/////////////////////////////////////////////////////////////////////////法4:、定义函数指针和 常量宏“自己写 要用到的一个结构:来自为知笔记(Wiz)
分类:
编程语言 时间:
2016-03-20 21:12:31
阅读次数:
249
本文是在讨论枚举进程的时候产生的,枚举进程有很多方法,Ring3就是ZwQuerySystemInformation(),传入SysProcessesAndThreadsInformation这个宏,或者用CreateToolhelp32Snapshot系统快照的方式枚举进程,还用就是用WT
分类:
其他好文 时间:
2016-03-13 11:31:21
阅读次数:
182
首先要知道Ring3层调用OpenProcess的流程//当Ring3调用OpenProcess //1从自己的模块(.exe)的导入表中取值 //2Ntdll.dll模块的导出表中执行ZwOpenProcess(取索引 进入Ring0层)//3进入Ring0 从Ntoskernel.exe模块的导...
分类:
系统相关 时间:
2015-10-21 18:50:00
阅读次数:
575
是由获得进程模块而引发的一系列的问题,首先,在ring3层下枚举进程模块有ToolHelp,Psapi,还可以通过在ntdll中获得ZwQuerySystemInformation的函数地址来枚举,其中ZwQueryInformationProcess相当于是调用系统服务函数,其内部实现就是遍历PE...
分类:
其他好文 时间:
2015-07-23 21:35:40
阅读次数:
306
IAT方式就不去花精力了,加了壳的程序用这方法压根用不上。就熟悉一下代码修改方法。书上用的是隐藏进程的实例第一种办法一,枚举进程,给所有进程加载DLL【用远程线程注入】二,传入需要隐藏的进程名三,判断有没有修改过需要钩取的函数,如果还没有修改过就改掉,跳向自己的函数,同时保存好原来的值四,在自己的替...
//测试环境:win7 32位 1 // DriverEntry.cpp 2 3 #include "ntddk.h" 4 #include 5 #include 6 #include "header.h" 7 8 extern "C" POBJECT_TYPE ObGetO...
分类:
系统相关 时间:
2015-07-05 22:22:59
阅读次数:
247
把APP完整路径传进去,枚举进程,通过简单的比较,就可以得到结果了。附上完整代码:
bool CheckApp(wstring _strGamePath)
{
HANDLE hProcessSnap;
HANDLE hProcess;
PROCESSENTRY32 pe32;
DWORD dwPriorityClass;
// ...
分类:
系统相关 时间:
2015-01-19 12:49:59
阅读次数:
164
一个常见的编程任务是枚举所有运行的"应用程序"。Windows任务管理器就是一个很好的例子。它用两种方式列出"应用程序"。任务管理器的第一个选项卡列出桌面上的所有"应用程序窗口"。第二个选项卡列出系统中的所有"进程"。本文提供了如何执行这些任务的详细信息。枚举顶层窗口如果将枚举进程与枚举桌面上的顶层...
typedef enum _MEMORY_INFORMATION_CLASS {
MemoryBasicInformation, MemoryWorkingSetList,
MemorySectionName}MEMORY_INFORMATION_CLASS;typedef str...
分类:
其他好文 时间:
2014-04-28 03:43:59
阅读次数:
573
