C语言进程隐藏NTOpenprocess,抛砖引玉,谈谈VB下的隐藏进程检测

最新推荐文章于 2022-12-14 14:59:36 发布
最新推荐文章于 2022-12-14 14:59:36 发布
阅读量301 收藏
点赞数
文章标签: C语言进程隐藏NTOpenprocess

PAGE:0049D59E ; NTSTATUS __stdcall NtOpenProcess(PHANDLE ProcessHandle, ACCESS_MASK DesiredAccess,

POBJECT_ATTRIBUTES ObjectAttributes,PCLIENT_ID ClientId)

PAGE:0049D59E                 public NtOpenProcess

PAGE:0049D59E NtOpenProcess   proc near

PAGE:0049D59E

PAGE:0049D59E ProcessHandle   = dword ptr  4

PAGE:0049D59E DesiredAccess   = dword ptr  8

PAGE:0049D59E ObjectAttributes= dword ptr  0Ch

PAGE:0049D59E ClientId        = dword ptr  10h

PAGE:0049D59E

PAGE:0049D59E                 push    0C4h

PAGE:0049D5A3                 push    offset dword_413560 ; int

PAGE:0049D5A8                 call    sub_40BA92

PAGE:0049D5AD                 xor     esi, esi

PAGE:0049D5AF                 mov     [ebp-2Ch], esi

PAGE:0049D5B2                 xor     eax, eax

PAGE:0049D5B4                 lea     edi, [ebp-28h]

PAGE:0049D5B7                 stosd

PAGE:0049D5B8                 mov     eax, large fs:124h

PAGE:0049D5BE                 mov     al, [eax+140h]

PAGE:0049D5C4                 mov     [ebp-34h], al

PAGE:0049D5C7                 test    al, al

PAGE:0049D5C9                 jz      loc_4BE034

PAGE:0049D5CF                 mov     [ebp-4], esi

PAGE:0049D5D2                 mov     eax, MmUserProbeAddress

PAGE:0049D5D7                 mov     ecx, [ebp+8]

PAGE:0049D5DA                 cmp     ecx, eax

PAGE:0049D5DC                 jnb     loc_520CDE

PAGE:0049D5E2 loc_49D5E2:

PAGE:0049D5E2                 mov     eax, [ecx]

PAGE:0049D5E4                 mov     [ecx], eax

PAGE:0049D5E6                 mov     ebx, [ebp+10h]

PAGE:0049D5E9                 test    bl, 3

PAGE:0049D5EC                 jnz     loc_520CE5

PAGE:0049D5F2 loc_49D5F2:

PAGE:0049D5F2                 mov     eax, MmUserProbeAddress

PAGE:0049D5F7                 cmp     ebx, eax

PAGE:0049D5F9                 jnb     loc_520CEF

PAGE:0049D5FF loc_49D5FF:

PAGE:0049D5FF                 cmp     [ebx+8], esi

PAGE:0049D602                 setnz   byte ptr [ebp-1Ah]

PAGE:0049D606                 mov     ecx, [ebx+0Ch]

PAGE:0049D609                 mov     [ebp-38h], ecx

PAGE:0049D60C                 mov     ecx, [ebp+14h]

PAGE:0049D60F                 cmp     ecx, esi

PAGE:0049D611                 jz      loc_4CCB88

PAGE:0049D617                 test    cl, 3

PAGE:0049D61A                 jnz     loc_520CFB

PAGE:0049D620 loc_49D620:

PAGE:0049D620                 cmp     ecx, eax

PAGE:0049D622                 jnb     loc_520D0D

PAGE:0049D628 loc_49D628:

PAGE:0049D628                 mov     eax, [ecx]

PAGE:0049D62A                 mov     [ebp-2Ch], eax

PAGE:0049D62D                 mov     eax, [ecx+4]

PAGE:0049D630                 mov     [ebp-28h], eax

PAGE:0049D633                 mov     byte ptr [ebp-19h], 1

PAGE:0049D637 loc_49D637:

PAGE:0049D637                 or      dword ptr [ebp-4], 0FFFFFFFFh

PAGE:0049D63B loc_49D63B:

PAGE:0049D63B

PAGE:0049D63B                 cmp     byte ptr [ebp-1Ah], 0

PAGE:0049D63F                 jnz     loc_520D34

PAGE:0049D645 loc_49D645:

PAGE:0049D645                 mov     eax, PsProcessType

PAGE:0049D64A                 add     eax, 68h

PAGE:0049D64D                 push    eax

PAGE:0049D64E                 push    dword ptr [ebp+0Ch]

PAGE:0049D651                 lea     eax, [ebp-0D4h]

PAGE:0049D657                 push    eax

PAGE:0049D658                 lea     eax, [ebp-0B8h]

PAGE:0049D65E                 push    eax

PAGE:0049D65F                 call    SeCreateAccessState

PAGE:0049D664                 cmp     eax, esi

PAGE:0049D666                 jl      loc_49D718

PAGE:0049D66C                 push    dword ptr [ebp-34h] ; PreviousMode

PAGE:0049D66F                 push    ds:stru_5B6978.HighPart

PAGE:0049D675                 push    ds:stru_5B6978.LowPart ; PrivilegeValue

PAGE:0049D67B                 call    SeSinglePrivilegeCheck

PAGE:0049D680                 test    al, al

PAGE:0049D682                 jnz     loc_4AA7DB

PAGE:0049D688 loc_49D688:

PAGE:0049D688                 cmp     byte ptr [ebp-1Ah], 0

PAGE:0049D68C                 jnz     loc_520D52

PAGE:0049D692                 cmp     byte ptr [ebp-19h], 0

PAGE:0049D696                 jz      loc_4CCB9A

PAGE:0049D69C                 mov     [ebp-30h], esi

PAGE:0049D69F                 cmp     [ebp-28h], esi

PAGE:0049D6A2                 jnz     loc_4C1301

PAGE:0049D6A8                 lea     eax, [ebp-24h]

PAGE:0049D6AB                 push    eax

PAGE:0049D6AC                 push    dword ptr [ebp-2Ch]

PAGE:0049D6AF                 call    PsLookupProcessByProcessId

PAGE:0049D6B4 loc_49D6B4:PAGE:0049D59E ; NTSTATUS __stdcall NtOpenProcess(PHANDLE ProcessHandle, ACCESS_MASK DesiredAccess,

POBJECT_ATTRIBUTES ObjectAttributes,PCLIENT_ID ClientId)

PAGE:0049D59E                 public NtOpenProcess

PAGE:0049D59E NtOpenProcess   proc near

PAGE:0049D59E

PAGE:0049D59E ProcessHandle   = dword ptr  4

PAGE:0049D59E DesiredAccess   = dword ptr  8

PAGE:0049D59E ObjectAttributes= dword ptr  0Ch

PAGE:0049D59E ClientId        = dword ptr  10h

PAGE:0049D59E

PAGE:0049D59E                 push    0C4h

PAGE:0049D5A3                 push    offset dword_413560 ; int

PAGE:0049D5A8                 call    sub_40BA92

PAGE:0049D5AD                 xor     esi, esi

PAGE:0049D5AF                 mov     [ebp-2Ch], esi

PAGE:0049D5B2                 xor     eax, eax

PAGE:0049D5B4                 lea     edi, [ebp-28h]

PAGE:0049D5B7                 stosd

PAGE:0049D5B8                 mov     eax, large fs:124h

PAGE:0049D5BE                 mov     al, [eax+140h]

PAGE:0049D5C4                 mov     [ebp-34h], al

PAGE:0049D5C7                 test    al, al

PAGE:0049D5C9                 jz      loc_4BE034

PAGE:0049D5CF                 mov     [ebp-4], esi

PAGE:0049D5D2                 mov     eax, MmUserProbeAddress

PAGE:0049D5D7                 mov     ecx, [ebp+8]

PAGE:0049D5DA                 cmp     ecx, eax

PAGE:0049D5DC                 jnb     loc_520CDE

PAGE:0049D5E2 loc_49D5E2:

PAGE:0049D5E2                 mov     eax, [ecx]

PAGE:0049D5E4                 mov     [ecx], eax

PAGE:0049D5E6                 mov     ebx, [ebp+10h]

PAGE:0049D5E9                 test    bl, 3

PAGE:0049D5EC                 jnz     loc_520CE5

PAGE:0049D5F2 loc_49D5F2:

PAGE:0049D5F2                 mov     eax, MmUserProbeAddress

PAGE:0049D5F7                 cmp     ebx, eax

PAGE:0049D5F9                 jnb     loc_520CEF

PAGE:0049D5FF loc_49D5FF:

PAGE:0049D5FF                 cmp     [ebx+8], esi

PAGE:0049D602                 setnz   byte ptr [ebp-1Ah]

PAGE:0049D606                 mov     ecx, [ebx+0Ch]

PAGE:0049D609                 mov     [ebp-38h], ecx

PAGE:0049D60C                 mov     ecx, [ebp+14h]

PAGE:0049D60F                 cmp     ecx, esi

PAGE:0049D611                 jz      loc_4CCB88

PAGE:0049D617                 test    cl, 3

PAGE:0049D61A                 jnz     loc_520CFB

PAGE:0049D620 loc_49D620:

PAGE:0049D620                 cmp     ecx, eax

PAGE:0049D622                 jnb     loc_520D0D

PAGE:0049D628 loc_49D628:

PAGE:0049D628                 mov     eax, [ecx]

PAGE:0049D62A                 mov     [ebp-2Ch], eax

PAGE:0049D62D                 mov     eax, [ecx+4]

PAGE:0049D630                 mov     [ebp-28h], eax

PAGE:0049D633                 mov     byte ptr [ebp-19h], 1

PAGE:0049D637 loc_49D637:

PAGE:0049D637                 or      dword ptr [ebp-4], 0FFFFFFFFh

PAGE:0049D63B loc_49D63B:

PAGE:0049D63B

PAGE:0049D63B                 cmp     byte ptr [ebp-1Ah], 0

PAGE:0049D63F                 jnz     loc_520D34

PAGE:0049D645 loc_49D645:

PAGE:0049D645                 mov     eax, PsProcessType

PAGE:0049D64A                 add     eax, 68h

PAGE:0049D64D                 push    eax

PAGE:0049D64E                 push    dword ptr [ebp+0Ch]

PAGE:0049D651                 lea     eax, [ebp-0D4h]

PAGE:0049D657                 push    eax

PAGE:0049D658                 lea     eax, [ebp-0B8h]

PAGE:0049D65E                 push    eax

PAGE:0049D65F                 call    SeCreateAccessState

PAGE:0049D664                 cmp     eax, esi

PAGE:0049D666                 jl      loc_49D718

PAGE:0049D66C                 push    dword ptr [ebp-34h] ; PreviousMode

PAGE:0049D66F                 push    ds:stru_5B6978.HighPart

PAGE:0049D675                 push    ds:stru_5B6978.LowPart ; PrivilegeValue

PAGE:0049D67B                 call    SeSinglePrivilegeCheck

PAGE:0049D680                 test    al, al

PAGE:0049D682                 jnz     loc_4AA7DB

PAGE:0049D688 loc_49D688:

PAGE:0049D688                 cmp     byte ptr [ebp-1Ah], 0

PAGE:0049D68C                 jnz     loc_520D52

PAGE:0049D692                 cmp     byte ptr [ebp-19h], 0

PAGE:0049D696                 jz      loc_4CCB9A

PAGE:0049D69C                 mov     [ebp-30h], esi

PAGE:0049D69F                 cmp     [ebp-28h], esi

PAGE:0049D6A2                 jnz     loc_4C1301

PAGE:0049D6A8                 lea     eax, [ebp-24h]

PAGE:0049D6AB                 push    eax

PAGE:0049D6AC                 push    dword ptr [ebp-2Ch]

PAGE:0049D6AF                 call    PsLookupProcessByProcessId

PAGE:0049D6B4 loc_49D6B4:

柳如婳
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
NtOpenProcess
weixin_34214500的博客
03-29 3806
一般在内核SSDT HOOK的时候就是直接钩住SSDT表替换NtOpenProcess的地址来达到保护进程的目的。而在InlineHook中,侧需要更进一步的了解NtOpenProcess函数,才能更好的做inlinehook。 首先说说Windows中用户层 OpenProces,WIN32函数OpenProces执行后,调用NTDLL.DLL中NtOpenProces...
C语言进程隐藏NTOpenprocess,64位下Hook NtOpenProcess的实现进程保护 + 源码 (升级篇 )...
weixin_32893479的博客
05-23 868
【PS: 如果在64位系统下,出现调用测试demo,返回false的情况下,请修改Hook Dll的代码】glhHook = SetWindowsHookEx(WH_SHELL,ShellHookProc, 0 , 0);//改成跟X86下一样的glhHook = SetWindowsHookEx(WH_SHELL,ShellHookProc,glhInstance, 0);2013.09.11...
NtOpenProcess保护的方法总结
xrain_zh的专栏
05-03 2051
来自:http://blog.csdn.net/jepco1/article/details/5531449 过NtOpenProcess保护的方法总结,搜集了一下网上的方案,自己整理了一下。 一般的保护程序喜欢在NtOpenProcess中设置inline hook,修改返回句柄。调试程序使用该程序附加附加到被保护进程的时候,就得不到正确的进程访问句柄,因而附加失败。 反此类保
CVE-2016-0095提权漏洞学习笔记
Jinmindong
12-14 196
1.漏洞信息该漏洞是在win32k中的bGetRealizedBrush产生的,是一个内核空指针解引用的漏洞,利用该漏洞可以完成提权操作。push 0x00;call edx;}2.实验环境操作系统:Win7 x86 sp1编译器:Visual Studio 2017调试器:IDA,WinDbg【→所有资源关注我,查看“资料”获取←】
5.SSDT再增加一个NtReadVirtualMemory函数
Mikasys的博客
11-04 451
代码如下,如果看不懂请看上一篇文章 Ring0 #include <ntifs.h> #include <ntstatus.h> typedef struct _KSYSTEM_SERVICE_TABLE { PULONG ServiceTableBase; //函数地址表基地址 PULONG ServiceCounterTableBase; //被访问了多少次 ULONG NumberOfService; //表中服务函数的总数 PUCHAR ParamTable
ring0驱动级 隐藏进程 的源代码_在驱动层通过替换ssdt地址表中的api函数来隐藏进程
01-25
2. **分析SSDT**: 然后,驱动程序需要遍历SSDT,找到与进程管理和枚举相关的函数,例如`NtCreateProcess`, `NtOpenProcess`, `NtQueryInformationProcess`等。 3. **备份原函数**: 在替换之前,必须保存原始函数的...
HOOK NtOpenProcess 保护指定进程
05-15
在IT安全领域,"HOOK NtOpenProcess 保护指定进程"是一种常见的技术手段,用于增强系统安全性,防止恶意软件或未经授权的程序访问或控制特定进程。这种方法主要涉及到系统调用钩子(System Call Hook)和内核驱动...
C/C++-数据结构-进程保护-操作系统大作业
02-04
Hook NtOpenProcess实行通过进程名与进程ID来保护进程,对于保护进ID,可以防止用户恶意的使打PID5、6、7之类的来打开PID为4的进程。 Hook NtQuerySystemInformation实现只显示当前用户的进程功能。 内核用户管理,在...
内核级进程保护系统开发心得
07-06
例如,通过HOOK SSDT,我们可以拦截对特定系统函数的调用,如NtOpenProcess,从而在进程试图获取其他进程的访问权限时进行干预。通过在内核级别阻止对特定进程的访问,可以有效地保护这些进程不被恶意终止或篡改。 ...
可以过掉HOOK NtOpenProcess
01-24
可以过掉HOOK NtOpenProcess 交流学习使用
PsCreateSystemThread()函数的还原
pureman_mega的博客
06-09 1051
主要是对传入的参数进行检查,再调用PspCreateThread() typedef struct _client_id { PVOID UniqueProcess; PVOID UniqueThread; }CLIENT_ID,* PCLIENT_ID; typedef struct _unknown { UNONG num1; ULONG num2; ...
[内核编程]进程操作
輚至消亡
07-12 1078
1. 进程枚举 首先来介绍2个重要函数: PCHAR PsGetProcessImageFileName(IN PEPROCESS pProcess) 这个函数是从内核导出的,声明后可以直接使用 作用是可以通过EPROCESS的指针获取对应进程映像名。实际上直接从EPROCESS结构内自己获取也可以。 该函数在ntifs.h内有声明,包含后就可以直接使用。 作用是通过PID获取对应进程的EPROCESS结构。 看一个例子: NTSYSCALLAPI PCHAR PsGetProce.
SSDTHook实例--编写稳定的Hook过滤函数
Fly20141201. 的专栏
07-04 3143
讲解如何写Hook过滤函数,比如NewZwOpenProcess。打开进程。很多游戏保护都会对这个函数进行Hook。由于我们没有游戏保护的代码,无法得知游戏公司是如何编写这个过滤函数。   我看到很多奇形怪状的Hook过滤函数的写法。看得蛋痛无比。比如: http://bbs.pediy.com/showthread.php?t=126802 http://bbs.pediy.com/sh
[驱动开发] 手写 r0 hook(NtOpenProcess 为例)
LYSM
11-09 1366
inlineHook的原理: 为了方便好理解,一些变量名和函数名在这里使用中文命名,有些编译器不支持中文命名,在这里要注意(我的是VS2019) hook.h: #pragma once #include<ntifs.h> #include<ntddk.h> #pragma intrinsic(__readmsr) //SSDT的结构 typedef struct _SYSTEM_SERVICE_TABLE { PLONG ServiceTableBase; PVOI
对运行中的进程保护
onlyfunboy的专栏
12-05 530
也许大家也是研究腾讯游戏的爱好者,对腾讯的游戏都有过这样的体会例如OD与CE无法进行如以下操作: (1)无法附加进程, (2)无法打开进程, (3)游戏进程隐藏无法在工具中查看到, (4)内存无法读取代码 (5)内存修改后游戏掉线 (6)无法双机进行调试 (7)出现SX非法模块提示 `例如DNF的TP保护就是HOOK了以下几个API函数来禁止上面刚才说的那些: NtOpe...
x86下以ntopenprocess为例的SSDTHook
baidu_36226689的博客
03-23 393
找了一些32位下获取SSDT的文章 很多很笼统 现在以SSDThook为例 展示如何更改SSDT中函数表的函数
SSDT的例子1-inlineHook的jmp验证
谢绝留言与私信
10-20 660
前言SSDT Hook后, 如果要跳过函数开始的一些opcode, 就只能跳到没有call语句之前的代码. 因为call有重定位问题,即使opcode一样,call的实际地址也是不同的.试验记录#include <Ntddk.h> #include <stdlib.h> #include <stdio.h>typedef char CHAR; typedef unsigned char BYTE;
VB变态应用之“移花接木”
chenhui530的专栏
06-01 8350
今天可是个好日子啊~~就在这个好日子送给我们广大的程序大朋友们和小朋友们一个节日礼物,同时我也希望这份代码能给带来一些思路和技术上的提升,但是更希望大家能用到正途上不要搞歪门邪道。此代码的功能比较强悍,所以用到好的地方自然能发光,但是用到黑暗的地方可能会辱没了这份代码,希望大家认真对待这份珍贵的代码,我是专门花了一天时间写的,而且专门用VB语言写的,其实用C的话更简单更快,就是想在节日送给我们广大
使用VB.NET加快代码开发速度
baibi6400的博客
05-12 248
以前在学校时,编写代码都是使用C#,习惯了C#的代码习惯,等工作后由于工作需要逐渐的开始采用了VB.NET开发项目,渐渐地喜欢上了VB.NET,现在我就罗列一些VB.NET加速代码开发的方法。 一、智能感知 做.NET开发的许多人都知道作为微软.NET中2大语言VB.NET和C#,VB.NET在智能感知上比C#强上许多, 1、自动补完,在VB.NET...
内核使用NtOpenProcess使用进程名打开句柄实例
最新发布
06-13
以下是一个内核模式下使用进程名打开句柄的示例: ```C++ #include <ntifs.h> // 包含 Windows 内核开发相关的头文件 // 定义一个函数,通过进程名打开进程句柄 NTSTATUS OpenProcessHandleByName(HANDLE* ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值