驱动层进程和线程操作

最新推荐文章于 2023-06-16 09:05:58 发布
最新推荐文章于 2023-06-16 09:05:58 发布
阅读量1.8k 收藏 7
点赞数 1
分类专栏: 内核安全编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41490873/article/details/108182849
版权

注意使用PsLookupProcessByProcessId或者PsLookupThreadByThreadId必须要调用ObDereferenceObject来释放引用

操作对应函数
枚举进程PsLookupProcessByProcessId
获取父进程IDPsGetProcessInheritedFromUniqueProcessId
暂停进程PsSuspendProcess
恢复进程PsResumeProcess
结束进程ZwTerminateProcess
枚举线程PsLookupThreadByThreadId
暂停线程PsSuspendThread
恢复线程PsResumeThread
结束线程PsLookupThreadByThreadId
枚举模块枚举PEB.LDR的双向链表
卸载dll模块MmUnmapViewOfSection

枚举进程

#include <ntifs.h>
#include <ntddk.h>
//根据进程结构获得进程名指针  需要自己申明一下。

NTKERNELAPI
PUCHAR
PsGetProcessImageFileName(
IN PEPROCESS Process
);

VOID EnumProcess()
{
	ULONG i = 0;
	for (i; i < 20000; i += 4)
	{
		NTSTATUS status = STATUS_SUCCESS;
		PEPROCESS Eprocess;
		status = PsLookupProcessByProcessId((HANDLE)i, &Eprocess);
		if (NT_SUCCESS(status))
		{
			PUCHAR ProcessName = PsGetProcessImageFileName(Eprocess);
			KdPrint(("进程PID:%d  进程名:%s \n", i, ProcessName));
			ObDereferenceObject(Eprocess);
		}
	}
}

暂停进程和恢复进程

#include <ntifs.h>
#include <ntddk.h>
//需要自己申明  在XP下不可以用 需要用特征码搜索函数
NTSTATUS PsSuspendProcess(PEPROCESS Eprocess);
NTSTATUS PsResumeProcess(PEPROCESS Eprocess);


VOID ResumeProcess(HANDLE ProcessId)
{
	PEPROCESS Eprocess;
	NTSTATUS status = PsLookupProcessByProcessId(ProcessId, &Eprocess);
	if (!NT_SUCCESS(status))
	{
		KdPrint(("进程对象查找失败,错误码:%x\n", status));

	}
	PsResumeProcess(Eprocess);
	ObDereferenceObject(Eprocess);
}

VOID DriverUnload(IN PDRIVER_OBJECT pDriverObject)
{
	KdPrint(("驱动卸载成功\n"));
	ResumeProcess((HANDLE)2480);

}

NTKERNELAPI
PUCHAR
PsGetProcessImageFileName(
IN PEPROCESS Process
);


VOID SuspendProcess(HANDLE ProcessId)
{
	PEPROCESS Eprocess;
	NTSTATUS status = PsLookupProcessByProcessId(ProcessId,&Eprocess);
	if(!NT_SUCCESS(status))
	{
		KdPrint(("进程对象查找失败,错误码:%x\n",status));
	
	}
		PsSuspendProcess(Eprocess);
		ObDereferenceObject(Eprocess);
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING RegistryPath)
{
	NTSTATUS status = STATUS_SUCCESS;
	pDriverObject->DriverUnload = DriverUnload;
	SuspendProcess((HANDLE)2480);

	KdPrint(("驱动加载成功\n"));
	return status;
}

获取父进程ID

//获取父进程ID  申明后就可以使用
HANDLE PsGetProcessInheritedFromUniqueProcessId(PEPROCESS Eprocess);

结束进程

//参数为进程PID
NTSTATUS MyTerminateProcess(HANDLE ProcessId)
{
	NTSTATUS status;
	HANDLE hProcess;
	CLIENT_ID ClientId = {0};
	ClientId.UniqueProcess = ProcessId;
	OBJECT_ATTRIBUTES oa;
	InitializeObjectAttributes(&oa, NULL, OBJ_KERNEL_HANDLE, NULL, NULL);
	status=ZwOpenProcess(&hProcess,PROCESS_ALL_ACCESS,&oa,&ClientId);
	if(!NT_SUCCESS(status))
	{
		KdPrint(("进程打开失败\n"));
		return status;
	}
	ZwTerminateProcess(hProcess,0);
	return status;
}

枚举线程

#include "LoadFirst.h"

//根据进程结构获得进程名指针  需要自己申明一下。

NTKERNELAPI
PUCHAR
PsGetProcessImageFileName(
IN PEPROCESS Process
);
VOID DriverUnload(PDRIVER_OBJECT pDriverObject)
{
	KdPrint(("驱动卸载成功\n"));
}




//枚举进程的线程数量

VOID EnumProcessThread(PEPROCESS Process)
{
	ULONG i = 0;
	PETHREAD pEthread;
	ULONG ThreadCount = 0;
	while (i<100000)
	{
		
		NTSTATUS status=PsLookupThreadByThreadId((HANDLE)i, &pEthread);
		if (NT_SUCCESS(status))
		{
			//判断线程是否属于指定的进程
			if (IoThreadToProcess(pEthread)==Process)
			{
				ThreadCount++;
				
			}
			ObDereferenceObject(pEthread);
		}
		i += 4;
	}
	KdPrint(("进程ID:%d  进程名%s  线程总数:%d\n", PsGetProcessId(Process), PsGetProcessImageFileName(Process), ThreadCount));
	
}

VOID EnumProcess()
{
	ULONG i = 0;
	for (i; i < 20000; i += 4)
	{
		NTSTATUS status = STATUS_SUCCESS;
		PEPROCESS Eprocess;
		status = PsLookupProcessByProcessId((HANDLE)i, &Eprocess);
		if (NT_SUCCESS(status))
		{
			EnumProcessThread(Eprocess);
			ObDereferenceObject(Eprocess);
		}
	}
}



NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING RegistryPath)
{
	NTSTATUS status = STATUS_SUCCESS;
	pDriverObject->DriverUnload = DriverUnload;
	EnumProcess();
	return status;
}

暂停和恢复线程

PsSuspendThread 在xp和win7都可以使用 未导出 需要自己搜索
PsResumeThread只能在win7使用 可以使用ZwResumeThread来代替。也可以使用特征码搜索

结束线程

ZwTerminateRthread未导出,需要自己去搜索。

qq_857305819
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
杀死所有线程干掉某杀软
ADADQDQQ的博客
07-27 231
#include <ntddk.h> NTSTATUS PspTerminateThreadByPointer( IN PETHREAD Thread, IN NTSTATUS ExitStatus, IN BOOLEAN DirectTerminate ); NTSTATUS PsGetProcessImageFileName( __in PEPROCESS Process ); NTSTATUS PsLookupProcessByProcessId( __in HANDLE
PsSetCreateThreadNotify回调PsLookupThreadByThreadId失败
0xC0000005
11-25 1543
PsSetCreateThreadNotify设置的回调函数中调用PsLookupThreadByThreadId失败。原因在此。 在这个回调中因微软的疏忽,VISTA之前的系统调用PsLookupThreadByThreadId查找ThreadId对应的ETHREAD一定会失败。 因此应采用二次hook: 1.首先保存此处的三个参数,然后找到调用ThreadNotifyRoutin
[内核编程]线操作
輚至消亡
07-13 1122
1. 线程枚举 来介绍几个要用到的内核API: PsLookupThreadByThreadId(): NTSTATUS PsLookupThreadByThreadId( IN HANDLE ThreadId, OUT PETHREAD *Thread ); 通过TID获取对应的ETHREAD结构指针。 IoThreadToProcess(): PEPROCESS IoThreadToProcess( IN PETHREAD Thread
wince驱动开发三
ayin668的专栏
08-12 625
<br />5、信标对象<br />信标对象,也叫信号灯,用于限制资源访问数量,他包含一个引用计数,一个当前可用资源数,一个最大可用资源数。如果当前可用资源数大于0,信标对象处于有信号状态。当可用资源数等于0,信标对象处于无信号状态。<br />和信标对象相关的函数: HANDLE  CreateSemaphore(LPSECURITY_ATTRIBUTES  lpSemaphoreAttributes,               LONG  lInitialCount,            
内核中劫持线程注入DLL并隐藏
人生苦短,我用python
04-18 1304
驱动程序中,您可以通过调用PsSetCreateThreadNotifyRoutine或PsSetLoadImageNotifyRoutine等API来获取进程线程的通知。这时,您可以暂停线程并修改其上下文,以便在恢复时执行您的代码。为了实现这些功能,您需要学习Windows内核编程和驱动开发。在此过程中,您可能需要使用Windows Driver Kit(WDK)和Visual Studio。编写好驱动程序后,您需要在目标系统上加载和卸载它。在劫持线程后,您需要将目标DLL加载到目标进程的内存中。
驱动开发:内核操作线程与模块
CSDN
10-21 5563
进程就是活动起来的程序,每一个进程在内核里,都有一个名为EPROCESS的结构记录它的详细信息,其中就包括进程名,PID,PPID,进程路径等,通常在应用层枚举进程只列出所有进程的编号即可,不过在内核层需要把它的 EPROCESS 地址给列举出来。
tqwh.zip_进程线
09-24
在IT领域,进程线程是操作系统中两个重要的概念,它们是程序执行的基本单位。本文将深入探讨这两个概念,以及如何在...在实际开发中,应根据项目需求选择合适的进程线程模型,以达到最佳的系统资源利用率和用户体验。
A0401进程线程HandlerPost1
08-03
"A0401进程线程HandlerPost1" 从给定的文件信息中,我们可以生成以下知识点: 1. 进程线程的概念:在计算机科学中,进程(Process)和线程(Thread)是两个基本概念。进程是一个独立的执行单元,拥有独立的...
bvt.rar_occasionallytbl_进程线
09-23
在VB(Visual Basic)开发的系统中,进程线程是至关重要的概念,尤其在处理并发操作和资源管理时。本系统“bvt.rar_occasionallytbl”,据描述是一个用于餐饮行业的管理系统,它的设计和实现充分利用了这些概念,...
C++_MFC_进程线程.
05-17
在IT行业中,C++是一种强大的面向对象编程语言,被广泛应用于系统软件、应用软件、游戏开发、设备驱动等领域的...通过实践和学习,开发者可以构建出更高效、更稳定的多线程和多进程应用程序,满足各种复杂的软件需求。
The.zip_进程线程_Others_
08-11
在IT领域,进程线程是操作系统中不可或缺的概念,尤其在多媒体编程中,它们起着至关重要的作用。"The.zip_进程线程_Others_"这个文件包可能包含了用于多媒体编程的源代码,其中涉及到ASPI(Advanced SCSI ...
如何暂停一个正在运行的线程?
niceyoo的博客
07-27 1829
今天把小伙伴问懵了,小刚,你知道怎么停止一个线程吗? 这…,这…,stop? 原来平时小刚这小子只知道创建线程,不知道怎么暂停线程呀~[狗头] 停止线程是在多线程开发中很重要的技术点,比如在多线程持续处理业务代码时,由于处理逻辑中有第三方接口异常,我们就假设发送短信接口挂了吧,那么此时多线程调用短信接口是没有任何意义的,我们希望接口恢复后再对接口进行处理,那么此时怎么办呢,如何中止已经启动的线程呢? 其实在Java中有3种方式可以终止正在运行的线程: 使用stop方法强制退出:使用stop()方法强制终
驱动遍历进程的方法
qq_41071646的博客
10-27 1409
/*#include &lt;ntddk.h&gt; #define DEVICE_OBJECT_NAME L"\\Device\\BufferedIODeviceObjectName" #define DEVICE_LINK_NAME L"\\DosDevices\\BufferedIODevcieLinkName" void dirver(IN PDRIVER_OBJECT pDri...
[内核编程]进程操作
輚至消亡
07-12 1089
1. 进程枚举 首先来介绍2个重要函数: PCHAR PsGetProcessImageFileName(IN PEPROCESS pProcess) 这个函数是从内核导出的,声明后可以直接使用 作用是可以通过EPROCESS的指针获取对应进程映像名。实际上直接从EPROCESS结构内自己获取也可以。 该函数在ntifs.h内有声明,包含后就可以直接使用。 作用是通过PID获取对应进程的EPROCESS结构。 看一个例子: NTSYSCALLAPI PCHAR PsGetProce.
漫谈兼容内核之十九:Windows线程间的强相互作用
周寅的专栏
03-13 1896
     在现代的计算机系统中,一项作业(Job)往往需要多个进程线程的协作,而操作系统则要为进程线程间的协作提供基础设施和机制上的支持。操作系统、特别是内核,提供什么样的设施和手段,系统中的进程之间和线程之间就会有什么样的相互作用。如果把一个系统比作一个社会,那么系统中的进程线程就好像是社会中的成员。成员的行为和成员之间的关系有其“社会性”的一面、即互相影响的一面。例如一个线程的调度优先级
驱动开发:内核RIP劫持实现DLL注入
CSDN
06-16 7521
本章将探索内核级DLL模块注入实现原理,DLL模块注入在应用层中通常会使用`CreateRemoteThread`直接开启远程线程执行即可,驱动级别的注入有多种实现原理,而其中最简单的一种实现方式则是通过劫持EIP的方式实现,其实现原理可总结为,挂起目标进程,停止目标进程EIP的变换,在目标进程开启空间,并把相关的指令机器码和数据拷贝到里面去,然后直接修改目标进程EIP使其强行跳转到我们拷贝进去的相关机器码位置,执行相关代码后,然后再次跳转回来执行原始指令集。
Win64 驱动内核编程-7.内核里操作进程
天使也掉毛
03-05 4714
在内核里操作进程     在内核里操作进程,相信是很多对 WINDOWS 内核编程感兴趣的朋友第一个学习的知识点。但在这里,我要让大家失望了,在内核里操作进程没什么特别的,就标准方法而言,还是调用那几个和进程相关的 NATIVE API 而已(当然了,本文所说的进程操作,还包括对线程和 DLL 模块的操作)。本文包括 10 个部分:分别是:枚举进程、暂停进程、恢复进程、结束进程、枚举线程、暂停线
驱动关闭进程
qq_41071646的博客
10-28 916
#include &lt;ntifs.h&gt; NTSTATUS ZwQuerySystemInformation( ULONG SystemClass, PVOID SystemInformation, ULONG SystemInformationLength, PULONG RetLength ); typedef struct _SYSTEM_THREADS { LARG...
通过暴力搜索PID遍历进程并获取进程信息
LYSM
06-23 2883
背景 通常我们在内核中使用 ZwQuerySystemInformation 函数来遍历进程模块并获取进程信息,这种是通过正常的进程遍历方式,所以,有很多 Rootkit 程序会 HOOK 这个 ZwQuerySystemInformation 函数,过滤指定进程,从而实现进程的隐藏。 本文实现的进程遍历和获取进程信息并不打算使用 ZwQuerySystemInformation 这种方式,而是直接暴力搜索进程的 PID,根据有效的 PID 获取相应进程的信息,从而实现进程的遍历。现在,我就来讲解具体的实现
进程线程 以及nodejs的进程线
最新发布
05-11
Node.js 是一款基于 Chrome V8 引擎的 JavaScript 语言,它采用事件驱动、异步编程的方式,运行在单进程、单线程的模型下。这意味着 Node.js 应用程序仅使用一个线程来处理客户端请求。但是,Node.js 通过 child_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值