HOOK SwapContext 枚举隐藏进程(学习笔记4)(3)

最新推荐文章于 2022-08-21 12:50:09 发布
最新推荐文章于 2022-08-21 12:50:09 发布
阅读量608 收藏
点赞数
分类专栏: 驱动开发学习 文章标签: hook null integer object access string

190  
191 void  klisterUnload(IN PDRIVER_OBJECT pDriverObject)
192 {
193   BeTerminate = 1;
194   while(BeTerminate != 3)   
01 // = 3时说明创建的线程不是pending状态且马上会结束 这时候可以UNLOAD   否则线程在PENDING状态UNLOADE 会直接蓝
02   {
03        
04   }
05    
06   if (GoBackAddr)//PBYTE GoBackAddr = NULL;
07     HookSwapFunction(FALSE); 
08 }
09  
10 void showProcess()
11 {
12  
13   PProcessList temp;
14   DWORD count = 0;
15   PUCHAR pFileName;
16    temp = wLastItem;
17  
18  
19   while (temp)     //遍历链表
20   
21       if (temp->pEPROCESS)
22     {
23         count++;
24         pFileName = (PUCHAR)((unsigned int)(temp->pEPROCESS) + 0x174);
25         DbgPrint("0x%08X   %s \n",(unsigned int)(temp->pEPROCESS), pFileName);
26     }
27     temp = PProcessList(temp->NextItem);
28   }
29  
30   DbgPrint("共有%d个进程", count);
31 }
32  
33  
34 void WorkThread(IN PVOID pContext)
35 {
36   LARGE_INTEGER timeout;
37    
38   while(true)
39   {
40     if (MmIsAddressValid(&BeTerminate) )   
view source
print ?
01 // 因为BeTerminate是在UNLOAD中设置的 可能驱动卸载后 这个变量不能访问 所以用MmIsAddressValid判断下
02     {
03       if(BeTerminate == 0)
04       {
05          
06         //等待单位是 100ns         //-10作用是转换成微秒  //2000000微秒=2秒
07         timeout = RtlConvertLongToLargeInteger(-10              *    2000000);  
08          
09         KeDelayExecutionThread(KernelMode, FALSE, &timeout);
10         DbgPrint("搜集到的进程是");       
11         showProcess();
12       }
13       else
14       {
15           BeTerminate = 3;
16         PsTerminateSystemThread(STATUS_SUCCESS);
17         goto __end;
18       }
19     }
20     else
21     {
22         BeTerminate = 3;
23       PsTerminateSystemThread(STATUS_SUCCESS);
24       goto __end; 
25     }
26   }
27 __end:;
28 }
29  
30  
31 // 驱动程序加载时调用DriverEntry例程
32 NTSTATUS DriverEntry(
33            IN PDRIVER_OBJECT  pDriverObject,
34            IN PUNICODE_STRING pRegistryPath
35            )
36 {
37   NTSTATUS dwStAtus;
38   HANDLE hThread;
39    
40   pDriverObject->DriverUnload=klisterUnload;
41    
42   dwStAtus = PsCreateSystemThread(&hThread,
43     (ACCESS_MASK)0,
44     NULL,
45     (HANDLE)0,
46     NULL,
47     WorkThread,
48     NULL
49     );
50      
51      
52       GetSwapAddr();
53       if (GoBackAddr){
54       HookSwapFunction(TRUE);
55
56   return STATUS_SUCCESS;
57 }


cosmoslife
关注
专栏目录
HOOK SwapContext 枚举隐藏进程(学习笔记4)
01-08 3866
 作 者: bzhkl 时 间: 2008-12-11,12:01 链 接: http://bbs.pediy.com/showthread.php?t=78464 以前想检测一个被隐藏进程 后来用暴力枚举的方法解决了 但是HOOK SwapContext没有看到有完整的代码 所以搜集了点网上有用的模块 自己整合实现了下 确定支持XP3, XP2没测试 应该也能支持 附完整工程代
win7x64hookSwapContext函数
01-05
64位系统下hook SwapContext函数,ring0。
HOOK SwapContext 枚举隐藏进程(学习笔记4)(1)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-26 1167
HOOK SwapContext 枚举隐藏进程(学习笔记4) 作者:windows内核安全技术站A盾电脑防护 dump 文件接收:asm32asm@gmail.com " style="text-decoration:none; color:rgb(69,82,95)">A盾电脑防护 | 分类: 分类:进程 | 标签: | 2012-2-21 作 者: bzhkl
HOOK SwapContext 枚举隐藏进程(学习笔记4)(2)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-26 859
下面是主要代码   01 DWORD gThreadsProcessOffset =0x220;    // ETHREAD 在 EPROCESS偏移 02 /* 03   04 +0x218 TopLev
VB 枚举隐藏进程
chenhui530的专栏
10-09 4606
这篇文章是我翻译了两篇VC文章结合在一起的成果~具体是翻译的文章出处我也不清楚,我也是在网络上找到的希望原作者见谅!此文章是通过获取内核数据枚举EPROCESS结构来枚举进程的.所以现在大部分隐藏进程的程序都可以有一一列出来.在有的机器上运行可能会出错.由于时间关系我只写了检查注释如果有不懂的大家请在这里留言我会一一作答.下面是VB源码:VERSION 5.00Begin VB.Form
易语言-apihook达到对指定进程隐藏窗口
06-25
在本案例中,我们讨论的是使用易语言实现API Hook,从而达到对指定进程隐藏窗口的目的。易语言是一种中文编程语言,它以简洁的词汇和语法为特点,适合初学者学习。 API Hook的基本原理是通过在目标进程的调用链中...
APIHook.rar_APIHOOK_api hide_api to hide process_hook_隐藏进程
09-22
标题“APIHook.rar_APIHOOK_api hide_api to hide process_hook_隐藏进程”表明此压缩包文件内容涉及API Hook技术,特别是利用它来隐藏进程的实现方法。 API Hook的基本原理是将系统调用或库函数的原始实现替换为...
VC 键盘HOOK枚举隐藏/显示指定窗口.rar
07-10
在这个“VC 键盘HOOK枚举隐藏/显示指定窗口”的项目中,开发者创建了一个程序,该程序能够安装键盘钩子,监听键盘输入,并根据按键操作来控制特定窗口的可见性。 首先,让我们了解一下键盘钩子(Keyboard Hook)...
易语言枚举系统所有ApiHook
07-16
易语言枚举系统所有ApiHook源码,枚举系统所有ApiHook,枚举程序内所有ApiHook,枚举ApiHook,计算偏差,取模块完整路径,进程ID取模块,取进程ID,RtlMoveMemory_IMAGE_DOS_HEADER,RtlMoveMemory_IMAGE_NT_HEADERS32,...
易语言枚举隐藏进程
07-16
易语言枚举隐藏进程源码,枚举隐藏进程,进程信息,EnumPro,取公司名称,GetCommandLine,数值到时间,GetUser_WTS,DOS路径转换_,处理事件_,LoadLibrary,GetProcAddress,FreeLibrary,loadDll,GetActiveWindow,GetCurrentProcessId,SendMessageA,ImageList_Destr
win32拦截SwapContext函数
06-12
拦截swapcontext函数,处理线程切换
5种方法得到所有进程名(包括隐藏进程
11-07
VB使用5种方法得到所有进程名(包括隐藏进程),2000系统下可能不能使用,判断系统版本如果是2K以下的系统就报错退出,获取Debug权限这是必须的。获取常规下的进程,打印进程、判断指定进程是否为隐藏进程……   以下5种方法在Windows NT各个版本上都有:   NT 5.1 新增的:   获取KdVersionBlock,从内核空间拷贝到用户空间,或者从用户空间拷贝到用户空间,但是不能从用户空间拷贝到内核空间,从物理地址拷贝到用户空间,不能写到内核空间,读写处理器相关控制块,读写端口,读写总线数据,枚举Kernel Module函数,判断Nt系列函数是否调用成功,创建一个ACE,允许当前用户读写PhysicalMemory
基于进程 EPROCESS - ActiveProcessLists 枚举进程,并通过摘链隐藏进程
墨鱼菜鸡
06-24 177
实现原理 进程 EPROCESS 结构存储着进程一切信息,所以这个结构体很庞大,而且,不同系统, EPROCESS 结构定义也不相同,它里面的一些成员的偏移也不是固定一成不变的。 可使用函数 PsGetCurrentP...
枚举隐藏进程hook SwapContext线程调度法
10-28 1006
PBYTE GoBackAddr = NULL;PBYTE ChangAddr = NULL;PBYTE CallContextAddr = NULL;DWORD CallContextOffset = 0;                                                                                                
[C/C++]windows下实现swapcontext等函数实践
weixin_34391445的博客
07-02 620
2019独角兽企业重金招聘Python工程师标准>>> ...
InlineHookSwapContext
weixin_34364071的博客
10-21 119
作用:枚举进程, 获取隐藏进程的EPROCESS源码地址:https://github.com/haidragon/HookSwapContext #include <ntddk.h> #include <ntimage.h> #include <ntdef.h> #include "hash.h" #include "xde.h" #include "main...
(24)[进程与线程] 分析SwapContext
qq_50332504的博客
08-21 830
SwapContext有几个参数? SwapContext在哪里实现了线程切换? 哪里进行了进程切换(修改CR3)? TSS存储当前的 SS0 : ESP0。 FS:[0]在3环总能正确指向当前TEB。 异常链表的切换。 完整分析代码。
r0下多核hook
hongduilanjun的博客
03-23 1695
文章首发奇安信攻防社区:https://forum.butian.net/share/1361 r0层多核下hook高并发函数存在的问题是:在使用如memcpy的时候,无法一次性拷贝5个字节的硬编码。即有可能拷贝到一半,别的线程去执行了代码导致蓝屏。 解决的办法有: 短跳中转 中断门 找一条一次性修改8字节的指令 这里将使用第三种方法实现。 SwapContext 这是线程切换核心函数,Windows几乎无时无刻在执行这个函数,所以属于是高并发函数。 本文将在多核环境下通过hook SwapCont
自己Swap自己,Ring0下做测试器时用的代码
05-10 1019
作者:vxk#include "vx_main.h"#include "mem.h"#include #include void MySwapContextHook();void MySwapContextEndHook();static DWORD SwapContextPtr=0;static DWORD SwapContextCnt=0;extern HANDLE CurrentProc
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值