hook zwduplicateobject 防止句柄被复制。。。

最新推荐文章于 2017-12-07 14:05:56 发布
最新推荐文章于 2017-12-07 14:05:56 发布
阅读量2.1k 收藏
点赞数
分类专栏: 驱动内核 文章标签: hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xum2008/article/details/5658189
版权

具体方法,是在这个函数体中判断,现将其下发,得到复制后的句柄后,通过ZwQueryInformationProcess 查询,得到持程序的 pid ,最后,与我们的程序的PID 比较,如果是我们要保护的,则将其句柄值清0 ,返回访问错误。。。

 

这里我犯了三个错误:

1:使用函数的时候,没有注意函数是否有效,也就是,在使用一些可能被别人挂钩过的函数时,我们还是先通过自己搜索比较好。

2:在函数中,只需要调用一次底层的函数就可以了

3:在发现时我们要保护的程序后,我们要将其句柄关闭,不然,复制的过程仍然可能成功。。。

专注成就专业_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
进程共享内核对象之 复制内核对象句柄
Nero Zhang的博客
11-04 747
进程共享内核对象的三种方式: 1.     内核对象句柄继承 2.     为内核对象命名 3.     复制内核对象句柄 今天写一下第三种方式。 跨进程边界共享内核对象可以使用DuplicateHandle函数来实现,这个函数会获取某一进程的句柄表中的一个记录项,然后在另一个进程的句柄表中创建这个记录项的一个副本,于是该进程也拥有了该内核对象的访问权。 函数原型如下: Dupl
R3下用ZwQueryObject/ZwDuplicateObject关闭互斥体和解除文件占用
lixiangminghate的专栏
01-20 7647
不少程序在运行时会创建/打开全局Mutex,来限制用户多开。百度上搜一圈下来,他们的实现基本是这样: int main(int argc, char* argv[]) { HANDLE hMtx = CreateMutex(NULL,false,"process"); //创建一个有名对象,可以在其他进程中访问 if(GetLastError() == ERROR_ALREADY_EXIS
Hook技术简介
tubaluer
08-30 160
钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。 钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即钩子函数先得到...
未处理的异常: 0xC0000235: 由句柄所调用的 NtClose 已使用 NtSetInformationObject防止关闭。...
weixin_30483697的博客
02-18 305
环境:WIN7 64Bit,杀软仅有MSE,在VS2005开发一MFC项目。 由于用到了网络请求,所以使用了多线程技术,考虑到C Runtime 线程安全,使用了C函数__beginthread(…): 出现了下面的错误提示 堆栈信息: 换成Window API :CreateThread 就没有此问题了。 原因可能是安全软件拦截了某些调用: 参考:http://hi.baidu.c...
系统钩子,用于获取系统句柄
03-23
系统钩子, 系统钩子, 系统钩子, 系统钩子, 系统钩子, 系统钩子,
Hook_ZwDuplicateObject_Protect.zip_ZwDuplicateObject_hook 进程_进程
09-21
这可能包括限制特定进程的句柄复制,或者在复制对象时触发警报或日志记录,以便于追踪潜在的恶意活动。 在实际应用中,这样的技术可能用于开发安全软件,例如防火墙、反病毒软件或系统监控工具。它们会监控系统调用...
adf.rar_hook_hook窗口句柄
最新发布
09-24
采用钩子HOOK 窗口句柄 动态修改菜单
用API HOOK实现禁止复制文件的功能
05-12
用API HOOK实现禁止复制文件
Hook信息框并得到信息框句柄
06-07
通过HOOK直接取到句柄比FindWindow之类的方法好一点吧,因为在信息框这个对话框创建前就获取到了,传统方法是创建后获取到。新手学习吧,至于大佬,负责给我加分打赏鼓励我继续学习HOOK,谢谢。@镇坛道德标杆。Tags...
Hook技术监控文件复制
04-11
Hook技术监控文件复制Hook技术是Windows操作系统中一种强大的机制,它允许程序拦截和处理特定的系统事件或用户输入,而这些事件原本会被其他程序处理。在本场景中,我们关注的是如何利用Hook来监控文件复制...
超强r3杀进程(测试可杀瑞星)
06-01
超强r3杀进程 里面提供两种方法ZwDuplicateObject和远程进程法(之前测试可杀瑞星,现在本人没装杀软,瑞星也升级了,就不知道可不可以了)
R0中HOOK读写内存句柄转换问题
陈刚编程心得与知识集
03-09 1322
NtReadVirtualMemory(         IN HANDLE ProcessHandle,         IN PVOID BaseAddress,         OUT PVOID Buffer,         IN ULONG BufferLength,         OUT PULONG ReturnLength OPTIONAL) 判断目标Process
内存清零KILL进程
Tommy(凌飞)的专栏
08-24 1395
#include #include #include #include #pragma comment (lib,"Kernel32.lib")#pragma comment (lib,"Advapi32.lib")#pragma comment(linker, "/ENTRY:main")//------------------ 数据类型声明开始 --------
互斥体CMutex的使用
无幻
07-29 1万+
互斥体是CMutex类的对象,也只允许一个线程占有某个共享资源,以保护独占式共享资源。
R3 x64枚举进程句柄
zhuhuibeishadiao
05-02 5713
需要注意的是:在R3使用ZwQueryObject很容易锁死,需要放到线程中,如果线程超过500ms就说明卡死了 就只能放弃这个句柄了  这个句柄外面是一个FileObject类型,但真实是一个信号类型 还有在R3中枚举 有一个句柄我们是没有权限操作了 就是EtwRegistration类型的 如果非要解决这个问题,可以参考国外的一个开源进程管理器 ProcessHack 我的操作是判断
DuplicateHandle进程间句柄复制
小米的修行之路
12-07 4741
1、 BOOL DuplicateHandle( HANDLE hSourceProcessHandle, HANDLE hSourceHandle, HANDLE hTargetProcessHandle, LPHANDLE lpTargetHandle, DWORD dwDesiredAccess, BOOL bInheritHandle, DWORD dwOpt
关于HOOK,如何通过钩子截获指定窗口的所有消息 SetWindowsHookEx demo
热门推荐
q610098308的专栏
09-11 2万+
具体使用见demo , 请注意: 32位只能用win32库, 64位 需要用64位 库。64位可以hook64位程序,32位可以hook32位程序; SetWindowsHookEx 第三个参数为HINSTANCE,通过FindWindow找到指定窗口句柄后如何 得到该进程的HINSTANCE呢? 这个参数应该是你调用SetWindowsHookEx的DLL的模块实例句柄...
HOOKAPI(四)——进程防终止
02-26
最初接触HOOKAPI是出于对剪切板监控的需求,后来通过研究资料和实践,实现了对OpenProcess()和TerminateProcess()的HOOK,从而达到防止被保护进程被终止的目的。 0x01 实现思路 1. 定义要HOOK的API原型:首先明确...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值