列举出所有进程(包括隐藏的)

最新推荐文章于 2023-12-31 20:00:00 发布
最新推荐文章于 2023-12-31 20:00:00 发布
阅读量1.8k 收藏 3
点赞数
分类专栏: 文章 文章标签: attributes basic access null hook object
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wjn1206/article/details/8084595
版权 
其实只要导出这些NativeAPI,在应用态也是可以用的。
本文来自看雪的某人谁不记得了不好意思了!


  
  

   
   
    
    C/C++ code
   
   
  
  
HANDLE LzOpenProcess(DWORD dwDesiredAccess,BOOL bInheritHandle, DWORD dwProcessId)
{
    NTSTATUS status=0;
    char *pBuf=NULL;
//    BOOLEAN wasEnabled;
    DWORD buflen=0x10000,needlen=0;
    DWORD HandleCnt=0;
    HANDLE hRetProcess=0,hOwnerProc,hTmp;
    PSYSTEM_HANDLE_INFORMATION pSysHandleInfo=NULL;
    PROCESS_BASIC_INFORMATION BasePsInfo;
    OBJECT_ATTRIBUTES objatr;
    CLIENT_ID Cid;
    //提升调试权限,否则有些进程,比如服务进程打不开    
    InitializeObjectAttributes(&objatr,0,0,0,0);
    //先尝试正常方式打开
    Cid.UniqueProcess=(HANDLE)dwProcessId;
    Cid.UniqueThread=0;
    status=ZwOpenProcess(&hRetProcess,dwDesiredAccess,&objatr,&Cid);//尝试直接打开
    if (NT_SUCCESS(status))
    {
      return hRetProcess;    
    }
    //不成功,尝试把PID加1再打开,加2,加3也可以
    //理由:有些HOOK函数中过滤PID时不完善,正确的做法应该是先用掩码忽略低两位之后再比较
    Cid.UniqueProcess=(HANDLE)(dwProcessId+1);
    status=ZwOpenProcess(&hRetProcess,dwDesiredAccess,&objatr,&Cid);//尝试直接打开pid+1
    if (NT_SUCCESS(status))
    {
      return hRetProcess;
    }
    //都不成功,就找别的进程中的Handle,这才是本代码的核心, 这些Handle大部分是在Csrss.exe中
    do
    {
      //申请查询句柄信息所需的内存
      ZwAllocateVirtualMemory(GetCurrentProcess(),(PVOID*)&pBuf,0,&buflen,MEM_COMMIT,PAGE_READWRITE);
      //查询系统句柄信息,类型为16
      status=ZwQuerySystemInformation(SystemHandleInformation,(PVOID)pBuf,buflen,&needlen);
      if (status==STATUS_SUCCESS)
      {
        break;
      }
      //不成功,则释放内存
      //这里只要一块大内存够放这些内容就行,或者直接申请一块足够大的也可以
      //返回的needlen可以做为参考
      ZwFreeVirtualMemory(GetCurrentProcess(),(PVOID*)&pBuf,&buflen,MEM_RELEASE);
      //然后把要申请的内存大小乘2,直至成功为止
      buflen*=2;
      pBuf=NULL;
    } while(1);
    //返回的缓冲区内容的第一个DWORD是总的句柄的个数
    HandleCnt=*(DWORD*)pBuf;
    //跳过句柄计数,才是真正的开始
    pSysHandleInfo=(PSYSTEM_HANDLE_INFORMATION)((char*)pBuf+sizeof(DWORD));
    for (DWORD i=0;i<HandleCnt;i++)
    {
      //只验证类型为PROCESS的,值为5
      if (pSysHandleInfo->ObjectTypeNumber==OB_TYPE_PROCESS)
      {
        //打开这个句柄的所有者进程,要复制过来才能查询,否则只能看不能摸~
        Cid.UniqueProcess=(HANDLE)(pSysHandleInfo->ProcessId);
        Cid.UniqueThread=0;
        status=ZwOpenProcess(&hOwnerProc,PROCESS_DUP_HANDLE,&objatr,&Cid);
        if (NT_SUCCESS(status))
        {
        //打开成功,复制句柄到本进程,这里用了PROCESS_ALL_ACCESS以避免权限问题
        status=ZwDuplicateObject(hOwnerProc,
          (void **)(pSysHandleInfo->Handle),
          GetCurrentProcess(),
          &hTmp,
          PROCESS_ALL_ACCESS,
          FALSE,
          0);
        if (NT_SUCCESS(status))
        {
          //复制成功,查询此句柄所对应的进程PID,查询基本信息即可
          status=ZwQueryInformationProcess(hTmp,ProcessBasicInformation,&BasePsInfo,sizeof(PROCESS_BASIC_INFORMATION),NULL);
          if (NT_SUCCESS(status))
          {
          //成功,判断其PID
          if ((unsigned long)BasePsInfo.UniqueProcessId==dwProcessId)
          {
            //句柄所有者是我们要的目标进程,再按所需的权限复制过来
            ZwDuplicateObject(hOwnerProc,
            (void **)(pSysHandleInfo->Handle),
            GetCurrentProcess(),
            &hRetProcess,
            dwDesiredAccess,
            FALSE,
            0);
            //关掉为复制而打开的句柄所有者的句柄引用
            ZwClose(hOwnerProc);
            break;
          }
          
          }
    
        }
        }
      }
      pSysHandleInfo++;//指向下一个结构
    }
    if (pBuf)
    {
        ZwFreeVirtualMemory(GetCurrentProcess(),(PVOID*)&pBuf,&buflen,MEM_RELEASE);
    }
    return hRetProcess;
}


 

wjn1206
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++实现控制台应用程序隐藏后台运行
12-26 1828
C++实现程序隐藏后台运行,效果如下: 方式一: #pragma comment( linker, "/subsystem:\"windows\" /entry:\"mainCRTStartup\"" ) 方式二:
C++实现进程隐藏
04-22
用VC++实现进程隐藏,在WINDOWS平台下的隐藏
win10驱动级-隐藏进程稳定不蓝屏技术
hzw320的博客
11-18 3092
支持到了win10 64位系统 , 支持隐藏目标进程(32/64位程序进程),隐藏后,连各种ark驱动工具都看不见我们的驱动隐藏进程隐藏进程呢,在之前很久以前的我们的game-ec 驱动模块usb版里 32位驱动 就有这个功能了 ,基本上按月付费租千元价格的驱动里才有 支持win10 64位系统的驱动隐藏进程。一般学员都知道隐藏进程的作用,但是自从微软系统了win10 64系统后,但市面上那些驱动隐藏进程的不蓝屏的很少,有的也价格也非常贵,虽然市面上有现了win10的驱动隐藏进程的驱动,
利用Windows进程隐藏进行权限维持
最新发布
Karka_的博客
12-31 1401
进程(Process)是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是结构的基础。在早期面向进程设计的计算机结构中,进程是程序的基本执行实体;在当代面向线程设计的计算机结构中,进程是线程的容器。程序是指令、数据及其组织形式的描述,进程是程序的实体。我们在计算机上的每个程序运行起来之后都可以被称作进程进程可以在任务管理器里面看见,如下所示。
windows黑客编程技术之隐藏技术(进程伪装,傀儡进程进程隐藏
weixin_44891742的博客
07-26 6017
windows黑客编程技术之隐藏技术(进程伪装,傀儡进程进程隐藏
在2000和xp下,隐藏进程,vc6.0测试通过
yanzheng1的专栏
01-14 1266
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////Hide Process#include#include#include#defin
在2000和xp下,隐藏进程.rar_rootkit_进程 隐藏_进程隐藏_隐藏 进程_隐藏进程
09-14
标题中的“在2000和xp下,隐藏进程.rar_rootkit_进程 隐藏_进程隐藏_隐藏 进程_隐藏进程”涉及到的是在Windows 2000和Windows XP操作系统环境下,如何通过Rootkit技术来隐藏进程的知识点。Rootkit是一种恶意软件工具...
易语言枚举隐藏进程源码-易语言
06-13
枚举是指在程序中遍历列举特定对象的所有实例,比如系统中的所有进程。在易语言中,枚举隐藏进程主要涉及以下几个知识点: 1. **进程管理**:在Windows操作系统中,每个运行的应用程序或服务都是一个进程。...
枚举,Vb列所有正在运行包括隐藏的程序
05-07
在标题“枚举,Vb列所有正在运行包括隐藏的程序”中,我们要探讨的是如何利用VB来获取操作系统中所有正在运行的进程信息,包括那些隐藏进程。这涉及到对系统API(应用程序接口)的调用,因为VB本身并不直接提供...
易语言源码取系统所有进程及父进程模块.rar
07-13
4. **模块枚举**:每个进程都可以加载多个模块(如DLL),开发者可能使用`EnumProcessModules`和`GetModuleBaseName`函数来列举进程加载的所有模块,获取每个模块的基地址和名称。 5. **易语言编程**:在易语言中,...
HideProcess完结篇.zip_c++ 进程隐藏_c++隐藏进程_隐藏进程_隐藏驱动_驱动隐藏进程
07-15
C++隐藏进程,C++语言编写驱动级隐藏
怎么隐藏你指定的进程
chenqiangdage的专栏
01-16 2165
#include int main(int argc,char *argv[]) { char sTmp[50]={0}; long length=0; length=GetSystemDirectory(sTmp,50);//得到系统的路径 strcat(sTmp,"\\taskmgr.exe");//指定要隐藏的是任务管理器进程 STARTUPINFO si; //Specifi
(渗透测试后期)Linux进程隐藏详解
热门推荐
qq_42882717的博客
03-27 1万+
文章目录(渗透测试后期)Linux进程隐藏详解前言Linux进程基础Linux进程侦查手段Linux进程隐藏手段一、基于用户态的进程隐藏方法1:小隐隐于/proc/pid——劫持readdir系统调用额外:加载至arm方法2:小隐隐于/proc/pid——mount 挂载二、基于内核态的进程隐藏方法3:大隐隐于内核——修改内核源码+系统调用方法4:大隐隐于内核——修改内核源码proc_pid_lookup方法5:大隐隐于内核——编写驱动/内核模块——LKM实现进程隐藏总结 (渗透测试后期)Linux进程隐藏
检测隐藏进程(一)
tcz999的专栏
11-19 1153
许多用户都有过用视窗系统自带的任务管理器查看所有进程的经验,并且非常多人都认为在任务管理器中隐藏进程是不可能的。而实际上,进程隐藏是再简单不过的事情了。有许多可用的方法和参考源码能达到进程隐藏的目的。令我惊奇的是只有非常少一部分的木马使用了这种技术。估计1000个木马中仅有1个是进程隐藏的。我认为木马的作者太懒了,因为隐藏进程需要进行的额外工作仅仅是对原始码的拷贝-粘贴。所
C++任务管理器 进程隐藏
qq609438173的博客
11-25 1352
哪位大哥会C++隐藏进程程序的联系我
【转】MFC隐藏进程自身(任务管理器不可见,wSysCheck等工具可见)
weixin_34253539的博客
01-02 292
只要把cpp和h加入工程,include就可以了。 代码地址: //------------------HideProcess.h-------------------- //加入MFC工程调用即可 BOOL HideProcess(); //------------------HideProcess.cpp------------------ #include "s...
Linux /proc和/sys目录详解
qq_38814358的博客
12-03 3564
/proc 目录 /proc 正在运行的内核信息映射,主要输的信息为:进程信息、内存资源信息、磁盘分区信息等。 /proc下文件基本都是只读的,除了/proc/sys目录,它是可写的(查看和修改内核的运行参数) /proc下数字命令的目录就是对于PID的进程目录 /proc/cmdline 启动时传递给kernel的参数信息(就是bootargs信息) /proc/cpuinfo cpu的信息 /proc/crypto 内核使用的所有已安装的加密密码及细节 /proc/devices 已经加载的设备并
Linux 隐藏进程
chi's blog
10-09 1263
这种方式属于DKoM(Direct Kernel Object Manipulation)攻击方式了,即直接内核对象操作技术。关于第一种hook方式可以参考上一篇文章。最后推荐一个rootkit工具。
Linux各种命令详细用法
06-01
- ls -a:列所有文件和目录,包括隐藏的文件和目录。 4. mkdir:创建目录。 - mkdir directory:创建指定名称的目录。 5. touch:创建空文件或修改文件的时间戳。 - touch filename:创建指定名称的空文件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值