0环进程断链

原创 已于 2024-05-02 17:00:04 修改 · 320 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#c++ #操作系统 #c语言 #windows
于 2024-05-02 16:27:12 首次发布
文章介绍了如何通过PsLookupProcessByProcessId查询PID为4的进程并获取PEPROCESS结构,以及如何隐藏和显示进程链表中的节点。作者展示了HideProcess函数用于从链表中移除进程,而UnHideProcess函数则用于恢复进程在链表中的位置。

通过PsLookupProcessByProcessId查询PID=4的进程获得eprocess,再通过偏移量遍历链表对比断链。

PEPROCESS HideProcess(PCHAR sourceName) {
	PEPROCESS processNode = 0;
	NTSTATUS status = PsLookupProcessByProcessId((HANDLE)4, &processNode);
	if (!NT_SUCCESS(status)) {
		DbgPrint("PsLookupProcessByProcessId\n");
		return STATUS_UNSUCCESSFUL;
	}

	PLIST_ENTRY pCur = processNode;
	PLIST_ENTRY pNext = processNode;
	STRING sourceStr = { 0 };
	RtlInitString(&sourceStr, sourceName);
	STRING targetStr = { 0 };
	do {
		pNext = (ULONG)((PLIST_ENTRY)((ULONG)pNext + 0xb8))->Flink - 0xb8;
		RtlInitString(&targetStr, (PCHAR)pNext + 0x16c);
		if (!RtlCompareString(&sourceStr, &targetStr, TRUE)) {
			DbgPrint("PROCESS:%p %s\n", pNext, (PCHAR)pNext + 0x16c);
			RemoveEntryList((ULONG)pNext + 0xb8);
			ObDereferenceObject(processNode);
			return pNext;
		}
	} while (pNext - pCur);
	ObDereferenceObject(processNode);
	return 0;
}

复原

VOID UnHideProcess(PEPROCESS processNode) {
	PLIST_ENTRY Node = (PUCHAR)processNode + 0xb8;
	PLIST_ENTRY LastNode = Node->Blink;
	PLIST_ENTRY NextNode = Node->Flink;
	LastNode->Flink = Node;
	NextNode->Blink = Node;
}
123qweqew
关注
PEB
hongduilanjun的博客
03-18 2269
这种技术非常古老,同时应用于非常多的场景,在内核层如果我们需要隐藏一个进程的内核结构体,也会使用这种技术。本文基于PEB在用户层和内核层分别进行实现,在用户层达到的效果主要是dll模块的隐藏,在内核层达到的效果主要是进程的隐藏。 3PEB 每个线程都有一个TEB结构来存储线程的一些属性结构,TEB的地址用fs:[0]来获取,在0x30这个地址有一个指针指向PEB结构 然后定位到PEB,PEB就是进程用来记录自己信息的一个结构,在PEB的0x00c偏移有一个 Ldr _PEB_LDR_DAT
x64内核实验6-进程
qq_43147121的博客
10-07 510
首先来看一下进程结构体完整的定义,然后我会介绍几个比较重要的字段属性下面是我从pdb文件导出的头文件,这个头文件可以直接复制到ida里导入成结构体使用的,其他结构体的头文件后面我会一起放出来给大家下载EPROCESS.h。
Windows10x64创建进程3的CreateFlags到0参数的转换
u013677637的博客
09-03 342
Windows10x64创建进程3的CreateFlags到0参数的转换
0PEB
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
03-08 450
操作系统层面上,进程本质上就是一个结构体,当操作系统想要创建一个进程时,就分配一块内存,填入一个结构体,并为结构体中的每一项填充一些具体值。结构的地址,但是这里注意,因为这个结构的地址是指向下一个表的地址,所以如果要得到。这个表跟进程隐藏有关,只要我们把想要隐藏进程对应的。结构,但指向的并不是EPROCESS的首地址,而是每一个进程的。它是双向表,所有的活动进程都连接在一起,构成了一个表。的掉,就可以达到在0进程隐藏的目的。进程,这里0x88偏移存放的就是下一个。前四个字节指向的是下一个。
进程启动&
m0_62466350的博客
01-29 2428
函数介绍:运行一个指定的程序。 函数原型如下: 函数成功:return Value>31 函数失败:返回以下值使用 WinExec 函数执行删除 C 盘下的所有文件和文件夹的命令的示例代码如下: 2. ShellExecute 函数介绍:运行一个外部程序(或者是打开一个已经注册的文件、目录,或打印一个文件等),并进行一定程度的控制 函数原型如下: 第二个参数lpOperation的可选项如下: edit:启动编辑器并打开文档进行编辑。如果lpfile不是文档文件,则该函数将失败。 explore:打开由lp
分享如何实现Qt 高级开发 015:C++ 原生实现信号槽机制
2401_85049165的博客
06-16 248
本文介绍了如何在C++中不依赖Qt框架原生实现信号槽机制。通过使用std::function和模板类,作者构建了Signal类来处理信号连接、发射和开操作,并支持普通函数和成员函数作为槽。文章还讨论了线程安全和性能优化方案,包括使用互斥锁保护共享资源。这种实现方式保持了信号槽松耦合的特性,同时避免了Qt依赖,为C++开发者提供了一种轻量级的事件驱动编程方案。
C++C++ set 与 multiset 完全指南:关联式容器入门
2502_91546643的博客
06-16 456
本文系统讲解 set 与 multiset 的核心特性与使用技巧。涵盖:序列式容器与关联式容器的区别、set 的自动排序与去重机制、插入/查找/删除等核心接口、迭代器不可修改的限制、lower_bound/upper_bound 区间操作、multiset 对重复元素的处理、以及 set 与算法库 find 的效率对比(O(log n) vs O(n))。通过实战代码,深入理解红黑树作为底层结构带来的高效特性。
C++001、引用与指针的区别
Tim_10的博客
06-17 232
对指针使用sizeof得到的是指针本身的大小,表示指针变量本身所占的字节数,64位的计算机结果值为8字节。这也是引用必须在初始化时绑定对象,且不可变更绑定的原因所在。指针可以通过复制改变指向,一个指针通过赋值预算福=可以指向其他对象的地址。指针需要用*接引用才能访问对象,使用->来访问对象的属性值和方法调用。而且引用比指针使用更安全,不用担心空指针,也不必显示解引用。引用的底层通常使用指针常量来实现的。引用定义时必须绑定一个对象,不能是空引用。引用必须绑定有效对象,不允许空引用存在。
C++11 可变函数模板,lambda函数,C++新增
2302_80267820的博客
06-21 182
arg_list中的参数可能包含形如_n的名字,其中n是⼀个整数,这些参数是占位符,表⽰ newCallable的参数,它们占据了传递给newCallable的参数的位置。数值n表⽰⽣成的可调⽤对象 中参数的位置:_1为newCallable的第⼀个参数,_2为第⼆个参数,以此类推。3.捕捉列表中的变量默认是被const修饰的,传值捕捉的元素即在lambda函数中不可改变,在参数列表后加mutable可以改变常量性,也就说使⽤该修饰符后,传值捕捉的对象就可以修改了,但是修改还是形参对象,不会影响实参。
C++ auto 关键字(自动类型推导)完整详解
2601_95873962的博客
06-17 227
C++11新增关键字,定义变量时无需手动书写完整类型,编译器会根据。自动推导变量实际类型,简化冗长复杂类型的书写。
【leetcode】121.买卖股票的最佳时机js/c++
2402_83244812的博客
06-16 583
摘要:该问题采用贪心算法解决股票买卖最佳时机问题。通过维护当前最小买入价和计算当前卖出利润,更新最大利润值。JavaScript实现遍历数组时动态更新最小价格和最大利润。类似地,C++版本使用迭代器跟踪买入点和遍历卖出点,当发现更低价格时更新买入点,并始终记录最大利润值。两种实现均只需一次遍历,时间复杂度为O(n)。
Effective C++ 条款45:运用成员函数模板接受所有兼容类型
凡人叶枫的博客
06-16 195
学习使用成员函数模板实现泛化拷贝构造和赋值操作,让自定义类型支持所有兼容类型的隐式转换。
基于C++ 实现(界面)校园导游系统
神仙别闹的自留地
06-17 331
设计一个校园导游程序,用户提供各种信息查询服务。基本要求:系统中记录了校园中的教学楼、图书馆、食堂、田径场、篮球场、超市、医务室等坐标信息和连接这些坐标的路径信息。每条路径包含两个坐标间的距离和预计消耗的卡路里。能进行坐标点的增加和删除。能够满足不同用户的查询,如:两坐标之间的最高卡路里路线和最短距离路线。实现提示:一般情况下,校园的道路是双向通行的,可设校园平面图是一个无向网。顶点和边均含有相关信息。从我校平面图中选取 10 个大家熟悉的景点,抽象成一个无向带权图。
算法模版(C++ 版)更新版
最新发布
weixin_50923989的博客
06-22 229
本文总结了算法笔试和面试中常见的模板题及实现代码,主要包括以下内容: 序列操作(增删改查、排序等) 快速排序算法实现(重点讲解分区操作和递归实现) 判素数的优化算法(基于6k±1原理) 文章提供了完整代码实现和关键注意事项,如: 快速排序中基准值随机化的重要性 判素数时的数值范围处理 常见边界条件的处理方式 这些模板题和算法实现是算法面试的基础内容,掌握它们有助于提升算法能力,应对技术面试。
C++】面试:多线程并发
DevFrank的博客
06-21 317
本文系统梳理了C++中高级面试核心知识点,涵盖多线程编程(线程创建、互斥锁、条件变量、原子操作)、C++11新特性(lambda表达式、右值引用、完美转发)、模板编程(函数/类模板、特化)以及编译接原理四大模块。重点包括:线程函数入口的四种形式、死锁的四大条件与解决方案、原子变量与锁的性能对比、移动语义的资源所有权转移机制、模板的编译期实例化特性,以及预处理/编译/汇编/接的全流程解析。文章强调这些知识点在区分工程师技术深度和工程实战能力上的重要性,并配有高频面试问题解析,是C++开发者进阶必备的核心知
从零模拟实现 vector -- 理解 C++ 最核心的顺序容器
liucbiY的博客
06-20 296
vector的模拟实现, 迭代器的失效
实现高性能 HTTP 服务器——C++ epoll + 线程池实战
2301_80196447的博客
06-20 426
是一个基于 C++17 实现的高性能HTTP 静态文件服务器,使用Reactor + 线程池的并发模型,能够在单台机器上高效处理数千个并发连接。核心功能支持http/1.1 GET 请求返回静态文件,比如HTML、CSS、JS、图片等自动识别MIME类型支持自定义404页面此项目使用单 Reactor + 线程池的并发模型。主线程运行 epoll 事件循,统一管理所有 TCP 连接的网络 I/O。耗时操作(如 HTTP 解析、文件读取、响应构造)全部交给线程池异步处理。
C++——2.常量与 const、constexpr 初识详解
weixin_45724919的博客
06-16 607
本文深入探讨了C++中const和constexpr两种常量定义方式的本质区别与应用场景。const提供"只读承诺",可在编译期或运行期确定值,适用于普通常量声明;而constexpr强制要求编译期确定值,支持编译期计算,适用于需要严格常量表达式的场景。文章详细解析了两者的语法特性、使用限制和最佳实践,并通过代码示例展示了constexpr函数、编译期计算、lambda表达式以及if constexpr等高级用法。最后通过对比表格清晰呈现了两者在语义、初始化时机、适用场景等核心维度的差异,帮助开发者根据具体
C语言线程同步机制
万法若空
06-20 301
在pthread(POSIX 线程库)中,共享同步机制是一套用于协调多个线程对共享资源访问的。它们的根本目的是,确保多线程程序的正确性和稳定性。以下是pthread。
PNCC(Power-Normalized Cepstral Coefficients)— MATLAB 实现
yugi987838的博客
06-16 263
PNCC(Power-Normalized Cepstral Coefficients)— MATLAB 实现
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值