RING3级下枚举用户进程的基本姿势

最新推荐文章于 2022-08-28 13:05:15 发布
最新推荐文章于 2022-08-28 13:05:15 发布
阅读量320 收藏 1
点赞数
分类专栏: c/c++ Windows编程 文章标签: C C++ Windows编程 进程枚举
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/peterz1997/article/details/79271549
版权

简述

Ring3用户态下查看进程信息的基本方法

代码样例

#include <cstdio>
#include <iostream>
#include <cstdlib>
#include <tchar.h>
#include <Windows.h>
#include <TlHelp32.h> //Windows.h头文件必须包含在TlHelp32.h之前

using namespace std;

int main(void)
{
    LPTSTR buff = new TCHAR[1024];
    PROCESSENTRY32 pe32; //进程信息结构体
    memset(buff,0x00,1024);
    HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0); //获取进程快照
    if(hProcessSnap==INVALID_HANDLE_VALUE)
    {
        cout<<"SnapShot Create Error"<<endl;
        return 0;
    }
    pe32.dwSize = sizeof(pe32);
    BOOL bProcess = Process32First(hProcessSnap,&pe32); //获取第一个进程
    printf(" ID              FileName\n");
    printf("-----            --------\n");
    while (bProcess)
    {
        wsprintf(buff,_TEXT("%d            %s"),pe32.th32ProcessID,pe32.szExeFile);
        wcout<<buff<<endl;
        memset(buff,0x00,1024*sizeof(TCHAR));
        bProcess = Process32Next(hProcessSnap,&pe32); //在调用Process32First函数后继续调用下一个进程
    }
    system("pause");
    return 0;
}
雨者
关注
专栏目录
红队系列-shellcode AV bypass Evasion免杀合集
aming小老弟
11-13 1569
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
红队之外网定向打点
weixin_30349597的博客
09-02 1552
情报收集与外网打点 因为起晚了..第一个议题没听着,有点遗憾,补张图 基础设施架构设计部署 普通架构:红队人员--》teamserver cs--》目标机 缺点:功能未分离、无潜伏通道、回连日志多、灵活性较低 演进架构:DNS/HTTP/HTTPS分离server tips:1~2cpu 2G内存 10G硬盘,回连数不超过5台,潜伏通道(根据实际目标境优先) 完整架构:...
Ring 3层枚举进程的四种方法
weixin_33858485的博客
01-08 265
1.CreateToolhelp32Snapshot()。这一种是比较常见的,利用进程快照进行枚举进程,主要利用CreateToolhelp32Snapshot()、Process32First()和Process32Next()三个函数。下面直接上代码: // CreateToolhelp32Snapshot.cpp : 定义控制台应用程序的入口点。 // #include "std...
枚举类(三):枚举类中几个常用的方法
wangyanming123的博客
05-09 4093
枚举类(三):枚举类中几个常用的方法
进程枚举的四种方式
qq_43812868的博客
09-14 2183
进程枚举是将系统中的所有进程显示出来,就像Windows中的任务管理器一样,可以看到系统中运行的所有进程进程枚举的四种方法: 通过系统快照进行枚举 通过psapi.dll中的函数进行枚举 通过ntdll.dll中的函数进行枚举 通过ntdll.dll中的函数进行枚举 第一种、通过系统快照进行枚举 1、CreateToolhelp32Snapshot() CreateToolhelp32Snapshot可以通过获取进程信息为指定的进程进程使用的堆[HE.
全日制英国硕士词汇篇V1.3(持续更新)
热门推荐
欢迎!欢迎来到17号城市!
03-05 6万+
下面的所有词汇与例句都是在英国留学期间, 学到的、听到的、见到的,都来自英语母语使用者,其中包括: 学校、同学、教授、教职人员、以及生活中形形色色的人, 这篇文章有助于还没去英国的同学提前掌握一些高频词汇, 以便于在日后的留学生活中更加游刃有余, 对于高频词汇一定要掌握它们的听说读写,形成肌肉记忆。
Linux Rootkit Sample && Rootkit Defenser Analysis
weixin_30855761的博客
08-02 1403
目录 1. 引言 2. LRK5 Rootkit 3. knark Rootkit 3. Suckit(super user control kit) 4. adore-ng 5. WNPS 6. Sample Rootkit for Linux 7. suterusu 8. Rootkit Defense Tools 9. Linux Rootkit Scanner: k...
红蓝对抗-红队攻防全流程解析
lza20001103的博客
08-28 2168
红蓝对抗-红队攻防全流程解析
ring0驱动调用ring3应用程序 从RING0下启动RING3的应用程序源代码
01-22
例如,在Windows中,可以使用`NtCreateProcessEx`或` ZwCreateProcess`等API来创建一个新进程,执行Ring3代码。 3. **安全考虑**:在Ring0调用Ring3时,安全是首要考虑因素。驱动程序必须严格控制传递给Ring3应用的...
ring3 下隐藏进程
04-10
Ring3 下隐藏进程.txt
Ring3Enumprocess.rar_Hide ring3_hide process_ring3_进程_隐藏进程
07-14
一个非常实用的ring3下检查隐藏进程实例。
ring3代码可靠地枚举Windows进程.pdf
03-24
- `EPROCESS.SessionProcessLinks`: 该字段不包含System和smss.exe进程,可用于更精确地枚举用户模式下的进程。 - `EPROCESS.Vm.WorkingSetExpansionLinks`: 通过这个字段也可以获取进程信息。 - **Windows NT ...
ring3用户应用程序与ring0内核驱动程序之间的调用,通信.zip
01-25
Ring3用户,而Ring0则是内核。在Windows操作系统中,大部分应用程序运行在Ring3,享受较低别的权限,以防止它们破坏系统的稳定性。而内核驱动程序,如设备驱动和系统服务,运行在Ring0,拥有最高别的...
C++扫雷小游戏(基于CMD命令行)
雨者
11-10 2万+
这个小游戏是笔者在大一C语言课程设计的时候写的,基于命令行,为了显得漂亮一些,特别加上了彩色特效~~~ 注意:Win10系统须将命令行调为旧版命令行,否则有可能会显示乱码! 代码示例: #include <stdio.h> #include <conio.h> #include <stdlib.h> #include <ti...
通过C/C++基于http下载文件
雨者
04-20 7474
简介 Windows系统如何通过C/C++下载互联网上的文件呢?这里笔者给大家演示一个最简单的方法,利用Windows提供的urlmon库,可以快速实现文件下载的简单实例。 注:本文参考《非安全》编辑部出版的《Hack编程实例精讲》系列书籍,在此致谢。 C++代码样例 #include &lt;cstdio&gt; #include &lt;iostream&gt; #i...
C/C++控制Windows关机/注销/重启的正确姿势
雨者
04-13 6328
简介 说到代码控制Windows关机/注销/重启的方式,有很多种,最简单的不过就是控制命令行,使用system(“pause”)函数执行一个shutdown -s -t 0,关机就完成了。但这种方式还要借助于命令行的方式解决问题。而Windows早就提供给我们直接控制关机/注销/重启的API了,在WindwosNT系统之前,只需调用ExitWindowsEx()就OK了。但自从出现了Win...
如何利用C++的time头文件获取系统时间
雨者
10-30 5225
C++提供了time.h头文件进行时间编辑操作,可以把时间格式化进tm结构体,方便使用。MFC框架中的ctime类就是基于time.h封装的。 代码样例: #include #include #include using namespace std; int main(void) { time_t t = time(NULL); //获取当前时间句柄 tm *
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值