清除句柄表保护进程

已于 2024-05-07 06:46:15 修改
阅读量151 收藏
点赞数 2
文章标签: c语言 操作系统 windows
于 2024-05-07 04:11:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pluginL/article/details/138515949
版权

上节课老师讲错了属性是最后两位,0xfffffffc,并且从句柄表中取出来的值也要-1才能用通过逆向PsLookupProcessByProcessId可以知道

//关键代码
 v4 = (struct _KPROCESS **)ExMapHandleToPointer(ProcessId);
 //->
     v2 = (volatile signed __int32 *)ExpLookupHandleTableEntry(NewIrql);
    if ( v2 )
    {
      while ( 1 )
      {
        v3 = *v2;
        if ( (*v2 & 1) != 0 )
        {
        //_InterlockedCompareExchange这个函数就是比较1,3参数一样就把值给参数1
          if ( _InterlockedCompareExchange(v2, v3 - 1, v3) == v3 )
            return v2;
        }

之后讲了利用系统使用ExpLookupHandleTableEntry判断是否超过最大句柄返回0,就不会蓝屏(老师说这里会返回0)

if ( (a2 & 0xFFFFFFFC) >= this[13] )
    return 0;

但是事实上当你把PID修改为0时,系统调用时并不会返回,他会按部就班的去寻找这个PID的句柄。没有蓝屏只是因为这个PID的进程没有退出或者根本就没有时,软件的退出才不会蓝屏,所以如果你把PID修改为4(system的PID)时也不会蓝屏。但是你要是按照条件去做这个判断时比如说填个0XFFFF FFFF时还是会蓝屏的

VOID ClearHandleTableByPid(ULONG pid) {
	UNICODE_STRING funcName = { 0 };
	RtlInitUnicodeString(&funcName, L"PsLookupProcessByProcessId");
	PUCHAR targetAddr = MmGetSystemRoutineAddress(&funcName);
	if (!targetAddr) {
		DbgPrint("MmGetSystemRoutineAddress\n");
		return;
	}

	PULONG PspCidTable = 0;
	USHORT keyWord = 0x3d8b;
	for (size_t i = 0; i < 100; i++) {
		if (!(*(PUSHORT)targetAddr - keyWord)) {
			PspCidTable = *(PULONG)(targetAddr + 2);
			DbgPrint("PspCidTable:%p\n", PspCidTable);
		}
		targetAddr++;
	}

	pid /= 4;
	ULONG handleTableDir = pid / HANDLE_TABLE_SIZE;
	ULONG handleEntry = pid % HANDLE_TABLE_SIZE;
	handleTableDir = (*(PULONG)(*PspCidTable) & 0xfffffffc) + sizeof(PVOID) * handleTableDir;
	handleEntry = *(PULONG)handleTableDir + handleEntry * 8;

	HANDLE handle = (ULONG)(*(PHANDLE)handleEntry) & 0xfffffffc;
	memset(handleEntry, 0, 8);

	DbgPrint("handle:%p\n", handle);
	DWORD offset = GetProcessIdOffset();
	*(PULONG)((PUCHAR)handle + offset) = 0;
}
123qweqew
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
关于句柄操作窗体集合
05-03
Windows编程中,句柄(Handle)是一种非常重要的概念,它是操作系统用来标识和引用系统对象(如窗口、控件、线程、进程等)的一种唯一标识。本篇将深入探讨句柄操作窗体的基础知识,这对于任何希望进行Windows API...
VC实现获取当前正在运行的进程
09-03
最后,别忘了使用`CloseHandle`关闭快照句柄,释放系统资源。 需要注意的是,这个程序仅适用于获取本地系统的进程信息。如果你需要远程机器的进程信息,可能需要使用其他方法,如WMI(Windows Management ...
全局句柄 —— 抹除进程PID
walker的博客
03-16 732
简介 进程 PID 是进程的唯一标识,那么如果我们尝试抹除进程的 PID 会发生什么情况呢? 本次的测试代码以及关于全局句柄,可参考 全局句柄 —— 遍历全局句柄 Code 驱动程序的关键代码如下: // 该句柄进程句柄 if (!RtlCompareUnicodeString(&pWkPOBJECT_TYPE->Name, &unicode_Process, TRUE)) { DbgPrint("句柄类型: Process, 句柄号: %u.\n", uHand
驱动保护进程 句柄降权 杀软自保 游戏破图标技术原理和实现
鬼手的博客
11-26 7166
驱动保护进程 句柄降权 杀软自保 游戏破图标技术原理和实现
逆向学习Windows篇:进程句柄操作详解
最新发布
weixin_41489908的博客
06-19 1397
本节课在线学习视频(网盘地址,保存后即可免费观看):​​。
隐藏句柄防止结束进程
qq_45844442的博客
07-24 344
三环传入一个指定的PID,驱动将保护通过删除目标进程句柄和PID,这样在任务管理器中将无法结束进程(注意:虽然任务管理器无法结束,但是由于VMware注册了一个回调函数,导致只要自身关闭会发生蓝屏,所以需要把VM3DMP.sys去掉)我所使用的系统是Win7 sp1,不同的系统特征码等也会不一样,请自行提取。
操作系统进程句柄
no_pain_no_gain_的博客
03-10 925
它指向进程所要访问的进程对象的地址,是用来找到目标进程的索引,当我们想要访问对象进程时,就要利用存储在本进程中的句柄来找到对象进程。需要不断地将内存中的数据与外存进行调度,而每次调入内存的数据是不会存放到相同位置的(为了提高效率)。以windows系统为例,句柄就是用来标识进程对象的一个序号,用来找到目标进程。例如,进程A和进程B都需要访问进程C,那么,进程A和进程B的句柄中都会保存指向进程C的句柄,而。,并且这块区域要维护目标进程地址的变化以应对下一次访问的需求,而这块区域内的每一个。
各种进程保护方法的比较
马大叔的工作日记
09-19 3864
一.利用hook 保护进程 1.inline hook 采用inlink hook 保护自身的进程,对抗CreateRemoteThread的Dll注入。在ring3下Dll注入的标准做法是使用CreateRemoteThread控制目标进程调用Loadlibrary
32位/64位WINDOWS驱动之进程保护
a756598009的博客
06-19 1586
加载驱动代码里面加入破解驱动签名限制代码在创建驱动设备后面,在调用一下安装内存保护();//函数在到驱动卸载里面调用一下卸载内存保护();//函数开发环境设置方式是:右击项目,选择属性;选中配置属性中的链接器,点击命令行;在其它选项中输入: /INTEGRITYCHECK 示设置;/INTEGRITYCHECK:NO 示不设置。对于使用sources文件编译的方式,增加LINKER_FLAGS=/INTEGRITYCHECK。
易语言内存清零杀进程
07-16
这样做的效果是使得进程失去其原有状态,数据被清除,通常用于安全性和隐私保护的考量,但同时也可能被滥用进行恶意攻击。 紧接着,`ZwProtectVirtualMemory`函数登场。该函数用于改变进程虚拟内存的保护属性,可以...
易语言隐藏进程-易语言
06-13
例如,要隐藏进程窗口,可能需要使用`SetWindowLong`或`SetProcessWindowStyle`函数来修改窗口风格,将WS_VISIBLE标志清除。 4. 进程标识符:在操作进程中,通常需要进程的PID(进程标识符)。可以通过`...
vc MFC 守护进程 实例 release版
01-17
"DT"可能代“守护”(Daemon)或"数据"(Data)的缩写,"Protect"暗示这个守护进程可能涉及安全保护或系统监控等功能。 守护进程Windows上实现通常需要以下步骤: 1. 避免拥有窗口句柄:守护进程不与用户界面...
进程隐藏与进程保护(SSDT Hook 实现)(二)
weixin_34102807的博客
06-23 256
文章目录: 1. 引子 – Demo 实现效果: 2. 进程隐藏与进程保护概念: 3. SSDT Hook 框架搭建: 4. Ring0 实现进程隐藏: 5. Ring0 实现进程保护: 6. 隐藏进程保护进程的维护: 7. 小结: 1. 引子 – Demo 实现效果: 进程隐藏效果: 应用程序主界面: 隐藏进程 taskmgr.exe: 取消进程隐藏 t...
抹掉所有进程中自己的句柄(源代码)
Tommy(凌飞)的专栏
08-24 1135
     之前听过一个检测进程的想法,就是暴力枚举所有进程中的handle,查找其中类型为PROCESS的.此法也被炉子牛用于他的LzOpenProcess().下面我就写了一断代码来对抗这个方法,纯属小伎俩,牛牛们飘过~严格说,此段代码不算原创,是从某rootkit的bin中扒出来的,因此基本保留其原貌,经我修改测试,主要函数如下:void CloseAllmyHandles(){
多重句柄怎么处理_CAD出现“*警告* 多重从属对象,句柄"98"”的问题 |小建人...
热门推荐
weixin_36197669的博客
01-15 7万+
点击上方蓝色字体,关注我们引言:cad2014怎么消除*警告*多重从属对象,句柄“42”“98”等等的问题,如下:ctrl+c复制后无法Ctrl+v粘贴,出现:*警告* 多重从属对象,句柄“42”*警告* 多重从属对象,句柄“41”*警告* 多重从属对象,句柄“D”ctrl+s保存后也会出现:*警告* 多重从属对象,句柄“42”*警告* 多重从属对象,句柄“41”*警告* 多重...
采用关闭句柄的方式去掉程序多开的限制
yu_xiyan的专栏
01-23 7602
下面的文字,主要是为了分享给和我一样的菜鸟,而且这些东西都是很多大牛的文章中的一个非常小的部分。您们直接飘过吧。     一些程序限制多开的方法很多,比如采用窗口名,进程名,内核对象等等,论坛中也有很多关于这方面的介绍,但是好像没有一个具体的例子,估计是觉得太简单了吧。我研究的这程序的限制多开的方法采用的是“内核对象信号量”。     要破解其多开也有很多方法:     1、直接
EventGroupHandle_t EventGroupHandler; //事件标志组句柄 #define EVENTBIT_0 (1<<0) //事件位 #define EVENTBIT_1 (1<<1) #define EVENTBIT_2 (1<<2) #define EVENTBIT_ALL (EVENTBIT_0|EVENTBIT_1|EVENTBIT_2)
06-11
这段代码定义了一个事件标志组句柄 EventGroupHandler,它的类型是 EventGroupHandle_t。事件标志组是一种用于进程间通信的机制,在FreeRTOS中被广泛使用。本段代码还定义了一些事件位,包括 EVENTBIT_0、EVENTBIT_1、EVENTBIT_2 和 EVENTBIT_ALL。这些事件位可以被用来示不同的事件状态。 在使用事件标志组时,你可以通过调用 xEventGroupCreate() 函数来创建一个事件标志组,然后使用 xEventGroupSetBits() 函数来设置事件位,使用 xEventGroupClearBits() 函数来清除事件位,使用 xEventGroupWaitBits() 函数来等待事件位的状态变化。例如,下面的代码可以将 EVENTBIT_1 和 EVENTBIT_2 设置为事件标志组中的事件位: ```c EventGroupHandler = xEventGroupCreate(); // 创建事件标志组 xEventGroupSetBits(EventGroupHandler, EVENTBIT_1 | EVENTBIT_2); // 设置事件位 ``` 在等待事件位状态变化的时候,可以使用 xEventGroupWaitBits() 函数等待事件位被设置或清除,并且可以指定等待的事件位和等待的方式(例如等待所有事件位都被设置、等待任何一个事件位被设置等等)。例如,下面的代码可以等待 EVENTBIT_1 和 EVENTBIT_2 都被设置: ```c EventBits_t bits = xEventGroupWaitBits(EventGroupHandler, EVENTBIT_1 | EVENTBIT_2, pdTRUE, pdFALSE, portMAX_DELAY); if ((bits & (EVENTBIT_1 | EVENTBIT_2)) == (EVENTBIT_1 | EVENTBIT_2)) { // EVENTBIT_1 和 EVENTBIT_2 都被设置了 } ``` 需要注意的是,在使用事件标志组时,需要确保所有任务都使用相同的事件标志组句柄
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值