hook zwduplicateobject 防止句柄被复制。。。

最新推荐文章于 2023-11-21 18:25:57 发布
最新推荐文章于 2023-11-21 18:25:57 发布
阅读量2.1k 收藏
点赞数
分类专栏: 驱动内核 文章标签: hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xum2008/article/details/5658189
版权

具体方法,是在这个函数体中判断,现将其下发,得到复制后的句柄后,通过ZwQueryInformationProcess 查询,得到持程序的 pid ,最后,与我们的程序的PID 比较,如果是我们要保护的,则将其句柄值清0 ,返回访问错误。。。

 

这里我犯了三个错误:

1:使用函数的时候,没有注意函数是否有效,也就是,在使用一些可能被别人挂钩过的函数时,我们还是先通过自己搜索比较好。

2:在函数中,只需要调用一次底层的函数就可以了

3:在发现时我们要保护的程序后,我们要将其句柄关闭,不然,复制的过程仍然可能成功。。。

专注成就专业_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
强删文件--->构建IRP---->独占--->正在运行 以及磁盘读写(思路)
zhuhuibeishadiao
04-03 2860
个人比较崇拜360 一个小小的按钮下面蕴含着很多的原理 要有多么强大才能1天搞定偏移 -------致敬360 致敬MJ-001 无奈本人学业不精 只能说说“独占”和“正在运行” 打开文件 一般使用ZwCreateFile NtCreateFile 但这些函数还不够底层 使用IoCreateFile会好一些 被其它程序独占 枚举句柄表 ZwQuerySystemInformation -
驱动中枚举和关闭内核句柄
liwen930723的专栏
09-25 2230
WIN64AST的作者之前发布了一些教程,里面有关于关闭内核句柄的介绍,但是他忘了一件事,所以那份代码并不能真正的关闭内核句柄,而且他的代码。。。不敢用在项目里。有人在看雪上问过类似问题,我也回答过,在vista之后,windows会检查内核句柄值得有效性,也就是为什么下面我提供的代码中会有这一行: *(PULONG64)HandleValue |= (ULONG64)KERNEL_HANDLE...
8.2 Windows驱动开发:内核解锁与强删文件
最新发布
CSDN
11-21 4435
在某些时候我们的系统中会出现一些无法被正常删除的文件,如果想要强制删除则需要在驱动层面对其进行解锁后才可删掉,而所谓的解锁其实就是释放掉文件描述符(句柄表)占用,文件解锁的核心原理是通过调用`ObSetHandleAttributes`函数将特定句柄设置为可关闭状态,然后在调用`ZwClose`将其文件关闭,强制删除则是通过`ObReferenceObjectByHandle`在对象上提供相应的权限后直接调用`ZwDeleteFile`将其删除。
R3下用ZwQueryObject/ZwDuplicateObject关闭互斥体和解除文件占用
lixiangminghate的专栏
01-20 7650
不少程序在运行时会创建/打开全局Mutex,来限制用户多开。百度上搜一圈下来,他们的实现基本是这样: int main(int argc, char* argv[]) { HANDLE hMtx = CreateMutex(NULL,false,"process"); //创建一个有名对象,可以在其他进程中访问 if(GetLastError() == ERROR_ALREADY_EXIS
超强r3杀进程(测试可杀瑞星)
06-01
超强r3杀进程 里面提供两种方法ZwDuplicateObject和远程进程法(之前测试可杀瑞星,现在本人没装杀软,瑞星也升级了,就不知道可不可以了)
Hook_ZwDuplicateObject_Protect.zip_ZwDuplicateObject_hook 进程_进程
09-21
这可能包括限制特定进程的句柄复制,或者在复制对象时触发警报或日志记录,以便于追踪潜在的恶意活动。 在实际应用中,这样的技术可能用于开发安全软件,例如防火墙、反病毒软件或系统监控工具。它们会监控系统调用...
adf.rar_hook_hook窗口句柄
09-24
采用钩子HOOK 窗口句柄 动态修改菜单
用API HOOK实现禁止复制文件的功能
05-12
用API HOOK实现禁止复制文件
Hook信息框并得到信息框句柄
06-07
通过HOOK直接取到句柄比FindWindow之类的方法好一点吧,因为在信息框这个对话框创建前就获取到了,传统方法是创建后获取到。新手学习吧,至于大佬,负责给我加分打赏鼓励我继续学习HOOK,谢谢。@镇坛道德标杆。Tags...
Hook技术监控文件复制
04-11
Hook技术监控文件复制Hook技术是Windows操作系统中一种强大的机制,它允许程序拦截和处理特定的系统事件或用户输入,而这些事件原本会被其他程序处理。在本场景中,我们关注的是如何利用Hook来监控文件复制...
NTDLL
Lassewang的成长历程
04-26 1161
/*++ Copyright (c) Module Name: SafeModel.h Abstract: This framework is generated by QuickSYS 0.4 Author: Environment: User or kernel mode. Revision History: --*/ #ifndef
Hook Shadow SSDT
06-03 1339
作 者: sislcb时 间: 2008-06-02,23:21链 接: http://bbs.pediy.com/showthread.php?t=65931网上很多文章都有关于SSDT的完整的实现,但是没有关于Shadow SSDT的完整实现,目前最好的文章是《shadow ssdt学习笔记 by zhuwg》,我这里的程序也很多参考了他的文章,在这里谢谢了。我这里给出一个hook shado
RING3下 内存清零法 杀进程
wowbell的专栏
01-27 5819
<br />在一般任务管理器无法关闭进程时用到<br />内存清零法 杀进程 原理分析<br />1.先打开CSRSS.EXE系统进程,获得其句柄,几乎系统所有的HANDLE结构体中,里面的ProcessId都是指向csrss.exe的,利用它的PID来进行遍历进程实现过滤。<br /><br />2.分配好一块内存空间Buffer,用来存储SystemHandleInformation系统句柄信息<br /><br />3.通过ZwQuerySystemInformation函数来查询系统句柄信息并保存在
进程共享内核对象之 复制内核对象句柄
Nero Zhang的博客
11-04 748
进程共享内核对象的三种方式: 1.     内核对象句柄继承 2.     为内核对象命名 3.     复制内核对象句柄 今天写一下第三种方式。 跨进程边界共享内核对象可以使用DuplicateHandle函数来实现,这个函数会获取某一进程的句柄表中的一个记录项,然后在另一个进程的句柄表中创建这个记录项的一个副本,于是该进程也拥有了该内核对象的访问权。 函数原型如下: Dupl
R3 x64枚举进程句柄
zhuhuibeishadiao
05-02 5713
需要注意的是:在R3使用ZwQueryObject很容易锁死,需要放到线程中,如果线程超过500ms就说明卡死了 就只能放弃这个句柄了  这个句柄外面是一个FileObject类型,但真实是一个信号类型 还有在R3中枚举 有一个句柄我们是没有权限操作了 就是EtwRegistration类型的 如果非要解决这个问题,可以参考国外的一个开源进程管理器 ProcessHack 我的操作是判断
遍历进程句柄并干掉互斥体
crlyn的博客
07-23 5834
互斥体例子 int main(int argc, char* argv[]) { HANDLE hMtx = CreateMutex(NULL,false,"process"); //创建一个有名对象,可以在其他进程中访问 if(GetLastError() == ERROR_ALREADY_EXISTS) //除了创建该对象的进程能进到else分支,其他进程
使用HOOKAPI防止进程被终止的实现方法
最初接触HOOKAPI是出于对剪切板监控的需求,后来通过研究资料和实践,实现了对OpenProcess()和TerminateProcess()的HOOK,从而达到防止被保护进程被终止的目的。 0x01 实现思路 1. 定义要HOOK的API原型:首先明确...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值