进程保护--CrossThreadFlags标志位

最新推荐文章于 2021-08-27 06:28:21 发布
最新推荐文章于 2021-08-27 06:28:21 发布
阅读量115 收藏
点赞数
原文链接:http://www.cnblogs.com/kuangke/p/7590790.html
版权

原理:

1. 将进程的所有线程的线程CrossThreadFlags标志位设置成Terminated或者System.

效果:任务管理器,WSYSCheck,ICESWORD无法结束进程。。

但PCHunter 可以结束受保护的进程。但PCHunter无法用普通方法结束受保护的线程,必须使用强制结束线程才可结束线程。。

 

代码:

[cpp] view plain copy
print ?
  1. VOID SetThreadFlagToTerminatedByThreadID(ULONG dwThreadID)  
  2. {  
  3.     ULONG ulFlagOffset;  
  4.     NTSTATUS status = STATUS_UNSUCCESSFUL;  
  5.     PULONG pFlag;  
  6.     PETHREAD eThead;  
  7.     HANDLE threadHandle;  
  8.   
  9.   
  10.     __try{  
  11.         threadHandle = (HANDLE)dwThreadID;  
  12.         ulFlagOffset = GetCrossThreadFlagOffset();  
  13.         //dprintf("[ProtectProcess]GetCrossThreadFlagOffset: 0X%08X\r\n", ulFlagOffset);  
  14.   
  15.         status = PsLookupThreadByThreadId(threadHandle, &eThead);  
  16.         if(!NT_SUCCESS(status))  
  17.         {  
  18.   
  19.             dprintf("PsLookupThreadByThreadId ERRORid:0X%08X, TID: 0X%08X\r\n", status, dwThreadID);  
  20.             return status;  
  21.         }  
  22.         //dprintf("ETHREAD:0X%08X\n", eThead);  
  23.   
  24.         pFlag = (ULONG*)((PUCHAR)eThead + ulFlagOffset);  
  25.         //dprintf("ulFlag address:0X%08X value:0x%08X\n", pFlag, *pFlag);  
  26.   
  27.         *pFlag |= PS_CROSS_THREAD_FLAGS_TERMINATED;  
  28.         dprintf("new ulFlag address:0X%08X value:0x%08X\n", pFlag, *pFlag);  
  29.     }__except(EXCEPTION_EXECUTE_HANDLER)  
  30.     {  
  31.         dprintf("EXCEPTION ON set thread cross flags!");  
  32.         return status;  
  33.     }  
  34. }  
VOID SetThreadFlagToTerminatedByThreadID(ULONG dwThreadID)
{
	ULONG ulFlagOffset;
	NTSTATUS status = STATUS_UNSUCCESSFUL;
	PULONG pFlag;
	PETHREAD eThead;
	HANDLE threadHandle;


	__try{
		threadHandle = (HANDLE)dwThreadID;
		ulFlagOffset = GetCrossThreadFlagOffset();
		//dprintf("[ProtectProcess]GetCrossThreadFlagOffset: 0X%08X\r\n", ulFlagOffset);

		status = PsLookupThreadByThreadId(threadHandle, &eThead);
		if(!NT_SUCCESS(status))
		{

			dprintf("PsLookupThreadByThreadId ERRORid:0X%08X, TID: 0X%08X\r\n", status, dwThreadID);
			return status;
		}
		//dprintf("ETHREAD:0X%08X\n", eThead);

		pFlag = (ULONG*)((PUCHAR)eThead + ulFlagOffset);
		//dprintf("ulFlag address:0X%08X value:0x%08X\n", pFlag, *pFlag);

		*pFlag |= PS_CROSS_THREAD_FLAGS_TERMINATED;
		dprintf("new ulFlag address:0X%08X value:0x%08X\n", pFlag, *pFlag);
	}__except(EXCEPTION_EXECUTE_HANDLER)
	{
		dprintf("EXCEPTION ON set thread cross flags!");
		return status;
	}
}

ring3程序与ring0程序下载地址:

 

http://download.csdn.net/detail/xiaocaiju/8192897

jpg改rar 

转载于:https://www.cnblogs.com/kuangke/p/7590790.html

aijia1857
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
进程保护ethread
11-24
进程保护 wrk ethread crossthreadflags
[进程保护] CrossThreadFlags 标志位
LYSM
08-16 660
进程的所有线程的线程 CrossThreadFlags 标志位设置成 Terminated 或者 System。 win 10 下的偏移: dt _ethread ... +0x6d0 CrossThreadFlags ... 这个在Wrk中有简单的说明,大概就是: union { ULONG CrossThreadFlags; struct { ULONG Terminated : 1; // 欺骗系统此
进程防结束之PS_CROSS_THREAD_FLAGS_SYSTEM
求索
02-03 1831
有人投到黑防去了,不过黑防不厚道,竟然没给完整的代码,自己整理一份备用吧,驱网、DebugMan、邪八的那群人直接飘过吧。 这种方法的关键在于给线程的ETHREAD.CrossThreadFlags设置PS_CROSS_THREAD_FLAGS_SYSTEM值,这样其它进程就无法结束它了,包括IceSword、RkU。至于原理,那就先看看wrk里结束进程的那几个内核函数源码,NtTerminat
执行体线程--ETHREAD
BpLife
12-09 2601
typedef struct _ETHREAD { KTHREAD Tcb;//内嵌了KTHREAD对象作为第一个数据成员 LARGE_INTEGER CreateTime;//包含了线程创建时间,他是在线程创建时被赋值的。 union { LARGE_INTEGER ExitTime;//包含了线程的退出时间, LIST_ENTRY L
易语言进程保护-易语言
06-13
易语言进程保护
MonetDB进程-线程模型.docx
11-10
MonetDB进程-线程模型
进程-3.e.rar
03-29
进程-3.e.rar 进程-3.e.rar 进程-3.e.rar 进程-3.e.rar 进程-3.e.rar 进程-3.e.rar
进程-2.e.rar
03-29
进程-2.e.rar 进程-2.e.rar 进程-2.e.rar 进程-2.e.rar 进程-2.e.rar 进程-2.e.rar
进程-1.e.rar
03-29
进程-1.e.rar 进程-1.e.rar 进程-1.e.rar 进程-1.e.rar 进程-1.e.rar 进程-1.e.rar
内核两种反调试方法
zhuhuibeishadiao
05-02 4178
当然方法很多,比如TP的全局调试权限,DebugPort 下面只是我发现的比较好玩的 文章首发在mengwuji.net 知己知彼,百战百胜. 比较猥琐的检测调试方法 第一种就是在EPROCESS 结构中的Flags2这个域里面有一个成员ProtectedProcess    默认为0 当调试器附加的时候会判断此值是否为1 如果是则返回 0xc00007
win10 x64 内核结构体
sanqiuai的博客
08-27 923
nt!_EPROCESS +0x000 Pcb : _KPROCESS +0x2d8 ProcessLock : _EX_PUSH_LOCK +0x2e0 UniqueProcessId : Ptr64 Void +0x2e8 ActiveProcessLinks : _LIST_ENTRY +0x2f8 RundownProtect : _EX_RUNDOWN_REF +0x300 Flags2 : Uint
35 进程与线程之线程结构体
qq_18059143的博客
11-29 606
上节课我们说了EPROCESS,这次我们讲讲线程结构体ETHREAD 使用dt _ETHREAD查看线程结构体内容 dt _ETHREAD ntdll!_ETHREAD +0x000 Tcb : _KTHREAD +0x200 CreateTime : _LARGE_INTEGER +0x208 ExitTime :...
检测当前进程是否被挂起
zhuhuibeishadiao
06-04 7630
KTHREAD的结构: +0x16c SuspendApc : _KAPC +0x19c SuspendSemaphore : _KSEMAPHORE +0x1b0 ThreadListEntry : _LIST_ENTRY +0x1b8 FreezeCount : Char +0x1b9 SuspendCount : Char
[异常分发]三:R0下EventList又是什么时候添加的?
dog0230的博客
05-10 111
1)在创建调试线程中添加异常事件信息 调用过程PspCreateThread-->PspUserThreadStartup(初始化线程的参 数)-->DbgkCreateThread(这里格式化ApiMsg作派发消息的参 数)-->DbgkpSendApiMessage 备注 这里只关心的DbgkpSendApiMeassage函数...
多线程Cross-thread的问题
weixin_30391339的博客
12-18 1050
最近在用C#做网络通信方面的WinForm程序,是C/S架构的程序,用到了多线程处理两端的通信。今天在调试的时候碰到了一个异常:Cross-thread operation not valid: Control 'btnConnect' accessed from a thread other than the thread it was created on.在线程上出问题了,但是在不...
进程调度-作业调度c++
最新发布
12-25
进程调度-作业调度是操作系统中非常重要的一部分,它负责管理和调度系统中的各个进程和作业,确保它们能够合理地分配CPU和其他资源,以达到系统的高效运行。 在进程调度-作业调度中,有多种调度算法可以选择,包括...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值