe病毒的清除方法,这里给出两个手动清除方法。 注意是Windows\csrss.exe而不是Windows\System32\csrss.exe。首先先看下csrss.exe进程的说明: 进程文件:csrss or csrss.exe 进程名称:Client/Server Runtime Server Subsystem 进程类别:系统进程 进程描述:客户端服务子系...
OpenProcess前的权限设置
热门推荐
lcfeng1982的专栏
03-28 1万+
<br />当用OpenProcess函数打开某个进程的句柄时,如果事先没有设置用户的SeDebugPrivilege权限的话会返回INVALID_HANDLE_VALUE,所以必须先设置权限再调用OpenProcess,代码如下:<br /> <br />BOOL SetPrivilege(<br />                   HANDLE hToken,          // access token handle<br />                   LPCTSTR lps
OpenProcess
最新发布
07-27
OpenProcess 是一个Windows系统函数,用于打开一个已存在的进程并返回其句柄。它的原型如下: ```c HANDLE OpenProcess( DWORD dwDesiredAccess, BOOL bInheritHandle, DWORD dwProcessId ); ``` 其中,dwDesiredAccess 参数指定了所需的访问权限,bInheritHandle 参数指定是否继承句柄,dwProcessId 参数指定要打开的进程的 ID。 该函数可以用于获取目标进程的句柄,以便进行后续的操作,比如读取或修改目标进程的内存,或者获取进程的信息等。需要注意的是,使用 OpenProcess 打开其他进程需要具备足够的权限。 请问还有其他问题吗?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值