Ring3挂起进程,跟恢复进程.

最新推荐文章于 2022-08-09 15:12:36 发布
最新推荐文章于 2022-08-09 15:12:36 发布
阅读量291 收藏
点赞数
文章标签: c/c++
原文链接:http://www.cnblogs.com/iBinary/p/10799584.html
版权

目录

Ring3挂起进程,跟恢复进程.

一丶简介

有时候我们做对抗的时候可能会遇到.一个进程常常操作我们.但是我们
可以通过挂起进程来挂起它让它无法操作.当然方法很多.不止这一种.

原理:
原理就是挂起所有线程,我们可以调用NtDLL中低层的函数还挂起进程.
NT 函数
NtSuspendProcess NtResumeProcess 第一个是挂起进程,第二个是恢复进程

二丶代码

#include <Windows.h>
#include <stdio.h>
#include <stdlib.h>

typedef DWORD(WINAPI *NtSuspendProcess)(HANDLE ProcessHandle);
typedef DWORD(WINAPI *NtResumeProcess)(HANDLE hProcess);
typedef DWORD(WINAPI *pFnNtTerMinateProcess)(HANDLE hProcess,DWORD DwExitCode);
NtSuspendProcess m_NtSuspendProcess;
NtResumeProcess   m_NtResumeProcess;
pFnNtTerMinateProcess m_NtTerminateProcess;


bool AdjustPrivileges() {
    HANDLE hToken = NULL;
    TOKEN_PRIVILEGES tp;
    TOKEN_PRIVILEGES oldtp;
    DWORD dwSize = sizeof(TOKEN_PRIVILEGES);
    LUID luid;

    OpenProcessToken(GetCurrentProcess(), TOKEN_ALL_ACCESS, &hToken);


    if (!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &luid)) {
        CloseHandle(hToken);
        OutputDebugString(TEXT("提升权限失败,LookupPrivilegeValue"));
        return false;
    }
    ZeroMemory(&tp, sizeof(tp));
    tp.PrivilegeCount = 1;
    tp.Privileges[0].Luid = luid;
    tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    /* Adjust Token Privileges */
    if (!AdjustTokenPrivileges(hToken, FALSE, &tp, sizeof(TOKEN_PRIVILEGES), &oldtp, &dwSize)) {
        CloseHandle(hToken);
        OutputDebugString(TEXT("提升权限失败 AdjustTokenPrivileges"));
        return false;
    }
    // close handles
    CloseHandle(hToken);
    return true;
}


int main()
{
    AdjustPrivileges();

    DWORD processID = 1324;

    HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS,//暂停时用这个(P.._S.._R..)标志PROCESS_SUSPEND_RESUME
        FALSE, (DWORD)processID);
    HMODULE h_module = LoadLibrary(L"ntdll.dll");
    m_NtSuspendProcess = (NtSuspendProcess)GetProcAddress(h_module, "NtSuspendProcess");
    m_NtSuspendProcess(hProcess);
    /*if (hProcess)
    {
        
        m_NtResumeProcess = (NtResumeProcess)GetProcAddress(h_module, "NtResumeProcess");
        m_NtSuspendProcess = (NtSuspendProcess)GetProcAddress(h_module, "NtSuspendProcess");
                m_NtTerminateProcess = (pFnNtTerMinateProcess)GetProcAddress(h_module, "NtTerminateProcess");
        m_NtResumeProcess(hProcess);
    }*/
}

转载于:https://www.cnblogs.com/iBinary/p/10799584.html

weixin_30483697
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
挂起目标线程注入(SetThreadContext)--Ring3注入
KOOKNUT的博客
05-20 1353
这段时间一直在复习之前的知识点,今天看到了这种注入,记录一下,与诸位分享。 预备知识点: 当一个正在执行的线程被挂起之后,系统会保存此时线程的上下背景文(Context),当我们把线程恢复执行的时候,系统会把之前的Context恢复,使线程从Context.Eip处开始执行。 注入思路: 当我们准备注入一个目标进程的时候,找到一个进程中的线程,调用SuspendThread将其挂起,然后向修改Context.Eip的处地址为我们存放ShellCode的地址。之后手动恢复线程执行,线程会执行我们的ShellC
Windows Ring3层注入——CreateProcess劫持进程创建注入(三)
qq_38493448的博客
01-16 1495
Windows Ring3层注入——CreateProcess劫持进程创建注入(三)CreateProcess劫持进程创建注入原理劫持进程创建注入好处CreateProcess劫持进程创建注入函数原型**CreateProcess**函数原型CreateProcess劫持进程创建注入步骤CreateProcess劫持进程代码示例 CreateProcess劫持进程创建注入原理 劫持进程创建注入:利...
进程挂起工具
08-08
vb编写的进程进程工具,输入进程pid,点击开始监视,按F7进行挂起恢复操作
linux中线程的挂起恢复进程暂停)
#维多利亚的秘密#
07-17 1691
今天在网上查了一下linux中对进程挂起恢复的实现,相关资料少的可怜,大部分都是粘贴复制。也没有完整详细的代码。故自己整理了一下 程序流程为:主线程创建子线程(当前子线程状态为stop停止状态),5秒后主线程唤醒子线程,10秒后主线程挂起子线程,15秒后主线程再次唤醒子线程,20秒后主线程执行完毕等待子线程退出。 代码如下: #include #in
挂起恢复一个进程
ClassFree(自由魔方)的Blog
02-21 1284
用到了NTDLL中的函数typedef DWORD(WINAPI *PFSuspendProcess)(HANDLE hProcess);typedef DWORD(WINAPI *PFResumeProcess)(HANDLE hProcess);int main(int argc, char* argv[]){  PFSuspendProcess SuspendProcess;  PF
进程挂起恢复
weixin_33719619的博客
05-28 1178
2019独角兽企业重金招聘Python工程师标准>>> ...
linux挂起恢复进程,Linux进程的优先级,挂起恢复
weixin_35887222的博客
04-28 1375
每个进程都会有一个优先级,优先级的范围是-19至20,值越小越优先启动,缺省启动一个进程默认的优先级是0:上图强调的地方就是进程的优先级,当开启时默认为0。当然根据需要有些时候是要修改优先级的,那么这里就涉及到两个命令:nice和renice。nice格式:nice -n 启动的程序(比如httpd,sshd)这里的n表示数字范围(-20,19),要注意的是nice表示的是这个进程再没启动时...
进程管理,进程管理器快捷键,C,C++
09-10
挂起进程是一种常见的进程控制操作,它将进程从就绪状态转变为等待状态,使CPU资源得以分配给其他进程挂起可以由内核驱动实现,例如在驱动层中设置钩子,当新进程创建时,驱动会挂起进程并发送事件通知用户空间...
Ring3注入总结及编程实现.rar(内带源代码)
04-19
三、挂起进程注入 19 四、调试器注入 21 五、注册表注入 28 六、钩子注入 32 七、APC注入 37 八、远程线程注入 41 九、输入法注入 45 十、DLL劫持 52 Ring3注入总结 58 关于Ring3下的反注入思路 60
linux后台挂起恢复进程相关命令
x_yAOTU的博客
07-21 2700
linux后台挂起恢复进程相关命令
[转]另类挂钩 RING3数据包监视---------看雪 qihoocom
weixin_34267123的博客
02-04 233
另类挂钩 RING3数据包监视 前几天朋友让帮忙写一个RING3程序来监视TCP包并做数据包分析 本来想HOOK ws2_32!WSASend/Send/WSARecv/Recv,后来发现网上的方法都非常挫,尽是不稳定的HEADER INLINE和修改内存~用SPI之类的,又很麻烦 于是自己写了一种方式实现,非常简单,隐蔽,而且在RING3下应该算是最底层的数据包拦截点了~ ...
c++进程挂起
ghevinn欢迎您光临
10-31 6547
NtTerminateProcessNtResumeProcessNtSuspendProcess 这三个函数是微软内核api 可以在线查询 *++ Module Name: NtSuspendProcess.cpp Abstract: This utility [Suspend|Resume] processes. Author: Michael Wookey 6-Jun-2003
win32 判断进程状态(挂起/运行中)、用API挂起/恢复进程
不蚌埠!
08-09 4227
应用层判断进程是否挂起的多种方法和调用API NtSuspendProcess()挂起进程
检测当前进程是否被挂起
zhuhuibeishadiao
06-04 7683
KTHREAD的结构: +0x16c SuspendApc : _KAPC +0x19c SuspendSemaphore : _KSEMAPHORE +0x1b0 ThreadListEntry : _LIST_ENTRY +0x1b8 FreezeCount : Char +0x1b9 SuspendCount : Char
MFC任务管理器task manager----进程挂起恢复--NtSuspendProcess&&NtResumeProcess
weixin_34416649的博客
03-15 414
http://hi.baidu.com/xbbsh/blog/item/b73d3125462201084c088db1.html -------------------------------------------------- MFC任务管理器task manager----进程挂起恢复--NtSuspendProcess&amp;&amp;NtResumeProcess 2009...
php进程挂起,C#中进程挂起恢复的代码实例分析(图)
weixin_35860675的博客
03-16 298
这篇文章主要介绍了C#中进程挂起恢复操作方法,非常不错,具有参考借鉴价值,需要的朋友可以参考下1. 源起:仍然是模块化编程所引发的需求。产品经理难伺候,女产品经理更甚之~:p纯属戏谑,技术方案与产品经理无关,芋头莫怪!VCU10项目重构,要求各功能模块以独立进程方式实现,比如:音视频转换模块,若以独立进程方式实现,如何控制其暂停、继续等功能呢?线程可以Suspend、Resume,c#内置的P...
如何使用进程名禁止程序运行两个实例
dz45693的专栏
10-29 2615
  private void Form1_Load(object sender, EventArgs e)        {            string moduleName = System.Diagnostics.Process.GetCurrentProcess().MainModule.ModuleName;            string processName
android4.0 suspend/resume的流程
suntao222的专栏
11-08 7457
跟休眠唤醒相关的文件: linux_source/kernel/power/main.c linux_source/kernel/power/earlysuspend.c linux_source/kernel/power/wakelock.c linux_source/kernel/power/suspend.c linux_source/kernel/power/power.h l
ring3层隐藏进程
最新发布
08-09
Ring3层隐藏进程是指在计算机的操作系统中,利用一些特殊的技术手段或者恶意软件来隐藏自身的进程,使其在操作系统层面上不被察觉或无法被发现。 首先,Ring3是指计算机操作系统的用户态环境。在这个层级中,进程运行的权限较低,无法直接访问操作系统的核心态环境。 隐藏进程的目的通常是为了避免被用户或者安全软件察觉,以实现各种恶意目的。常见的方法有以下几种: 1. 修改进程的属性:利用各种技术手段修改进程的属性,使其在任务管理器或者其他进程监视工具中不可见。例如,通过修改进程的PEB(Process Environment Block)来删除或修改进程自身在系统进程列表中的记录。 2. 加载进程钩子:通过操作系统提供的进程钩子机制,在进程创建、退出或运行过程中,植入一些对进程操作的控制逻辑。通过这种方式,可以在进程管理工具中隐藏自身的存在,或者篡改系统的行为。 3. 修改系统调用表:通过篡改操作系统的系统调用表或函数表,使得某些关键的系统调用或函数返回伪造的结果。通过这种方式,可以欺骗监控工具或者病毒扫描工具,隐藏自己的存在。 4. rootkit技术:rootkit技术是一种更为复杂和高级的隐藏进程技术。它可以在系统内部植入自己的恶意代码,并与操作系统的核心态环境进行交互。通过这种方式,可以在操作系统层面上彻底控制系统的行为,使自身进程无法被发现。 总而言之,Ring3层隐藏进程是恶意软件或黑客利用各种技术手段,在操作系统的用户态环境中隐藏自身的进程,从而实现对被感染系统的控制和掩盖自身存在的目的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值