RING3级下枚举用户进程的基本姿势

最新推荐文章于 2023-11-13 10:24:13 发布
最新推荐文章于 2023-11-13 10:24:13 发布
阅读量286 收藏 1
点赞数
分类专栏: c/c++ Windows编程 文章标签: C C++ Windows编程 进程枚举
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/peterz1997/article/details/79271549
版权

简述

Ring3用户态下查看进程信息的基本方法

代码样例

#include <cstdio>
#include <iostream>
#include <cstdlib>
#include <tchar.h>
#include <Windows.h>
#include <TlHelp32.h> //Windows.h头文件必须包含在TlHelp32.h之前

using namespace std;

int main(void)
{
    LPTSTR buff = new TCHAR[1024];
    PROCESSENTRY32 pe32; //进程信息结构体
    memset(buff,0x00,1024);
    HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0); //获取进程快照
    if(hProcessSnap==INVALID_HANDLE_VALUE)
    {
        cout<<"SnapShot Create Error"<<endl;
        return 0;
    }
    pe32.dwSize = sizeof(pe32);
    BOOL bProcess = Process32First(hProcessSnap,&pe32); //获取第一个进程
    printf(" ID              FileName\n");
    printf("-----            --------\n");
    while (bProcess)
    {
        wsprintf(buff,_TEXT("%d            %s"),pe32.th32ProcessID,pe32.szExeFile);
        wcout<<buff<<endl;
        memset(buff,0x00,1024*sizeof(TCHAR));
        bProcess = Process32Next(hProcessSnap,&pe32); //在调用Process32First函数后继续调用下一个进程
    }
    system("pause");
    return 0;
}
雨者
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ring3 下隐藏进程
04-10
Ring3 下隐藏进程.txt
明翰全日制英国硕士词汇篇V1.3(持续更新)
热门推荐
欢迎!欢迎来到17号城市!
03-05 5万+
下面的所有词汇与例句都是在英国留学期间, 学到的、听到的、见到的,都来自英语母语使用者,其中包括: 学校、同学、教授、教职人员、以及生活中形形色色的人, 这篇文章有助于还没去英国的同学提前掌握一些高频词汇, 以便于在日后的留学生活中更加游刃有余, 对于高频词汇一定要掌握它们的听说读写,形成肌肉记忆。
Linux Rootkit Sample && Rootkit Defenser Analysis
weixin_30855761的博客
08-02 1328
目录 1. 引言 2. LRK5 Rootkit 3. knark Rootkit 3. Suckit(super user control kit) 4. adore-ng 5. WNPS 6. Sample Rootkit for Linux 7. suterusu 8. Rootkit Defense Tools 9. Linux Rootkit Scanner: k...
红队系列-shellcode AV bypass Evasion免杀合集
最新发布
aming小老弟
11-13 833
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
ring3代码可靠地枚举Windows进程.pdf
03-24
ring3代码可靠地枚举Windows进程.pdf
VB 暴力枚举实现Ring3下检测隐藏窗体
05-15
VB 暴力枚举实现Ring3下检测隐藏窗体
Ring3Enumprocess.rar_Hide ring3_hide process_ring3_进程_隐藏进程
07-14
一个非常实用的ring3下检查隐藏进程实例。
ring0驱动调用ring3应用程序 从RING0下启动RING3的应用程序源代码
01-22
从RING0下启动RING3的应用程序源代码 ring0驱动调用ring3应用程序.zip
C++扫雷小游戏(基于CMD命令行)
雨者
11-10 2万+
这个小游戏是笔者在大一C语言课程设计的时候写的,基于命令行,为了显得漂亮一些,特别加上了彩色特效~~~ 注意:Win10系统须将命令行调为旧版命令行,否则有可能会显示乱码! 代码示例: #include <stdio.h> #include <conio.h> #include <stdlib.h> #include <ti...
通过C/C++基于http下载文件
雨者
04-20 7333
简介 Windows系统如何通过C/C++下载互联网上的文件呢?这里笔者给大家演示一个最简单的方法,利用Windows提供的urlmon库,可以快速实现文件下载的简单实例。 注:本文参考《非安全》编辑部出版的《Hack编程实例精讲》系列书籍,在此致谢。 C++代码样例 #include &lt;cstdio&gt; #include &lt;iostream&gt; #i...
C/C++控制Windows关机/注销/重启的正确姿势
雨者
04-13 5775
简介 说到代码控制Windows关机/注销/重启的方式,有很多种,最简单的不过就是控制命令行,使用system(“pause”)函数执行一个shutdown -s -t 0,关机就完成了。但这种方式还要借助于命令行的方式解决问题。而Windows早就提供给我们直接控制关机/注销/重启的API了,在WindwosNT系统之前,只需调用ExitWindowsEx()就OK了。但自从出现了Win...
如何利用C++的time头文件获取系统时间
雨者
10-30 5111
C++提供了time.h头文件进行时间编辑操作,可以把时间格式化进tm结构体,方便使用。MFC框架中的ctime类就是基于time.h封装的。 代码样例: #include #include #include using namespace std; int main(void) { time_t t = time(NULL); //获取当前时间句柄 tm *
C++处理char*,char[],string三种类型间的转换
雨者
01-30 4898
前言       在C和C++中,有一个相当重要的部分,就是字符串的编程描述。在学C的时候,很多人习惯了char[],char*表示法,直到遇见了C++后,出现了第三者:string。这时候,很多初学者就会在这三种字符串表现形式的转换上出现错误,以下是笔者总结的一些最常用的字符串转换方法供大家参考。 代码 #include #include #include #includ
dll动态链接库导出函数方法 -- 动态导出(.def文件导出)
雨者
02-14 4715
简介 动态链接库最大的优势在于可以提供给其他应用程序共享的资源,最小化应用程序代码的复杂度,其中一个十分重要的功能就是dll可以导出封装函数的功能。导出函数有两种主要方式,分别是静态导入和动态导入,本文主要介绍动态导入功能。 方法解析 (1)创建DLL动态链接库项目 (2)在DllMain函数的上方或下方创建一个自定义函数(样例使用ShowMessageBox函数) ...
安全之路 —— C++实现进程守护
雨者
09-08 3599
简介 所谓进程守护,就是A进程为了保护自己不被结束,创建了一个守护线程来保护自己,一旦被结束进程,便重新启动。进程守护的方法多被应用于恶意软件,是一个保护自己进程的一个简单方式,在ring3下即可轻松实现。而创建守护线程的方法多采用远程线程注入的方式,笔者之前曾介绍过远程线程注入的基本方式,主要分为DLL远程注入和无DLL远程注入。 代码实现 ////////////////////...
使用C++对物理网卡/虚拟网卡进行识别(包含内外网筛选)
雨者
06-22 3113
简介 在Socket编程的时候,我们需要实时获取我们所需要的IP地址。例如在编写后门的时候,我们可能需要获得有效的外网IP或内网IP;有时候我们可能需要判断我们获取的是否是虚拟机网卡,这时候就需要对每一张网卡上的IP进行识别。以下笔者总结了一些常用的处理方法供大家参考。 C++代码样例 头文件(包含IP处理函数) ////////////////////////////...
安全之路 —— 利用SVCHost.exe系统服务实现后门自启动
雨者
05-09 2619
简介 在Windows系统中有一个系统服务控制器,叫做SVCHost.exe,它可以用来管理系统的多组服务。它与普通的服务控制不同的是它采用dll导出的ServiceMain主函数实现服务运行,所以我们在使用此方法时,要有两个步骤: 1. 编写dll文件封装ServiceMain导出函数 2. 编写负责服务安装与移除的exe文件 3. 本例中需要将.exe与.dll...
ring3层隐藏进程
08-09
Ring3层隐藏进程是指在计算机的操作系统中,利用一些特殊...总而言之,Ring3层隐藏进程是恶意软件或黑客利用各种技术手段,在操作系统的用户境中隐藏自身的进程,从而实现对被感染系统的控制和掩盖自身存在的目的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值