windows 驱动实现进程枚举

最新推荐文章于 2022-10-14 13:15:37 发布
最新推荐文章于 2022-10-14 13:15:37 发布
阅读量1k 收藏 2
点赞数
分类专栏: C++ 文章标签: 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shellcodelw/article/details/116534615
版权

因为最近有需求写windows平台下的发外挂模块,需要实现对进程的监控,其中一个线程需要匹配进程名,那么问题来了,这就需要获取所有进程名称。
在用户层ring3下,枚举进程的方法主要有:

1.CreateToolhelp32Snapshot 通过快照枚举,x86和x64,winxp-win10 均可获取到进程名称。

2.通过 Psapi.dll,LoadLibrary(“PSAPI.DLL”),调用其EnumProcesses()枚举进程,x86和x64,winxp-win10 均可获取到进程名称,但是这个方法会OpenProcess打开进程,在ring3层打开进程,很大概率遇到访问权限问题,所以慎用。

3.通过Wtsapi32.dll, WTSOpenServer()和WTSEnumerateProcess()函数来枚举进程,但是这个函数需要首先传入NetBios名称,而且要打开服务来执行,就怕遇到获取不到NetBios名称或者服务打开失败的情况,所以定时枚举循环进程的话慎用。

4.就是最稳定也最常用的方法了,通过ntdll.dll 导出的ZwQuerySystemInformation实现进程枚举。当然这是在ring3层,需要注意宽字符转换ANSI, 建议使用这种方法。

以上都是ring3层,用户层枚举进程的方法。

可是我们的游戏保护,不能在用户层,不然随便一个SSDT表修改或者Hook jmp 跳转,就可以绕过,必须使用驱动来保护游戏,不过驱动保护涉及到驱动签名的问题,不过有国外的大牛写了驱动伪造签名的工具,我们伪造微软的驱动签名,然后就可以悄无声息的保护游戏了。不废话 vs2010 vc++ 驱动枚举进程。

DriverProtect.h

#ifndef _WIN32_WINNT
#define _WIN32_WINNT 0x0501
#endif

pragma pack(1)
/*SSDT表*/
typedef struct ServiceDescriptorEntry
{

unsigned int *ServiceTableBase;
unsigned int *ServiceCounterTableBase;
unsigned int NumberOfServices;
unsigned char *ParamTableBase;
}ServiceDescriptorEntry_t, *PServiceDescriptorEntry;

pragma pack()
typedef struct _PROCESS_INFO
{

ULONG_PTR eprocess;
ULONG pid;
ULONG ppid;
UNICODE_STRING pathName;
UNICODE_STRING ImageFileName;
}PROCESSINFO,*PPROCESSINFO;

typedef struct _SYSTEM_THREADS
{

 LARGE_INTEGER  KernelTime;
 LARGE_INTEGER  UserTime;
 LARGE_INTEGER  CreateTime;
 ULONG    WaitTime;
 PVOID    StartAddress;
 CLIENT_ID   ClientID;
 KPRIORITY   Priority;
 KPRIORITY   BasePriority;
 ULONG    ContextSwitchCount;
 ULONG    ThreadState;
 KWAIT_REASON  WaitReason;
 ULONG    Reserved; //Add
}SYSTEM_THREADS,*PSYSTEM_THREADS;

typedef struct _SYSTEM_PROCESSES
{

ULONG NextEntryDelta;
ULONG ThreadCount;
ULONG Reserved[6];
LARGE_INTEGER CreateTime;
LARGE_INTEGER UserTime;
LARGE_INTEGER KernelTime;
UNICODE_STRING ProcessName;
KPRIORITY BasePriority;
ULONG ProcessId;
ULONG InheritedFromProcessId;
ULONG HandleCount;
ULONG Reserved2[2];
VM_COUNTERS VmCounters;
IO_COUNTERS IoCounters;
} _SYSTEM_PROCESSES,*PSYSTEM_PROCESSES;

typedef enum _SYSTEM_INFORMATION_CLASS
{

SystemBasicInformation,                 //  0 Y N   
SystemProcessorInformation,             //  1 Y N   
SystemPerformanceInformation,           //  2 Y N   
SystemTimeOfDayInformation,             //  3 Y N   
SystemNotImplemented1,                  //  4 Y N   
SystemProcessesAndThreadsInformation,   //  5 Y N   
SystemCallCounts,                       //  6 Y N   
SystemConfigurationInformation,         //  7 Y N   
SystemProcessorTimes,                   //  8 Y N   
SystemGlobalFlag,                       //  9 Y Y   
SystemNotImplemented2,                  // 10 Y N   
SystemModuleInformation,                // 11 Y N   
SystemLockInformation,                  // 12 Y N   
SystemNotImplemented3,                  // 13 Y N   
SystemNotImplemented4,                  // 14 Y N   
SystemNotImplemented5,                  // 15 Y N   
SystemHandleInformation,                // 16 Y N   
SystemObjectInformation,                // 17 Y N   
SystemPagefileInformation,              // 18 Y N   
SystemInstructionEmulationCounts,       // 19 Y N   
SystemInvalidInfoClass1,                // 20   
SystemCacheInformation,                 // 21 Y Y   
SystemPoolTagInformation,               // 22 Y N   
SystemProcessorStatistics,              // 23 Y N   
SystemDpcInformation,                   // 24 Y Y   
SystemNotImplemented6,                  // 25 Y N   
SystemLoadImage,                        // 26 N Y   
SystemUnloadImage,                      // 27 N Y   
SystemTimeAdjustment,                   // 28 Y Y   
SystemNotImplemented7,                  // 29 Y N   
SystemNotImplemented8,                  // 30 Y N   
SystemNotImplemented9,                  // 31 Y N   
SystemCrashDumpInformation,             // 32 Y N   
SystemExceptionInformation,             // 33 Y N   
SystemCrashDumpStateInformation,        // 34 Y Y/N   
SystemKernelDebuggerInformation,        // 35 Y N   
SystemContextSwitchInformation,         // 36 Y N   
SystemRegistryQuotaInformation,         // 37 Y Y   
SystemLoadAndCallImage,                 // 38 N Y   
SystemPrioritySeparation,               // 39 N Y   
SystemNotImplemented10,                 // 40 Y N   
SystemNotImplemented11,                 // 41 Y N   
SystemInvalidInfoClass2,                // 42   
SystemInvalidInfoClass3,                // 43   
SystemTimeZoneInformation,              // 44 Y N   
SystemLookasideInformation,             // 45 Y N   
SystemSetTimeSlipEvent,                 // 46 N Y   
SystemCreateSession,                    // 47 N Y   
SystemDeleteSession,                    // 48 N Y   
SystemInvalidInfoClass4,                // 49   
SystemRangeStartInformation,            // 50 Y N   
SystemVerifierInformation,              // 51 Y Y   
SystemAddVerifier,                      // 52 N Y   
SystemSessionProcessesInformation       // 53 Y N   
} SYSTEM_INFORMATION_CLASS;

DriverProtect.cpp

#include "ntddk.h"
#include "ntdef.h"
#include "DriverProtect.h"

#define SystemProcessesAndThreadsInformation 5

extern "C" NTSTATUS ZwQuerySystemInformation(

IN ULONG SystemInformationClass, 
IN OUT PVOID SystemInformation, 
IN ULONG SystemInformationLength,
OUT PULONG ReturnLength OPTIONAL
);
VOID UnLoadDriver(PDRIVER_OBJECT DriverObject)
{

KdPrint(("驱动成功卸载!"));
}

VOID EnmuProcess()
{

    ULONG cbBuffer = 0x8000; 
    
    PVOID pBuffer = NULL; 

    NTSTATUS rc; 

    LPWSTR pszProcessName; 

    PSYSTEM_PROCESSES pInfo; 

    do
    {
        pBuffer = ExAllocatePool (NonPagedPool, cbBuffer); 

        if (pBuffer == NULL)
        {
            return;
        }

        rc = ZwQuerySystemInformation(SystemProcessesAndThreadsInformation, pBuffer, cbBuffer, NULL);

        if ( rc == STATUS_INFO_LENGTH_MISMATCH) //缓冲区不足
        {
            ExFreePool(pBuffer);

            cbBuffer *= 2;
        }
        else if (!NT_SUCCESS(rc))
        {
            ExFreePool(pBuffer);
            return;
        }

    }while (rc == STATUS_INFO_LENGTH_MISMATCH);

    pInfo = (PSYSTEM_PROCESSES)pBuffer;

    while (1)
    {
        pszProcessName = pInfo->ProcessName.Buffer;

        if (pszProcessName == NULL)
        {
            pszProcessName = L"NULL";
        }
        if (pInfo->ProcessId == 0)
        {
            DbgPrint("PID %5d System Idle Process", pInfo->ProcessId);
        }
        else
        {
            DbgPrint("PID %5d %ws/r/n", pInfo->ProcessId, pInfo->ProcessName.Buffer);
        }

        if (pInfo->NextEntryDelta == 0)
        {
            break;
        }

        pInfo = (PSYSTEM_PROCESSES)(((PUCHAR)pInfo) + pInfo->NextEntryDelta);
    }

    ExFreePool(pBuffer);
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath)
{

DriverObject->DriverUnload = UnLoadDriver;

EnmuProcess();

return STATUS_SUCCESS;
}

生成了驱动,我们跑到虚拟机上,复制驱动文件和符号到虚拟机

在这里插入图片描述
我们使用的 visualDDK + windbg 通过虚拟机调试
内核映射

在这里插入图片描述
打开windbg , 然后远程连接虚拟机。

在这里插入图片描述
如果windbg 显示 Debuggee is running…,表示没有断点,内核是跑起来的,此时我们加载刚才生成的驱动,instdrv,加载,启动。

在这里插入图片描述
此时观察windbg, DbgPrint打印信息就是枚举驱动的pid和进程名。

在这里插入图片描述
既然已经进入内核了,而且也获取到进程名称和PID了,此时操作内核和杀软是在同一个级别,所以杀软没有任何提示的,当然你就可以进行模块枚举或者hook 内存读写函数或者进程打开函数,然后保护你想保护的进程。

全栈胖叔叔-瓜州
关注
专栏目录
Windows枚举驱动
墨痕诉清风的博客
09-25 305
driverquery /v
驱动开发:内核枚举进程与线程ObCall回调
热门推荐
CSDN
10-22 1万+
首先我们需要定义好结构体,结构体是微软公开的,如果有其它需要请自行去微软官方去查。线程回调,之所以放在一起来讲解是因为这两中回调在枚举是都需要使用通用结构体。中我们通过特征码定位实现了对注册表回调的枚举,本篇文章。的枚举,如果是想要输出线程句柄,则只需要替换代码中的。就可以拿到链表头结构,得到后将其解析为。代码部分的实现很容易,由于进程与。所以放在一起来讲解最好不过。运行这段驱动程序,即可得到。运行这段驱动程序,即可得到。将教大家如何枚举系统中的。即可,修改后的代码如下。的枚举很容易,直接通过。
Windows驱动学习笔记之三 驱动枚举进程(WIN64)
iceamber2012的专栏
05-08 2232
WIN64 驱动枚举
[windows 驱动开发] r0 枚举进程
LYSM
04-12 562
#include "ntddk.h" typedef enum _SYSTEM_INFORMATION_CLASS { SystemBasicInformation, // 0 SystemProcessorInformation, // 1 SystemPerformanceInformation, // 2 SystemTimeOfDayInformation,
驱动枚举进程
爱杀之爪的矩阵
03-14 1994
Driver.cpp // DriEnumProcess.cpp : Defines the entry point for the console application.//#include "Driver.h"#include "ntddk.h"#include #include "stdarg.h"#include "stdio.h"#include "ntddkbd.h"
驱动枚举
dhbzzz的专栏
04-21 3241
//--------------------------------------------------------------------------// Copyright (C), 2004-2010, Zhengzongzhao, All Rights Reserved//// FileName: EnumDriver.cpp//// Author: z
易语言驱动枚举系统进程源码-易语言
06-13
- 使用这个库,开发者可以更容易地在易语言程序中实现进程枚举功能,而无需直接编写驱动。 总的来说,这个源码包为易语言用户提供了一个深入了解驱动进程枚举的机会,有助于提升他们在系统级编程领域的技能。...
ring0驱动层上实现 隐藏进程(无进程 无端口 无服务)的简单demo.zip
01-24
隐藏进程的关键是修改或创建一个不被常规进程枚举机制发现的进程条目。这可能包括修改内存中的进程列表,防止系统API报告该进程的存在。 3. **内存管理**:隐藏进程还需要处理内存分配和管理,确保进程的内存空间不...
易语言暴力枚举驱动
07-16
在易语言中实现暴力枚举驱动,意味着开发者使用易语言编写了能够遍历和检测系统驱动的程序。 驱动程序是操作系统与硬件设备之间沟通的桥梁,它们运行在内核模式下,拥有较高的权限。暴力枚举驱动的目的通常是枚举...
易语言驱动枚举系统进程源码
06-01
通过阅读这个文本文件,学习者可以进一步了解如何在易语言中实现驱动进程枚举,包括但不限于: 1. 如何导入和使用系统API:易语言提供了丰富的内建命令和模块,学习者需要学习如何导入和使用这些模块来调用系统...
通过驱动名称枚举驱动下设备和挂载设备的信息
06-26
通过驱动名称枚举驱动下设备和挂载设备的信息
易语言驱动枚举系统进程
07-15
易语言驱动枚举系统进程源码,驱动枚举系统进程,DriverEntry,驱动通信,DispatchCreateClose,驱动卸载,创建符号链接及设备,读内存,DbgPrint,DbgPrintInt,memcpy,IoCreateDevice,IoCreateSymbolicLink,RtlAnsiStringToUnicodeString,RtlInitAnsiString,RtlFr
枚举进程的内存块
zzz3265的专栏
11-10 3696
#include "ProcMemInfo.h" #include "../NSimple.h" #include CProcMemInfo::CProcMemInfo() { Init(); } CProcMemInfo::~CProcMemInfo() { } BOOL CProcMemInfo::Init() { m_pMinAddr = NSys::GetSystemInfo()->lpMinimumApplicationAddress;
[内核编程]枚举内核空间所有驱动模块
輚至消亡
07-13 1340
1. 通过驱动对象枚举 第一种方法是通过驱动对象。驱动对象DRIVER_OBJECT中有一个字段叫DriverSection的指针。该指针实际上指向一个_LDR_DATA_TABLE_ENTRY结构 与内核态下枚举进程内的模块一样。驱动模块也是通过该结构中的3条双向循环链条以不同顺序分别串起来。 先根据windbg获取对应需要的结构体: typedef struct _PEB_LDR_DATA { ULONG Length; UCHAR Initialized[4]; PVOID..
枚举windows进程
JoeBlackZQQ的专栏
11-22 1020
 将当前运行的进程列举出来(C++ Code): #include#include//#include #includeusing namespace std;int main(){    int count=0;    PROCESSENTRY32 pe32;    //使用这个数据之前设置大小    pe32.dwSize=sizeof(pe32);    HANDLE hProc
Windows Minifilter驱动 - 获取进程ID, 进程名字和线程ID
weixin_33955681的博客
05-21 481
https://blog.csdn.net/zj510/article/details/39476171 Windows Minifilter驱动 - 获取进程ID, 进程名字和线程ID 在minifilter里面可能有好几种获取调用进程id,名字和线程的办法。我这里有一种: 使用 PsSetCreateProcessNotifyRoutine 和 PsSetLoadImageN...
驱动开发:内核中枚举进线程与模块
CSDN
10-14 1万+
内核枚举进程使用`PspCidTable` 这个未公开的函数,它能最大的好处是能得到进程的EPROCESS地址,由于是未公开的函数,所以我们需要变相的调用这个函数,通过`PsLookupProcessByProcessId`函数查到进程的EPROCESS,如果`PsLookupProcessByProcessId`返回失败,则证明此进程不存在,如果返回成功则把EPROCESS、PID、PPID、进程名等通过DbgPrint打印到屏幕上。
C++ 遍历进程内存块
LYSM
09-26 2507
期待的效果就像 PCHuntor 里的那样,如下: 那就开始咯 —— ???? // Test_Console.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include <Windows.h> #include <vector> #include <iostream> #include <assert.h&g...
x64驱动 遍历 PspCidTable 枚举进程和线程
LYSM
06-05 2961
介绍 PspCidTable 是一个内核句柄表,存放进程和线程的内核对象(EPROCESS 和 ETHREAD),并通过 PID 和 TID 进行索引(所以进程ID和线程ID不可能相同),ID 号以 4 递增。 获取 PspCidTable 地址 win7: PsLookupProcessByProcessId(被导出) -> PspCidTable win10: PsLookupProcessByProcessId(被导出) -> PspReferenceCidTableEntry -&g
windows内核枚举进程pid例子
最新发布
04-20
Windows内核可以通过遍历进程控制块(Process Control Block,简称PCB)来枚举进程的PID。下面是一个简单的示例代码,用于在Windows内核中枚举进程的PID: ```c #include NTSTATUS EnumerateProcesses() { ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值