Ring3下实现进程保护,不用hook

最新推荐文章于 2023-06-24 13:46:34 发布
最新推荐文章于 2023-06-24 13:46:34 发布
阅读量6.8k 收藏 7
点赞数 1
分类专栏: Rootkit/驱动底层 C/C++/MFC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SysProgram/article/details/24989037
版权

今天在分析一款木马的时候,发现做了进程保护,没加驱动,也没做hook,能做进程保护,感觉非常奇怪,原来是这么一回事,mark一下吧!

#include "stdafx.h"

#include <windows.h>
#include <Aclapi.h>

#pragma comment(lib,"Advapi32.lib")

BOOL Ring3ProtectProcess()
{
	HANDLE hProcess = ::GetCurrentProcess();
	SID_IDENTIFIER_AUTHORITY sia = SECURITY_WORLD_SID_AUTHORITY;
	PSID pSid;
	BOOL bSus = FALSE;
	bSus = ::AllocateAndInitializeSid(&sia,1,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,&pSid);
	if(!bSus) goto Cleanup;
	HANDLE hToken;
	bSus = ::OpenProcessToken(hProcess,TOKEN_QUERY,&hToken);
	if(!bSus) goto Cleanup;
	DWORD dwReturnLength;
	::GetTokenInformation(hToken,TokenUser,NULL,NULL,&dwReturnLength);
	if(dwReturnLength > 0x400) goto Cleanup;
	LPVOID TokenInformation;
	TokenInformation = ::LocalAlloc(LPTR,0x400);//这里就引用SDK的函数不引用CRT的了
	DWORD dw;
	bSus = ::GetTokenInformation(hToken,TokenUser,TokenInformation,0x400,&dw);
	if(!bSus) goto Cleanup;
	PTOKEN_USER pTokenUser = (PTOKEN_USER)TokenInformation;
	BYTE Buf[0x200];
	PACL pAcl = (PACL)&Buf;
	bSus = ::InitializeAcl(pAcl,1024,ACL_REVISION);
	if(!bSus) goto Cleanup;
	bSus = ::AddAccessDeniedAce(pAcl,ACL_REVISION,0xFFFFFFFF,pSid);
	if(!bSus) goto Cleanup;
	bSus = ::AddAccessAllowedAce(pAcl,ACL_REVISION,0x00100701,pTokenUser->User.Sid);
	if(!bSus) goto Cleanup;
	if(::SetSecurityInfo(hProcess,SE_KERNEL_OBJECT,DACL_SECURITY_INFORMATION | PROTECTED_DACL_SECURITY_INFORMATION,NULL,NULL,pAcl,NULL) == 0)
		bSus = TRUE;
Cleanup:
	if(hProcess != NULL)
		::CloseHandle(hProcess);
	if(pSid != NULL)
		::FreeSid(pSid);
	return bSus;
}


int _tmain(int argc, _TCHAR* argv[])
{
	Ring3ProtectProcess(); 
	printf("......");
	getchar();
	return 0;
}


OpenProcess没法获取它的句柄了,自然也就结束不了进程,也没法对它进行注入!

不过我只在Win7 x86环境试成功,XP系统没成功,不知道啥原因,其他系统还没测试.

sysprogram
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 11
    评论
专栏目录
java de 线程池
tayloramanda的博客
09-16 691
线程池: java.util.concurrent.Executors提供了一个 java.util.concurrent.Executor接口的实现用于创建线程池 作用:解决处理器单元内多个线程执行的问题,它可以显著减少处理器单元的闲置时间,增加处理器单元的吞吐能力。 使用情况: 假设一个服务器完成一项任务所需时间为: T1 创建线程时间, T2 在线程中执行任务的时间, T3 销毁线程时间。 如果:T1 + T3 远大于 T2,则可以采用线程池,以提高服务器性能。 组成部分: ...
mfc学习-守护程序
ORC-Lee的博客
04-13 1894
工作缘故,需要为主程序写一个守护程序,经过查阅资料,实现mfc框架下的简单守护程序。 一、守护程序的定义     守护进程,也就是通常说的Daemon进程,是Linux中的后台服务进程。它是一个生存期较长的进程,通常独立于控制终端并且周期性地执行某种任务或等待处理某些发生的事件。守护进程常常在系统引导装入时启动,在系统关闭时终止。Linux系统有很多守护进程,大多数服务都是通过守护进程
32位/64位WINDOWS驱动之保护指定进程PID(拒绝CE,X64dug,OD等工具读写)
最新发布
a756598009的博客
06-24 777
给编辑框添加变量 类别 值 变量类型 改成UINT32 名称m_PID 完成。把RegistrationContext;在进入派遣函数中增加两个控制开关。进程保护.c里面 注释目标进程名。剪切到判断受保护下面 并修改为。搜索不到数值,打开内存也没有数据。x64dubug附加进程直接结束。来到添加保护进程按钮控制事件。来到移除保护进程按钮控制事件。读写控制后面添加两个函数。进程名标签改为进程PID。
ring3实现进程保护
zzmzzff的博客
03-28 1619
Ring3Hook进程有多种方法,其中有消钩子(Msg Hook)、线程注入(Insert Thread)和ShellCode等,前两种最为常见。以前用VB只能用shellcode,原因是VB不支持标准DLL,而VC则完全不成问题,下面说一下方法。消息注入是通过SetWindowsHookEx安装一个钩子(比如WH_GETMESSAGE)然后将DLL注入系统所有GUI进程,这样,大部分进...
MFC 守护进程
12-14
简单的守护进程程序,帮助理解守护进程,共享一下,稍微修改一下就能用
Inline Hook(ring3)的简单C++实现方法
09-04
Ring3级别,这意味着Inline Hook在用户模式下进行,这在Windows系统中是常见的实践。本文将详细探讨如何使用C++来实现一个简单的Inline Hook。 首先,我们需要理解Inline Hook的基本原理。Inline Hook通常涉及到...
ring3实现HOOK API续之进程防杀
03-31
总结来说,"ring3实现HOOK API续之进程防杀"是一个涵盖底层编程、系统安全和反恶意软件策略的主题。通过API Hook,开发者可以实现对系统行为的监控和控制,而进程防杀则确保了这种控制不会轻易被破坏。然而,这些...
Hook ssdt.rar_HookSSDT_hook_ssdt_进程保护_驱动保护
09-25
Hook SSDT允许开发者在系统服务调用之前或之后插入自定义代码,以实现特定的功能,如监控系统行为、提升权限或者进行进程保护和驱动保护。 **什么是SSDT?** System Service Dispatch Table(系统服务调度表)是...
Ring3 Hook ZwQuerySystemInformation
11-14
Ring3 Hook ZwQuerySystemInformation是一种在用户模式(Ring 3)下进行系统调用拦截的技术,主要用于修改系统行为或获取额外的信息。在这个特定的场景中,它被用来隐藏进程,使得该进程在操作系统中变得不可见。这...
HOOK技术的Ring0级进程保护组件设计与实现
03-24
HOOK技术的Ring0级进程保护组件设计与实现
MFC隐藏进程
01-03
在taskmgr中隐藏进程,但是那些工具就不行了诶。不过骗骗一般人还是蛮不错的。 非mfc 中要去掉 #include
ring3实现任务管理器的进程防杀
11-27
ring3实现任务管理器的进程防杀 C++源码 包括DLL,可用于c#调用,在个windows平台测试通过
进程隐藏与进程保护(SSDT Hook 实现)(三)
weixin_34115824的博客
09-05 440
文章目录:                   1. 引子: 2. 获取当前系统下所有进程: 3. 服务管理(安装,启动,停止,卸载): 4. 应用程序和内核程序通信: 5. 小结:                  1. 引子:                           关于这个 SSDT Hook 实现进程隐藏和进程保护呢,这是最后一篇博文了, 在文章的结...
进程隐藏与进程保护(SSDT HOOK 实现)
lei35151的专栏
11-04 1368
进程隐藏与进程保护(SSDT HOOK 实现) http://www.cnblogs.com/BoyXiao/archive/2011/09/04/2166596.html 代码注入之远程线程篇 http://www.cnblogs.com/BoyXiao/archive/2011/08/11/2134367.html#2786089
【转】MFC隐藏进程自身(任务管理器不可见,wSysCheck等工具可见)
weixin_34253539的博客
01-02 292
只要把cpp和h加入工程,include就可以了。 代码地址: //------------------HideProcess.h-------------------- //加入MFC工程调用即可 BOOL HideProcess(); //------------------HideProcess.cpp------------------ #include "s...
进程保护
weixin_30279751的博客
03-27 663
https://github.com/computist/ProcessProtect 此应用程序可以帮助您隐藏或保护任何进程。 此应用程序包括Windows内核编程。仅在Windows 7 64位上测试。测试前禁用Windows驱动程序签名强制!此应用程序可能会导致机器上出现BSOD。自行承担测试风险!!!!!!! 功能 隐藏进程后,它将从任务管理器中消失。在保护进程之后,任务管理器无...
HOOKAPI(四)——进程防终止
02-26
"这篇文章主要介绍了如何使用HOOKAPI技术来实现进程的防终止保护,作者首先提到了学习HOOKAPI的初衷是为了监控剪切板,但在实际需求中应用到了进程保护。文章详细阐述了实现进程防终止的步骤,主要包括HOOK ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值