ACE_BASE用来检测隐藏进程线程的方式

最新推荐文章于 2024-09-26 08:07:45 发布
最新推荐文章于 2024-09-26 08:07:45 发布
阅读量3k 收藏 1
点赞数 1
文章标签: 游戏 c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qazxswpanzer/article/details/128747530
版权
该文章探讨了一种通过读取CPU每个核心上的KPRCB+8来获取当前线程,并进一步转换为EPROCESS结构,以此在系统进程中寻找可能隐藏的线程或进程的方法。当KeNumberProcessors大于32时,限制检查范围为32个核心。通过对KPRCB的访问和EPROCESS的遍历,文章旨在揭示系统中可能存在的不可见执行单元。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原理读取CPU每一个核心上的_KPRCB +8 的CurrenThread 然后转EPROCEESS
然后在平常方式获取的EPROCESS列表里面查找 未能找到判定为隐藏的线程或进程

signed int v0; // edi
unsigned __int8 i; // bl
__int64 (*v2)(void); // rax
__int64 v3; // rcx
unsigned __int8 j; // bl
__int64 v5; // rcx
__int64 v6; // rax
__int64 v8[33]; // [rsp+20h] [rbp-108h]

sub_140076D40(v8, 0i64, 0x100ui64);
v0 = KeNumberProcessors[0];KeNumberProcessors获取CPU核心数
if ( KeNumberProcessors[0] > 32 )
v0 = 32;
for ( i = 0; i < v0; v8[v3] = (__int64)v2 )
{
v2 = sub_14003F930();//获取KPRCB
v3 = i++;
}
do
{
if ( byte_1401242F0 )
break;
for ( j = 0; j < v0; ++j )
{
v5 = v8[j];
if ( v5 )
{
v6 = PsGetThreadProcess(*(_QWORD )(v5 + 8));//struct _KTHREAD CurrentThread; //0x8
sub_140043FA0(v6);
}
}
}
while ( sub_140039270(10u) );

Kasugano-Sora
关注
ACE开发学习总结
bcbobo21cn的专栏
04-01 6536
ACE的框架及其核心 ACE设计框架和基础模块的关联 *一、案例描述 视频电警开发,是基于ACE框架上的一次重复开发,本文档拟对ACE框架做一个梳理,以期对他人进行基 于ace的开发有所帮助。 *二、系统安装 ACE的安装是一件比较麻烦的事情,这里简单的记录了我在VS2005下安装ACE的过程,希望能给大家一个 参考。
ASIO网络调试助手之三:ASIO网络编程注意事项
草上爬的博客
09-14 2057
之前用过uv-cpp,和ASIO一样, 也支持异步机制,因此ASIO用起来还是比较顺手的,下面是个人总结的四点注意事项。
隐藏进程检测
Tommy(凌飞)的专栏
11-17 3468
 隐藏进程检测User Mode下的隐藏进程检测我们先来看一些简单的方法,这些方法可以用在ring3下,用不着驱动。检测的原理是每一个进程活动时都会暴露一些痕迹,可以通过这些痕迹检测到它们。这些痕迹包括打开的句柄、窗口和创建的系统对象。针对类似的检测方法来实现进程隐藏并不困难,但需要考虑进程工作时可能暴露出的所有迹象。目前还没有一个公开的rootkit做到了这一点(遗憾的是私有版本我也还没见到)。
acebase:受Firebase实时数据库的启发,针对node.js的快速,低内存,支持事务和查询的JSON数据库服务器
05-14
AceBase实时数据库引擎 快速,低内存,事务性,索引和查询功能的NoSQL数据库引擎和服务器,用于具有实时数据更改通知的node.js和浏览器。 支持存储JSON对象,数组,数字,字符串,布尔值,日期和二进制(ArrayBuffer)数据。 受Firebase实时数据库的启发(并在很大程度上与之兼容),具有附加功能和较少的数据分片/复制。 能够在二进制数据库文件中存储多达2 ^ 48(281万亿)个对象节点,该文件理论上可以增长到8 PB的最大文件大小。 AceBase易于安装,可在任何地方运行:无论在何处,都可以在云,NAS,本地服务器,PC / Mac,Raspberry Pi,。 :fire: 查看新的功能,或跳到 // Connect to remote database (works on local AceBase instances too!) const { AceBa
ACE BASE.sys蓝屏【终止代码:DRIVER_IRQL_NOT_LESS_OR_EQUAL】
Accelerate_dnf的博客
06-19 9461
ACE BASE.sys蓝屏
高性能实时数据库AceBase:创新NoSQL解决方案
gitblog_00068的博客
05-22 2290
高性能实时数据库AceBase:创新NoSQL解决方案 acebase A fast, low memory, transactional, index & query enabled NoSQL database engine and server for node.js and browser with realti...
求助帖 腾讯反作弊服务ACE-BASE.sys在运行腾讯游戏时内存调用失败导致蓝屏的问题
weixin_42790273的博客
11-01 5244
首先我目前在用的系统是WIN11 21H2 最近经常蓝屏蓝屏代码0x0000001A 错误问题是内存管理出错 驱动为ACE-BASE.sys我检查了计算机的内存 并不存在任何问题 蓝屏报告也使用软件查看了 两个主要的错误就是ACE-BASE.sys与ntoskrnl.exe文件报错导致的内存管理出问题 导致蓝屏请问我该怎样处理呢 现在就是我更新了显卡驱动 内存没有问题也擦拭了内存条 把安全补丁卸载了几个 但是问题并没有得到解决 目前的显卡是英伟达3070ti 版本号546.01 我尽最大努力了 希望得到大
AceBase:实时NoSQL数据库引擎的强大选择
gitblog_00306的博客
09-25 2288
AceBase:实时NoSQL数据库引擎的强大选择 acebase A fast, low memory, transactional, index & query enabled NoSQL database engine and server for node.js and browser with realtime...
ace admin java 整合 开发 后台框架,aceadmin_HTML5
热门推荐
zhouxingcs的博客
01-31 3万+
获取【下载地址】     【免费支持更新】 A 代码生成器(开发利器);       增删改查的处理类,service层,mybatis的xml,SQL( mysql   和oracle)脚本,   jsp页面 都生成    就不用写搬砖的代码了,生成的放到项目里,可以直接运行 B 阿里巴巴数据库连接池druid;   数据库连接池  阿里巴巴的 druid。Druid在监控、可扩展
bootstrap ace admin 整合java HTML5 全新高大尚web后台框架
wernisng090的博客
03-12 4144
获取【下载地址】   QQ: 313596790   【免费支持更新】 支持三大数据库 mysql  oracle  sqlsever   更专业、更强悍、适合不同用户群体 【新录针对本系统的视频教程,手把手教开发一个模块,快速掌握本系统】 A 代码生成器(开发利器);       增删改查的处理类,service层,mybatis的xml,SQL( mysql   和oracle)脚
acebase-client:客户端连接到远程AceBase JSON数据库服务器
05-16
AceBase实时数据库客户端 该存储库用于连接到远程AceBase服务器。 有关AceBase数据库和用法的更多信息,请参见 。 入门 安装acebase-client npm软件包: npm install acebase-client ( , ) 然后,像这样require它: const { AceBaseClient } = require ( 'acebase-client' ) ; 或者,如果要在浏览器中使用客户端,请使用以下代码: < script type =" text/javascript " src =" https://cdn.jsdelivr.net/npm/acebase-client@latest/dist/browser.min.js " > </ script > 连接到AceBase服务器 使用以下代码连接到AceBase Web服务器
libevent 源码分析丨libevent组件构成以及编程要领
Linuxhus的博客
05-10 330
1,前言 Libevent是一个轻量级的开源高性能网络库,使用者众多,研究者更甚,相关文章也不少。写这一系列文章的用意在于,一则分享心得;二则对libevent代码和设计思想做系统的、更深层次的分析,写出来,也可供后来者参考。文章较长,建议收藏观看。 附带一句:Libevent是用c语言编写的(MS大牛们都偏爱c语言哪),而且几乎是无处不函数指针,学习其源代码也需要相当的c语言基础。 文章相关视频讲解: c/c++Linux后台服务器开发高级架构师视频资料 epoll原理剖析以及reactor模型
AceBase 项目教程
gitblog_00305的博客
09-26 1389
AceBase 项目教程 acebase A fast, low memory, transactional, index & query enabled NoSQL database engine and server for node.js and browser with realtime data change ...
Windows2000 内核级进程隐藏、侦测技术
天蓝的专栏
09-01 1695
摘要    信息对抗是目前计算机发展的一个重要的方向,为了更好的防御,必须去深入的了解敌人进攻的招式。信息对抗促使信息技术飞速的发展。下面我选取了信息对抗技术的中一个很小一角关于windows内核级病毒隐藏技术和反病毒侦测技术作为议题详细讨论。 关键字:内核,拦截,活动进程链表,系统服务派遣表,线程调度链Abstract        Nowadays, informati
检测隐藏进程
liuhaidon1992的博客
01-17 2797
1. 用 户 态 进 程 检 测 方 法 该 方 法 利 用 WindowsAPI检测进程。但是在实际应用中,该方法几乎无法检测到 Rootkit隐藏进程。 用户态可以通过CreateToolhelp32Snapshot,Process32First,Process32Next遍历进程。 或者通过通过psapi.dll提供的EnumProcesses来枚举进程。 也可以使用Native API 中...
检测隐藏进程(一)
tcz999的专栏
11-19 1278
许多用户都有过用视窗系统自带的任务管理器查看所有进程的经验,并且非常多人都认为在任务管理器中隐藏进程是不可能的。而实际上,进程隐藏是再简单不过的事情了。有许多可用的方法和参考源码能达到进程隐藏的目的。令我惊奇的是只有非常少一部分的木马使用了这种技术。估计1000个木马中仅有1个是进程隐藏的。我认为木马的作者太懒了,因为隐藏进程需要进行的额外工作仅仅是对原始码的拷贝-粘贴。所
【驱动级!进程隐藏-按键精灵过检】驱动级,内核级进程隐藏进程保护。实战效果演示,免费分享。
luoqiaoliang的博客
05-20 5817
废话不多说,干货直接上! 免费的驱动级进程隐藏工具分享,还不赶紧带上你的赞和关注白嫖一波吗?
ace 实现的线程池,可以用ACE_Task_Base,ACE_Task,ACE_Svc_Handler作为工作者
zqf_office的专栏
05-06 890
头文件  1#include ace/Thread_Mutex.h>  2#include ace/Guard_T.h>  3#include ace/Svc_Handler.h>  4#include ace/Condition_T.h>  5#include ace/Atomic_Op.h>  6  7#include queue>  8  9// ---------
window蓝屏 PAGE_FAULT_IN_NONPAGED_AREA ACE BASE.SYS
qq_51654202的博客
05-22 1554
解决办法是搜索这个文件然后开启管理员权限将其用记事本打开并清空,之后设置为只读。文件有两个,一个在c盘,一个在wegame那个盘,直接文件搜索就行。因为wegame的一个名为ace-game.sys的文件导致的。
ACE_BASE+0x90948
最新发布
05-07
<think>好的,我现在需要解决用户的问题,关于如何解析内存地址ACE_BASE+0x90948对应的符号信息。首先,我需要回忆一下相关的内存调试和分析工具,比如GDB、nm、objdump,以及addr2line这些工具的使用方法。用户可能是在进行逆向工程或者调试时遇到了这个地址,想要知道对应的函数或变量。 首先,用户提供的引用中有一些关于内存管理和代码示例的内容,比如引用3中的write_env函数涉及内存操作,引用4提到了变量和引用的地址关系,可能这些内容可以作为参考。不过用户的问题更偏向于符号解析,所以需要关注如何将地址转换为符号。 接下来,我需要考虑不同的方法来解析这个地址。如果用户有可执行文件或共享库,使用nm或objdump来查找符号表是常见的方法。例如,使用nm -C --defined-only <二进制文件> | grep 90948可以查找接近的符号。但需要注意,ACE_BASE是一个基地址,所以需要确定其实际值。如果ACE_BASE是某个库的加载基地址,那么实际地址就是ACE_BASE加上偏移量0x90948。 另外,动态分析工具如GDB可以在运行时附加到进程,使用info symbol 0x90948来查找符号。不过前提是需要知道ACE_BASE的具体值,或者进程已经加载了相关库,这时候可以计算实际地址。 如果用户有核心转储文件,同样可以使用GDB进行分析,加载核心文件后使用相同的命令。另外,addr2line工具可以将地址转换为源代码的行号,但需要调试信息。 用户可能遇到的困难包括如何确定ACE_BASE的值,以及是否有对应的符号表或调试信息。如果ACE_BASE是动态加载的,比如共享库的基地址,可能需要通过/proc/<pid>/maps来查看内存映射,找到对应的库基地址,然后计算实际地址。 此外,引用2提到缓冲区的交换区,引用5提到文件系统,这些可能与当前问题关联不大,但需要确认是否有其他上下文。不过根据用户的问题,重点还是符号解析。 总结下来,我需要分步骤说明如何解析ACE_BASE+0x90948,包括静态分析和动态分析的方法,并提醒用户需要知道ACE_BASE的值或相关二进制文件。同时,可能需要解释如何获取ACE_BASE的值,比如通过查看进程的内存映射或使用调试器。</think>### ACE_BASE+0x90948 内存地址解析方法 #### 1. **确定 ACE_BASE 的基地址** - **动态分析**:若地址来自运行中的进程,可通过 `/proc/<pid>/maps` 文件查看内存映射,定位 `ACE` 库的加载基地址。例如: ```bash cat /proc/$(pidof <进程名>)/maps | grep libACE.so ``` 输出示例: ``` 7f8e40000000-7f8e40245000 r-xp 00000000 08:01 123456 /usr/lib/libACE.so.6.5.0 ``` 基地址为 `0x7f8e40000000`[^2]。 - **静态分析**:若已知 `ACE` 库路径,可通过 `readelf -h libACE.so` 查看默认加载基地址(需注意实际运行时可能因 ASLR 偏移)[^1]。 #### 2. **计算实际地址** 实际地址 = `ACE_BASE + 0x90948` 例如,若 `ACE_BASE=0x7f8e40000000`,则实际地址为 `0x7f8e40090948`。 #### 3. **符号解析方法** - **静态符号表查询**(需对应版本的 `libACE` 二进制文件): ```bash nm -C --defined-only libACE.so | grep 90948 ``` 或通过偏移量计算符号位置: ```bash objdump -tT libACE.so | awk '{if ($1 == "0000000000090948") print $6}' ``` - **动态调试工具**(如 GDB): ```bash gdb -p <pid> (gdb) info symbol 0x7f8e40090948 ``` 输出可能为: ``` ACE_Some_Class::method_name + 32 in section .text ``` - **addr2line 工具**(需带调试信息的库文件): ```bash addr2line -e libACE.so.6.5.0 0x90948 ``` 输出示例: ``` /path/to/ACE/src/Module.cpp:123 ``` #### 4. **常见问题** - **ASLR 影响**:若系统启用地址随机化,基地址每次运行会变化,需动态获取[^2]。 - **版本一致性**:符号偏移量需与二进制文件版本严格匹配。 - **内存损坏分析**:若该地址出现在崩溃日志中,需结合堆栈回溯判断是否属于代码段或数据段[^1]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值