Win XP下用远程线程注入来隐藏进程

最新推荐文章于 2023-11-28 15:01:22 发布
最新推荐文章于 2023-11-28 15:01:22 发布
阅读量998 收藏
点赞数
文章标签: xp function token string thread c

procedure FindAProcess(const AFilename: string; const PathMatch: Boolean; var ProcessID: DWORD);
var
  lppe: TProcessEntry32;
  SsHandle: Thandle;
  FoundAProc, FoundOK: boolean;
begin
  ProcessID :=0;
  SsHandle := CreateToolHelp32SnapShot(TH32CS_SnapProcess, 0);
  FoundAProc := Process32First(Sshandle, lppe);
  while FoundAProc do
  begin
    if PathMatch then
      FoundOK := AnsiStricomp(lppe.szExefile, PChar(AFilename)) = 0
    else
      FoundOK := AnsiStricomp(PChar(ExtractFilename(lppe.szExefile)), PChar(ExtractFilename(AFilename))) = 0;
    if FoundOK then
    begin
      ProcessID := lppe.th32ProcessID;
      break;
    end;
    FoundAProc := Process32Next(SsHandle, lppe);
  end;
  CloseHandle(SsHandle);
end;

function EnabledDebugPrivilege(const bEnabled: Boolean): Boolean;
var
  hToken: THandle;
  tp: TOKEN_PRIVILEGES;
  a: DWORD;
const
  SE_DEBUG_NAME = 'SeDebugPrivilege';
begin
  Result := False;
  if (OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, hToken)) then
  begin
    tp.PrivilegeCount := 1;
    LookupPrivilegeValue(nil, SE_DEBUG_NAME, tp.Privileges[0].Luid);
    if bEnabled then
      tp.Privileges[0].Attributes := SE_PRIVILEGE_ENABLED
    else
      tp.Privileges[0].Attributes := 0;
    a := 0;
    AdjustTokenPrivileges(hToken, False, tp, SizeOf(tp), nil, a);
    Result := GetLastError = ERROR_SUCCESS;
    CloseHandle(hToken);
  end;
end;

function AttachToProcess(const HostFile, GuestFile: string; const PID: DWORD = 0): DWORD;
var
  hRemoteProcess: THandle;
  dwRemoteProcessId: DWORD;
  cb: DWORD;
  pszLibFileRemote: Pointer;
  iReturnCode: Boolean;
  TempVar: DWORD;
  pfnStartAddr: TFNThreadStartRoutine;
  pszLibAFilename: PwideChar;
begin
  Result := 0;
  EnabledDebugPrivilege(True);
  Getmem(pszLibAFilename, Length(GuestFile) * 2 + 1);
  StringToWideChar(GuestFile, pszLibAFilename, Length(GuestFile) * 2 + 1);
  if PID > 0 then
     dwRemoteProcessID := PID
  else
     FindAProcess(HostFile, False, dwRemoteProcessID);
  hRemoteProcess := OpenProcess(PROCESS_CREATE_THREAD + {允许远程创建线程}
      PROCESS_VM_OPERATION + {允许远程VM操作}
      PROCESS_VM_WRITE, {允许远程VM写}
      FALSE, dwRemoteProcessId);
  cb := (1 + lstrlenW(pszLibAFilename)) * sizeof(WCHAR);
  pszLibFileRemote := PWIDESTRING(VirtualAllocEx(hRemoteProcess, nil, cb, MEM_COMMIT, PAGE_READWRITE));
  TempVar := 0;
  iReturnCode := WriteProcessMemory(hRemoteProcess, pszLibFileRemote, pszLibAFilename, cb, TempVar);
  if iReturnCode then
  begin
    pfnStartAddr := GetProcAddress(GetModuleHandle('Kernel32'), 'LoadLibraryW');
    TempVar := 0;
    Result := CreateRemoteThread(hRemoteProcess, nil, 0, pfnStartAddr, pszLibFileRemote, 0, TempVar);
  end;
  Freemem(pszLibAFilename);
end;

用AttachToProcess('a.exe','c:/a.dll',0)就可以把a.dll注入到a.exe中去了
 

zhaoyu_me
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows环境下32位汇编语言程序设计_随书光盘
06-19
用 DLL 注入的方法实现远程进程 Chapter13\RemoteThread ;不依靠任何外部文件实现远程进程 Chapter14\TopHandler ;使用筛选器处理异常 Chapter14\SEH01 ;最基本结构化异常处理例子 Chapter14\SEH02 ;改进后的结构化...
XueTr0.27 (比冰刃IceSword还强的软件)
07-06
6.XueTr启动的时候,会检测是否有线程注入到XueTr,并给出提示 7.内核模块部分,对有对应服务的,显示的时候会显示出其服务名 8.还修改了几个Bug,不表 2009-02-05 0.19版本: 1.新支持对exFAT文件系统的...
windows黑客编程技术之隐藏技术(进程伪装,傀儡进程进程隐藏
weixin_44891742的博客
07-26 5600
windows黑客编程技术之隐藏技术(进程伪装,傀儡进程进程隐藏
【创建和排查隐藏进程隐藏计划任务】
最新发布
weixin_46356409的博客
11-28 869
创建隐藏进程隐藏计划任务:隐藏进程:在Windows中,隐藏进程主要通过修改进程属性或使用第三方工具实现。在这个示例中,我们创建了一个新的PowerShell作业,该作业启动了一个隐藏的记事本进程隐藏计划任务:使用Windows任务计划程序创建计划任务时,可以设置任务为隐藏。排查隐藏进程隐藏计划任务:排查隐藏进程:要查找隐藏进程,可以使用任务管理器、命令提示符或PowerShell。这个命令将列出所有没有主窗口句柄的进程,这可能包括隐藏进程。但请注意,这也可能包括正常的后台进程
利用Windows进程隐藏进行权限维持
A_991128a的博客
02-07 199
进程(Process)是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是结构的基础。在早期面向进程设计的计算机结构中,进程是程序的基本执行实体;在当代面向线程设计的计算机结构中,进程线程的容器。程序是指令、数据及其组织形式的描述,进程是程序的实体。我们在计算机上的每个程序运行起来之后都可以被称作进程进程可以在任务管理器里面看见,如下所示。
win10驱动级-隐藏进程稳定不蓝屏技术
hzw320的博客
11-18 2027
支持到了win10 64位系统 , 支持隐藏目标进程(32/64位程序进程),隐藏后,连各种ark驱动工具都看不见我们的驱动隐藏进程隐藏进程呢,在之前很久以前的我们的game-ec 驱动模块usb版里 32位驱动 就有这个功能了 ,基本上按月付费租千元价格的驱动里才有 支持win10 64位系统的驱动隐藏进程。一般学员都知道隐藏进程的作用,但是自从微软系统出了win10 64系统后,但市面上那些驱动隐藏进程的不蓝屏的很少,有的也价格也非常贵,虽然市面上有出现了win10的驱动隐藏进程的驱动,
StrongOD v0.2.6
09-11
HideProcess=1 隐藏进程 ProtectProcess=1 保护进程 DriverKey=-82693034 和驱动通信的key DriverName=fengyue0 驱动设备名(不超过8个字符) 3,将OD创建进程的父进程改成explorer.exe (抄自shoooo...
Windows下的进程隐藏
weixin_30416497的博客
11-08 896
Windows下的进程隐藏 9X环境中Windows提供了想光的API函数用于隐藏系统进程。但是到了2000以上系统,已经无法真正的做到对于进程隐藏,除非编写底层驱动。但是我们可以通过一些变通的办法来达到隐藏进程的目的,其中一个就是远程注入。简单的说就是先编写一个API的DLL,然后将这个DLL库注入到一个系统进程中,作为它的一个线程去执行。...
windows如何隐藏进程 隐藏进程4种方法
05-15
隐藏进程4种方法
windows进程隐藏工具
09-08
进程隐藏工具是简单小巧的软件,可以隐藏任务栏、进程,一键隐藏你想隐藏的程序。如果你上班、上课期间偷偷看电影、玩游戏又害怕被发现,可以下载一款进程隐藏工具,一键就能隐藏你开着的进程
隐藏windows进程
04-21
隐藏进程 隐藏进程 隐藏进程 隐藏进程 隐藏进程 隐藏进程 隐藏进程
隐藏进程查看器
08-30
一个Windows的隐藏进程查看工具,可以方便的查看被隐藏进程
HideToolz(隐藏进程的工具,可用于隐藏调试器进程..)
10-30
HideToolz --------------------------- HideToolz (ultimate crackers tools hider) ------------- HideToolz is intended for hiding crackers tools from different protection trying define their presence. 1) Hiding processes from all possible ring3 methods of the finding. 2) Hiding windows from enumeration and searching for on the known name. 3) Protection processes from opening on the known pid (as well as from indirect methods of the opening). 4) Parental process emulation (for all visible processes runned from hidden, will be emulated parental process explorer.exe) 5) Protection from rebooting windows (and log all rebooting attempts). 6) Protection from formatting the disk (and log all formatting attempts). Attention: access of the hidden processes unrestricted, and they can see the real system state. For impossibility of the finding HideToolz file on disk, is recommended rename file and pack its any packer. 经常用来隐藏OllyIce进程来实现反反调试
控制台程序隐藏方法总结(四种)
热门推荐
believe_s的博客
09-04 1万+
学习计算机,往往先从Windows环境下学习编程,学习编程,往往从C学起,学习C,往往又从控制台程序学习,何为控制台,就是那个黑框白字的界面。对于这样一个最初认为奇陋无比而现在认为无所不能的编程平台,有时候需要将界面隐藏起来。那么如何做呢? 方法1: 在头文件下加上一句预处理命令: #pragma comment( linker, "/subsystem:\"windows\...
windows下远程线程注入的一个小实例
菜鸟攻城狮
06-29 1252
#pragma warning(disable: 4996) #include #include #include #define RemoteProcessName "notepad++.exe" HANDLE CreateRemoteThreadProc(char* szProcessName);DWORD WINAPI WatchThreadProc(LPVOID lParam);DWORD
windows10驱动 x64--- 驱动实现隐藏任意进程(四)
weixin_41725706的博客
11-10 2897
PsInitialSystemProcess(进程HeadList) --->给出进程名--->0环实现进程隐藏
请使用c++写出远程线程注入dll代码
09-09
5. 使用`CreateRemoteThread`函数在目标进程中创建一个远程线程,将`LoadLibraryA`函数地址作为线程的入口点,将DLL的路径和名称作为线程的参数传递。这样,在目标进程中就会自动加载并执行DLL。 完整的代码示例...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值