32位/64位WINDOWS驱动之进程保护

最新推荐文章于 2024-07-25 17:09:16 发布
最新推荐文章于 2024-07-25 17:09:16 发布
阅读量1.4k 收藏 1
点赞数 2
分类专栏: 驱动开发 文章标签: windows 服务器 数据库 驱动开发 c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a756598009/article/details/131296999
版权

32位/64位WINDOWS驱动之进程保护参考地址:

参考https://blog.csdn.net/cosmoslife/article/details/113995641

OpenProcess()函数
方法名称:OpenProcess
位置:Kernel32.dll
OpenProcess 函数用来打开一个已存在的进程对象,并返回进程的句柄。
1.函数原型
HANDLE OpenProcess(
DWORD dwDesiredAccess,
BOOL bInheritHandle,
DWORD dwProcessId
);

参数
#define PROCESS_TERMINATE (0x0001) //终止一个进程的权限,使用TerminateProcess
#define PROCESS_CREATE_THREAD (0x0002) //需要创建一个线程
#define PROCESS_SET_SESSIONID (0x0004)
#define PROCESS_VM_OPERATION (0x0008)//操作进程内存空间的权限(可用VirtualProtectEx和WriteProcessMemory)
#define PROCESS_VM_READ (0x0010)//读取进程内存空间的权限,可使用ReadProcessMemory
#define PROCESS_VM_WRITE (0x0020)//读取进程内存空间的权限,可使用WriteProcessMemory
#define PROCESS_DUP_HANDLE (0x0040)//重复使用DuplicateHandle句柄
#define PROCESS_CREATE_PROCESS (0x0080)//需要创建一个进程
#define PROCESS_SET_QUOTA (0x0100)//设置内存限制的权限,使用SetProcessWorkingSetSize
#define PROCESS_SET_INFORMATION (0x0200)//设置某些信息的权限,如进程优先级
#define PROCESS_QUERY_INFORMATION (0x0400)//获得进程信息的权限,如它的退出代码、优先级
#define PROCESS_SUSPEND_RESUME (0x0800)//暂停或恢复进程的权限
#define PROCESS_QUERY_LIMITED_INFORMATION (0x1000)/获得某些信息的权限,如果获得了PROCESS_QUERY_INFORMATION,也拥有PROCESS_QUERY_LIMITED_INFORMATION权限/
#define PROCESS_SET_LIMITED_INFORMATION (0x2000)
void 安装内存保护();
void 卸载内存保护();

在驱动层添加个文件进程保护,在这个文件里面添加一个驱动保护.c 驱动保护.h

1.驱动保护.c代码如下

#include <ntifs.h>
#include "进程保护.h"

OB_PREOP_CALLBACK_STATUS
my_pre_callback(
	PVOID RegistrationContext,
	POB_PRE_OPERATION_INFORMATION OperationInformation
)
{
	RegistrationContext;

	DbgPrint("yjx:sys pEPROCESS=%p", OperationInformation->Object);
	if (OperationInformation->KernelHandle)
	{
		//内核创建
	}
	else
	{
		//用户层
		ACCESS_MASK old权限 = OperationInformation->Parameters->CreateHandleInformation.OriginalDesiredAccess;
		//ACCESS_MASK oldl = old权限;
		ACCESS_MASK new1 = OperationInformation->Parameters->CreateHandleInformation.DesiredAccess;
		//排除PROCESS_VM_READ权限
		old权限 &= ~PROCESS_TERMINATE;//阻止结束进程 拦截结束进程
		//排除掉PROCESS_VM_WRITE
		/*old权限 &= ~PROCESS_VM_WRITE;*/
		//返回我们修改过的权限 OpenProcess
		OperationInformation->Parameters->CreateHandleInformation.DesiredAccess = old权限;
		DbgPrint("yjx:old权限=%x 新权限 = %X",old权限,new1);

	}

	return OB_PREOP_SUCCESS;
}

HANDLE gs_HandleCallback = NULL;//用来存放返回的句柄 以方便卸载对应功能
void 安装内存保护()
{
	OB_CALLBACK_REGISTRATION ob1_callback_reg = { 0 };
	OB_OPERATION_REGISTRATION ob2_operation = { 0 };
	//ob1 5项
	RtlInitUnicodeString(&ob1_callback_reg.Altitude,L"321000");
	ob1_callback_reg.RegistrationContext = NULL;
	ob1_callback_reg.Version = OB_FLT_REGISTRATION_VERSION;//ObGetFilterVersion();
	ob1_callback_reg.OperationRegistrationCount = 1;//只注册了一个回调pre
	ob1_callback_reg.OperationRegistration = &ob2_operation;
	//接下来初始化  ob2_operation
	ob2_operation.ObjectType = PsProcessType;
	ob2_operation.Operations = OB_OPERATION_HANDLE_CREATE;
	ob2_operation.PostOperation = NULL;
	ob2_operation.PreOperation = my_pre_callback;
	ObRegisterCallbacks(&ob1_callback_reg, &gs_HandleCallback);//INTEGRITYCHECK
	DbgPrint("yjx:sys 安装内存保护 gs_HandleCallback=%p", gs_HandleCallback);

}

void 卸载内存保护()
{
	if(gs_HandleCallback)   ObUnRegisterCallbacks(gs_HandleCallback);
	DbgPrint("yjx:sys 卸载内存保护");
}

在这里插入图片描述

2.驱动保护.h 代码如下:

#pragma once
#define PROCESS_TERMINATE					(0x0001)  //终止一个进程的权限,使用TerminateProcess
#define PROCESS_CREATE_THREAD				(0x0002)  //需要创建一个线程
#define PROCESS_SET_SESSIONID				(0x0004)
#define PROCESS_VM_OPERATION				(0x0008)//操作进程内存空间的权限(可用VirtualProtectEx和WriteProcessMemory)
#define PROCESS_VM_READ						(0x0010)//读取进程内存空间的权限,可使用ReadProcessMemory
#define PROCESS_VM_WRITE					(0x0020)//读取进程内存空间的权限,可使用WriteProcessMemory
#define PROCESS_DUP_HANDLE					(0x0040)//重复使用DuplicateHandle句柄
#define PROCESS_CREATE_PROCESS				(0x0080)//需要创建一个进程
#define PROCESS_SET_QUOTA					(0x0100)//设置内存限制的权限,使用SetProcessWorkingSetSize
#define PROCESS_SET_INFORMATION				(0x0200)//设置某些信息的权限,如进程优先级
#define PROCESS_QUERY_INFORMATION			(0x0400)//获得进程信息的权限,如它的退出代码、优先级
#define PROCESS_SUSPEND_RESUME				(0x0800)//暂停或恢复进程的权限
#define PROCESS_QUERY_LIMITED_INFORMATION	(0x1000)/*获得某些信息的权限,如果获得了PROCESS_QUERY_INFORMATION,也拥有PROCESS_QUERY_LIMITED_INFORMATION权限*/
#define PROCESS_SET_LIMITED_INFORMATION	    (0x2000)
void 安装内存保护();
void 卸载内存保护();

在这里插入图片描述

3.破解 ObRegisterCallbacks 函数的使用限制

第一种方法
在讲解怎么使用 ObRegisterCallbacks 函数来注册系统线程、进程回调的之前,先来讲解下 Windows 对这个函数做的限制:驱动程序必须有数字签名才能使用此函数。不过国外的黑客对此限制很不满,通过逆向 ObRegisterCallbacks,找到了
破解这个限制的方法。经研究,内核通过 MmVerifyCallbackFunction 验证此回调
是否合法, 但此函数只是简单的验证了一下 DriverObject->DriverSection->Flags 的值是不是为 0x20:

具体使用方法如下:
我们在驱动口点加上
#include"进程保护.h"
在这里插入图片描述

4.在入口点加上 //定义一个结构来强制的转

 typedef struct _KLDR_DATA_TABLE_ENTRY
    {
        LIST_ENTRY listEntry;
        ULONG unknown1;
        ULONG unknown2;
        ULONG unknown3;
        ULONG unknown4;
        ULONG unknown5;
        ULONG unknown6;
        ULONG unknown7;
        UNICODE_STRING path;
        UNICODE_STRING name;
        ULONG   Flags;
} KLDR_DATA_TABLE_ENTRY, *PKLDR_DATA_TABLE_ENTRY;

加载驱动代码里面加入破解驱动签名限制代码

PKLDR_DATA_TABLE_ENTRY pobj = (PKLDR_DATA_TABLE_ENTRY)DriverObject->DriverSection;
	pobj->Flags |= 0x20;

在创建驱动设备后面,在调用一下

安装内存保护();  //函数

在到驱动卸载里面调用一下

卸载内存保护(); //函数

在这里插入图片描述

最后一步

`
开发环境设置方式是:

右击项目,选择属性;
选中配置属性中的链接器,点击命令行;
在其它选项中输入: /INTEGRITYCHECK 表示设置; /INTEGRITYCHECK:NO 表示不设置。
对于使用sources文件编译的方式,增加LINKER_FLAGS=/INTEGRITYCHECK

在Debug 和Release都加上
在命令行加上/INTEGRITYCHECK

在这里插入图片描述

虚拟机加载驱动测试结果

在这里插入图片描述
卸载驱动才可以结束

在这里插入图片描述

以上就是驱动保护的全部代码了。

a756598009
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
32位/64位WINDOWS驱动之-突破进程保护进程读写内存
a756598009的博客
07-01 748
类别:值 控件类型: EDIT 名称: m_targetPID 变量类型: UINT32。以上就是突破进程保护进程读写内存的全部内容了。加一个控制码和驱动层对应。
驱动签名 隐藏进程 保护进程 多种方式 保护进程驱动
05-18
64位驱动程序尤其需要驱动签名,因为它们运行在更高的权限级别上,未经签名的驱动可能会对系统稳定性造成严重影响。驱动签名涉及一个数字证书,由权威机构颁发,证明驱动的来源和代码完整性。 “隐藏进程”是一种...
C++x64内核保护进程源码_保护进程_x64内核保护进程_进程保护_进程保护c++
08-09
内核 X64保护指定进程源码
进程保护工具 保护进程不被关闭
01-10
保护进程不被关闭!保护进程不被关闭!保护进程不被关闭!保护进程不被关闭!
驱动级!进程隐藏-按键精灵过检】驱动级,内核级进程隐藏,进程保护。实战效果演示,免费分享。
luoqiaoliang的博客
05-20 1446
废话不多说,干货直接上! 免费的驱动进程隐藏工具分享,还不赶紧带上你的赞和关注白嫖一波吗?
进程保活之常见方式
amynn的博客
07-01 1125
进程保活一.为什么需要进程保活二.进程优先级前台进程(Foreground process)可见进程(Visible process)服务进程(Service process)后台进程(Background process)空进程(Empty process)三.保活方式1. 利用 Notification 提升权限2. 利用系统Service机制拉活3. 添加Manifest文件属性值为android:persistent=“true”4. 覆写Service的onDestroy方法5. 利用系统广播拉活
32位/64位WINDOWS驱动进程保护(拒绝CE,OD等工具读写)
a756598009的博客
06-20 669
接着上一篇文章,我们只需要排除读写权限就可以拒绝OD CE等工具对程序的读写。
32位/64位WINDOWS驱动之windbg双机调试
a756598009的博客
06-24 3649
windbg双机调试环境配置第一步关掉虚拟机如果有打印机请移除打印机(打印机会占用端口)添加-添加串行端口-完成选择使用命名的通道-名字为 \.\pipe\abc123(对应下面的COM1) -确定-在开启虚拟机在虚拟机命令行里面输入 msconfig 来到系统配置 -引导-第二个高级选项 -勾选调试-勾选调试窗口-选择COM1;-确认-重新启动-启动的时候选择下面的调试系统来到自己电脑系统搜索windbg。
32位/64位WINDOWS驱动保护指定进程PID(拒绝CE,X64dug,OD等工具读写)
a756598009的博客
06-24 783
给编辑框添加变量 类别 值 变量类型 改成UINT32 名称m_PID 完成。把RegistrationContext;在进入派遣函数中增加两个控制开关。进程保护.c里面 注释目标进程名。剪切到判断受保护下面 并修改为。搜索不到数值,打开内存也没有数据。x64dubug附加进程直接结束。来到添加保护进程按钮控制事件。来到移除保护进程按钮控制事件。读写控制后面添加两个函数。进程名标签改为进程PID。
4.6 Windows驱动开发:内核遍历进程VAD结构体
热门推荐
CSDN
11-18 1万+
总之,VAD结构是Windows操作系统中管理进程虚拟地址空间的重要数据结构之一,它通过构建一个树形结构来管理进程的虚拟地址空间,并提供了丰富的属性信息,使得操作系统可以对虚拟地址空间进行有效的管理和保护。系统在创建线程时,会为该线程分配一段物理内存页,并映射到该线程的栈空间中,然后将栈空间的起始地址记录在该线程的。EPROCESS 结构体是用于表示操作系统中的一个进程的数据结构,其中包含了许多与该进程相关的信息,包括了该进程的虚拟地址空间描述符树(VAD 结构树)。,树的每一个节点代表一段虚拟地址空间。
4.3 Windows驱动开发:监控进程与线程对象操作
CSDN
11-18 4531
在内核中,可以使用这个内核回调函数来实现监控进程和线程对象操作。通过注册一个回调结构体,可以指定所需的回调函数和回调的监控类型。这个回调结构体包含了回调函数和监控的对象类型,还有一个Altitude字段,用于指定回调函数的优先级。优先级越高的回调函数会先被调用,如果某个回调函数返回了一个非NULL值,后续的回调函数就不会被调用。当有进程或线程对象创建、删除、复制或重命名时,内核会调用注册的回调函数。回调函数可以访问被监控对象的信息,如句柄、进程ID等,并可以采取相应的操作,如打印日志、记录信息等。
VT_X64(VT 支持x64的源码).rar_64位进程保护_VT_Vt进程隐藏_vt源码_进程保护
07-15
这里的“64位进程保护”意味着该技术特别关注在64位操作系统上的进程安全。 “VT_Vt进程隐藏”是指通过VT技术实现对进程的隐藏,使得其他程序或恶意软件难以检测到这些进程的存在。这在某些安全或隐私敏感的应用...
原版win10-进程保护驱动源码_c_保护驱动_进程保护_win10驱动保护_win10进程保护
09-11
Win10-进程保护驱动源码项目,正如其标题所示,是专门针对Windows 10操作系统设计的,旨在提供一种驱动级别的保护机制,以确保应用程序的安全运行。本文将深入探讨这个项目的核心概念、技术实现以及它在Windows 10...
win10系统64位驱动级防止进程关闭资源
01-20
Windows 10 64位系统中,驱动级编程是一种深入操作系统内核的技术,它允许开发者编写程序来控制和管理系统的低级别功能。驱动级防止进程关闭资源是指通过驱动程序来保护特定进程,使其不被轻易结束或篡改。这种...
3.3 Windows驱动开发:内核MDL读写进程内存
CSDN
11-16 4956
MDL内存读写是一种通过创建MDL结构体来实现跨进程内存读写的方式。在Windows操作系统中,每个进程都有自己独立的虚拟地址空间,不同进程之间的内存空间是隔离的。因此,要在一个进程中读取或写入另一个进程的内存数据,需要先将目标进程的物理内存映射到当前进程的虚拟地址空间中,然后才能进行内存读写操作。MDL结构体是Windows内核中专门用于描述物理内存的数据结构,它包含了一系列的数据元素,包括物理地址、长度、内存映射的虚拟地址等信息。
通过驱动保护进程方案 (Window )
houxian1103的博客
08-21 3528
驱动发现打开的进程句柄是我们要保护进程时,就去掉访问权限,使任何人都无法访问受保护进程。这个文件定义了主要功能处理程序IRP_MJ_*。具体来说,IRP_MJ_CREATE和IRP_MJ_CLOSE被IRP_MJ_WRITE处理。该文件定义handle_buffer_message处理从IRP_MJ_WRITE. 根据收到的命令,驱动程序将调用enable_protection或disable_protection。- 勾住SSDT的函数,如果用卡巴,就有点麻烦,因为它也是用这招,就看谁先取得了。
UEFI DebugLib 介绍
最新发布
qq_43561214的博客
07-25 643
有多个Lib 对DebugPrintEnabled 做了定义,因此可以使用不同的Lib 让Debug()产生不同的效果,这点也适用于其他函数。UefiDebugLibConOut.inf 这个Lib就是开始我们提到的将debug信息打印到Shell 使用的Lib。当我们调试程序时,可以在可能有问题的地方插入一条 INT 3 指令,使 CPU 执行到这一点时停下来。当条件为假时,断言会触发错误处理机制,通常会导致程序中。对于不同的架构实现方式可能不同,但是可以用同样的模块代码,通过替换Lib去替换实现函数。
qt开发:应用如何做静默升级更新
weixin_42602900的博客
07-24 385
qt开发:应用如何做静默升级更新
64位驱动隐藏进程保护进程.e
11-23
64位驱动隐藏进程保护进程是指使用64位驱动程序来隐藏操作系统中的进程,并保护这些进程免受恶意软件或未授权访问的侵害。 首先,64位驱动可以通过修改内核数据结构来隐藏进程驱动可以通过直接访问内核内存,修改进程列表或隐藏进程的关键信息,如进程ID、名称等。这样,隐藏的进程在任务管理器等操作系统工具中将看不见,对于恶意软件的识别和攻击会更加困难。 其次,64位驱动可以使用安全特性来保护进程驱动可以通过访问操作系统的安全模块,如Windows内核安全模块(Windows Kernel Security Module),来实施防护措施。驱动可以加密、加密或签名进程的代码和数据,防止恶意软件注入恶意代码或篡改关键数据。此外,驱动可以通过访问操作系统的访问控制列表(ACL)来限制对进程的访问权限,只允许授权用户或进程进行访问。 第三,64位驱动可以监视和检测对进程的非法访问。驱动可以实时监视进程间通信和系统调用,及时发现恶意软件的行为。如果检测到非法访问或异常操作,驱动可以采取相应的措施,如终止进程、阻止非法访问等。 总之,64位驱动隐藏进程保护进程能够提升操作系统的安全性,保护进程免受恶意软件的攻击和未授权访问。这对于保护个人计算机、企业服务器等信息系统的安全至关重要。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

a756598009

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值