找NT!openprocess的当前和起源地址

最新推荐文章于 2016-03-11 14:20:36 发布
最新推荐文章于 2016-03-11 14:20:36 发布
阅读量817 收藏 1
点赞数
文章标签: hook c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huangjunfengok/article/details/6312835
版权

今天学了下找NT!openprocess的地址 当前地址和起源地址 为什么有当前地址和起源 因为如果被SSDT被hook了地址就发生变化

 

第一个函数功能是找到OpenProcess在SSDT中的当前地址 并保存在szSSDT_NtOpenProcess中

第二个函数功能是找到OpenProcess在SSDT中的起源地址 并保存在szSSDT_OldNTOpenProcess中

 

szOldOpenProcess  dw 'N','t','O','p','e','n','P','r','o','c','e','s','s',0

.

.

.

szSSDT_NtOpenProcess dd ?

szSSDT_CurNTOpenProcess dd ?

.

.

.

_FindOpenSSDTaddr proc
pushad

mov eax,KeServiceDescriptorTable 

mov eax,dword ptr [eax]
mov eax,dword ptr [eax]

mov ebx,7ah
shl ebx,2

add eax,ebx
mov eax,dword ptr [eax]
mov szSSDT_NtOpenProcess,eax

popad
ret
_FindOpenSSDTaddr endp

 

_FindOpenSSDTOldaddr proc ;找到NT!OpenProcess在在SSDT中的起源地址 并保存在szSSDT_CurNTOpenProcess中
local OldOpenPrecessaddr:UNICODE_STRING
pushad
invoke RtlInitUnicodeString,addr OldOpenPrecessaddr,offset szOldOpenProcess
invoke MmGetSystemRoutineAddress,addr OldOpenPrecessaddr
mov szSSDT_CurNTOpenProcess,eax

popad
ret
_FindOpenSSDTOldaddr endp

huangjunfengok
关注
利用hook OpenProcess实现进程防杀的DLL源码
08-06
hook openprocess 实现进程防杀的DLL源码
OpenProcess()函数
热门推荐
夜空中最亮的星
10-06 5万+
通过一个进程关闭另外一个进程的时候,一般的做法就是枚举系统打开的所用进程的标识符(PID),使用OpenProcess函数获得进程的句柄,该函数可以通过第一个参数来设置句柄的新的访问权限(不清楚句柄是不是和原来的一模一样?有待证明和学习),比如如果打开的句柄不具备终止句柄的权限,直线终止进程操作会失败,返回的错误代码为5(意思为拒绝访问)。通过获得的句柄就可以获得进程名字(通过GetModuleB
内核编程之SSDTHook(2)Hook NtOpenProcess实现进程保护
zuishikonghuan的博客
03-11 7440
本博文由CSDN博主zuishikonghuan所作,版权归zuishikonghuan所有,转载请注明出处: 上一篇博文“内核编程之SSDTHook(1)原理(地址:)”中,介绍了SSDTHook的原理,这一篇博文,我们来写一个实例,通过Hook NtOpenProcess来的实现进程保护。 我之前写过两篇Ring3下的API Inline Hook的博文,这两篇博文通过Inline
显示和杀死系统当前进程.rar_OpenProcess_TerminateProcess
09-21
此代码示范了如何利用 CreateToolhelp32Snapshot API函数枚举系统当前进程。以及如何用HANDLE OpenProcess(...),TerminateProcess(...)来打开和关闭活动进程。
hoh.rar_OpenProcess
09-19
分析这些文件可以帮助你更好地理解和实践`OpenProcess`的使用。 总之,`OpenProcess`函数是Windows系统编程中不可或缺的一部分,它提供了访问和控制其他进程的能力。然而,这种能力也伴随着安全风险,因此在实际...
纯汇编openprocess源码
06-02
请注意,这个例子是高度简化和抽象的,实际的汇编代码会更复杂,因为它需要处理错误码、查NTDLL中的函数地址以及可能的异常处理。此外,为了运行这段代码,需要一个完整且合法的Windows环境,以及正确配置的动态...
enum_processes_1.0.rar_OpenProcess delphi
09-19
获取当前用户所有进程,可以按名称查看。使用 OpenProcess(PROCESS_QUERY_INFORMATION or PROCESS_VM_READ, False, ProcessIds[I])方法,对学习进程方面有参考
VB6用OpenProcess注入exe或dll远程注入
12-28
VB6.0源码下载 用OpenProcess注入exe或dll远程注入 VB实例源码 学习用的。请不要拿这些技术去害人哦。
Windows API一日一练(89)OpenProcess函数
anjichan4261的博客
12-13 393
这一年来流氓软件特别多,面对这种非常恶心的软件,让大家非常痛苦。正是在这种环境之下,众多客户需要强大查杀这种流氓软件的工具。如果让你来开发一个查杀这种病毒的软件,你会怎么做呢?当然是先把电脑里所有进程遍历出来,然后把每个进程的详细信息显示给用户,让用户决定自己那些进程可以运行,那些不可以运行。或者根据当前进程的信息,再跟根据病毒库里的特征码进行比较,就可以标识那些是可疑的病毒了。下面就来...
ZwSystemDebugControl函数
mergerly的专栏
01-25 3518
使用ZwSystemDebugControl,可以在ring3下读写内核空间虚拟内存 //读取 MEMORY_CHUNKS QueryBuff; DWORD *address2=new DWORD[dwServices]; QueryBuff.Address = dwKernelBase+dwKiServiceTable; QueryBuff.Data = address2;
NtOpenProcess保护的方法总结
xrain_zh的专栏
05-03 2142
来自:http://blog.csdn.net/jepco1/article/details/5531449 过NtOpenProcess保护的方法总结,搜集了一下网上的方案,自己整理了一下。 一般的保护程序喜欢在NtOpenProcess中设置inline hook,修改返回句柄。调试程序使用该程序附加附加到被保护进程的时候,就得不到正确的进程访问句柄,因而附加失败。 反此类保
OpenProcess
最新发布
07-27
OpenProcess 是一个Windows系统函数,用于打开一个已存在的进程并返回其句柄。它的原型如下: ```c HANDLE OpenProcess( DWORD dwDesiredAccess, BOOL bInheritHandle, DWORD dwProcessId ); ``` 其中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值