R0层简单的进程跟线程操作

最新推荐文章于 2023-02-05 19:42:40 发布
最新推荐文章于 2023-02-05 19:42:40 发布
阅读量678 收藏
点赞数
分类专栏: R0层
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiao_yezi_/article/details/47906743
版权
#include <ntifs.h>
VOID EnumProcess();
void KerrnelKillProcess();
ULONG KernelGetVersion();
void Test_GetCurrentTime();
NTSTATUS NTAPI ZwOpenThread(
    OUT PHANDLE ThreadHandle,
    IN ACCESS_MASK DesiredAccess,
    IN POBJECT_ATTRIBUTES ObjectAttributes,
    IN PCLIENT_ID ClientId OPTIONAL
    );   //extern "C"
void EnumThread(PEPROCESS pEProcess);
void DriverUnload(PDRIVER_OBJECT objDriver)
{
    UNREFERENCED_PARAMETER(objDriver);
    // 打印一行字符串
    DbgPrint("CHERRY First Drive is unloading^^^^^");
    //KerrnelKillProcess();
}
// 驱动入口函数,相当于main()函数
NTSTATUS DriverEntry(PDRIVER_OBJECT objDriver, PUNICODE_STRING strRegPath)
{
    UNREFERENCED_PARAMETER(strRegPath);
    // 如果编译方式为Debug,则插入一个int3断点部分,方便调试
#ifdef DBG
    __debugbreak();
#endif
    // 打印一行字符串,并注册驱动卸载函数,便于卸载驱动
    DbgPrint("CHERRY First Driver! \n");
    //EnumProcess();
    //DbgPrint("Version:%d\n", KernelGetVersion());
    //Test_GetCurrentTime();
    objDriver->DriverUnload = DriverUnload;
    return STATUS_SUCCESS;
}
//结束进程
void KerrnelKillProcess()
{
    HANDLE hProcess = NULL;
    CLIENT_ID ClientId = {  0 };
    OBJECT_ATTRIBUTES objAttribut = {  sizeof(OBJECT_ATTRIBUTES) };
    ClientId.UniqueProcess = (HANDLE)2944; //pid
    ClientId.UniqueThread = 0;
最低0.47元/天 解锁文章
_yezi_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
backgrdundMonteprogram.rar_T1RC_dear4zg_进程线程
07-15
文档“Wq0iWQPSK系统的MonteCarlo.doc”可能详细阐述了QPSK系统蒙特卡罗程序的设计原理、实现步骤以及如何利用进程线程进行并行计算。阅读这份文档,我们可以深入理解如何运用蒙特卡罗方法解决实际通信问题,并...
[内核编程]线程操作
輚至消亡
07-13 1128
1. 线程枚举 来介绍几个要用到的内核API: PsLookupThreadByThreadId(): NTSTATUS PsLookupThreadByThreadId( IN HANDLE ThreadId, OUT PETHREAD *Thread ); 通过TID获取对应的ETHREAD结构指针。 IoThreadToProcess(): PEPROCESS IoThreadToProcess( IN PETHREAD Thread
Windows驱动(用户R3与内核R0通信)
最新发布
GNAIXGNAHZ的博客
02-05 2054
Windows驱动(用户与内核通信)
windows编程简介
cw312644167的博客
05-05 743
操作系统没有出来之前.我们写的程序是直接和硬件打交道的,这个阶段的程序通用性是非常差的.. 它可能只能在一台电脑或者一类电脑上面运行.因为每台电脑的硬件情况都有可能不同. 在windows出来之后,程序的通用性得到了大大的提升.windows操作系统将硬件和软件隔离..我们所写的程序不用在关注硬件是怎么样的.我们所写的软件调用OS的API,再通过该API来操作硬件windows经过三十多年的发
内核中对进程操作
qq_41071646的博客
01-13 326
这里 也是参考了看雪论坛分享的 这里 我找不到那个分享的网址了  比较尴尬 什么时候找到了  把分享 教程的网址放出来 。。。  本来是看 windows黑客编程技术详解 这本书 看的很起劲 但是 发现  emmm 比较可惜    那个irp 发现也不是那么的神奇  于是 直接看 内核进程操作了  就是简单的枚举pid #include &lt;ntddk.h&gt; #includ...
驱动进程线程操作
qq_41490873的博客
08-25 1840
枚举进程 //根据进程结构获得进程名指针 需要自己申明一下。 NTKERNELAPI PUCHAR PsGetProcessImageFileName( IN PEPROCESS Process ); VOID EnumProcess() { ULONG i = 0; for (i; i < 20000; i += 4) { NTSTATUS status = STATUS_SUCCESS; PEPROCESS Eprocess; status = PsLookupProces
vijw.rar_进程线程
09-24
标题中的“vijw.rar_进程线程”暗示了这个压缩包可能包含与操作系统管理和程序执行相关的资源,特别是关于进程线程的概念。在计算机科学中,进程线程操作系统中的基本概念。 进程操作系统中正在运行的...
oytk.rar_进程线程
09-24
标题中的“oytk.rar_进程线程”表明这是一个关于操作系统中的进程线程概念的讨论,可能包含了一些示例代码或程序实现。在描述中提到的“这些程序分为服务器和客户端,使用Delphi开发,初步实现了QQ聊天功能”,...
uxhm.rar_forwarday8_进程线程
09-21
在IT领域,进程线程操作系统中两个重要的概念,对于理解和优化软件性能至关重要。"uxhm.rar_forwarday8_进程线程"这个压缩包文件显然与易语言(EasyLanguage)编程有关,特别是涉及到了修改QQ资料的功能,并...
操作系统中多线程之间通信
12-21
实际应用中,操作系统和编程语言库提供了丰富的线程通信原语,如Java的`java.util.concurrent`包,C++的`std::mutex`, `std::condition_variable`等。理解并正确使用这些工具,对于编写高效、可靠的多线程程序至关...
R0获取ShadowSSDT函数原始地址实例
11-20
本实例由VS2008开发,在提供了一套驱动开发框架的同时,又演示了如何获取Shadow SSDT表函数原始地址的办法。 主要函数:ULONG GetShadowSSDT_Function_OriAddr(ULONG index); 原理说明: 根据特征码搜索导出函数KeAddSystemServiceTable来获取Shadow SSDT基址,以及通过ZwQuerySystemInformation()函数获取win32k.sys基址,然后解析PE定位到Shadow SSDT在win32k.sys的偏移地址,并通过进一步计算来得到Shadow SSDT表函数的原始地址。 这里只测试了三个函数:(460)NtUserMessageCall、(475)NtUserPostMessage和(502)NtUserSendInput,具体使用时可以举一反三,网上完整的源代码实例并不太多,希望可以帮到真正有需要的朋友。 系统环境: 在WinXP SP3系统 + 瑞星杀毒软件 打印输出: [ LemonInfo : Loading Shadow SSDT Original Address Driver... ] [ LemonInfo : 创建“设备”值为:0 ] [ LemonInfo : 创建“设备”成功... ] [ LemonInfo : 创建“符号链接”状态值为:0 ] [ LemonInfo : 创建“符号链接”成功... ] [ LemonInfo : 驱动加载成功... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 开始... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP Enter IRP_MJ_DEVICE_CONTROL... ] [ LemonInfo : 获取ShadowSSDT表 (460)NtUserMessageCall 函数的“当前地址”为:0xB83ECFC4,“起源地址”为:0xBF80EE6B ] [ LemonInfo : 获取ShadowSSDT表 (475)NtUserPostMessage 函数的“当前地址”为:0xB83ECFA3,“起源地址”为:0xBF8089B4 ] [ LemonInfo : 获取ShadowSSDT表 (502)NtUserSendInput 函数的“当前地址”为:0xBF8C31E7,“起源地址”为:0xBF8C31E7 ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP_MJ_DEVICE_CONTROL 成功执行... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 结束... ] [ LemonInfo : UnLoading Shadow SSDT Original Address Driver... ] [ LemonInfo : 删除“符号链接”成功... ] [ LemonInfo : 删除“设备”成功... ] [ LemonInfo : 驱动卸载成功... ]
远程线程注入,易语言源码
11-26
网上似乎找不到,易语言源码 根据网上HI白度改编,你值得拥有
X64驱动读写内存源码
11-20
X64驱动读写内存源码,驱动基于VS2019编写,只支持64位,驱动未签名需要自行开启测试模式加载,R3基于易语言编写无模块 编译即可用,所有源码都在压缩包里自行下载即可
note: KillProcess On R0
谢绝留言与私信
10-16 1036
金山毒霸的进程可以在R0直接关掉 NTSTATUS KillProcess(DWORD dwPid) { NTSTATUS status = STATUS_UNSUCCESSFUL; HANDLE hProcess = INVALID_HANDLE_VALUE; OBJECT_ATTRIBUTES ObjAttrib
使用虚拟机自省技术在R0监控获取进程调用的dll库和dll版本
安徽小亚哥哥的博客
09-02 1271
一、问题提出 在Windows操作系统中,dll属性查看的版本信息是在R3获取的,如下图所示,在项目中经常要保证监控获取的透明性,能否在R0直接获取这些信息? 二、libvmi简介 libvmi是Google的一个开源项目,利用Memory introspection技术在Dom0中监视DomU的情况。由于项目的某些需求,需要透明地监控Windows进程的列表,进程调用的dll库和版...
Ring0和Ring3权限
liujiayu2的专栏
05-27 5651
现在探讨内核程序和应用程序之间的本质区别。除了能用WDK编写内核程序和阅读一部分Windows的内核代码之外,我们还需要了解它们的本质是什么,它们和我们熟悉的应用程序有什么区别。   Intel的x86处理器是通过Ring级别来进行访问控制的,级别共分4,从Ring0到Ring3(后面简称R0、R1、R2、R3)。R0拥有最高的权限,R3拥有最低的权限。按照Intel原有的构想
Windows编程_Lesson007_内核对象
艺术人生的专栏
07-01 391
内核对象概述在前面课程中,我们学习了很多关于内核对象、句柄等各种各样的使用,并且在使用过程中,我们好像拥有了当前这个句柄,并且操作当前内核对象,但是我们从未深入的解析过,在Windows中这个内核对象到底意味着什么!句柄的本质又是怎么回事!我们接下来会使用一些工具来查看我们系统中内核对象的意思是什么!我们系统中的句柄本质是什么! 我们首先使用的第一个工具是WinObj,它可以用来查看我们系统中的
安全产品的核心逻辑-杀毒软件
ducc20180301的博客
08-04 1286
概述 在《软件定义安全》中介绍了所有的安全产品本质上就是对安全业务的软件开发,在《安全产品的核心逻辑-防火墙》中介绍了防火墙的核心点和核心逻辑。在《安全产品的核心逻辑-IPS/IDS》中介绍ips/ids的核心内容和核心逻辑。本文接着对常用的杀毒软件做下分析。 一、杀毒软件的作用 杀毒软件(Anti-virusSoftware),也称反病毒软件或防毒软件,是用于消除电脑中的病毒、特洛伊木马、蠕虫等恶意软件的计算机威胁检测处理的一类软件。杀毒软件一般由扫描器、病毒库与虚拟机组成。 二、基本..
内核对象在线程同步中的应用
互锁函数仅适用于单值操作,无法使线程进入等待状态,而关键代码段虽可控制线程同步,但可能导致死锁且无法设置超时。 本章主要探讨的是内核对象的线程同步,这是一种更为灵活且功能强大的机制。内核对象包括进程、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值