[原创]如何侵入WinNT系统的对话管理器进程(smss.exe)

最新推荐文章于 2020-09-13 10:16:02 发布
最新推荐文章于 2020-09-13 10:16:02 发布
阅读量2.5k 收藏 3
点赞数
分类专栏: Asm 文章标签: hook api user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mydo/article/details/1786728
版权
本文介绍了尝试侵入WinNT系统对话管理器进程smss.exe的过程,强调了由于smss.exe仅信任ntdll.dll,常规的hook和远线程注入方法无效。作者通过在ring0级别切入进程,并使用未公开的原生态API LdrLoadDll,实现了动态链接库(user32.dll)的植入,并展示了成功截图。文章后续将提供详细的技术说明。
摘要由CSDN通过智能技术生成

如何侵入WinNT系统的对话管理器进程(smss.exe)

        我们知道在NT中smss.exe是唯一一个被内核信任的ring3级进程,其中只

包括一个原生态dll---ntdll.dll。我用常用的hook和远线程的方式都无法侵入其

"领空",如果哪位朋友有在ring3级入侵smss的方法请不吝赐教。

        我的方法是在ring0切入其进程,然后调用未公开的原生态api LdrLoadDll,

然后做一个ring0 Trace Hook,从而达到目的,以下是成功植入user32.dll后的

图:

 

 

源代码用masm32 ml/link 8.0(VS2005附带)编译连接,等整理完毕,

将会详细说明。

大熊猫侯佩
关注
专栏目录
订阅专栏
Windows程序设计应用开发
03-15
养具备Win32 API SDK级别对Windows平台程序编码能力,可以参与Windows应用工程类别的GUI程序开发,对算法策略有容错性表现;提升的、软件设计经验,初步具备面向对象软件设计思想,能针对性的应用事件驱动编程开发应用程序。丁宋涛老师是南京大学博士,微软中国认证讲师,任江苏微软技术中心、美国大学理事会计算机学科教师,捷帝科技有限公司联合创始人,拥有15年以上程序开发经验。
[原创]无敌进程让你的进程变得和smss.exe一样
04-22
此函数可打开或关闭 开启以后进程变得和smss.exe一样进程被杀系统直接蓝屏
DLL的远程注入技术
chenyujing1234的专栏
08-14 1万+
转载自: http://blog.csdn.net/bai_bzl/article/details/1801023   一、DLL注入 DLL的远程注入技术是目前Win32病毒广泛使用的一种技术。使用这种技术的病毒体通常位于一个DLL中,在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)中运行。 这样一来,普通的进程管理器就很难发现这种病毒了,而
进程学习11--信号signal
包子入侵CSDN
06-01 820
概述正文函数函数原型sighandler_t signal(int signum, sighandler_t handler);参数参数signum我们要进行处理的信号。系统的信号我们可以再终端键入 kill -l查看(共64个)。其实这些信号时系统定义的宏。 (1)SIGINT 2 Ctrl+C时OS送给前台进程组中每个进程 (2)SIGABRT
入侵java进程的方法
韩浪的博客
05-21 1161
需求 当我们线上程序运行的时候,难免会遇到一些业务问题,在排查问题的时候我们会去看日志,查看一些函数输入输出来定位问题;然而许多时候,我们在项目开发的时候并没有留下足够的日志来排查问题,这时候就需要一些特殊的方法来排查,比如远程debug,重新增加日志重启服务,或者用btrace等工具来排查,各种工具都有各自的优点和使用的场景,具体不足本篇暂不讨论,本文只介绍一种新的简单的工具,这个工具可以提供...
lsass.exesmss.exe病毒专杀工具.rar
07-07
smss.exe(Session Manager Subsystem Service)是会话管理子系统,它是Windows启动过程中的第一个用户模式进程,负责初始化系统环境,加载内核模式驱动程序,以及启动csrss.exe(Client Server Runtime Subsystem...
LSASS.EXEsmss.exe病毒
02-17
清除LSASS病毒和smss病毒的工具,LSASS不断变种,该作者也不断努力更新中。 注意:这个软件好像是把感染病毒的文件删除,不是清除,请小心! 博客地址:...
ntsd.exe 用户态进程调试工具
07-10
ntsd是一个用户态进程调试...它能够结束除System、smss.exe、csrss.exe、lsass.exe及各种rootkit程序外所有的程序。但在Windows Vista及以上版本的Windows中不含ntsd, 必须手动下载至电脑中才可使用。(来自360百科)
Windows任务管理器进程详解.txt
06-04
- Smss.exe 被称为会话管理子系统,是Windows NT系列系统中的一个重要组件。 - 占用内存很小,大约45KB,但在运行过程中可能会增加到2MB左右。 13. **Svchost.exe (Service Host):** - 前文已提到,这里再次强调...
Linux第一人称侵入进程的好地方
Netfilter
09-13 4434
我发现很多hack把戏用惯了下面的伎俩: t = find_task modify(t) ... 这一看就是以第三人称实施动作的。 为什么不以第一人称来折腾呢,这不更好隐藏自己并栽赃给运维吗? 只要把__schedule().return给hook了,那便是第一人称了,任何进程都要经过此地。这种方法更简单。作为一个例子,请看: https://blog.csdn.net/dog250/article/details/108089212 再次重申,绝大部分人即便是给了他们root权限,他们能做的事情依然有限
[原创]汇编初学者问题合集
热门推荐
享受开发,颠倒银河
09-07 4万+
几个简单的汇编初学者问题总结  0 关于指令时间的问题 上次有兄弟问关于 指令时间的问题,答复查看 intel 手册是一个办法。但很多人没有那个东东吧!,所以可以用另一招,在编译时加入 /Sc 选项:ML /Fl /Sc Kinds.asm还有有位兄弟问过 为什么 mov ax,offset table 比 lea ax,table 速度要快?但到底快到什么程度,恐
我是如何从汇编语言脑残粉转变的
享受开发,颠倒银河
08-31 1万+
我最早接触汇编语言可以追溯到裕兴学习机那一阵。当时裕兴在推出了浮点BASIC和游戏BASIC之后还不过瘾,觉得还能更深一步挖掘机器的潜力,结果推出了6502汇编语言的磁碟。我当时第一时间买了,磁碟还附赠一本简单的编程手册(十几页吧,蛮薄的)。可说出来不怕各位童鞋笑话,我基本上是一句指令都没写出来的干活啊!:(     在我人生正式课堂晓(xiao一声)习的最后1年里,我曾从图书馆借阅了《IBM汇
浅谈NT下Ring3无驱进入Ring0的方法
享受开发,颠倒银河
01-14 1万+
[原创]浅谈NT下Ring3无驱进入Ring0的方法 关键字:NT,Ring0,无驱   (测试环境:Windows 2000 SP4,Windows XP SP2. Windows 2003 未测试)   在NT下无驱进入Ring0是一个老生常谈的方法了,网上也有一些C代码的例子,我之所以用汇编重写是因为上次在 [原创/探讨]Windows 核心编程研究系列之一(改变进程
Mac OS X版本的sublime text 3安装汇编语言语法支持
享受开发,颠倒银河
04-13 1万+
sublime是个好东西,小巧、功能强大而且跨平台! 不过默认的语法里没有对asm的支持,这让本猫情何以堪… 下面介绍一下Mac OS X中如何给sublime安装汇编的语法和自动汇编命令补全支持。1 首先要找到sublime的Packages的安装目录,可以在sublime程序菜单中找到Packages的目录: 我系统中的目录为:/Users/apple/Library/Applicat
[原创]再谈 unlocker 编程”探险”及工作原理
享受开发,颠倒银河
11-10 1万+
Normal 0 7.8 磅 0 2 false false false MicrosoftInternetExplorer4 <object classid
[原创](2010.02.07更新)忙里偷闲中写的一个系统物理/虚拟内存查看器。
享受开发,颠倒银河
01-09 9391
[原创]忙里偷闲中写的一个系统物理/虚拟地址内容查看器     都是老技术,没啥新意。为了方便我在调试中要了解虚拟或物理内存的情况编写的,懒得装WinDbg 的情况下比较方便。程序在gccNTDrvFrame(我以前写的gcc下的NT驱动通用开发包)的基础上扩展, 并且由于直接使用微软“特有”的__try,__except功能方便些,故和VC 2008生成的obj一起连接,
[探讨/原创] 关于 HLA 的学习心得
享受开发,颠倒银河
04-12 8965
0 引言 最近我看到不少兄弟在问关于 HLA 学习的事,他们大多买了>这本书,作者是美国的 Randall Hyde。这本书写的总的来说还是不错的。刚开始的时候比较简单,有些简单的地方又说的略显啰嗦。但如果你耐心看一段时间就能体会其中乐趣。虽然该书有些地方讲的让初学者感到困惑:比如讲到 类和对象汇编实现的时候,开始的一大部分用来做上机实操时得到关于类方法的执行都是会出错的,因为有个关键地方没有
Windows 核心编程研究系列之二:读取指定物理内存地址中的内容
享受开发,颠倒银河
12-19 8547
[原创/讨论] Windows 核心编程研究系列之二: 读取指定物理内存地址中的内容 关键字:windows内核,物理内存   大家知道在windows NT中,如果已知虚拟地址可以通过 进程页表或者内核提供的MmGetPhysicalAddress来取得对应的 物理地址。 现在我们反过来看一下,如果已知一个物理内存地 址 (假设地址有效),如何取得物理地
[原创]汇编实现大数乘除运算的雏形
享受开发,颠倒银河
09-07 7130
大数乘除的汇编代码                                       ;******************;A Kinds Production;******************;============================;About MulK,IMulK,DivK,IDivK;Work On 200410011507 At Home;==
Windows系统启动详解:从BIOS到smss.exe
会话管理器(smss.exe)是启动过程中的关键部分,它负责读取特定的注册表项并创建进程。" 在Windows系统启动时,首先由基本输入输出系统(BIOS)进行硬件自检,然后引导主引导记录(MBR),找到活动分区,加载内核文件...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大熊猫侯佩

赏点钱让我买杯可乐好吗 ;)

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值