Windows 10 x64 Ring0 注册进程为系统关键进程

最新推荐文章于 2023-07-03 17:57:14 发布
最新推荐文章于 2023-07-03 17:57:14 发布
阅读量234 收藏 1
点赞数 1
分类专栏: 底层 C\C++ 功能函数 文章标签: c++ windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zcy5157912/article/details/130040193
版权 
#include<ntifs.h>
#include <ntddk.h>
#include <stdio.h>
#include <stdlib.h>
#include<windef.h>
#include <winapifamily.h> 
#include <ntimage.h>
#include<wdm.h>
NTSTATUS RegistProcessAsSystemProcess(LONG PID)
{
	NTSTATUS status = STATUS_SUCCESS;

	CLIENT_ID clientId;
	HANDLE handle, hToken;

	TOKEN_PRIVILEGES tkp = { 0 };
	OBJECT_ATTRIBUTES objAttr;
	ULONG BreakOnTermination = 1;

	clientId.UniqueThread = NULL;
	clientId.UniqueProcess = ULongToHandle(PID);
	InitializeObjectAttributes(&objAttr, NULL, 0, NULL, NULL);

	status = ZwOpenProcess(&handle, PROCESS_ALL_ACCESS, &objAttr, &clientId);
	if (!NT_SUCCESS(status))
	{
		return status;
	}

	status = ZwOpenProcessTokenEx(handle, TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, OBJ_KERNEL_HANDLE, &hToken);
	if (!NT_SUCCESS(status))
	{
		ZwClose(hToken);
		return status;
	}

	tkp.PrivilegeCount = 1;
	tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
	tkp.Privileges[0].Luid = RtlConvertLongToLuid(SE_DEBUG_PRIVILEGE);

	status = ZwAdjustPrivilegesToken(hToken, FALSE, &tkp, 0, NULL, NULL);
	if (!NT_SUCCESS(status))
	{
		ZwClose(hToken);
		return status;
	}

	status = ZwSetInformationProcess(handle, ProcessBreakOnTermination, &BreakOnTermination, sizeof(ULONG));
	if (!NT_SUCCESS(status))
	{
		ZwClose(hToken);
		return status;
	}
	tkp.Privileges[0].Luid = RtlConvertLongToLuid(SE_TCB_PRIVILEGE);
	status = ZwSetInformationProcess(handle, ProcessBreakOnTermination, &BreakOnTermination, sizeof(ULONG));
	if (!NT_SUCCESS(status))
	{
		ZwClose(hToken);
		return status;
	}
	ZwClose(hToken);
	return status;
}
海鸥的诀别诗
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
进程强杀探究
hongduilanjun的博客
03-07 2028
前言 我们知道在windows操作系统里面有ring0跟ring3的概念(ring1、ring2在windows中并未使用),因为ring0的特权级别是比ring3高的,那么我们肯定不能在ring3调用windows提供的api杀死ring0特权级别的进程,那么这时候我们就需要使用的ring0的函数来强行结束一些处于ring0级别的进程。 测试 我们首先打开PCHunter32.exe看一下,应用层是不能够访问的,我们知道可以在cmd里面使用taskkill命令来结束进程,但这种方式对ring0特权级别的程
总结进入RING0的方法
01-24 1387
关于进入RING0层的方法,大家一定听说过不少,我在复习保护模式编程中将一些进RING0的方法;总结了一下,包括调用门,任务门,中断门,陷阱门等,这些方法都是直接利用IA32的方法,所以和操作系统应该没有多大关系,当然由于NT内核对GDT,IDT,的保护所以我们不能用这些方法,不过如果一旦突破了NT的保护,那么所有的方法就都可以使用了,其他的还有SEH等方法,我在前面的文章中也有介绍。 ---
WinRing0 GPIO IO 详解——Windows平台
保持一颗敬畏之心,简单地调用C++,适当地向C++妥协,让以后的自己看懂代码,让别人看懂代码。
11-27 9144
WinRing0 GPIO 由于工作的需求,需要做一个工控机的GPIO的输出,也就不可避免的接触到WinRing IO了。基本上要控制这种通用型的GPIO,有两种方式,一种是winRing0,一种就是WinIO了。但由于WinIO需要让系统进行windows签名模式,这就比较烦人了。但关于WinIO我之前也有一个项目设计到了,我也稍微记录了一下,大家如果感兴趣,可以去看看,地址为[最新WinIO驱动测试GPIO口](https://blog.csdn.net/weixin_
Windows下QT使用WinRing0控制主板的蜂鸣器响
qq_38203996的博客
07-03 1526
最近在windows10下用QT做项目,需要在用户进行某项操作时进行声音提示,扬声器的话一来增加成本,二来也受系统提示音困扰。搜索网上有两种解决办法,一个是WinIO的方式,这种处理起来比较麻烦,量产时费人费力还容易造成系统不稳定。另外一种就是WinRing0了,也就是这篇博客讲的。Q_OBJECT;private ://声明所用到的dll文件 };
第一篇 windows驱动之WinRing0.sys的开发及使用(电脑温度监控软件开发)
qq_25231249的博客
08-19 5523
从鲁大师的温度监控谈起,现代的CPU、GPU等芯片一般都具有温度监控的功能,比如我们可能会遇到的电脑散热不好导致系统直接关机黑屏,就是cpu检测到当前温度高于额定温度执行的操作。鲁大师的温度监控模块就相当于把这些信息从底层硬件读取,然后通过上层UI显示给用户。其核心就是与硬件的通信驱动。现在win10的驱动都可以通过系统更新直接完成,不再需要安装流氓软件“驱动精灵”、“驱动人生”等。我一般只用到温度检测模块,其他功能于我都是鸡肋,为了一个很小的功能,我需要安装一个庞大的鲁大师程序,甚是不划算。
WinRing0及其源码
02-22
WinRing0及其源码,通过获取ring0权限,可以在应用程序中直接执行CPU需要ring0才能执行的指令。
进程断链隐藏_r0_进程保护_进程断链隐藏_断链隐藏_驱动_
10-01
`x64`表明这可能是针对64位操作系统的代码,而`Debug`目录则可能包含了调试版本的输出文件,供开发者测试和调试用。 总的来说,这个话题涉及的是高级的系统编程和安全技术,包括但不限于内核级编程、驱动开发和恶意...
内核线程注入x64
11-22
驱动程序在Ring0运行,可以访问所有系统资源,包括其他进程的地址空间。 接下来,我们讨论如何“Attach”到目标进程。在Windows系统中,驱动程序可以通过 ZwOpenProcess 函数获得目标进程的句柄,这允许我们对目标...
CC++ 进程无模块内存注入[x86x64] Windows R3 无模块注入,
最新发布
06-23
本文将深入探讨“CC++ 进程无模块内存注入[x86x64]”的概念,这是一种针对Windows操作系统的技术,它允许代码在目标进程中执行而无需加载额外的模块。我们将讨论其工作原理、实现方法以及与Windows R3(Ring 3)权限...
内核:x64内核操作系统的东西
02-03
《深入解析x64内核操作系统》 在计算机科学领域,操作系统(Operating System,简称OS)是管理和控制计算机硬件与软件资源的程序,是计算机系统的核心。本文将深入探讨x64架构下的操作系统内核,这包括了AMD64(也...
进程创建监控
07-31
Windows系统中,内核驱动可以实现Ring0的监控,通过注册内核回调函数来追踪进程创建事件。 **进程回调**: 进程回调是系统用来通知特定事件(如进程创建)的一种机制。在Ring3,回调函数可以在用户模式下定义,当...
winring0使用手册大全.zip
03-09
winring0做开发时需要用的资料 很全很详细。供开发者使用。winring0做开发时需要用的资料 很全很详细。供开发者使用。
Winring0支持win7 64全文件
09-12
C++ Ring0级系统硬件和内存访问 访问硬件端口用来模拟按键什么都挡不住,模拟按键只是大材小用了 WinIO 和 Winring0 都非常强大 由于驱动的签名问题.WinIO在Win7 x64 上目前运行不能,也许我没找对方法 所以转而 Winring0。(注: Winring0 以前是开源项目,后来关闭.最后能找到的版本是1.3.1a) Winring0这个驱动有数字签名!!!能在64位WIN7下工作! WinIO 最新版本3.0 Winring0 最新版本 1.3.1a (只有二进制文件) Winring0 1.3.0 (源码+二进制文件+自带示例) 两个项目都有chm帮助文档(很简单的英语)
Intel的CPU将特权级别分为4个级别 RING0 RING1 RING2 RING3 Windows只使用其中的两个
hfuuhgcc的博客
11-12 4956
Intel的CPU将特权级别分为4个级别 RING0 RING1 RING2 RING3 Windows只使用其中的两个
揭秘Windows内核——如何利用自定义驱动程序在Ring3做Ring0的勾当!
LnTigerLn的专栏
05-30 4436
最近在做图像处理(其实是利用摄像机采回来的Image进行分析,从而得到目标的运动信息),既然是图像处理那就得有图像Source,没错那就是Camera,实验室的这个Camera还挺高级的,是千兆以太网接口的,呵呵,管他是什么接口——反正我们的任务就是将数据采集到指定的缓冲区内,然后再把缓冲区内的数据“显示出来”或者“分析分析”。按照常规的做法,你可能会这样申请一段缓冲区,估计编写过Windows
CPU 的 ring0,ring1,ring2,ring3
热门推荐
tian5753的博客
07-02 2万+
   Intel的CPU将特权级别分为4个级别:RING0,RING1,RING2,RING3。Windows只使用其中的两个级别RING0和RING3,RING0只给操作系统用,RING3谁都能用。如果普通应用程序企图执行RING0指令,则Windows会显示“非法指令”错误信息。   ring0是指CPU的运行级别,ring0是最高级别,ring1次之,ring2更次之……  拿Linux+x...
[业余知识:PC 硬件监控]使用WinRing0 2.0.0.20读取CPU温度
longsonssss的博客
08-29 1万+
    WinRing0 是一个强大的驱动程序,可以直接通过这个驱动读取CPUID,CPU MSR,TSC,IO port,PCI config等硬件信息。在WinRing0_1_3_1b版本之前是一个开源项目,之后就关闭了。而且目前的最新版本WinRing0 2.0.0.20已经阉割掉了全部的写寄存器的功能,之留下了读取CPUID,CPU MSR,TSC的功能。不能不说是一大遗憾。      ...
使用Winring0
weixin_43587848的博客
07-16 4727
项目中需要查询CPU温度,所以用到winring0.dll,需要知道自己系统是32位还是64位,然后选择winring032.dll还是winring064.dll. 使用步骤: 1.在项目生成执行文件的目录下放入dll文件(WinRing0x32.dll/WinRing0x64.dll)以及sys文件(WinRing0x32.sys/WinRing0x64.sys) 2.在cpp源文件中包含头文件“OlsApiInit.h”以及“OlsDef.h” 3.工程项目设置为管理员权限:项目右击->项目属性
ring3层隐藏进程
08-09
Ring3层隐藏进程是指在计算机的操作系统中,利用一些特殊的技术手段或者恶意软件来隐藏自身的进程,使其在操作系统层面上不被察觉或无法被发现。 首先,Ring3是指计算机操作系统的用户态环境。在这个层级中,进程运行的权限较低,无法直接访问操作系统的核心态环境。 隐藏进程的目的通常是为了避免被用户或者安全软件察觉,以实现各种恶意目的。常见的方法有以下几种: 1. 修改进程的属性:利用各种技术手段修改进程的属性,使其在任务管理器或者其他进程监视工具中不可见。例如,通过修改进程的PEB(Process Environment Block)来删除或修改进程自身在系统进程列表中的记录。 2. 加载进程钩子:通过操作系统提供的进程钩子机制,在进程创建、退出或运行过程中,植入一些对进程操作的控制逻辑。通过这种方式,可以在进程管理工具中隐藏自身的存在,或者篡改系统的行为。 3. 修改系统调用表:通过篡改操作系统系统调用表或函数表,使得某些关键系统调用或函数返回伪造的结果。通过这种方式,可以欺骗监控工具或者病毒扫描工具,隐藏自己的存在。 4. rootkit技术:rootkit技术是一种更为复杂和高级的隐藏进程技术。它可以在系统内部植入自己的恶意代码,并与操作系统的核心态环境进行交互。通过这种方式,可以在操作系统层面上彻底控制系统的行为,使自身进程无法被发现。 总而言之,Ring3层隐藏进程是恶意软件或黑客利用各种技术手段,在操作系统的用户态环境中隐藏自身的进程,从而实现对被感染系统的控制和掩盖自身存在的目的。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

海鸥的诀别诗

谢谢,龙咬会继续努力的!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值