c语言进程保护,进程保护之-进程守护(原创, ASM实现)

最新推荐文章于 2022-05-12 20:28:11 发布
最新推荐文章于 2022-05-12 20:28:11 发布
阅读量296 收藏 1
点赞数

c语言进程保护

该楼层疑似违规已被系统折叠 隐藏此楼查看此楼

最近看到一个关于"进程保护"的问题,无聊就研究了一下,总共得出了2种比较可行的方法,第一种就是进程隐藏(任务管理器看不到进程),第2种就是进程守护(任务管理器不能关闭进程).代码发出来,希望大家可以互相学习......

进程守护:http://hi.baidu.com/ciw%5Fblue/blog/item/edd5ff457062603b869473a1.html

进程隐藏:http://hi.baidu.com/ciw%5Fblue/blog/item/bcb8b0c4ad66e9cf38db49f3.html

;********************************************************

原创作者: CIW_BLUE

个人主页: http://user.qzone.qq.com/281011131

;********************************************************

进程守护的代码:

.386

.model stdcall, flat

option casemap:none

include kernel32.inc

include user32.inc

include windows.inc

includelib kernel32.lib

includelib user32.lib

.data

szError     db '找不到任务管理器',0

szFormat    db '%d',0

szBuf     db 100 dup (?)

szWndName    db 'Windows 任务管理器',0

dwID     dd ?   ;要 HOOK 的进程ID

lpMemory    dd ?   ;远程进程代码申请的空间

hProcess    dd ?   ;远程进程句柄

dwTerminateProcessFunAddr dd 7C801E16h ;TerminateProcess函数的地址

szJmp     db 0e9h

dwMyOpenProcessFunAddr   dd ?   ;Hook OpenProcess 地址

szOldText    db 5 dup(0)

dwMyProcessID    dd ?

szManagerPath    db 'C:\WINDOWS\system32\taskmgr.exe',0

szMyText    db 'CIW_BLUE 进程守护',0

szMyCaption    db '进程保护',0

.code

include MyCode.asm

start:

invoke WinExec, offset szManagerPath , SW_SHOW

invoke Sleep, 1000

invoke FindWindow, NULL, offset szWndName

invoke GetWindowThreadProcessId, eax, offset dwID

invoke OpenProcess, PROCESS_ALL_ACCESS, FALSE, dwID ;打开进程

mov hProcess, eax ;进程句柄

.if !eax

invoke MessageBox, NULL, offset szError, NULL, MB_OK

invoke ExitProcess, 0

.endif

invoke VirtualAllocEx, hProcess, NULL, offset My_Code_End - offset My_Code_Start, MEM_COMMIT, PAGE_EXECUTE_READWRITE

mov lpMemory, eax

invoke WriteProcessMemory, hProcess, lpMemory, offset My_Code_Start, offset My_Code_End - offset My_Code_Start, NULL

mov eax, lpMemory

mov ecx, offset _MyEntry

sub ecx, offset My_Code_Start

add eax, ecx

sub eax, dwTerminateProcessFunAddr

sub eax, 5

mov dwMyOpenProcessFunAddr, eax

;获取当前进程的ID

invoke GetCurrentProcessId

mov dwMyProcessID, eax

weixin_39590472
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux Kernel:syscall之fork与exec
qq_34968572的博客
08-29 395
上一节我们提到了进程的产生方式fork,exec与clone,本节将详细分析fork和exec族系统调用的具体实现。通常这些调用不是由应用程序直接发出的,而是通过一个中间层调用,即负责与内核通信的C标准库。定义了预处理常数,将所有系统调用的描述符关联到符号常数,诸如__NR_chdir,__NR_fchmod等。定义了内核内部调用系统调用所有的函数。
Linux系统调用详解(实现机制分析)--linux内核剖析(六)
qq_44925149的博客
05-03 285
Linux系统调用详解(实现机制分析)--linux内核剖析(六)
进程保护软件ProcessGuard
11-07
Process Guard   作为一个来自澳大利亚的软件,它有强大的防卫功能。   未注册版本可以管制程序,任何一个程序的启动都必须经用户同意方可施行,   一些在后台偷偷运行的病毒程序,都会被PG拦截并询问用户。   除此之外还可以设定程序的权力,比如 保护程序免被/授权程序可以 终止、修改、读取其他进程。   注册版本有更强大的功能,主要有:   一、保护物理内存;  二、拦截全局钩子;  三、拦截 Rootkit/驱动/服务 安装;  四、拦截注册表DLL注入。   官方网站:   http://www.diamondcs.com.au/processguard/   DiamondCS ProcessGuard是一款系统安全程序,它能够保护Windows进程免受其它进程,服务,驱动程序,以及系统上的其它形式的可执行代码的攻击。ProcessGuard还能够停止未被用户许可的程序运行,停止在后台静静运行的恶意蠕虫和trojans,也包括许多其它攻击,ProcessGuard甚至可以停止击键记录程序和leaktest。
进程保护
weixin_33705053的博客
08-12 191
关于这篇文章的题目。思索良久,事实上一些技术术语一直是我的软肋。高大上标题。别人会觉得你言过事实上。低调隐晦的标题,又根本提不起别人打开这篇博文的兴趣。许久之后。就下定决心,那么就起一个朴实无华的名字算了,所以就想到了“进程保护”。但细致想想,事实上这也是一个很大的技术专题,包含众多的技术细节。所以就此声明,事实上这仅仅是一篇利用了一个简单的小技术,在一定程度上达到防止你的程序被结束的技术...
进程保护(一)
weixin_30666401的博客
05-14 480
进程保护有很多方法。我所知道的有HOOK API,双进程保护,还有DLL远程注入。HOOK API现在在WIN7 64位似乎已经用不了了,听说是要签名吧。 今天先说双进程保护。 双进程保护的思路很简单,A,B两个进程。A时时刻刻检测B进程有没有运行,如果没有运行就打开B,运行咋不做处理。 同样的,B也是做这件事。 关键的代码不多。 打开应用程序 ShellExecute(...
进程保护(带源码)
ccx_john的专栏
07-06 1453
标 题: 【原创进程保护(带源码) 作 者: winnip 时 间: 2010-04-28,09:34:48 链 接: http://bbs.pediy.com/showthread.php?t=111885 标 题: 【原创进程保护(带源码) 作 者: winnip 时 间: 2010-04-30,15:30:58 链 接: http://bbs.pediy.com/sho
linux审计进程规则,linux audit审计(5)--audit规则配置
weixin_39552538的博客
04-29 1401
audit可以配置规则,这个规则主要是给内核模块下发的,内核audit模块会按照这个规则获取审计信息,发送给auditd来记录日志。规则类型可分为:1、控制规则:控制audit系统的规则;2、文件系统规则:也可以认为是文件监控,可以监控一个特定文件或者一个路径。3、系统调用规则:可以记录特定程序的系统调用。audit规则可以通过auditctl,在命令行里输入,这些设置的规则为临时的,当系统重启后...
C语言中连续两个printf,在C中两个连续的printf()调用的奇怪行为
weixin_34788662的博客
05-19 1685
Basile Stary..7你有一些未定义的行为(所以可能发生任意不好的事情,你不应该期待任何好事).随着对的printf函数期望(注意,当作为参数传递一个被晋升为一个),但是是文字型的.此外,不同的编译器(甚至同一编译器的不同版本)或不同的优化标志可能会产生不同的不良影响.%fdoublefloatdouble0int(对未定义行为的良好态度是努力总是避免它;不要浪费时间去试图理解具体发生的事...
取自开源,分享于开源 —— 利用CVE-2017-8890漏洞ROOT天猫魔屏A1
god
05-12 3914
本来对阿里的东西挺有好感的,没想到这么一个东西就一个开机广告问题把我的好感败光了。 入手的时候根本没有什么开机广告,使用三个月之后一次系统更新就出现了开机广告。感情升级就是生个开机广告?果断投诉。 可是又如何呢?最多只是把我提到的“开机广告音量大,吓死人,还不可调节音量”修改了,开机广告还是存在。 就算是入手四五个月还是比较新的,直接拆了,然后扔一边,搬家的时候就当垃圾扔了。 什么阿里! 突然翻到之前的记录,躺着也是躺着,就分享下。 ...
ProcessGuard:保护Windows系统中的程序,可以不被关闭
03-13
过程卫士
进程保护工具 保护进程不被关闭
01-10
保护进程不被关闭!保护进程不被关闭!保护进程不被关闭!保护进程不被关闭!
C++x64内核保护进程源码_保护进程_x64内核保护进程_进程保护_进程保护c++
08-09
内核 X64保护指定进程源码
Windows内核和驱动进程保护
12-02
驱动开发环境详细配置,SSDT钩子的进程保护,详细的源代码
win7 x64 进程保护
05-10
win7 64位系统下驱动保护进程不被读写与关闭的三种实例。
c语言怎么保护进程,保护模式编程十二
weixin_33983238的博客
05-23 493
【输入输出系统】在学习输入输出之前还是回顾一下系统API与进程的优先级问题:×系统API进程在调用API的时候也需要进行特权级转换,这个跟切换进程表没啥两样。所以定义一个API的主要步骤可以是(这里指的的宏内核):在IDT增加一个自定义的向量号并初始化成中断门描述符。中断处理函数基址假设是sys_call.(该函数在Kernel.asm属于内核),指定s描述符属性为DPL=3,最低特权,这样用户就...
进程保护(二)
weixin_30477293的博客
05-16 74
上一次做了个双进程保护。后来试着做了DLL远程注入。可行性倒是没问题。问题在于,最理想的进程是注入在explorer里面,但是在WIN7 64位的系统注入不了。getlasterror()返回5.拒绝访问。不知道要怎么去解决。 远程注入大致就几个步骤,首先。记得提升权限。 DWORD EnablePrivilege (PCSTR name) { HANDLE hToke...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值