windows hook之进程防杀(任务管理器)

已于 2024-08-21 15:44:10 修改
阅读量170 收藏 2
点赞数 5
文章标签: windows 进程防杀 dll注入/卸载
于 2024-08-20 10:46:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Wite_Chen/article/details/141351896
版权

任务管理器防杀指定进程

minihook使用指南

1、原理

注入dll到任务管理,hook OpenProcessAPI实现进程信息获取操作,达到进程防杀

2、dll实现

#include "pch.h"
#include <Windows.h>
#include "../include/minihook/MinHook.h"
#include <TlHelp32.h>
#include <set>


#ifdef _WIN64
    #pragma comment(lib,"../include/minihook/libMinHook.x64.lib")
#else
    #pragma comment(lib,"../include/minihook/libMinHook.x86.lib")
#endif // _WIN64

std::set<DWORD> g_setPid = {1024};
typedef HANDLE(WINAPI* OldOpenProcess)(DWORD, BOOL, DWORD);
OldOpenProcess fpOldOpenProcess = NULL;



HANDLE WINAPI MyOpenProcess(DWORD dwDesiredAccess, BOOL bInheritHandle, DWORD dwProcessId)
{
    if (!g_setPid.empty()) {
        auto setPid = g_setPid;
        if (setPid.find(dwProcessId) != setPid.end()) {
            // set error code
            SetLastError(ERROR_ACCESS_DENIED);
            return NULL;
        }
    }
    return fpOldOpenProcess(dwDesiredAccess, bInheritHandle, dwProcessId);
}

void HookOpenProcess() {
    if (MH_Initialize() == MB_OK)
    {
        MH_CreateHook(&OpenProcess, &MyOpenProcess, reinterpret_cast<void**>(&fpOldOpenProcess));
        MH_EnableHook(&OpenProcess);
    }
    else {
        MessageBoxA(NULL, "Hooked opeprocess failed", "Tip", MB_OK);
    }
}

void UnhookOpenProcess() {
    if (MH_DisableHook(MH_ALL_HOOKS) == MB_OK)
    {
        MH_Uninitialize();
    }
}

BOOL APIENTRY DllMain(HMODULE hModule,
    DWORD  ul_reason_for_call,
    LPVOID lpReserved
)
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH: {
        HookOpenProcess();
        break;
    }
    case DLL_THREAD_ATTACH: {

        break;
    }
    case DLL_THREAD_DETACH: {
        break;
    }
    case DLL_PROCESS_DETACH:
        UnhookOpenProcess();
        break;
    }
    return TRUE;
}

3、任务管理器dll注入/卸载

#include <iostream>
#include <Windows.h>
#include <tlhelp32.h>


DWORD nPid = 0;
DWORD GetTaskMgrPid()
{
    DWORD nPid = 0;
    std::wstring wstrProcessName(L"TaskMgr.exe");
    PROCESSENTRY32 pe32;
    HANDLE hSnapshot = NULL;

    pe32.dwSize = sizeof(PROCESSENTRY32);
    hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
    if (hSnapshot == INVALID_HANDLE_VALUE) return -1;
    if (Process32First(hSnapshot, &pe32)) {
        do {
            // wcsicmp: ignore case; wcscmp: case sensitive
            if (_wcsicmp(pe32.szExeFile, wstrProcessName.c_str()) == 0) {
                nPid = pe32.th32ProcessID;
                break;
            }
        } while (Process32Next(hSnapshot, &pe32));
    }

    if (hSnapshot != INVALID_HANDLE_VALUE)
        CloseHandle(hSnapshot);

    return nPid;
}


void ejectDll() {
    wchar_t szDll[] = L"HookOpenProcess.dll";
    BOOL bMore = FALSE, bFound = FALSE;
    HANDLE hSnapshot, hProcess, hThread;
    HMODULE hModule = NULL;
    MODULEENTRY32 me = { sizeof(me) };
    LPTHREAD_START_ROUTINE pThreadProc;

    hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, nPid);
    if (INVALID_HANDLE_VALUE == hSnapshot) {
        std::cout << "Create snapshot failed: " << GetLastError() << ", pid: " << nPid << "\n";
        return;
    }

    bMore = Module32First(hSnapshot, &me);
    for (; bMore; bMore = Module32Next(hSnapshot, &me))
    {
        if (!_wcsicmp((LPCTSTR)me.szModule, szDll) ||
            !_wcsicmp((LPCTSTR)me.szExePath, szDll))
        {
            bFound = TRUE;
            break;
        }
    }

    if (!bFound)
    {
        std::cout << "Not found\n";
        CloseHandle(hSnapshot);
        return ;
    }

    if (!(hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, nPid)))
    {
        //_tprintf(L"OpenProcess(%d) failed!!! [%d]\n", dwPID, GetLastError());
        return ;
    }

    hModule = GetModuleHandle(L"kernel32.dll");
    // free library with manual
    pThreadProc = (LPTHREAD_START_ROUTINE)GetProcAddress(hModule, "FreeLibrary");
    hThread = CreateRemoteThread(hProcess, NULL, 0,
        pThreadProc, me.modBaseAddr,
        0, NULL);
    WaitForSingleObject(hThread, INFINITE);

    CloseHandle(hThread);
    CloseHandle(hProcess);
    CloseHandle(hSnapshot);
    std::cout << "Eject completed.\n";
}

void injectDll()
{
    char szDll[] = "D:/Demo/include/HookOpenProcess.dll";

    HANDLE hTaskMgr = OpenProcess(PROCESS_ALL_ACCESS, FALSE, nPid);
    if (NULL == hTaskMgr) {
        std::cout << "Open process failed: " << GetLastError() << "\n";
        return;
    }

    SIZE_T pathSize = strlen(szDll) + 1;
    LPVOID pDllAddr = VirtualAllocEx(hTaskMgr, NULL, pathSize, MEM_COMMIT, PAGE_READWRITE);
    BOOL bSucc = WriteProcessMemory(hTaskMgr, pDllAddr, szDll, pathSize, NULL);
    LPTHREAD_START_ROUTINE fun = (LPTHREAD_START_ROUTINE)LoadLibraryA;
    auto hThread = CreateRemoteThread(hTaskMgr, NULL, 0, fun, pDllAddr, 0, NULL);

    WaitForSingleObject(hThread, INFINITE);
    // do clean
    CloseHandle(hThread);

    VirtualFreeEx(hTaskMgr, pDllAddr, 0, MEM_RELEASE);
    CloseHandle(hTaskMgr);
    std::cout << "Inject completed.\n";
}

int main()
{
    nPid = GetTaskMgrPid();
    if (nPid <= 0) {
        std::cout << "TaskMgr.exe not running, try it later\n";
        return 0;
    }
#if 1
    injectDll();
#else
    ejectDll();
#endif

    getchar();
    return 0;
}

注意事项

1、dll编译和待注入程序位数保持一致(待注入程序是64位,dll必须是64位)
2、注入程序必须和待注入程序位数保持一致(待注入程序是64位,注入必须是64位)
3、pid信息可通过共享内存(FileMapping)传递,如果dll内部有用到event并等待,一定要先退出等待,dll才能卸载,不然会导致任务管理器异常
4、HookOpenProcess,如果忽略需要返回NULL,不是INVALID_HANDLE_VALUE,不然win7会导致任务管理器崩溃
5、若dll路径没问题,注入成功,但是dll未加载,请采用mt编译

Wite_Chen
关注
  • 5
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
InlineHook任务管理器_ZwQuerySystemInformation_隐藏进程
yeanhoo的博客
09-24 588
InlineHook任务管理器_ZwQuerySystemInformation_隐藏进程 hook步骤: 查找目标函数地址 修改目标函数第一条指令跳转到我们构造的函数 卸载掉钩子,执行正常的目标函数 过滤掉特定信息后返回 hook代码如下 #include<windows.h> #include<Winternl.h> BOOL hook_code(); BOOL unHook_code(); NTSTATUS WINAPI NewZwQuerySystem
windows下面hook系统api实现禁止任务管理器关闭程序
nanjun520的专栏
07-28 7550
为了保护我们的进程不被人随便强制关闭,我们需要一种机制来实现,网上大概有几种方式:1.写一个驱动程序,在驱动程序里面hook系统的api来实现,例如ssdt方式,等等。2.就是在应用层挂钩系统api,这种方式也就远程注入,全局钩子啊等等,只是网上也有很多,不过很多在xp上是正常的到了win7 64就失效了。还有最简单的就是启动两个进程相互监视对方,(这个可能看起来不专业)。 网上方法很多,我写这个
C# 如何让程序后台进程不被Windows任务管理器强制结束
04-18 891
4.技术含量比较高了,通过Windows的驱动机制,把自己给隐藏了(把自己变成驱动),然后隐藏到系统中运行,在任务管理器完全找不到,其实我多喜欢这种方式的,但是,这个程序一弄出来,瑞星,Google,Hotmail,360卫士,全部当成病毒查出来了,我当时眼流花都要流出来了。这个想法是网上提的最多的思路,如果一个程序被结束了,另一个程序检测到这个程序不在了,就立即重新启动该程序,双双保护,互助互利(结果我尝试了一下,不可取,因为1,CPU使用率太高,一直在循环检测,计算机速度立即就下了。
原创 一个简单的windows HOOK - 隐藏进程管理器中特定的进程
qq_43678568的博客
02-15 1980
原创 一个简单的windows HOOK - 隐藏进程管理器中特定的进程
SSDT HookHookZwTerminateProcess)—— 实现任务管理器无法关闭进程
walker的博客
03-06 576
本节的目的是通过驱动程序修改 ntoskrnl.exe 程序的 SSDT 表中的函数地址表,以实现 SSDT Hook 。本次的测试函数为 R3 API 函数 ZwTerminateProcess ,通过 Hook 该函数,以实现任务管理器无法强制关闭进程,只有通过进程的关闭方法才可以正常结束进程Hook 该函数的关键是判断 ZwTerminateProcess 函数中的进程句柄 hProcess 。当进程是通过自身的关闭方法关闭的话,该句柄的值应为 0xffffffff 或 0x00 ,而通过其他进
hook 任务管理器 进程防杀
07-30
总的来说,"hook 任务管理器 进程防杀"是一种通过hook技术防止进程被结束的安全策略,主要涉及到Windows钩子、WH_CBT钩子类型、VC++编程以及对Windows API的深入理解。这种技术虽然可以用于合法的软件保护,但也有时...
进程防杀 HOOK ,防止任务管理杀死程序
11-30
进程防杀技术主要涉及到计算机系统中的进程管理和保护机制,尤其是如何在面对恶意操作或系统工具如任务管理器的干预时,保持程序的持续运行。在本文中,我们将深入探讨HOOK技术及其在进程保护中的应用。 HOOK是...
易语言HOOK任务管理器
07-21
本主题聚焦于“易语言HOOK任务管理器”的实现,这是一种利用易语言编写的应用程序,它可以对系统的任务管理器进行HOOK操作,即在任务管理器的正常运行过程中插入自己的代码,从而监控或控制任务管理器的行为。...
HOOK任务管理器.rar
04-05
在IT领域,"HOOK任务管理器"是一个相当有趣且实用的工具,它涉及到系统级编程、进程管理以及Hook技术等多个关键知识点。本文将围绕这些主题进行深入探讨,帮助读者理解并掌握相关技术。 首先,我们要了解什么是Hook...
使用HOOK拦截任务管理器中直接杀进程的消息
05-08
【使用HOOK拦截任务管理器中直接杀进程的消息】 在IT领域,尤其是系统级编程和安全技术中,有时我们需要保护自己的进程不被意外终止,比如在任务管理器中被直接杀死。这种情况下,可以使用HOOK技术来拦截系统API,...
Java合并两个List并去掉重复项
qq_31667253的博客
08-21 97
今天在工作中遇到了需要将两个List合并成一个,并去重的功能点。这种需求点很少,但是还真会出现。下面给大家展示下我是怎么实现的。
Spring学习笔记
我这个代码你能看懂吗?
08-18 317
是 Lombok 提供的注解,它用于简化 Java 类的构建器模式。它允许你使用一个简洁的语法来创建带有可选参数和默认值的构建器。它用于将一个元素映射到多个元素的流中,并将其扁平化为单个流来处理。方法接受一个映射函数,该函数将输入流中的每个元素转换为一个流。它将每个子流中的元素提取并将其添加到输出流中。它消除了创建和维护单独的构建器类以及编写冗长的构建器代码的需要。该方法返回一个构建器对象,允许你设置类的属性。方法也用于将输入流中的元素映射到一个新的流。方法将每个元素映射到一个包含多个值的流。
第18 章探讨 C++新标准.可变参数模板,模板和函数参数包,展开参数包
zhyjhacker的博客
08-18 875
第18 章探讨 C++新标准.可变参数模板,模板和函数参数包,展开参数包。
C语言(17)——单链表的应用
2301_80065652的博客
08-18 462
据说著名犹太历史学家Josephus有过以下的故事:在罗⻢⼈占领乔塔帕特后,39个犹太⼈与 Josephus及他的朋友躲到⼀个洞中,39个犹太⼈决定宁愿死也不要被⼈抓到,于是决定了⼀个⾃杀 ⽅式,41个⼈排成⼀个圆圈,由第1个⼈开始报数,每报数到第3⼈该⼈就必须⾃杀,然后再由下⼀ 个重新报数,直到所有⼈都⾃杀⾝亡为⽌。然⽽Josephus和他的朋友并不想遵从,Josephus要他的朋友先假装遵从,他将朋友与⾃⼰安排在 第16个与第31个位置,于是逃过了这场死亡游戏。著名的Josephus问题。
[JAVA]什么是泛型?泛型在Java中的应用
2301_79757798的博客
08-21 824
所谓泛型,就是允许在定义类、接口时通过一个标识表示类中某个属性的类型或者是某个方法的返回值及参数类型
数据结构初阶(2)——链表OJ
最新发布
2301_80065652的博客
08-21 236
思路:先找中间节点,然后将节点后逆置,最后一一比较。思路:先判断是否相交,再计算长度差值,再一一比较。思路:快慢指针,快指针先走k格,慢指针同步。
Java 8 Stream API 实现各种数据类型的转换
心猿意码
08-18 433
在 Java 8 中,Stream是一种对集合数据进行操作的接口。它允许你通过一系列方法调用来处理数据,这些方法可以分为中间操作(如filtermap)和终止操作(如collectforEach流的操作可以是懒惰的,即它们不会立即执行,而是等待终端操作时才执行。Stream API 使得在 Java 中处理数据变得更加简单且强大。通过使用中间操作和终端操作,我们可以轻松地进行数据过滤、映射、聚合等操作。
【刷题笔记】二叉树2
bandaoliunian_的博客
08-17 734
二叉树的层序遍历套路非常明显,可以解决很多树的问题,不过用层序解答的结果就是时间复杂度都是O(N),所以层序遍历适合那些无论如何都要遍历整棵树的题,例如,求层平均值、求层最大值、求二叉树最大深度、求二叉树最小深度,这些题是你要把整棵树遍历完才能知道答案的,但是用前中后序(深度优先)遍历也可以解决,且时间复杂度也是O(N),只不过相比之下可能层序更容易想。
pyqt5按选择顺序多选图并显示缩略图
退役熬夜选手的博客
08-21 210
为了实现用户在选择图片时可以看到缩略图,并且按点击顺序显示最终的选择,我们可以自定义一个对话框,展示所有可选图片的缩略图,用户点击图片后会将其记录到列表中,并最终按顺序显示选择的缩略图。
Windows API HOOK框架实现技术探析
2. HOOK API模块:此模块的核心任务是找到目标进程中API函数的入口点,并将其替换为钩子函数的地址。在PE(可移植可执行)文件中,API函数的地址存储在导入表中。通过修改导入表,我们可以实现API的HOOK。这个过程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值