Windows 10 x64 Ring0 注册进程为系统关键进程

最新推荐文章于 2024-12-12 18:41:36 发布
最新推荐文章于 2024-12-12 18:41:36 发布
阅读量375 收藏 1
点赞数 1
分类专栏: 底层 C\C++ 功能函数 文章标签: c++ windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zcy5157912/article/details/130040193
版权 
#include<ntifs.h>
#include <ntddk.h>
#include <stdio.h>
#include <stdlib.h>
#include<windef.h>
#include <winapifamily.h> 
#include <ntimage.h>
#include<wdm.h>
NTSTATUS RegistProcessAsSystemProcess(LONG PID)
{
	NTSTATUS status = STATUS_SUCCESS;

	CLIENT_ID clientId;
	HANDLE handle, hToken;

	TOKEN_PRIVILEGES tkp = { 0 };
	OBJECT_ATTRIBUTES objAttr;
	ULONG BreakOnTermination = 1;

	clientId.UniqueThread = NULL;
	clientId.UniqueProcess = ULongToHandle(PID);
	InitializeObjectAttributes(&objAttr, NULL, 0, NULL, NULL);

	status = ZwOpenProcess(&handle, PROCESS_ALL_ACCESS, &objAttr, &clientId);
	if (!NT_SUCCESS(status))
	{
		return status;
	}

	status = ZwOpenProcessTokenEx(handle, TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, OBJ_KERNEL_HANDLE, &hToken);
	if (!NT_SUCCESS(status))
	{
		ZwClose(hToken);
		return status;
	}

	tkp.PrivilegeCount = 1;
	tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
	tkp.Privileges[0].Luid = RtlConvertLongToLuid(SE_DEBUG_PRIVILEGE);

	status = ZwAdjustPrivilegesToken(hToken, FALSE, &tkp, 0, NULL, NULL);
	if (!NT_SUCCESS(status))
	{
		ZwClose(hToken);
		return status;
	}

	status = ZwSetInformationProcess(handle, ProcessBreakOnTermination, &BreakOnTermination, sizeof(ULONG));
	if (!NT_SUCCESS(status))
	{
		ZwClose(hToken);
		return status;
	}
	tkp.Privileges[0].Luid = RtlConvertLongToLuid(SE_TCB_PRIVILEGE);
	status = ZwSetInformationProcess(handle, ProcessBreakOnTermination, &BreakOnTermination, sizeof(ULONG));
	if (!NT_SUCCESS(status))
	{
		ZwClose(hToken);
		return status;
	}
	ZwClose(hToken);
	return status;
}
WinRing0及其源码
02-22
WinRing0及其源码,通过获取ring0权限,可以在应用程序中直接执行CPU需要ring0才能执行的指令。
WinRing0Windows下的硬件访问利器
gitblog_09085的博客
09-13 645
WinRing0Windows下的硬件访问利器 WinRing0 WinRing0 is a hardware access library for Windows. 项目地址: https://gitcode.com/gh_m...
探索硬件奥秘:WinRing0——Windows系统的硬件访问库
gitblog_00850的博客
08-12 748
探索硬件奥秘:WinRing0——Windows系统的硬件访问库 项目地址:https://gitcode.com/gh_mirrors/wi/WinRing0 项目介绍 WinRing0是一款专为Windows系统设计的硬件访问库,它为x86/x64架构的应用程序提供了直接访问I/O端口、模型特定寄存器(MSR)以及PCI设备的能力。通过这款库,开发者可以更深入地操控硬件资源,实现更多创新性的功...
WinRing0 安装和配置指南
gitblog_09433的博客
09-13 1174
WinRing0 安装和配置指南 WinRing0 WinRing0 is a hardware access library for Windows. 项目地址: https://gitcode.com/gh_mirrors/w...
Windows下QT使用WinRing0控制主板的蜂鸣器响
qq_38203996的博客
07-03 2440
最近在windows10下用QT做项目,需要在用户进行某项操作时进行声音提示,扬声器的话一来增加成本,二来也受系统提示音困扰。搜索网上有两种解决办法,一个是WinIO的方式,这种处理起来比较麻烦,量产时费人费力还容易造成系统不稳定。另外一种就是WinRing0了,也就是这篇博客讲的。Q_OBJECT;private ://声明所用到的dll文件 };
进程断链隐藏_r0_进程保护_进程断链隐藏_断链隐藏_驱动_
10-01
`x64`表明这可能是针对64位操作系统的代码,而`Debug`目录则可能包含了调试版本的输出文件,供开发者测试和调试用。 总的来说,这个话题涉及的是高级的系统编程和安全技术,包括但不限于内核级编程、驱动开发和恶意...
CC++ 进程无模块内存注入[x86x64] Windows R3 无模块注入,
06-23
本文将深入探讨“CC++ 进程无模块内存注入[x86x64]”的概念,这是一种针对Windows操作系统的技术,它允许代码在目标进程中执行而无需加载额外的模块。我们将讨论其工作原理、实现方法以及与Windows R3(Ring 3)权限...
Ring3下的x64 DLL注入工具:实现系统进程注入稳定
资源摘要信息:"(开源) Ring3下的DLL注入工具 x64(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)" DLL注入是一种在运行中的进程中动态加载动态链接库(DLL)的技术。这在多种场景下非常有用,比如开发...
内核线程注入x64
11-22
驱动程序在Ring0运行,可以访问所有系统资源,包括其他进程的地址空间。 接下来,我们讨论如何“Attach”到目标进程。在Windows系统中,驱动程序可以通过 ZwOpenProcess 函数获得目标进程的句柄,这允许我们对目标...
系统进程稳定注入的x64 DLL注入工具实现解析
标题中的“Ring3下的DLL注入工具 x64”涉及两个关键概念:Ring3和x64Ring3是指操作系统的用户态级别,与之对应的Ring0是内核态,Ring3级别上的程序无法直接执行某些特权操作,必须通过系统调用来请求内核态服务。...
winring0使用手册大全.zip
03-09
winring0做开发时需要用的资料 很全很详细。供开发者使用。winring0做开发时需要用的资料 很全很详细。供开发者使用。
Winring0支持win7 64全文件
09-12
C++ Ring0系统硬件和内存访问 访问硬件端口用来模拟按键什么都挡不住,模拟按键只是大材小用了 WinIO 和 Winring0 都非常强大 由于驱动的签名问题.WinIO在Win7 x64 上目前运行不能,也许我没找对方法 所以转而 Winring0。(注: Winring0 以前是开源项目,后来关闭.最后能找到的版本是1.3.1a) Winring0这个驱动有数字签名!!!能在64位WIN7下工作! WinIO 最新版本3.0 Winring0 最新版本 1.3.1a (只有二进制文件) Winring0 1.3.0 (源码+二进制文件+自带示例) 两个项目都有chm帮助文档(很简单的英语)
第一篇 windows驱动之WinRing0.sys的开发及使用(电脑温度监控软件开发)
qq_25231249的博客
08-19 7789
从鲁大师的温度监控谈起,现代的CPU、GPU等芯片一般都具有温度监控的功能,比如我们可能会遇到的电脑散热不好导致系统直接关机黑屏,就是cpu检测到当前温度高于额定温度执行的操作。鲁大师的温度监控模块就相当于把这些信息从底层硬件读取,然后通过上层UI显示给用户。其核心就是与硬件的通信驱动。现在win10的驱动都可以通过系统更新直接完成,不再需要安装流氓软件“驱动精灵”、“驱动人生”等。我一般只用到温度检测模块,其他功能于我都是鸡肋,为了一个很小的功能,我需要安装一个庞大的鲁大师程序,甚是不划算。
Windows 2K不用驱动进入ring0(demo)
soweb的专栏
07-30 963
(*******************************************************************************   CopyRight (c) By 姚佩云 2004*   All Right Reserved*   Email : i_rock_1001@163.com www.jynx.com.cn*   Date    :*       Ne
Windows系统神秘的0号和1号进程
最新发布
qq_63315166的博客
12-12 432
下次继续分享更多Windows底层的有趣知识!我是旷野,探索无尽技术~~(文中有些复杂的技术细节我简化了描述,感兴趣的同学可以自己去看Windows内核设计相关的书籍~)PID: 4(不是1!特权级别: RING 0。运行时间: 从开机到关机。特权级别: RING 0。职责: 管理系统线程。
cpu的ring0ring1、ring2、ring3
jeason29的专栏
08-07 6179
Intel的CPU将特权级别分为4个级别:RING0,RING1,RING2,RING3。Windows只使用其中的两个级别RING0RING3,RING0只给操作系统用,RING3谁都能用。如果普通应用程序企图执行RING0指令,则Windows会显示“非法指令”错误信息。尽管有CPU的特权级别作保护,遗憾的是WINDOW98本身漏洞很多,使用Windows 98的系统一天死机n回也是正常
进程强杀探究
hongduilanjun的博客
03-07 2251
前言 我们知道在windows操作系统里面有ring0ring3的概念(ring1、ring2在windows中并未使用),因为ring0的特权级别是比ring3高的,那么我们肯定不能在ring3调用windows提供的api杀死ring0特权级别的进程,那么这时候我们就需要使用的ring0的函数来强行结束一些处于ring0级别的进程。 测试 我们首先打开PCHunter32.exe看一下,应用层是不能够访问的,我们知道可以在cmd里面使用taskkill命令来结束进程,但这种方式对ring0特权级别的程
WinRing0 GPIO IO 详解——Windows平台
热门推荐
保持一颗敬畏之心,简单地调用C++,适当地向C++妥协,让以后的自己看懂代码,让别人看懂代码。
11-27 1万+
WinRing0 GPIO 由于工作的需求,需要做一个工控机的GPIO的输出,也就不可避免的接触到WinRing IO了。基本上要控制这种通用型的GPIO,有两种方式,一种是winRing0,一种就是WinIO了。但由于WinIO需要让系统进行windows签名模式,这就比较烦人了。但关于WinIO我之前也有一个项目设计到了,我也稍微记录了一下,大家如果感兴趣,可以去看看,地址为[最新WinIO驱动测试GPIO口](https://blog.csdn.net/weixin_
总结进入RING0的方法
01-24 1450
关于进入RING0层的方法,大家一定听说过不少,我在复习保护模式编程中将一些进RING0的方法;总结了一下,包括调用门,任务门,中断门,陷阱门等,这些方法都是直接利用IA32的方法,所以和操作系统应该没有多大关系,当然由于NT内核对GDT,IDT,的保护所以我们不能用这些方法,不过如果一旦突破了NT的保护,那么所有的方法就都可以使用了,其他的还有SEH等方法,我在前面的文章中也有介绍。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

海鸥的诀别诗

谢谢,龙咬会继续努力的!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值