r0调用ntOpenprocess函数枚举进程

最新推荐文章于 2021-05-26 19:29:14 发布
最新推荐文章于 2021-05-26 19:29:14 发布
阅读量4.7k 收藏
点赞数
文章标签: attributes null access
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sunny_wwc/article/details/6174045
版权

需要先把Kthread中的PreviousMode的值置成KernelMode

因为调用CqEnumProcessInfoByMyOpenProcess这个函数的时候,是由应用层的程序调用DeviceIoControl进入内核的,所以要经过

Kifastcallentry,Kifastcallentry在执行中会把当前要进入内核的这个线程的PreviousMode设置成UserMode,所以当我调用NtOpenProcess时,NtOpenprocess在执行中会判断当前的调用模式,如果不改Kthread中的PreviousMode,NtOpenprocess发现是UserMode,所以要判断clientId则个参数的地址是不是用户层地址,当它发现这个地址是内核地址的时候,执行就是败了,所以要把当前线程的Ktrhead的PerviousMode这个值置成KernelMode,欺骗NtOpenProcess,,这样NtOpenProcess判断的时候就认为这个调用是内核的调用,所以就可以执行成功。

NTSTATUS  CqEnumProcessInfoByMyOpenProcess(PPROCESS_INFO pProcessInfo)
{
 NTSTATUS Status = STATUS_UNSUCCESSFUL;
 CLIENT_ID ClientId = {0};
 ULONG i = 0;
 HANDLE ProcessHandle = 0;
 PEPROCESS Process = NULL;
 PKTHREAD Kthread = NULL;
 OBJECT_ATTRIBUTES ProcAttr = {0};


 InitializeObjectAttributes(&ProcAttr, 0, 0, 0, 0);
 Kthread = (PKTHREAD)PsGetCurrentThread();
 *((PUCHAR)Kthread + CqGetOffset(enumPreviousModeOffsetByKthread)) = KernelMode;
 for(i = 0; i < 65535; i++)
 {
  ClientId.UniqueProcess = (HANDLE)i;
  Status = MyNtOpenProcess(&ProcessHandle, PROCESS_ALL_ACCESS , &ProcAttr, &ClientId);
  if( STATUS_SUCCESS == Status )
  {
   Status = PsLookupProcessByProcessId(i, &Process);
   if( STATUS_SUCCESS != Status )
   {
    goto Exit0;
   }
   Status = CqSetProcessInfoByEProcess(pProcessInfo, Process);
   if( NULL != Process )
   {
    ObDereferenceObject(Process);
   }
   if( NULL != ProcessHandle )
   {
    ZwClose(ProcessHandle);
   }
   ProcessHandle = 0;
   Process = 0;
   i+=3;
  }
  else
  {
   continue;
  }

 }

 *((PUCHAR)Kthread + CqGetOffset(enumPreviousModeOffsetByKthread)) = UserMode;


 Status = STATUS_SUCCESS;
Exit0:
 return Status;
}

Sunny_wwc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
NtOpenProcess
weixin_34214500的博客
03-29 3816
一般在内核SSDT HOOK的时候就是直接钩住SSDT表替换NtOpenProcess的地址来达到保护进程的目的。而在InlineHook中,侧需要更进一步的了解NtOpenProcess函数,才能更好的做inlinehook。 首先说说Windows中用户层 OpenProces,WIN32函数OpenProces执行后,调用NTDLL.DLL中NtOpenProces...
[windows 驱动开发] r0 枚进程
LYSM
04-12 533
#include "ntddk.h" typedef enum _SYSTEM_INFORMATION_CLASS { SystemBasicInformation, // 0 SystemProcessorInformation, // 1 SystemPerformanceInformation, // 2 SystemTimeOfDayInformation,
打开一已存在的进程OpenProcess
abc470337944的专栏
10-30 1781
OpenProcess 函数功能描述:打开一已存在的进程 函数原形:   HANDLE OpenProcess(        DWORD dwDesiredAccess,        BOOL bInheritHandle,        DWORD dwProcessId   ); 参数:   DWORD dwDesiredAccess   访问权限   [输入
Syser 调试驱动 查看内核NTopenprocess
~~~jesse的专栏
12-26 1431
1.使用工具Syser 1900.1178、Kernel Detective v1.3.02 结果 2)kd1.3图黄色高亮 122索引号Ntopenprocess 地址和上图一样。
HOOK ntopenprocess
qq_41071646的博客
01-06 1014
先来说一下我对SSDT的体会把   我感觉SSDT 就是一张表  这个表里面 有很多数组  然后 算是 内核层的 导入表只不过 他是整个操作系统的导入表  然后里面有很多数组  然后当我们 调用 api的时候  应用层的api 会经过封装 可能会多传出一些  参数 比如 那张表  表的 地址 那个数组  然后 进去调用就好了  听群里的大佬说   x86 的ssdt 好像是固定的   但是 ...
hook特定程序 Android,HOOK NtOpenProcess 保护指定进程
weixin_30020909的博客
05-26 122
;HOOK NtOpenProcess 保护指定进程;Code:zzage;From:[url]http://hi.baidu.com/zzage[/url].386.model flat,stdcalloption casemap:noneinclude D:\RadASM\masm32\include\w2k\ntstatus.incinclude D:\RadASM\masm32\inclu...
ring0驱动级 隐藏进程 的源代码_在驱动层通过替换ssdt地址表中的api函数来隐藏进程
01-25
2. **分析SSDT**: 然后,驱动程序需要遍历SSDT,找到与进程管理和枚相关的函数,例如`NtCreateProcess`, `NtOpenProcess`, `NtQueryInformationProcess`等。 3. **备份原函数**: 在替换之前,必须保存原始函数的...
HOOK NtOpenProcess 保护指定进程
05-15
`NtOpenProcess`是Windows NT内核的一个关键系统调用,它允许一个进程打开并获取对另一个已存在的进程的句柄,从而能够读取、写入或控制目标进程。如果恶意代码能够成功调用`NtOpenProcess`,那么它就可能对目标进程...
精选_SSDT Hook 之内核函数ZwOpenProcess实现监控打开进程_源码打包
03-11
这个函数在用户模式下通过`NtOpenProcess`函数调用,最终在内核模式下由`ZwOpenProcess`处理。当一个进程尝试打开或访问另一个进程时,`ZwOpenProcess`会被调用,因此它是监控进程操作的理想切入点。 实现SSDT Hook...
C/C++-数据结构-进程保护-操作系统大作业
02-04
Hook NtOpenProcess实行通过进程名与进程ID来保护进程,对于保护进ID,可以防止用户恶意的使打PID5、6、7之类的来打开PID为4的进程。 Hook NtQuerySystemInformation实现只显示当前用户的进程功能。 内核用户管理,在...
Hook NtOpenProcess
07-21
这些API会将开发者提供的DLL注入到目标进程,使得当NtOpenProcess调用时,会先执行自定义的处理函数。 4. **钩子处理**:当NtOpenProcess调用时,我们的钩子函数会被执行。在这个函数中,开发者可以记录调用...
ssdkhook之ntopenprocess_保护用户层的应用程序不被ce打开_完美版
01-31 887
#include"ntddk.h" NTSTATUS PsLookupProcessByProcessId( _In_ HANDLE ProcessId, _Out_ PEPROCESS *Process ); #pragma pack(1) //写这个内存以一字节对齐 如果不写是以4字节的对齐的 typedef struct ServiceDescriptorEntry {//这个
HOOK SSDT NtOpenProcess 保护进程
收集学习过程中对自己有帮助的牛人文章
12-03 3138
感谢众大神分享的技术,因为几乎没参考别人的源码,所以就标题原创 但是因为这个技术肯定是前辈分搞出来的,所以就特意说明下,此乃转载耶 模板用的张帆大牛的 记录一下,以后备用
VC编程实现内核方法实现进程保护
zkzqlove的专栏
02-28 766
《Windows Rootkit开发初步》这篇文章大致讲地是Rootkit实现进程隐藏,当时我受益匪浅。后来看到这期另外一篇文章名为《木马编程DIY之线程守护》这篇文章,提到了一个双进程实现进程守护的方法。不过他的引言里提到了Icesword的一种HOOK系统底层函数的方法,但是没有细讲。然后我查询很多资料加上自己的研究,试验成功了这个方法。代码原理和Rootkit文章的原理类似,不过我稍加改进更
NtOpenProcess保护的方法总结
xrain_zh的专栏
05-03 2068
来自:http://blog.csdn.net/jepco1/article/details/5531449 过NtOpenProcess保护的方法总结,搜集了一下网上的方案,自己整理了一下。 一般的保护程序喜欢在NtOpenProcess中设置inline hook,修改返回句柄。调试程序使用该程序附加附加到被保护进程的时候,就得不到正确的进程访问句柄,因而附加失败。 反此类保
5.SSDT再增加一个NtReadVirtualMemory函数
Mikasys的博客
11-04 458
代码如下,如果看不懂请看上一篇文章 Ring0 #include <ntifs.h> #include <ntstatus.h> typedef struct _KSYSTEM_SERVICE_TABLE { PULONG ServiceTableBase; //函数地址表基地址 PULONG ServiceCounterTableBase; //被访问了多少次 ULONG NumberOfService; //表中服务函数的总数 PUCHAR ParamTable
内核解惑:zw函数和nt函数的区别
收集学习过程中对自己有帮助的牛人文章
12-03 6287
转载自:http://hi.baidu.com/resoft007/item/eb510a0d0ae2ac03addc7019 http://bbs.pediy.com/showthread.php?t=106888 http://bbs.pediy.com/showthread.php?t=55142 解惑:http://blog.csdn.net/u012410612/artic
Windows内核情景分析 第二章 从用户空间发起系统调用的过程(仅供自赏)
For Geek
05-15 831
系统调用/系统服务存在的需求 从应用程序的角度看,内核的作用在于提供了一组可供应用程序调用的接口。这组调用我们称为“系统调用”。也可以认为系统调用是内核提供的一种服务。所以系统调用也称为系统服务。 从程序运行的角度来看:进程是主动的,有活性的,是发出调用请求的一方。而内核是被动的,只是应程序的需求来提供相应的服务。 从整个系统的角度看:内核也有活性的一面,只不过从应用程序本身是看不到的,隐形的。诸...
KThread
仰起脸笑得像满月
10-23 640
KThread(): 创建线程时如果是第一个线程,即当前线程未空,就调用ThreadedKernel.scheduler 也就是nachos.threads.RoundRobinScheduler的newThreadQueue方法,并创建一个先进先出队列,并创建一个空闲线程,名为idle 如果当前线程非空,就创建线程控制块tcb();   setName(); 设置名字   getN
内核使用NtOpenProcess使用进程名打开句柄实例
最新发布
06-13
// 在驱动程序的 DriverEntry 函数中,可以通过调用 OpenProcessHandleByName 函数打开指定进程名的句柄 NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegistryPath) { HANDLE hProcess; ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值