劫持系统进程禁止打开任何进程(5)

最新推荐文章于 2023-06-25 11:15:46 发布
最新推荐文章于 2023-06-25 11:15:46 发布
阅读量165 收藏
点赞数
原文链接:http://www.cnblogs.com/ZhangJinkun/p/4531484.html
版权
劫持系统进程禁止打开任何进程(5)<?xml version="1.0" encoding="UTF-8"?>
windows创建进程的函数:

261921227433468.png

把这个函数劫持之后注射到 explore.exe进程中即可。

现在注射到印象笔记中测试:

#include <stdio.h>
#include <windows.h>
#include <string.h>
#include "detours.h"
#pragma comment ( lib , "detours.lib" )

BOOL ( WINAPI * oldCreateProcessW)(
        LPCWSTR lpApplicationName,
        LPWSTR lpCommandLine,
        LPSECURITY_ATTRIBUTES lpProcessAttributes,
        LPSECURITY_ATTRIBUTES lpThreadAttributes,
        BOOL bInheritHandles,
        DWORD dwCreationFlags,
        LPVOID lpEnvironment,
        LPCWSTR lpCurrentDirectory,
        LPSTARTUPINFOW lpStartupInfo,
        LPPROCESS_INFORMATION lpProcessInformation
       ) = CreateProcessW;

BOOL WINAPI newCreateProcessW(
        LPCWSTR lpApplicationName ,
        LPWSTR lpCommandLine ,
        LPSECURITY_ATTRIBUTES lpProcessAttributes ,
        LPSECURITY_ATTRIBUTES lpThreadAttributes ,
        BOOL bInheritHandles ,
        DWORD dwCreationFlags ,
        LPVOID lpEnvironment ,
        LPCWSTR lpCurrentDirectory ,
        LPSTARTUPINFOW lpStartupInfo ,
        LPPROCESS_INFORMATION lpProcessInformation
       ) {
       MessageBoxA(0, "系统进程已被劫持!" , "系统警告" , 0);
        return 0;
}

void Hook()
{

       DetourRestoreAfterWith(); //恢复原来状态,
       DetourTransactionBegin(); //拦截开始
       DetourUpdateThread(GetCurrentThread()); //刷新当前线程
       DetourAttach(( void **)&oldCreateProcessW, newCreateProcessW); //实现函数拦截
       DetourTransactionCommit(); //拦截生效

}

void UnHook()
{
       DetourTransactionBegin(); //拦截开始
       DetourUpdateThread(GetCurrentThread()); //刷新当前线程
       DetourDetach(( void **)&oldCreateProcessW, newCreateProcessW); //撤销拦截函数
       DetourTransactionCommit(); //拦截生效
}

_declspec ( dllexport ) void go(){
       MessageBoxA(0, "系统进程劫持成功!" , "系统信息" , 0);
        int i = 0;
        while (i++ < 60){
              Hook();
              Sleep(1000);
       }
       UnHook();
}

劫持成功:

    261921227433468.png


打开帮助的入门指南的时候:

261921239468169.png




转载于:https://www.cnblogs.com/ZhangJinkun/p/4531484.html

bad0126
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Wsyscheck1216中文版(第二版)
01-04
<br> 可以使用进程页的“禁止程序运行”,这个功能就是流行的IFEO劫持功能,我们可以使用它来屏蔽一些结束后又自动重新启动的程序。通过禁用它的执行来清理文件。解除禁用的程序用“安全检查”页的“禁用程序...
关于进程劫持注入的一点分析与思考
輚至消亡
04-03 2543
1. 劫持进程实现注入 今天我尝试对win10 x64上的计算器进程进行进程劫持注入。 劫持进程实现注入要执行如下步骤: 以挂起方式启动目标进程 采用其他注入方式将DLL注入目标进程 继续目标进程的主线程使目标进程继续运行 这种注入方式的优点: 被注入的进程来不及做任何防御就会被注入。 因为以挂起方式启动进程,该进程的地址空间内除了目标进程的exe模块和ntdll.dll模块外 还来不及解析导入表将所需dll全部导入,也就是说作为防护的dll模块或者线程可能也来不及导入和执行,这大大提高了注入
进程劫持
weixin_34150830的博客
12-23 400
进程劫持: http://blog.chinaunix.net/space.php?uid=18757596&do=blog&id=1744672 unsigned long *getscTable(){ unsigned char idtr[6],*shell,*sort; struct _idt *idt; unsign...
通过修改peb中的命令行参数字段实现进程创建的劫持
最新发布
pureman_mega的博客
06-25 327
之前分析过的一些恶意软件中会使用这种方法来进行浏览器的主页劫持,其原理就是在进程创建回调函数中处理进程的创建消息。下面示例展示了如何修改命令行参数:以abcdefg.exe进程为例,其完整文件路径为:"C:\Users\1909\Desktop\abcdefg.exe";进修改后变为:"C:\Users\1909\Desktop\abcdefg.exe" -124,当然也可以变为:"C:\Users\1909\Desktop\abcd.exe" -124。
Linux 2.6 劫持系统调用 隐藏进程
joy
03-22 3185
Linux 2.6 劫持系统调用 隐藏进程 linuxsystemtablestructhooklinux内核     一、原理        Intel x86系列微机支持256种中断,为了使处理器比较容易地识别每种中断源,把它们从0~256编号,即赋予一个中断类型码n,Intel把它称作中断向量。        而Linux中的系统调用使用的是128号,即0x80号中
Activity_Hijack.apk
04-19
用途:该工具主要用于APP劫持检测。 使用方法:安装HijackActivity.apk,使用 activity 界面...除此之外,因为Android进程栈的工作原理,建议开发客户端时针对进程栈进行相应的保护,可禁止其他进程放置于客户端之上。
Wsyscheck 3
07-05
也可以使用进程页的“禁止程序运行”,这个功能就是流行的IFEO劫持功能,我们可以使用它来屏蔽一些结束后又自动重新启动的程序。通过禁用它的执行来清理文件。解除禁用的程序用“安全检查”页的“禁用程序管理”...
wsyscheck by wangsea
09-03
也可以使用进程页的“禁止程序运行”,这个功能就是流行的IFEO劫持功能,我们可以使用它来屏蔽一些结束后又自动重新启动的程序。通过禁用它的执行来清理文件。解除禁用的程序用“安全检查”页的“禁用程序管理”...
QQ病毒木马专杀工具(QQKav) 2012 元旦版.zip
07-14
13.系统诊断:详细的系统诊断日志功能,可导出当前系统进程、启动项、未知系统服务、注册表加载项等内容,方便浏览。将日志帖到网上,可让高手迅速找到问题所在,删除可疑文件,解决电脑问题。 14.内存优化:获取本...
进程守护 防止某个进程禁止后 自动启动
12-24
防止某个进程禁止后 自动启动 比如用 迅雷挂机 下载 到半夜 就莫名其妙退出了 用了它就可以了
win7 64bit下远程线程注入技术(进程劫持入门技术)
扣的CODE
07-20 7563
http://blog.csdn.net/arvon2012/article/details/7766439 本文是配合上文学习和使用的。上文中,最后,我们生成了可以hook api的dll,那么怎么把它发射到其他进程中,让其他进程调用运行我们的dll呢? 远程线程注入技术可以解决这个问题。   原理: 远程线程注入是这样的,首先在当前运行的进程中找到目标进程,然后将我们的dll的内容写
linux 进程 劫持,Linux 命令被劫持了,怎么处理
weixin_28993425的博客
04-30 643
本文转载自微信公众号「Bypass」,作者Bypass。转载本文请联系Bypass公众号。在一些应急场景中,我们经常会遇到有些木马会替换常用的系统命令进行伪装,即使我们清理了木马,执行ps、netstat等系统命令时又启动了木马进程。这种手法相对比较隐蔽,排查起来也比较困难,本文分享两种比较简单的排查技巧。1、AIDE 入侵检测AIDE 是一款入侵检测工具,主要用途是检查文档的完整性。通过构建一...
DLL注入技术之劫持进程创建注入
潜心学习
06-28 2220
正规主题 作者: xusir98 日期: 2013-06-03 来源: 黑客反病毒 (http://bbs.hackav.com) 出处: 黑客反病毒 (http://bbs.hackav.com) 注意: 转载请务必附带本组信息,否则侵权必究! DLL注入技术之劫持进程创建注
[源码和文档分享]劫持ZwQuerySystemInformation函数实现进程隐藏
qq_38474647的博客
01-03 239
背景 所谓的进程隐藏,通俗地说指的是某个进程正常工作,不受任何影响,但是,我们使用类似任务管理器、Process Explorer 等进程查看软件查看进程,却看不到这个进程。适合秘密在计算机后台进行操作的程序,而不想让人发现。 本文讲解的就是实现这样的一个进程隐藏程序的原理和过程,当然,进程隐藏的方法有很多,例如 DLL 劫持、DLL注入、代码...
linux怎么劫持进程
06-07
通过ptrace,可以在目标进程系统调用前、后注入自己的代码,以达到劫持进程的目的。 2. 使用LD_PRELOAD:在Linux中,可以通过设置环境变量LD_PRELOAD来指定共享库的加载路径,从而实现在目标进程中注入自己的代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值