进程保护 (非Hook;非DKOM)

最新推荐文章于 2019-03-27 17:34:00 发布
最新推荐文章于 2019-03-27 17:34:00 发布
阅读量721 收藏
点赞数
文章标签: hook null security user token object
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiftlixu/article/details/5388000
版权

进程保护 (非Hook;非DKOM)

Posted by JiaJia 13 February,2009 (0)Comment
BOOL Lock_CurrentProcess ()
{
 HANDLE hProcess = :: GetCurrentProcess ();
 SID_IDENTIFIER_AUTHORITY sia = SECURITY_WORLD_SID_AUTHORITY ;
 PSID pSid ;
 BOOL bSus = FALSE ;
 bSus = :: AllocateAndInitializeSid (& sia , 1 , NULL , NULL , NULL , NULL , NULL , NULL , NULL , NULL ,& pSid );
 if (! bSus ) goto Cleanup ;
 HANDLE hToken ;
 bSus = :: OpenProcessToken ( hProcess , TOKEN_QUERY ,& hToken );
 if (! bSus ) goto Cleanup ;
 DWORD dwReturnLength ;
:: GetTokenInformation ( hToken , TokenUser , NULL , NULL ,& dwReturnLength );
 if ( dwReturnLength > 0x400 ) goto Cleanup ;
 LPVOID TokenInformation ;
 TokenInformation = :: LocalAlloc ( LPTR , 0x400 ); //这里就引用SDK的函数不引用CRT的了
 DWORD dw ;
 bSus = :: GetTokenInformation ( hToken , TokenUser , TokenInformation , 0x400 ,& dw );
 if (! bSus ) goto Cleanup ;
 PTOKEN_USER pTokenUser = ( PTOKEN_USER ) TokenInformation ;
 BYTE Buf [ 0x200 ];
 PACL pAcl = ( PACL )& Buf ;
 bSus = :: InitializeAcl ( pAcl , 1024 , ACL_REVISION );
 if (! bSus ) goto Cleanup ;
 bSus = :: AddAccessDeniedAce ( pAcl , ACL_REVISION , 0x000000FA , pSid );
 if (! bSus ) goto Cleanup ;
 bSus = :: AddAccessAllowedAce ( pAcl , ACL_REVISION , 0x00100701 , pTokenUser -> User . Sid );
 if (! bSus ) goto Cleanup ;
 if (:: SetSecurityInfo ( hProcess , SE_KERNEL_OBJECT , DACL_SECURITY_INFORMATION | PROTECTED_DACL_SECURITY_INFORMATION , NULL , NULL , pAcl , NULL ) == 0 )
 bSus = TRUE ;
 Cleanup :
 if ( hProcess != NULL )
:: CloseHandle ( hProcess );
 if ( pSid != NULL )
:: FreeSid ( pSid );
 return bSus ;
}
可爱的小莱
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
进程隐藏学习总结
bcbobo21cn的专栏
05-08 4579
怎么隐藏进程 工具/原料 HideToolz 步骤/方法 1 在百度上面搜索HideToolz ,打开第一个搜索结果,点击进入下载。把HideToolz 下载到你的电脑里面。 2 鼠标双击打开该压缩包,再直接双击该软件即可打开该软件了。并且在软件里面可以看见目前的进程数为多少个。 3 按Ctrl + Alt + . 【启动任务管理器】,在 HideTool
意天进程保护开发包(进程防杀组件)
12-13
意天 进程保护 开发包( 进程防杀 组件)是意天软件推出的一款 进程保护 开发包,用该 进程保护 开发包主要可使开发人员保护自己的进程不被 taskmanager等工具杀掉实现 进程保护 功能,同时taskmanager等工具也无法获得进程的详细信息.该开发包主要使用驱动采用SSDT拦截技术实现 进程保护 功能,上层接口采用com封装,因此既使您用VB;CB;Delphi等开发工具也可以简单的把该组件变成自己软件的一部分以对您的软件 进程保护 ,让您的软件不再被 taskmanager随意杀掉!组件的接口相当简单,就一个Protect函数,传入要保护进程ID就可对该进程进行 进程保护 ,如果为该函数传入-1那么它就会对调用进程进行 进程保护 ,很简单吧?用该组件可让您在几分钟让自己的软件拥有强大的 进程保护 功能,这样可把更多的时间投入软件逻辑功能开发(注:不可用该开发包来实现恶意软件,否则后果自负!)
进程保护
weixin_30279751的博客
03-27 669
https://github.com/computist/ProcessProtect 此应用程序可以帮助您隐藏或保护任何进程。 此应用程序包括Windows内核编程。仅在Windows 7 64位上测试。测试前禁用Windows驱动程序签名强制!此应用程序可能会导致机器上出现BSOD。自行承担测试风险!!!!!!! 功能 隐藏进程后,它将从任务管理器中消失。在保护进程之后,任务管理器无...
通过权限设置禁止用户在任务管理器中杀掉我们的进程
lbird
06-23 2624
通过权限设置禁止用户在任务管理器中杀掉我们的进程      以下代码仅供学习,俺不能保证代码完全正确,呵呵。代码中有用到的模板类CLocalMemoryT在后面会介绍!要说明的是,在XP下无效,2003还没试过!而且,即使在2000下也不是完全杀不死的,ntsd命令就可以杀死这类进程。#include "aclapi.h"#include "atlbase.h"BOOL DisableTe
(API HOOK进程保护工具
07-14
运行本软件之后,选择启用保护 (本软件适用于32位系统) 功能: (进程保护) 1、在任务栏里面终止进程是无效的。 (注意:窗口的正常关闭仍然是可以的, 也可以适用命令参数 taskkill 来终止 程序的进程。) 2、防止一些外挂程序对进程的注入控制 3、防止OD,CE以及其他一些调试器对进程 的读取(不是全部噢,暂时我没发现而已) (系统保护) 1、禁止使用CMD 2、禁止使用regedit 3、禁止使用.reg文件 程序运行后点击隐藏,本软件将自动隐藏起来。 隐藏后按F12即可呼出窗口。 PS:本软件采用了API拦截的技术,所以杀毒软件 可能会误报病毒,请放心使用。 软件还在改进中。。。 作者:GhostHand 本人QQ:544980123 希望加我QQ一起交流技术
很巧妙的进程防杀方法[秋镇菜原创]
小发猫
05-23 5244
刚刚学内核对象,想写个可以防杀的进程,但其他方法太高级,本菜鸟不感高攀,想了几天,想到一个很本的办法,不正确的方还请高手指点一下.程序运行两个事例,每个实例互相监视另外的实例是否存在,如果不存在,就运行一个.代码:// test_process.cpp : Defines the entry point for the console application.//#include "stdafx.
驱动签名 隐藏进程 保护进程 多种方式 保护进程的 驱动
05-18
这可能包括但不限于断链(切断特定函数调用链),修改Flag(改变进程的属性标志),hook对象(挂起或替换系统函数调用),抹psp表(修改进程安全属性结构),csscs表(可能是指进程的安全上下文或系统服务描述表),...
Hook全局描述符表 GDT 实现进程隐藏
06-05
- 在Ring0级执行的Hook函数中,使用直接内核对象操纵(Direct Kernel Object Manipulation, DKOM)技术实现进程隐藏。 #### 技术实现细节 1. **获取 GDT 的信息** - 通过`sgdt`指令读取GDTR中的信息,包括GDT的基...
RK_SRC.rar_dkom_rootkit
最新发布
09-20
在内核级别,DKOM HOOK可以隐藏恶意进程、文件、网络活动等,使得常规的安全软件难以检测到它们的存在。这种技术通常由高级黑客或恶意软件开发者使用,因为它的实施需要深入的系统内核知识,并且可能导致系统的不...
WIN64驱动编程基础教程
12-06
|-DKOM隐藏进程+保护进程 |-枚举和隐藏内核模块 |-强制结束进程 |-强制读写进程内存 |-枚举消息钩子 |-强制解锁文件 |-初步探索PE32+格式文件 ------------------------------ 6.用户态HOOK与UNHOOK |-RING3...
Lock_CurrentProcess
求索
08-20 1301
 BOOL Lock_CurrentProcess(){  HANDLE hProcess = ::GetCurrentProcess();  SID_IDENTIFIER_AUTHORITY sia = SECURITY_WORLD_SID_AUTHORITY;  PSID pSid;  BOOL bSus = FALSE;  bSus = ::AllocateAndInitializeSid(
防止注入的代码
weixin_33995481的博客
08-22 194
   1#define PROTECTED_DACL_SECURITY_INFORMATION (0x80000000L) 2 3BOOL Lock_CurrentProcess() 4{ 5  HANDLE hProcess = ::GetCurrentProcess(); 6  SID_IDENTIFIER_AUTHORITY sia = SECURITY_WORLD_SID_AUTHORI...
防止进程被杀
fysy0000的专栏
08-01 6085
就算是一些进程软件也不可以关闭 samba 我听过有人采用程序互相监控的方法来达到目的。 但这样就会占用系统资源。一个不加什么控件的纯窗体都要3占用MB内存, 如果加上我本来的那个程序,岂不是要占去十几MB内存,这对于我那个小程序来讲不不可忍受的。 请问有什么比较
以程序的方式操纵NTFS的文件权限
wangwenwen的专栏
08-24 574
以程序的方式操纵NTFS的文件权限 发表日期:2004-01-29 作者:陈皓[] 出处:   Windows NT/2K/XP版本的操作系统都支持NTFS格式的文件系统,这是一个有安全性质的文件系统,你可以通过Windows的资源管理器来设置对每个目录和文件的用户访问权限。这里我就不对NTFS的安全性进行讲述了,我默认你对NTFS的文件目
Ring3下实现进程保护,不用hook
十年磨一剑,霜刃未曾试!
05-04 6933
今天在分析一款木马的时候,发现做了进程保护,没加驱动,也没做hook,能做进程保护,感觉常奇怪,原来是这么一回事,mark一下吧! #include "stdafx.h" #include #include #pragma comment(lib,"Advapi32.lib") BOOL Ring3ProtectProcess() { HANDLE hProcess = ::Get
关于API HOOK(OpenProcess),根据网上文章改写
旺财
01-12 4404
 以下是部分程序,在VC++6.0   Plat  SDK 2003 SP1下编译通过#include #include "APIHook.h"extern CAPIHook g_OpenProcess;// 自定义OpenProcess函数#pragma data_seg("YCIShared")HHOOK g_hHook = NULL;DWORD  dwCurrentProcess
【总结】用户权限设置和进程权限提升
热门推荐
华秋实的专栏
11-29 3万+
使用某些Windows API的时候需要提升进程的默认权限,例如RegRestoreKey需要SE_RESTORE_NAME 和SE_BACKUP_NAME 权限。在这种情况下,我们需要使用到一组Windows API提升进程权限。需要的函数有: 1.OpenProcessToken 2.LookupPrivilegeValue 3.AdjustTokenPrivileges 使用
Android service进程保护
曹银飞的专栏
05-11 1万+
一,基本概念1.什么才叫应用进程保活应用进程保活可以理解为应用位于后台永远不能被杀死。这里的可以简略地分为两种情况,第一种是当系统资源紧俏的时候或者基于某种系统自身的后台运行规则选择杀死你的后台应用来获得更多的资源,第二种是用户手动调用某些安全软件的清理功能干掉你的后台应用。对于Android 5.0以前的系统我们可以考虑以上两种情况下的后台常驻,而对于Android 5.0以及以后的版本我们只能基
yiyezhichen的博客
12-17 636
void main() { int a = 0; int b = 0; for (; b<10;b++) { a==0 ? std::cout << "wo" : std::cout << "ta"; !a ? std::cout << " wo" : std::cout << " ta"; std::cout <<
Windows下Ring0级进程保护组件:SSDT HOOK技术实现
通过以上步骤,设计和实现的组件不仅能够有效地保护进程不受恶意程序的干扰,还具备良好的可移植性和可扩展性,适用于各种需要高权限进程保护的软件系统。这种技术在网络安全和系统管理领域具有广泛的应用价值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值