RING3内存清零结束进程

最新推荐文章于 2022-06-23 19:27:57 发布
最新推荐文章于 2022-06-23 19:27:57 发布
阅读量1.6k 收藏 3
点赞数
分类专栏: windows底层核心編程 文章标签: attributes linker null basic access token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/2205104
版权

RKU的这招确实不错。在DebugMan上看到一点关于内存清零的提示信息,准备在RING0下实践下,结果BSOD的受不了,调试驱动偶还木有入门啊。无赖之下看到了RING3下实现的code,于是学习之。

/*************************************************************************
* 学习者: sudami
* 时间:    07/12/24
*
* 备注:    学习RING3下通过内存清零结束大部分进程的方法.思路如下:
*
* 遍历所有进程[隐藏进程暂时不在考虑之内]获得csrss.exe的PID,ZwOpenProcess得到其句柄-->
* 为ZwQuerySystemInformation 函数传递16号参数.获得系统句柄信息 -->
* 几乎系统所有的HANDLE结构体中,里面的ProcessId都是指向csrss.exe的,遍历每个进程-->
* 调用ZwDuplicateObject复制此进程的句柄表,ZwQueryInformationProcess得到
* PROCESS_BASIC_INFORMATION结构信息; 判断其中的UniqueProcessId是否和指定的PID相同-->
* 若相同,则相指定进程中写入垃圾数据,使进程死掉; 若不同,继续遍历.
*
*************************************************************************/

#include <windows.h>
#include <Ntsecapi.h>
#include <Aclapi.h>
#include <tlhelp32.h>
#include "G:/sudamiDriver/RootKit.h"

//

#pragma comment (lib,"ntdll.lib")
#pragma comment (lib, "Kernel32.lib")
#pragma comment (lib, "Advapi32.lib")
#pragma comment (linker, "/subsystem:windows")
#pragma comment (linker, "/ENTRY:main")

//------------------------------------------------------------------

DWORD   GetPidByName (char *szName);
void    KillProcess (ULONG dwProcessId);
BOOL    EnablePrivilege(HANDLE hToken,LPCTSTR szPrivName,BOOL fEnable);

 

//
// 主函数入口
//
void main()
{   
ULONG   Pid;
HANDLE hToken;

OpenProcessToken (GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &hTok

最低0.47元/天 解锁文章
iiprogram
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一、C++反作弊对抗实战 (基础篇 —— 8.在ring3调用NtTerminateProcess结束进程)
Koma的主页
03-02 419
ring3调用NtTerminateProcess结束进程
RING3内存清零法 杀进程
wowbell的专栏
01-27 5819
<br />在一般任务管理器无法关闭进程时用到<br />内存清零法 杀进程 原理分析<br />1.先打开CSRSS.EXE系统进程,获得其句柄,几乎系统所有的HANDLE结构体中,里面的ProcessId都是指向csrss.exe的,利用它的PID来进行遍历进程实现过滤。<br /><br />2.分配好一块内存空间Buffer,用来存储SystemHandleInformation系统句柄信息<br /><br />3.通过ZwQuerySystemInformation函数来查询系统句柄信息并保存在
学习RING3 内存清零结束进程
nickwu1220的专栏
03-31 2125
<br />内存清零法 杀进程 原理分析 :<br />1.先打开CSRSS.EXE系统进程,获得其句柄,几乎系统所有的HANDLE结构体中,里面的ProcessId都是指向csrss.exe的,利用它的PID来进行遍历进程实现过滤。<br /><br />2.分配好一块内存空间Buffer,用来存储SystemHandleInformation系统句柄信息<br /><br />3.通过ZwQuerySystemInformation函数来查询系统句柄信息并保存在Buffer中,为 ZwQuerySyst
内存清零KILL进程
Tommy(凌飞)的专栏
08-24 1395
#include #include #include #include #pragma comment (lib,"Kernel32.lib")#pragma comment (lib,"Advapi32.lib")#pragma comment(linker, "/ENTRY:main")//------------------ 数据类型声明开始 --------
ring3 下隐藏进程
04-10
Ring3 下隐藏进程.txt
ring3实现任务管理器的进程防杀
11-27
"ring3实现任务管理器的进程防杀"是指在用户模式下编写程序来防止其他进程被任务管理器或其他类似工具结束。这种方法主要用于保护关键进程的安全,使其免受恶意软件或未经授权的操作影响。 C++是实现这一目标的常用...
Ring3 Hook ZwQuerySystemInformation
11-14
Ring3 Hook ZwQuerySystemInformation是一种在用户模式(Ring 3)下进行系统调用拦截的技术,主要用于修改系统行为或获取额外的信息。在这个特定的场景中,它被用来隐藏进程,使得该进程在操作系统中变得不可见。这...
无血缘关系的进程共享ringbuffer
02-23
进程间共享环形缓冲
Ring3Enumprocess.rar_Hide ring3_hide process_ring3_进程_隐藏进程
07-14
一个非常实用的ring3下检查隐藏进程实例。
关闭多余的进程
04-11
关闭多余的进程.bat
编程实现cpu,内存大小使用率,以及关闭进程的好代码
12-22
c++编程实现cpu、内存大小使用率以及关闭进程的好代码,具有人性化的功能界面,带你深入Windows核心编程,不管你是初学者还是经验丰富的学者,都是你值得好好一看的源码!
结束进程的N种方法(RING0 AND RING3)
LLC
07-05 796
点击打开链接
Ring3内存清0结束进程2
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
09-04 967
/* This simple app demonstrates how to kill process by writing process's memory. Write by EP_X0FF and DNY,I just extract it to C ---- zjjmj2002 */ #include   #include   #include #include   #
强制关闭进程
^_^-Beluga, ^_^-Stefli
11-24 989
强制关闭进程- - 网上有很多关进程的小软件,但其实Windows自带的工具已经够用。 在命令提示符下,tasklist可以列出当前运行的所有进程名称、PID以及内存占用量。 而ntsd命令就可以强制关闭进程:ntsd -c q -p PID。 tskill命令也可以:tskill PID/PNAME。其中PNAME是希望关闭的进程名称,不加扩展名的。 此外,PID还可以在任务管理其中通过选择列察
Ring3结束进程的方法汇总
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-27 1015
所有的 OpenProcess/ZwOpenProcess/OpenThread/ZwOpenThread 都可以替换为 ZwQuerySystemInformation->ZwOpenProcess->ZwDuplicateObject 。具体是为什么请自己研究。 (Zw)OpenProcess(PID+0/1/2/3)->(Zw)TerminateProcess (Zw)OpenProce
C++ Inline hook实现进程防终止(不用写驱动
nnKevi的博客
06-23 2448
最近想写一个杀毒软件,可是别人在任务管理器里轻轻松松就把我的进程结束了,我希望把我的杀毒软件做成360那样,一旦结束就提示“拒绝访问”,而且不管你用任务管理器,还是taskkill,进程都无法结束。于是,我在网上搜集了大量的资料,很多资料都说要写驱动,可我是一名小白,根本不会写驱动,正准备去学的时候,突然发现写驱动需要数字签名,还要花250美金,也就是1750人民币左右!我可不想花这么多钱。我一开始误以为写驱动是为了在Ring0运行,从而让进程杀不掉,但是杀毒软件这个进程其实还是在Ring3运行的,所以不是
看nt下无驱执行ring0代码
10-25 2319
X86平台上,cpu可以工作在三个特权级别下,ring0ring3,其中ring0具有最高权限,可以执行任何指令而无限制,ring3受到cpu保护机制限制,只能执行非特权指令。当在ring3下执行特权指令如lgdt、iret等时,会触发general protection异常(也就是出错啦,跳转到相应得错误处理程序)。在nt平台下,普通应用程序运行在ring3下,操作系统运行于ring0。如
ring3层隐藏进程
最新发布
08-09
Ring3层隐藏进程是指在计算机的操作系统中,利用一些特殊的技术手段或者恶意软件来隐藏自身的进程,使其在操作系统层面上不被察觉或无法被发现。 首先,Ring3是指计算机操作系统的用户态环境。在这个层级中,进程...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值