驱动保护 -- 通过PID保护指定进程

最新推荐文章于 2024-08-02 18:52:04 发布
最新推荐文章于 2024-08-02 18:52:04 发布
阅读量1.3k 收藏 4
点赞数
分类专栏: windows逆向 文章标签: java c++ jvm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41489908/article/details/130036514
版权

一、设计界面

1、添加一个编辑框输入要保护的进程PID,并添加两个按钮,一个保护进程,一个解除保护

2、右击编辑框,添加变量

二、驱动层代码实现

1、声明一个受保护的进程PID数组

static UINT32 受保护的进程PID[256] = { 0 };

2、添加PID到保护函数

void 添加PID到保护(UINT32 pid) 
{
  for (size_t i = 0; i < 256; i++)
  {
    if (受保护的进程PID[i]==0|| 受保护的进程PID[i]==pid)
    {
      受保护的进程PID[i] = pid;
      break;
    }
  }
}

3、删除PID保护函数

void 删除PID保护(UINT32 pid)
{
  for (size_t i = 0; i < 256; i++)
  {
    if (受保护的进程PID[i] == pid)
    {
      受保护的进程PID[i] = 0;
      break;
    }
  }
}

4、清空PID保护函数

void 清空PID保护()
{
  memset(受保护的进程PID, 0, sizeof(受保护的进程PID));
}

5、PID是否受保护函数

BOOLEAN PID是否受保护(UINT32 pid)
{
  for (size_t i = 0; i < 256; i++)
  {
    if (pid==0)
    {
      return 0;
    }
    if (受保护的进程PID[i] == pid)
    {
      return TRUE;
    }
  }
  return FALSE;
}

6、将函数在头文件声明一下

void 添加PID到保护(UINT32 pid);
void 删除PID保护(UINT32 pid);
void 清空PID保护();
int PID是否受保护(UINT32 pid);

7、获取PID

UINT32 当前进程PID = PsGetCurrentProcessId();
   
    HANDLE PID = PsGetProcessId((PEPROCESS)OperationInformation->Object);
    
    if (PID是否受保护(PID)==1)
    {
    DbgPrint("nxyn:sys pEPROCESS=%p ", OperationInformation->Object);
     DbgPrint("nxyn:被保护的PID:%d \n", PID);
      ACCESS_MASK 获取权限 = OperationInformation->Parameters->CreateHandleInformation.OriginalDesiredAccess;
      ACCESS_MASK 获取新权限 = OperationInformation->Parameters->CreateHandleInformation.DesiredAccess;//将句柄权限清零
      //让结束进程的功能失效
      获取权限 &= ~PROCESS_TERMINATE;
      获取权限 &= ~PROCESS_VM_OPERATION;
      获取权限 &= ~PROCESS_VM_WRITE;
      获取权限 &= ~PROCESS_VM_READ;


      //返回我们修改过的权限 OpenProcess
      OperationInformation->Parameters->CreateHandleInformation.DesiredAccess = 获取权限;
      DbgPrint("nxyn:获取权限=%X 获取新权限=%X", 获取权限, 获取新权限);
    }

8、添加控制码

#define irp添加PID到保护   CTL_CODE(FILE_DEVICE_UNKNOWN, 0x804,     METHOD_BUFFERED,FILE_ANY_ACCESS)
#define irp删除PID保护   CTL_CODE(FILE_DEVICE_UNKNOWN, 0x805,     METHOD_BUFFERED,FILE_ANY_ACCESS)

9、通过控制码实现添加和删除保护

else if (控制码== irp添加PID到保护)
    {
      IRP添加PID到保护(IRP指针);
    }
    else if (控制码 == irp删除PID保护)
    {
      IRP删除PID保护(IRP指针);
    }

10、添加和删除的代码具体实现

void IRP添加PID到保护(PIRP IRP指针)
{  
  int* 缓冲区 = (int*)IRP指针->AssociatedIrp.SystemBuffer;
  int 计算结果 = 0;
  if (缓冲区)
  {
    UINT32* pPID = (UINT32*)缓冲区;
    UINT32 pid = pPID[0];
    添加PID到保护(pid);
    IRP指针->IoStatus.Information = sizeof(int);//设置操作的字节数
    IRP指针->IoStatus.Status = STATUS_SUCCESS;//返回状态
    IoCompleteRequest(IRP指针, IO_NO_INCREMENT);//完成一个IRP请求
    KdPrint(("nxyn:PID已添加到保护"));
  }
}




void IRP删除PID保护(PIRP IRP指针)
{
  int* 缓冲区 = (int*)IRP指针->AssociatedIrp.SystemBuffer;
  int 计算结果 = 0;
  if (缓冲区)
  {
    UINT32* pPID = (UINT32*)缓冲区;
    UINT32 pid = pPID[0];
    删除PID保护(pid);
    IRP指针->IoStatus.Information = sizeof(int);//设置操作的字节数
    IRP指针->IoStatus.Status = STATUS_SUCCESS;//返回状态
    IoCompleteRequest(IRP指针, IO_NO_INCREMENT);//完成一个IRP请求
    KdPrint(("nxyn:PID已删除保护"));
  }
}

三、应用层代码实现

1、添加控制码

#define irp添加PID到保护   CTL_CODE(FILE_DEVICE_UNKNOWN, 0x804,     METHOD_BUFFERED,FILE_ANY_ACCESS)
#define irp删除PID保护   CTL_CODE(FILE_DEVICE_UNKNOWN, 0x805,     METHOD_BUFFERED,FILE_ANY_ACCESS)

2、双击保护进程按钮

UpdateData(TRUE);//将窗口的数据更新到变量
  char 缓存区[256];
  sprintf_s(缓存区, "nxyn:应用程序保护PID控制码为%X\n", irp添加PID到保护);
  OutputDebugStringA(缓存区);
  UINT32 输入数据 = m_PID;
  int 返回数据;
  DWORD 实际读取字节数;
  DeviceIoControl(
    设备句柄,
    irp添加PID到保护,
    &输入数据,
    sizeof(输入数据),
    &返回数据,
    sizeof(返回数据),
    &实际读取字节数,
    NULL);

3、双击解除进程保护按钮

UpdateData(TRUE);//将窗口的数据更新到变量
  char 缓存区[256];
  sprintf_s(缓存区, "nxyn:应用程序删除PID控制码为%X\n", irp删除PID保护);
  OutputDebugStringA(缓存区);
  UINT32 输入数据 = m_PID;
  int 返回数据;
  DWORD 实际读取字节数;
  DeviceIoControl(
    设备句柄,
    irp删除PID保护,
    &输入数据,
    sizeof(输入数据),
    &返回数据,
    sizeof(返回数据),
    &实际读取字节数,
    NULL);

四、测试应用

web安全工具库
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
驱动保护进程_隐藏进程_遍历内核句柄
07-02
1、改进程PID,隐藏自己的进程 ...4、保护指定进程的内存权限 5、遍历进程的句柄,并降低指定进程PID的句柄权限,里面有遍历内存进程和每个进程句柄的方法 6、操作debugport,防止调试或者使自己脱离调试,检测调试
易语言结束进程源码-易语言
06-13
获取信息”命令获取指定名称的进程PID,然后再将这个PID传递给“进程.结束”命令,从而结束指定进程。 3. **错误处理**:在编程过程中,必须考虑到可能出现的错误情况,如找不到指定进程、权限不足等。易语言...
驱动级!进程隐藏-按键精灵过检】驱动级,内核级进程隐藏,进程保护。实战效果演示,免费分享。
luoqiaoliang的博客
05-20 1540
废话不多说,干货直接上! 免费的驱动进程隐藏工具分享,还不赶紧带上你的赞和关注白嫖一波吗?
C++x64内核保护进程源码_保护进程_x64内核保护进程_进程保护_进程保护c++
08-09
- **进程识别**:首先,需要识别要保护进程,可能通过PID进程名称来标识。 - **权限检查**:然后,检查调用者是否有足够的权限进行保护操作。 - **内存保护**:设置进程内存区域的访问权限,防止其他进程读取...
易语言进程保护源码.7z
07-05
通过阅读和理解这些函数的使用方法和原理,我们可以构建出一个完整的进程保护机制。 总结,易语言进程保护源码的解析涉及了易语言的基础知识、进程进程保护的概念以及实现这些保护措施的具体编程技术。通过学习和...
枚举进程PID_枚举进程PID_
09-30
在Windows操作系统中,枚举进程和获取进程标识符(PID)是系统管理和调试的重要功能。在 Delphi 这样的编程环境中,你可以通过使用 WinAPI 函数来实现这一目标。本项目"枚举进程PID"显然是一个使用 Delphi 10.4.1 ...
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
qq_43700885的博客
07-29 576
1.导入hutool的maven依赖。2.复制一下代码执行。
深入理解Java注解
weixin_55745942的博客
08-01 512
Java注解是用来描述程序元素(如类、方法、变量等)的一种机制。它们可以提供关于程序的补充信息,帮助编译器、框架或其他工具更好地理解和处理代码。注解通常以符号开头,后跟注解名称和可能的参数。要创建自定义注解,需要使用@interface关键字定义一个接口,并在接口中声明注解的属性。这个注解名为,可以被用来标记方法。它有一个名为value的属性,具有默认值"default"。
社区养老服务小程序的设计
Karen198的博客
07-31 482
管理员账户功能包括:系统首页,个人中心,用户管理,服务人员管理,服务产品管理,服务预约管理,服务状态管理,服务退订管理,活动管理,视频管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。服务器:SpringBoot自带 apache tomcat。微信端账号功能包括:系统首页,服务产品,活动,视频,我的。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发工具:IDEA(推荐)开发系统:Windows。
java判断邮箱地址是否正确,使用hutool工具判断邮箱地址是否正确
qq_43700885的博客
07-29 344
1.导入hutool的maven依赖。2.直接复制一下代码运行。
26.jdk源码阅读之ConcurrentLinkedQueue
前端、移动端、后端源码级底层原理分享
07-29 958
ConcurrentLinkedQueue 是 Java 中提供的一个基于无界非阻塞算法的线程安全队列。它是一个适用于高并发环境的队列实现,基于链表结构。
string类的模拟实现(C++)
最新发布
2302_80190394的博客
08-02 634
C++ string的功能函数实现
SpringMVC02
2301_78875117的博客
08-02 643
参数异常/** 自定义异常:参数异常*/private String msg="参数异常";super("参数异常!");super(msg);super("参数异常!");super(msg);return msg;业务异常private String msg="业务异常";super("业务异常!");super(msg);super("业务异常!");super(msg);return msg;
Java并发(十一)一文搞懂Java并发各种容器
m0_58466443的博客
07-29 838
同步容器将所有对容器状态的访问都串行化,以保证线程安全性,这种策略会严重降低并发性。Java 1.5 后提供了多种并发容器,使用并发容器来替代同步容器,可以极大地提高伸缩性并降低风险。并发容器对应的普通容器描述HashMapJava 1.8 之前采用分段锁机制细化锁粒度,降低阻塞,从而提高并发性;Java 1.8 之后基于 CAS 实现。SortedMap基于跳表实现的ArrayListSet基于实现。SortedSet基于实现。Queue线程安全的无界队列。底层采用单链表。支持 FIFO。
javaweb_03:在ide中配置tomcat
qq_52200849的博客
08-01 114
④创建artifact。②点击加号创建,选择。
java中static关键字的作用
weixin_41020960的博客
08-01 502
这意味着这个变量被类的所有实例共享,而不是每个实例拥有自己的副本。类变量可以通过类名直接访问,而不需要创建类的实例。关键字是 Java 中一个非常重要的特性,它允许开发者在不创建对象的情况下访问类的方法和变量,这在很多场景下非常有用。这类方法可以在没有创建类的实例的情况下被调用,它们只能访问类的静态变量和静态方法。关键字也可以用于静态初始化块,这是一段在类加载时执行的代码块,用于初始化静态变量。: 静态变量是不变的,一旦在静态初始化块或静态方法中被初始化,它们的值就不能被修改。关键字可以声明静态内部类。
spring原理(自学第六天)
GD2604279407的博客
08-02 388
今天将会学到Aware 接口及 InitializingBean 接口我们可以先了解他们的作用:1. Aware 接口用于注入一些与容器相关信息, 例如a. BeanNameAware 注入 bean 的名字b. BeanFactoryAware 注入 BeanFactory 容器c. ApplicationContextAware 注入 ApplicationContext 容器2. InitializingBean 接口提供了一种【内置】的初始化手段。
day12 Java基础——自增自减运算符,初识Math类
Qhumaing的博客
07-30 298
int b = a++;//执行完这行代码后,先给b复制,再自增1
如何通过进程号获取进程的GPU使用 显存使用
07-12
在上述代码中,我们使用 `subprocess` 模块执行 `nvidia-smi` 命令,并通过 `--query-compute-apps` 参数获取指定进程的 GPU 使用情况和显存使用情况。然后,我们对每个 GPU 的显存使用进行累加,并返回总的显存使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

web安全工具库

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值