HOOK TerminateProcess:

最新推荐文章于 2024-04-11 10:13:47 发布
最新推荐文章于 2024-04-11 10:13:47 发布
阅读量3.6k 收藏
点赞数
分类专栏: 所有文章 文章标签: hook 任务 电话
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/thinkSJ/article/details/910252
版权

     做的那个HOOK TerminateProcess函数的程序终于有点模样了, 比较喜欢JMP方式的彻底,所以就用了。

美中不足的就是不能指定要保护的进程,因我在取TerminateProcess的参数时出现了一个怎么也想不通的问题,

同样的一个位置,系统自带的任务管理器和sysinternals的ProcessEXp竟然会有不同的解释,对于此函数来说

[ESP+8]处保存的应该是进程的标识句柄,可用任务管理器执行时这个值确是进程ID,而ProcessEXp在执行时

却是一个莫名其妙的值,所以在指定保护的进程时可以骗过任务管理器,而却骗不了ProcessEXp,似乎我目前

还没有办法,有点郁闷。不管怎样先用再说..

    系统的启动速度越来越慢,简直让我无法忍受了。难道它快元寂了?

发现一个比较好用的软件:Vbuzzer,目前已经到了2.0,可以进行PC TO PHONE或PC TO PC式的免费电话交流,

郁闷的是不交银子的话,每个帐户只能打30分钟,难怪我邮箱已经被别人注册了,汗......

界面和MSN相仿,不同的是它能打电话,同样垃圾的是都只能运行一个程序实例,于是...

Open it with OD --> 打上IsDebuggerPresent-->   忽略所有异常 --> BP CreateEventA  --->  F9

因为我并没有发现CreateMutexA函数(这点和MSN不同)。

程序退出了,说明有Anti-Debug,仔细分析一下得知在0052BBD8处有一个调用是用来反调试的,地球人应该

都知道怎么做了(nop掉),现在已经成功地Anti-Anti-Debug了(保护还是比较弱的),可以在调试环境下进

入主界面了,但如何单实例运行还不得要领,继续关注....

 

 

thinkSJ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python hook禁止结束进程_HOOK API(四)—— 进程防终止
weixin_39662611的博客
12-16 718
//MonitorDll.cpp : 定义 DLL 的初始化例程。//#include"stdafx.h"#include"MonitorDll.h"#ifdef _DEBUG#define new DEBUG_NEW#endif/*全局变量*///共享变量#pragma data_seg("Share")HWND g_hwnd= NULL; //主窗口句柄,加载HOOK时传...
利用HOOK API做进程保护器
bruce135lee的专栏
08-03 1738
其实就很简单,只是对TerminateProcessHOOK,因为要阻止的不是本进程的,所以要用到全局钩子,也就是把他做成dll形式的! 首先,对前面的HOOK API进行封装CAPIHook:   [cpp] view plain copy /////////////////////////////////////////////////////////   // APIHook...
2022CTF培训(二)Hook进阶&反调试
sky123博客
11-23 1339
已在 GitHub 上被开源。是微软官方的 Hook 软件包,用于监视和检测 Windows 上的 API 调用(实际上不仅仅限于对 API 函数的调用监控,还可以实现任意函数调用的监控,得益于非常易于使用的调用方式)。Detours 可以用于拦截 ARM,x86,x64 和 IA64 计算机上的二进制函数。Detours 最常用于拦截应用程序中的 Win32 API 调用,例如添加调试用的工具、 拦截代码在运行时动作等等。通过跳转到用户提供的回调函数的无条件来替换目标功能的前几条指令。
VueUse工具库 常用api
最新发布
LlanyW的专栏
04-11 1262
VueUse不是Vue.use, VueUse 为Vue 2和Vue3服务的一套Vue Composition API的常用工具集,,它提供了一系列的 hooks 和工具函数,帮助我们更方便地使用 Vue Composition API。通俗的来说,这就是一个工具函数包支持了更好的逻辑分离,它可以帮助你快速实现一些常见的功能,免得你自己去写,解决重复的工作内容。以及进行了机遇 Composition API 的封装。
HOOK任务管理器TerminateProcess的软件源码
04-09
HOOK任务管理器TerminateProcess本人收集了一些技巧供大家参考,希望斑竹能多放一些时间。按字母或数字顺序排列列表框中的列表项. 将以下代码加入到你的程序中.
利用Hook API函数OpenProcess与TerminateProcess来防止任务管理器结束进程【转】
weixin_30834019的博客
10-31 789
思路:其实比较简单,还是利用DLL,首写跟据API函数OpenProcess与TerminateProcess的结构自已编写两个与这两个API一样的函数,再利用GetProcAddress获取系统的那两个API函数入口地址,最后用WriteProcessMemory将你写的函数的地址替换掉原来系统的函数地址。这样所有调用这两系统API都将先执行你的函数。如果只Hook其中一个函数比如只...
测试11_hookapi_TerminateProcess_pleasurejx5_源码
10-04
标题中的“测试11_hookapi_TerminateProcess_pleasurejx5_源码”表明这是一个关于API钩子(hookapi)技术的实践项目,具体是针对“TerminateProcess”函数的,由用户“pleasurejx5”创建或贡献了源代码。这个项目...
APIHook.rar_API hooking_APIHOOK_TerminateProcess _hooking
09-24
在这个"APIHook.rar_API hooking_APIHOOK_TerminateProcess_hooking"的压缩包中,我们重点探讨的是如何对API钩子(API Hook)进行设置,特别是针对`TerminateProcess`函数的钩子。`TerminateProcess`是Windows API中...
HOOK_class.rar_TerminateProcess _hook_挂接
09-23
系统钩子 有现成的类可以复用,可以挂接任何一个API HookTermProLib为钩子所使用的DLL,挂接了TerminateProcess函数 HookTermProApp为加载钩子的应用程序
HookApi禁止任务管理器结束进程
04-14
Hook TerminateProcess函数 禁止任务管理器结束进程 内有详细注释解说 编译运行通过!
使用HOOK拦截任务管理器中直接杀进程的消息
05-08
这是本人在网上搜索到的资料,跟大家分享,感谢那个提供源码的网友. 大家都知道,在任务管理器进程标签中直接杀进程,是直接杀,不交给用户处理.很多人都在为了防止自己的进程被误杀而苦苦思索,但是一般的拦截消息的方法又几乎都不管用. 在这里,给大家一个Delphi的源码,使用HOOK进行拦截处理任务管理器来实现. 在附件的文档中包含了源码,共分为两个部分:exe测试部分,Dll部分(HookDll,unithook). 我已经亲自编译测试过,可以实现拦截任务管理器的消息. 再次感谢那个网友(没有记住名...)! PS:附件中的Word是使用Office2010保存的docx格式,如果您不能打开我这个文档,可以在我的资源目录下找这个补丁安装上就可以了. FileFormatConverters_Office_doc_to_docx 这个是微软提供的,可以使Office2003等早期版本打开新的docx格式文档. 感谢大家光临!
hook方式进程创建监控,进程保护
kernweak的博客
05-30 3019
关于进程创建, xp系统:CreatProcessW->CreateProcessInternalW->NtCreateProcessEx->NtCreatSection Vista以上:CCreatProcessW->CreateProcessInternalW->NtCreateUserProcess->NtCreateSection 所以我们要Hoo...
APIHOOK之拦截TerminateProcess
sanshao27的专栏
05-18 2451
用SetWindowsHooKEx加载修改进程IAT的DLL实现OpenProcess拦截,导致Explorer或taskmgr出错? [ 来源:ITWENKU 时间:2006-11-16 17:52:10 | 浏览:1人次 ]
深入浅出HOOK API及完美应用
Fido
02-15 1860
Hook Win32 API 是一项有趣而实用的WINDOWS系统编程技术,应用领域十分广泛。虽然已经有不少的文章介绍过 Hook Win32 API 的方法了,我还是来作些简单的介绍,以便大家了解其工作原理。    Hook Win32 API 是什么意思?就是钩住Win32 API;那又何谓“钩”呢?就是绕弯的意思,让Win32 API函数的调用先绕一个弯路,在它执行实际功能之前,我们可以
实现简单的ring3进程保护、hook OpenProcess函数、简单分析
weixin_34277853的博客
02-20 1088
简单的HOOK OpenProcess函数、达到不让任务管理器使用OpenProcess来获取我们要保护的进程的句柄、从而达到使任务管理器使用TerminateProcess无法结束该进程的目的、、、当我们HOOK到OpenProcess的时候、我们要在自己的MyOpenProcess中、判断一下、所打开的进程是否为我们要保护的进程、如果是简单的返回错误码0、如果不是就在我们...
关于API HOOK(OpenProcess),根据网上文章改写
旺财
01-12 4373
 以下是部分程序,在VC++6.0   Plat  SDK 2003 SP1下编译通过#include #include "APIHook.h"extern CAPIHook g_OpenProcess;// 自定义OpenProcess函数#pragma data_seg("YCIShared")HHOOK g_hHook = NULL;DWORD  dwCurrentProcess
卡巴斯基HOOK引擎分析
11-07
卡巴斯基HOOK引擎分析

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值