检测当前进程是否被挂起

最新推荐文章于 2023-01-11 15:00:16 发布
VIP文章 最新推荐文章于 2023-01-11 15:00:16 发布
阅读量7.5k 收藏 10
点赞数 1
分类专栏: 逆向 驱动学习 文章标签: freezecount 进程挂起 线程挂起 挂起检测 SuspendCount
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuhuibeishadiao/article/details/51586679
版权 

KTHREAD的结构:
   +0x16c SuspendApc       : _KAPC
   +0x19c SuspendSemaphore : _KSEMAPHORE
   +0x1b0 ThreadListEntry  : _LIST_ENTRY
   +0x1b8 FreezeCount      : Char
   +0x1b9 SuspendCount     : Char


在调用SuspendThread时,SuspendCount 自加1;如果大于0表示挂起了。调用ResumeThread时,SuspendCount 自减1;如果等于0,系统会恢复线程。

当挂起和恢复时,FreezeCount必须为0,否则挂起和恢复操作都直接pass了 .所以,可以修改 SuspendCount 和  FreezeCount来达到反挂起的目的。


证据:

应用层或内核调用ZwSuspendThread/Process

最后会执行到NtSuspendThread/Process


IDA:

以NtSuspendProcess为例子

NtSuspendProcess->PsSuspendProcess->PsSuspendThread->KeSuspendThread->


NtSuspendProcess

PAGE:006D5143 ; int __stdcall NtSuspendProcess(HANDLE Handle)
PAGE:006D5143 _NtSuspendProcess@4 proc near           ; DATA XREF: .text:0045CCF4o
PAGE:006D5143
PAGE:006D5143 AccessMode      = byte ptr -8
PAGE:006D5143 Object          = dword ptr -4
PAGE:006D5143 Handle          = dword ptr  8
PAGE:006D5143
PAGE:006D5143                 mov     edi, edi
PAGE:006D5145                 push    ebp
PAGE:006D5146                 mov     ebp, esp
PAGE:006D5148                 push    ecx
PAGE:006D5149                 push    ecx
PAGE:006D514A                 mov     eax, large fs:124h
PAGE:006D5150                 mov     al, [eax+13Ah]
PAGE:006D5156                 push    esi
PAGE:006D5157                 push    0               ; HandleInformation
PAGE:006D5159                 mov     [ebp+AccessMode], al
PAGE:006D515C                 lea     eax, [ebp+Object]
PAGE:006D515F                 push    eax             ; Object
PAGE:006D5160                 push    dword ptr [ebp+AccessMode] ; AccessMode
PAGE:006D5163                 push    ds:_PsProcessType ; ObjectType
PAGE:006D5169                 push    800h            ; DesiredAccess
PAGE:006D516E                 push    [ebp+Handle]    ; Handle
PAGE:006D5171                 call    _ObReferenceObjectByHandle@24 ; 根据句柄获得Object
PAGE:006D5176                 mov     esi, eax        ; mov esi pEprocess
PAGE:006D5178                 test    esi, esi
PAGE:006D517A
最低0.47元/天 解锁文章
zhuhuibeishadiao
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Win7-ring0-Kill360-AllProcess.zip_kill process win7_win7_win7 36
07-14
Win7下测试成功 xp自己去试验 前面的说明一定要看哦
判断程序假死 挂起的方法
vevi的专栏
12-15 1万+
查了些资料,正在整理中。现在记录一下: 方法一: 判断程序的线程是否Responding。 方法二:API方法 IsHungAppWindow #region 窗体是否挂起 [DllImport("User32.dll", CharSet = CharSet.Auto)] public static extern bool IsHungAppWin
进程的基本状态及转换和阻塞及挂起的理解
热门推荐
圣三一
06-24 2万+
概念描述: 就绪状态 :一个进程获得了除处理机外的一切所需资源,一旦得到处理机即可运行,则称此进程处于就绪状态。 执行状态:当一个进程在处理机上运行时,则称该进程处于运行状态。 阻塞状态:一个进程正在等待某一事件发生(例如请求I/O而等待I/O完成等)而暂时仃止运行,这时即使把处理机分配给进程也无法运行,故称该进程处于阻塞状态。 挂起状态:由于IO的速度慢于CPU的运算速度,经常出现CPU等待...
win32 判断进程状态(挂起/运行中)、用API挂起/恢复进程
不蚌埠!
08-09 3569
应用层判断进程是否挂起的多种方法和调用API NtSuspendProcess()挂起进程
PsTerminateProcess结束进程
weixin_30781433的博客
08-11 265
PsTerminateProcess函数用于结束一个进程,其声明如下 NTSTATUS NTAPI PsTerminateProcess(IN PEPROCESS Process, IN NTSTATUS ExitStatus) 其中第一个参数是PEPROCESS的指针,如果你只知道pid,可以通过PsLookupProcessByProcessId 获得,而第二个参数指定退出状...
重写部分调试体系的DebugPort隐藏
被遗弃的庸才博客
01-11 1453
能正常调试vmp和se,并且没有debugport的痕迹(如果你想调试某游戏,我的评价是我不知道,因为我不玩)。al-khaser_x86下除了父进程和watch memory,debug的痕迹都没有了(当然检测的方式还有窗口名和进程名的方式,这里并没有处理,你可以参考hyperhiden把这些也加上),NtYieldExecution在当前开了vt的虚拟机下就是bad(不管)。
KeStackAttachProcess+ZwTerminateProcess结束进程的分析
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
09-04 6349
某些ARK会用以下代码来结束进程,对于很多有进程保护的程序都很有效:  PsLookupProcessByProcessId(); KeStackAttachProcess(); ZwTerminateProcess(0,0); 注意ZwTerminateProcess函数的第一个参数,这是要结束进程的句柄。对于进程句柄来说,-1表示当前进程,而在这里为什么用0呢?我们来分析下
Ring0 运行 Ring3 应用程序 初始版
Fly_Sky
10-13 1274
代码来源网络,初步修改代码后实现win7 x86 sys启动 notepad.exe 技术要点:1.获取 KeResumeThread和NtSuspendThread的地址 主要代码: /*************************************************************************************** * *
易语言-精易模块V5.82
06-29
3、优化“进程_是否挂起”的检测速度; 3、优化“时间_格林威治转北京”转换现行时间戳错误的问题; 4、优化对低版本核心库的支持; 6、新增“系统_是否为默认字体”; 7、修改“字节集_到十六进制”为“字节集_...
川农《计算机操作系统(本科)》17秋在线作业.docx
05-24
C 145分分配到必要资源并获得了处理机的进程处于( ) A执行态 B等待态 C就绪态 D挂起态 正确答案是:A 155分DOS中磁盘空间的分配单位是( ) A物理记录 B逻辑记录 C块 D簇 正确答案是:D 165分SPOOLing技术应用于...
基于Lua实现的脚本和服务器引擎Node-Lua.zip
07-19
同时,lua服务也会检测服务当中运行和挂起的同步和异步回调总量,当回调总量为0时,lua服务会被标记并安全退出;引擎框架任务调度采用了线程任务队列的设计,减少了不同线程之间对任务资源的竞争。另外,任务调度也...
java8源码-javahighconcurrent:高并发
06-04
java8 源码《实战Java高并发...如果两个线程同时进入临界区,不会导致一方被挂起,一旦检测到共享数据遭到修改,就会立即对自己所做的修改进行回滚,保证数据安全,是一种乐观的策略。一种实现方式是“一致性标记” 无
Visual C++开发经验技巧宝典(第9章)
09-07
0602 挂起系统 399 0603 调用记事本程序并暂停其运行 399 0604 等待打开的记事本程序关闭 400 0605 禁止程序重复运行 400 0606 在Visual C++与Delphi间实现对象共享 401 9.9 消息 402 0607 如何自定义...
关于驱动隐藏那点事(不触发PG 支持win10)
zhuhuibeishadiao
07-21 1万+
已开源:https://github.com/ZhuHuiBeiShaDiao/NewHideDriverEx 更新:支持seh,原理自己逆下 将seh挂到其它模块上而已. 看网上用此方法隐藏用的挺嗨啊,麻烦打个出处,谢谢了. 没必要藏着,人生没有必要为这些小玩意小打小闹。 看到某些哥们这搞搞那搞搞,BSOD PATCHGUARD 无语,WRK是个好东西啊! 还有半年来也没怎么发博客,惭...
MiniFilter文件系统学习
zhuhuibeishadiao
04-23 1万+
Minfilter与legacy filter区别 比sfilter加载顺序更易控制. altitude被绑定到合适的位置。  Minfilter在注册表服务项中有一项Altitude值 此值越高位置越靠前 (待考证 每一个minifilter驱动必须有一个叫做altitude的唯一标识符.一个minifilter驱动的altitude定义了它加载时在I/O栈中相对其他minifi
Minifilter过滤,功能实现对驱动目录的监控,包括创建,重命名,删除并实现hips
zhuhuibeishadiao
05-02 1万+
注意下:我的这套过滤只能用在nt6系统上 原因是使用一个nt6上才有的函数 见函数 PsGetProcessFullName 其实没必要自己来写获取全路径 因为minifilter已经给我们提供了获取全路径的函数 FltGetFileNameInformation 我就不改了,哈哈 说说遇到的问题吧 在监控创建的时候,我在卸载post中的,我拒绝后,在弹窗,2-3
攻破Win7~Win10 PatchGuard(KPP & DSE)【支持Win10 TH1/TH2/RS1/RS2】【WIN64内核越狱】
zhuhuibeishadiao
01-13 1万+
最新状态:已放弃Win7.Win8,8.1的静态Patch,专注于Win10 PatchGuard. 1.重启内核越狱,支持Win7~Win10 Win10 10.0.10240.0 ~ Win10.10.0.14939.693(2017.1.11更新至693最新版) Win8 6.3.9600.18289 ~ 6.3.9600.18378(已停止更新) Win7 6.1.7601.177
python挂起进程
最新发布
05-31
在Python中挂起进程可以使用以下步骤: 1. 获取需要挂起进程进程ID,可以使用psutil模块。 ```python import psutil for proc in psutil.process_iter(): if proc.name() == 'process_name': pid = proc.pid ``` 2. 使用Python的signal模块发送SIGSTOP信号来挂起进程。 ```python import os import signal os.kill(pid, signal.SIGSTOP) ``` 3. 可以使用Python的subprocess模块启动新进程,并在启动前挂起需要挂起进程。可以使用psutil模块的process对象的suspend()方法来挂起进程。 ```python import subprocess import psutil # 挂起进程 for proc in psutil.process_iter(): if proc.name() == 'process_name': proc.suspend() # 启动新进程 subprocess.Popen(['new_process']) # 恢复进程 for proc in psutil.process_iter(): if proc.name() == 'process_name': proc.resume() ``` 请注意,挂起进程可能会影响系统的稳定性和安全性,应该谨慎使用。同时,需要根据实际情况选择合适的挂起策略。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值