Windows 10 x64 Ring0 注册进程为系统关键进程

最新推荐文章于 2024-05-20 22:11:41 发布
最新推荐文章于 2024-05-20 22:11:41 发布
阅读量208 收藏
点赞数 1
分类专栏: 底层 C\C++ 功能函数 文章标签: c++ windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zcy5157912/article/details/130040193
版权 
#include<ntifs.h>
#include <ntddk.h>
#include <stdio.h>
#include <stdlib.h>
#include<windef.h>
#include <winapifamily.h> 
#include <ntimage.h>
#include<wdm.h>
NTSTATUS RegistProcessAsSystemProcess(LONG PID)
{
	NTSTATUS status = STATUS_SUCCESS;

	CLIENT_ID clientId;
	HANDLE handle, hToken;

	TOKEN_PRIVILEGES tkp = { 0 };
	OBJECT_ATTRIBUTES objAttr;
	ULONG BreakOnTermination = 1;

	clientId.UniqueThread = NULL;
	clientId.UniqueProcess = ULongToHandle(PID);
	InitializeObjectAttributes(&objAttr, NULL, 0, NULL, NULL);

	status = ZwOpenProcess(&handle, PROCESS_ALL_ACCESS, &objAttr, &clientId);
	if (!NT_SUCCESS(status))
	{
		return status;
	}

	status = ZwOpenProcessTokenEx(handle, TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, OBJ_KERNEL_HANDLE, &hToken);
	if (!NT_SUCCESS(status))
	{
		ZwClose(hToken);
		return status;
	}

	tkp.PrivilegeCount = 1;
	tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
	tkp.Privileges[0].Luid = RtlConvertLongToLuid(SE_DEBUG_PRIVILEGE);

	status = ZwAdjustPrivilegesToken(hToken, FALSE, &tkp, 0, NULL, NULL);
	if (!NT_SUCCESS(status))
	{
		ZwClose(hToken);
		return status;
	}

	status = ZwSetInformationProcess(handle, ProcessBreakOnTermination, &BreakOnTermination, sizeof(ULONG));
	if (!NT_SUCCESS(status))
	{
		ZwClose(hToken);
		return status;
	}
	tkp.Privileges[0].Luid = RtlConvertLongToLuid(SE_TCB_PRIVILEGE);
	status = ZwSetInformationProcess(handle, ProcessBreakOnTermination, &BreakOnTermination, sizeof(ULONG));
	if (!NT_SUCCESS(status))
	{
		ZwClose(hToken);
		return status;
	}
	ZwClose(hToken);
	return status;
}
海鸥的诀别诗
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
WinRing0及其源码
02-22
WinRing0及其源码,通过获取ring0权限,可以在应用程序中直接执行CPU需要ring0才能执行的指令。
Windows 2K不用驱动进入ring0(demo)
soweb的专栏
07-30 897
(*******************************************************************************   CopyRight (c) By 姚佩云 2004*   All Right Reserved*   Email : i_rock_10[email protected] www.jynx.com.cn*   Date    :*       Ne
winring0使用手册大全.zip
03-09
winring0做开发时需要用的资料 很全很详细。供开发者使用。winring0做开发时需要用的资料 很全很详细。供开发者使用。
cpu的ring0、ring1、ring2、ring3
jeason29的专栏
08-07 5948
Intel的CPU将特权级别分为4个级别:RING0,RING1,RING2,RING3。Windows只使用其中的两个级别RING0和RING3,RING0只给操作系统用,RING3谁都能用。如果普通应用程序企图执行RING0指令,则Windows会显示“非法指令”错误信息。尽管有CPU的特权级别作保护,遗憾的是WINDOW98本身漏洞很多,使用Windows 98的系统一天死机n回也是正常
windows进程/线程创建过程 --- windows操作系统学习
D_R_L_T的博客
12-27 2435
原文地址:https://www.cnblogs.com/LittleHann/p/3458736.html 有了之前的对进程和线程对象的学习的铺垫后,我们现在可以开始学习windows下的进程创建过程了,我将尝试着从源代码的层次来分析在windows下创建一个进程都要涉及到哪些步骤,都要涉及到哪些数据结构。   1. 相关阅读材料 《windows 内核原理与分析》 --- 潘爱民 《...
Windows编程之进程的创建
Just_bg的专栏
04-28 1121
本文原创,最早发表于公司内部博客, 禁止转载 文章目录前言一. PE文件格式简介1.1. 基本概念1.2. MS-DOS头1.3. PE文件头1.4. 区块二. R0和R3三. 进程虚拟地址空间3.1. 进程隔离3.2. 虚拟地址空间介绍3.3. 虚拟地址空间分区3.4. 分页3.5. VirtualAlloc、HeapAlloc、malloc、new四. 进程的创建和运行4.1. 进程的创建4.2. 内存映射文件4.3. 工作集(working set)4.3. 页错误4.4. 写时复制4.5. 页文件后
ring0驱动开发Rootkit隐藏进程.zip
01-25
ring0驱动开发Rootkit隐藏进程.zip
Windows x86/ x64 Ring3层注入Dll总结
09-30
主要介绍了Windows x86/ x64 Ring3层注入Dll总结的相关资料,需要的朋友可以参考下
ring0驱动层上实现 隐藏进程(无进程 无端口 无服务)的简单demo.zip
01-24
ring0驱动层上实现 隐藏进程(无进程 无端口 无服务)的简单demo.zip
ring3 下隐藏进程
04-10
Ring3 下隐藏进程.txt
RING0.rar_ring0_ring0 c++_ssdt_进程 隐藏 检测_隐藏进程
07-14
RING0下检测用HOOK SSDT隐藏进程的代码,直接build,适用于XP,2000系统。短小实用。
C语言.动态内存管理
Joseit的博客
05-16 587
栈区(stack):在执行函数时,函数内局部变量的存储单元都可以在栈上创建,函数执行结束时这些存储单元自动被释放。栈内存分配运算内置于处理器的指令集中,效率很高,但是分配的内存容量有限。栈区主要存放运行函数而分配的局部变量、函数参数、返回数据、返回地址等。堆区(heap):一般由程序员分配释放, 若程序员不释放,程序结束时可能由OS(操作系统)回收。分配方式类似于链表。数据段(静态区):(static)存放全局变量、静态数据。程序结束后由系统释放。
c语言操作注意事项
dropLin的博客
05-20 114
如果取数据的缓存变量是结构体中的成员,比如。这样操作有可能会造成内存溢出,报硬件中断。主要是用于格式化获取字符串中的数据,来设置1个字节对齐,即不能设置为。这时的结构体类型定义不能加。
C语言之函数指针(持续更新)
qq_47607743的博客
05-20 254
C语言指针
c【语言】了解指针,爱上指针(1)
yzqy_的博客
05-16 897
在计算机中,数据是存储在内存中的,cpu从内存中读取数据,为了方便读取数据,内存又被划分为了一个个的内存单元,一个内存单元的大小就是一字节,一字节等于8bit位,我们给内存进行编号,这个编号就是地址,在c语言中给这个地址起了个名字。是的,亲爱的读者你肯定发现了,&a、p和pc输出的地址是一样的,但&a+1与p+1输出的地址是一样的00EFF940,一次都跳过了4字节,而pc+1输出的却是00EFF93D,一次只跳过一个字节。但是硬件与硬件之间是相互独立的,这该如何实现数据传输呢?”答案当然是否定的。
C语言如何在链表中的指定位置插⼊结点?
PAP
05-15 261
C语言如何在链表中的指定位置插⼊结点?
C语言自定义类型:结构体
最新发布
wer24_25的博客
05-20 855
本文详细讲解了结构体的创建和结构体的内存对齐,还涉及了结构体的传参和结构体实现位段,轻松易懂,小白可入.
【C语言深度解剖】(14):结构体内存对齐(详细配图讲解)
更新C/C++,数据结构与算法,计算机视觉,深度学习,目标检测
05-20 412
一篇文章带你学会结构体的内存对齐!!超多精美配图!
ring3层隐藏进程
08-09
例如,通过修改进程的PEB(Process Environment Block)来删除或修改进程自身在系统进程列表中的记录。 2. 加载进程钩子:通过操作系统提供的进程钩子机制,在进程创建、退出或运行过程中,植入一些对进程操作的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

海鸥的诀别诗

谢谢,龙咬会继续努力的!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值