三环重写OpenProcess

最新推荐文章于 2024-07-09 11:22:52 发布
最新推荐文章于 2024-07-09 11:22:52 发布
阅读量233 收藏 1
点赞数 3
文章标签: c语言 操作系统 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pluginL/article/details/138256210
版权

调用过程重点为 KernelBase->ntdll,kernelbase中做了数据的处理,函数名字为NtOpenProcess,ntdll中则选择服务号进入0环,我们可以逆向NtOpenProcess分析具体用了什么参数

在头文件<winternl.h>中包含了这两个结构体,当然CLIENT_ID这个结构体少了一个结构体指针
typedef struct _OBJECT_ATTRIBUTES {
    ULONG Length;
    HANDLE RootDirectory;
    PUNICODE_STRING ObjectName;
    ULONG Attributes;
    PVOID SecurityDescriptor;
    PVOID SecurityQualityOfService;
} OBJECT_ATTRIBUTES;
typedef OBJECT_ATTRIBUTES *POBJECT_ATTRIBUTES;
typedef struct _CLIENT_ID {
    HANDLE UniqueProcess;
    HANDLE UniqueThread;
} CLIENT_ID;

第一步
把原本参数的PID写进CLIENT_ID结构体中
.text:0DCE9175                 mov     eax, [ebp+dwProcessId]
.text:0DCE9178                 mov     [ebp+ClientId.UniqueProcess], eax
第二步
如果bInheritHandle为0则最后计算后还是0,如果为其他数则置为1,并且填入ObjectAttributes中
text:0DCE917B                 mov     eax, [ebp+bInheritHandle]
.text:0DCE917E                 push    esi
.text:0DCE917F                 xor     esi, esi
.text:0DCE9181                 neg     eax
.text:0DCE9183                 sbb     eax, eax
.text:0DCE9185                 and     eax, 2
.text:0DCE9188                 mov     [ebp+ObjectAttributes.Attributes], eax
最后一步
将两个结构体传入,再传入一个权限,最后还有一个OUT参数ProcessHandle,esi在上面已经置为在下面就当作参
数传入,mov     [ebp+ObjectAttributes.Length], 18h则是把sizeof(ObjectAttributes)传入
.text:0DCE918B                 lea     eax, [ebp+ClientId]
.text:0DCE918E                 push    eax             ; ClientId
.text:0DCE918F                 lea     eax, [ebp+ObjectAttributes]
.text:0DCE9192                 push    eax             ; ObjectAttributes
.text:0DCE9193                 push    [ebp+dwDesiredAccess] ; DesiredAccess
.text:0DCE9196                 lea     eax, [ebp+dwProcessId]
.text:0DCE9199                 push    eax             ; ProcessHandle
.text:0DCE919A                 mov     [ebp+ClientId.UniqueThread], esi
.text:0DCE919D                 mov     [ebp+ObjectAttributes.Length], 18h
.text:0DCE91A4                 mov     [ebp+ObjectAttributes.RootDirectory], esi
.text:0DCE91A7                 mov     [ebp+ObjectAttributes.ObjectName], esi
.text:0DCE91AA                 mov     [ebp+ObjectAttributes.SecurityDescriptor], esi
.text:0DCE91AD                 mov     [ebp+ObjectAttributes.SecurityQualityOfService], esi

最后是测试的代码

#include <Windows.h>
#include <winternl.h>
#include <stdio.h>
int main() {
	typedef NTSTATUS(__stdcall
		* NtOpenProcess)(PHANDLE ProcessHandle, ACCESS_MASK DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes, CLIENT_ID* ClientId);
	HMODULE hNtdll = LoadLibraryA("ntdll.dll");
	if (!hNtdll) {
		printf("LoadLibraryA\n");
		return 0;
	}
	NtOpenProcess ZwOpenProcess = (NtOpenProcess)GetProcAddress(hNtdll, "ZwOpenProcess");
	if (!ZwOpenProcess) {
		printf("open failed\n");
		return 0;
	}

	OBJECT_ATTRIBUTES obj = { 0 };
	obj.Length = sizeof(OBJECT_ATTRIBUTES);
	CLIENT_ID client = { 0 };
	client.UniqueProcess = 22036;
	HANDLE OUT process = 0;

	NTSTATUS status = ZwOpenProcess(&process, PROCESS_ALL_ACCESS,&obj,&client);
	printf("%d\n", process);
}
123qweqew
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
hoh.rar_OpenProcess
09-19
`OpenProcess`是一个核心API函数,允许程序员获取对已运行进程的访问权限,从而可以读取或修改进程的内存、线程,甚至控制进程的执行。本篇文章将深入探讨`OpenProcess`函数的使用方法以及与之相关的知识点。 首先...
OpenProcess | Process32First | GetExitCodeProcess - WINDOWS API 第二弹 非通信方式的子进程获取父进程信息
Bobowen的博客
10-28 1230
OpenProcess | Process32First | GetExitCodeProcess - WINDOWS API 第二弹 进程相关
C++ 查看指定进程打开的文件信息
weixin_42270114的博客
07-17 4820
C++ 根据进程名遍历打开的文件
OpenProcess()函数
热门推荐
夜空中最亮的星
10-06 5万+
通过一个进程关闭另外一个进程的时候,一般的做法就是枚举系统打开的所用进程的标识符(PID),使用OpenProcess函数获得进程的句柄,该函数可以通过第一个参数来设置句柄的新的访问权限(不清楚句柄是不是和原来的一模一样?有待证明和学习),比如如果打开的句柄不具备终止句柄的权限,直线终止进程操作会失败,返回的错误代码为5(意思为拒绝访问)。通过获得的句柄就可以获得进程名字(通过GetModuleB
#include<Windows.h>头文件中的函数
Q14978的博客
08-09 3385
鼠标位置的获取,应用的打开与关闭,窗口句柄,窗口的寻找
显示和杀死系统当前进程.rar_OpenProcess_TerminateProcess
09-21
此代码示范了如何利用 CreateToolhelp32Snapshot API函数枚举系统当前进程。以及如何用HANDLE OpenProcess(...),TerminateProcess(...)来打开和关闭活动进程。
纯汇编openprocess源码
06-02
OpenProcessWindows操作系统中的一个API函数,用于获取对指定进程的访问权限。这篇文档将深入探讨如何用纯汇编语言实现OpenProcess函数的源码。 在Windows API中,OpenProcess函数的主要作用是打开一个已经存在的...
enum_processes_1.0.rar_OpenProcess delphi
09-19
获取当前用户所有进程,可以按名称查看。使用 OpenProcess(PROCESS_QUERY_INFORMATION or PROCESS_VM_READ, False, ProcessIds[I])方法,对学习进程方面有参考
A61 STM32_HAL库函数 之 TIM扩展驱动 -- C -- 所有函数的介绍及使用
常驻客栈的博客--嵌入式EtherCAT
07-06 858
以上就是该博客驱动所有函数的介绍及使用的内容。有不明白的地方欢迎留言;有建议欢迎留言,我后面编写文档好改进。创作不容,如果文档对您有帮助,记得给个赞。
嵌入式Linux之内核简介和移植
qq_28576837的博客
07-03 138
NXP 会从 https://www.kernel.org 下载某个版本的 Linux 内核,然后将其移植到自己的 CPU上,测试成功以后就会将其开放给 NXP 的 CPU 开发者。开发者下载 NXP 提供的 Linux 内核,然后将其移植到自己的产品上。大家没必要追新,因为 4.x 版本的 Linux 和 5.x 版本没有本质上的区别,5.x 更多的是加入了一些新的平台、新的外设驱动而已。
c++习题08-计算星期几
码到成龚的博客
07-03 603
问题描述 假设今天是星期日,那么过a^b天之后是星期几? 输入描述 两个正整数a,b,中间用单个空格隔开。0
Linux系统的介绍和常用命令
weixin_65175398的博客
07-07 833
Linux是一个开源的类Unix操作系统,由Linux内核、GNU工具及其他组件组成。它最初由Linus Torvalds于1991年发布,如今已成为服务器、超级计算机、桌面系统和嵌入式设备中广泛使用的操作系统之一。Linux因其安全性、稳定性和灵活性而受到广泛欢迎,特别是在开发和生产环境中。
adb shell ps -T打印出来参数的含义,以及D,T,Z代表的状态含义是什么?
07-05 461
在Android系统中,使用命令可以查看当前系统中运行的进程信息。当你添加-T选项时(注意,标准的ps命令在Android的adb shell中可能不直接支持-T选项,这通常与Linux中的ps命令略有不同),你可能是想查看更详细的线程信息,但标准的命令并不直接支持-T来列出线程。不过,我们可以讨论ps命令输出的一般含义以及进程状态(如D, T, Z)的含义。
操作系统引导全过程-详细
qq_58539881的博客
07-03 936
硬盘结构:硬盘内部有MBR(Master Boot Record主引导记录)、以及多个分区,每个主分区也有自己的PBR(分区引导记录)。硬盘扇区默认大小512B,空间分配一般按簇分配(多个扇区为一组簇)。BIOS工作在实模式下,最大20位寻址,也就是1M寻址范围(0x00000 ~ 0xFFFFF)(最初的8086处理器能够访问的内存最大只有1MB,保证兼容性)MBR大小512B,位于0柱面、0磁头、1扇区,包括:主引导程序(446B)、硬盘分区表DPT(64B)、MBR结束标志AA55(2B)
系统架构设计师教程 第二章 计算机系统基础知识-2.3计算机软件
最新发布
Remon的专栏
07-09 625
《系统架构设计师教程》清华第二版 2.3计算机软件 章节的详细解读
Linux x86_64平台指令替换函数 text_poke_smp/bp
小立仔
07-05 769
Linux x86_64平台指令替换函数 text_poke_smp/bp简介
OpenProcess
07-27
OpenProcess 是一个Windows系统函数,用于打开一个已存在的进程并返回其句柄。它的原型如下: ```c HANDLE OpenProcess( DWORD dwDesiredAccess, BOOL bInheritHandle, DWORD dwProcessId ); ``` 其中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值