文章目录 一、selinux 进程保护 二、宽容模式与强制模式 一、selinux 进程保护 ---- selinux 进程保护 一旦开启后 , 其它进程不能调试指定的进程 ; Android 5.0...getenforce Enforcing 二、宽容模式与强制模式 ---- selinux 有两种模式 : 0 : permissive , 宽容模式 ; 该模式下 selinux 关闭 , 可以调试进程数据...; 1 : enforcing , 强制模式 ; 该模式下 selinux 打开 , 不能调试进程数据 ; 默认模式为 强制模式 ; 如果在调试进程时 , 调试失败 , 需要查看当前的 selinux
简单介绍下CR0寄存器: [image-20220215160834842.png] 可以看到这里使用32位寄存器,而在CR0寄存器中,我们重点关注的是3个标志位: PE 是否启用保护模式,置1则启用...0 mov cr0, eax; pop eax; ret; } //开启页只读保护 __asm { push eax;...FuZwOpenProcess g_OldZwOpenProcess; //服务描述符表指针 KSERVICE_TABLE_DESCRIPTOR* g_pServiceTable = NULL; //要保护进程的...} NTSTATUS HookNtOpenProcess() { NTSTATUS Status; Status = STATUS_SUCCESS; //1.关闭页只读保护...DesiredAccess, _In_ POBJECT_ATTRIBUTES ObjectAttributes, _In_opt_ PCLIENT_ID ClientId ) { //当此进程为要保护的进程时
简单介绍下CR0寄存器: 可以看到这里使用32位寄存器,而在CR0寄存器中,我们重点关注的是3个标志位: PE 是否启用保护模式,置1则启用。...FuZwOpenProcess g_OldZwOpenProcess; //服务描述符表指针 KSERVICE_TABLE_DESCRIPTOR* g_pServiceTable = NULL; //要保护进程的...DesiredAccess, _In_ POBJECT_ATTRIBUTES ObjectAttributes, _In_opt_ PCLIENT_ID ClientId ) { //当此进程为要保护的进程时...NtOpenProcess(ProcessHandle,DesiredAccess,ObjectAttributes,ClientId); } 编译后安装并启动驱动,无论是用taskkill命令还是任务管理器都不能杀死进程...而在卸载驱动过后则可以用taskkill命令直接杀死进程,证明实现了进程保护
驱动(看这名字应该还有360SelfProtection_win10.sys文件),在0环通过hook等手段保护注册表项,重要进程进程等。...本文就如何实现一个进程保护功能进行探究,驱动就不写了,就写一个用户层的。 实现原理 windows提供了一个可以杀死其他进程的API:TerminateProcess。...New_TerminateProcess(_In_ HANDLE hProcess,_In_ UINT uExitCode) { unhookTerminateProcess();MessageBox(NULL,L"该进程受保护...那么如果要选择性保护进程,又应该怎么做呢。注意TerminateProcess的第一个参数,传入的是一个句柄,这个句柄需要从openprocess的返回值获得,所以我们还需要知道打开进程的句柄。...New_TerminateProcess(_In_ HANDLE hProcess,_In_ UINT uExitCode) {if(g_handle == hProcess){MessageBox(NULL, L"该进程受保护
关于Backstab Backstab是一款功能强大的安全研究工具,在该工具的帮助下,广大研究人员可以轻松终止那些受反恶意软件产品保护的进程。...没错,我们为何不直接终止相关进程呢? Backstab这款工具能够通过利用sysinternals的进程管理驱动器(ProcExp)终止受反恶意软件产品保护的进程,而这个驱动器是由微软签名的。...当我们查看到UI时,你可能无法终止受保护的进程,但可以终止它的句柄,因为ProcExp UI会指示内核驱动程序终止这些句柄。而Backstab能做到同样的事情,只不过没有提供UI。...https://github.com/Yaxser/Backstab 工具使用帮助 Usage: backstab.exe [options] -n, 通过名称选择进程...,需包含.exe后缀 -p, 通过PID选择进程 -l, 列举所有受保护进程的句柄 -k, 选择要终止的受保护进程的句柄 -x, 选择一个指定的句柄 -d, 指定ProcExp提取路径 -s
文章目录 一、 双进程守护保活原理 二、 双进程守护保活完整源码 1、AIDL 接口 2、本地前台服务 Service 3、远程前台服务 Service 4、清单配置 5、启动两个服务 5、执行效果...三、 源码资源 一、 双进程守护保活原理 ---- 双进程守护拉活 , 使用 JobScheduler 拉活 和 系统 Service 机制拉活 两种拉活方式 , 结合起来使用 ; 双进程机制拉活 ,..., 除此之外 , 还运行了一个 " 本地前台进程 " , 运行该 " 本地前台进程 " 时 , 开启前台进程 , 用于提权 , 并绑定 " 远程前台进程 " ; " 远程前台进程 " 与 " 本地前台进程..." 实现了相同的功能 , 代码基本一致 , 这两个进程都是前台进程 , 都进行了提权 , 并且互相绑定 , 当监听到绑定的另外一个进程突然断开连接 , 则本进程再次开启前台进程提权 , 并且重新绑定对方进程...android.permission.FOREGROUND_SERVICE 权限 : 二、 双进程守护保活完整源码
x64(32)下的进程保护回调....一丶进程保护线程保护 1.简介以及原理 以前我们讲过.SSDT 可以做很多事情.比如可以防止进程被结束 其实到了x64下.你也可以HOOK SSDT.只不过你需要过一下PatchGuard 但是在你过不了...PG的情况下.其实操作系统也给你提供了回调进行保护....//为钩子结构体赋值 oper.ObjectType = PsProcessType; //进程操作的类型.当进程操作回来....1.3注意的问题 编写代码的时候会发生蓝屏.原因是你设置前指针后.后指针需要设置为NULL 因为如果是进程保护的话. 当创建进程的时候则会遍历对象数组.依次调用.
那其他的小软件怎么办,我们可以另辟蹊径,无法避免被杀进程,那就让我们的软件在被杀进程后,能自动重启。 我这里介绍一下双进程守护的方法,来实现进程被杀后的拉起。 双进程守护 ?...双进程守护的思想就是,两个进程共同运行,如果有其中一个进程被杀,那么另一个进程就会将被杀的进程重新拉起,相互保护,在一定的意义上,维持进程的不断运行。...双进程守护的两个进程,一个进程用于我们所需的后台操作,且叫它本地进程,另一个进程只负责监听着本地进程的状态,在本地进程被杀的时候拉起,于此同时本地进程也在监听着这个进程,准备在它被杀时拉起,我们将这个进程称为远端进程...,该进程被杀,那就什么都没了,就没有了双进程守护的说法了。...关闭远端服务 可以发现,无论我们怎么杀进程,进程都会被重新拉起,这就达到了 Service 保活,双进程相互守护的目的。
如何保护 Windows RPC 服务器,以及如何不保护。 PetitPotam技术在人们的脑海 中仍然记忆犹新。...基本上有三种方式,可以混搭: 保护端点 保护接口 临时安全 让我们依次来确定每个人如何保护 RPC 服务器。...保护接口 保护 RPC 服务器的下一个方法是保护接口本身。...我们将通过三种方法来保护服务器以确定它在做什么。 首先,服务器不注册任何自己的协议序列,无论是否使用 SD。...这意味着谁可以调用 RPC 服务器取决于托管进程注册了哪些其他端点,在本例中是 LSASS。
问题是关于域管登录过的域内主机,卡巴之类的杀软保护了 lsass 进程,有哪些方法可以读取域管的明文密码。 想了想那肯定不能直接用 procdump 这种直接去转存,那么该怎么办呢,一时间挺迷茫的。...0x01 方法 1.kill 掉杀软保护的进程 首先想到的就是关掉杀软的进程,但是肯定要高权限,但是之前尝试内网渗透时遇到了某数字......通过蓝屏获取 memory.dmp 绕过卡巴 深夜扒土司扒博客,找到了大佬的文章 通过 Windows 蓝屏文件来绕过 kaspersky 的内存保护抓密码 文章地址:https://www.mrwu.red...看土司上大佬的帖子说,系统默认在蓝屏的时候只核心内存转储,需要去 "系统保护"(或者 "高级系统属性")-->"启动和故障恢复"-->"写入调试信息" 中修改为完全内存转储,否则获取到的 dmp 文件中没有...然后设置微软符号服务器,再重新加载: .SymFix # 微软符号服务器.Reload # 重新加载 之后就是查看 lsass.exe 进程的内存地址,切换到 lsass.exe 进程中: !
首先把进程放到后台 nohup python main.py & 然后保持退出终端继续运行 ctrl-z bg 输出在nohup.out里面 输入fg,可以把任务调到前台并取消 输入jobs...显示后台进程
一、思路 先与客户端建立好连接, 每次监听到一个客户端之后,都需要产生一个子进程去处理这个连接,然后父进程继续去等待监听,唯一一个要注意的点就是要使用信号来监听子进程是否结束,从而对其进行回收,防止僵尸进程的产生...&opt, sizeof(opt)); (3)bind函数 bind(lfd, (struct sockaddr*)&ser_addr, sizeof(ser_addr));b这个函数主要目的就是将服务器的地址结构绑定到套接字...lfd上,所以开始要设置服务器的ser_addr:ser_addr.sin_family = AF_INET, ser_addr.sin_port = htons(8888);ser_addr.sin_addr.s_addr...监听到了客户端后,就要开始创建子进程来对这个监听进行处理;pid = fork() 3、子进程处理通信 因为子进程不需要监听连接,使用可以close(lfd);之后便可以进行通信处理 void do_work...sizeof(buf)); tcp.Write(cfd, buf, n); tcp.Write(STDOUT_FILENO, buf, n); } } 4、父进程回收子进程
在几个月前,笔者介绍了一种保护服务器安全的方法 自动禁止攻击IP登陆SSH,保护服务器安全。这种方法需要自己去动手写相应的脚本,今天要介绍的是开源的脚本实现。...DenyHosts介绍 DenyHosts是一个脚本,旨在由Linux系统管理员运行,以帮助阻止SSH服务器攻击(也称为基于字典的攻击和蛮力攻击)。...如果你曾经看过你的SSH日志(Redhat上的/var/log/ secure,Mandrake上的/var/log/auth.log等等),你可能会惊讶地发现有多少黑客试图访问你的服务器。...安装EPEL源 有些服务器安装的centos是简版,没有额外的软件包,那么需要先配置EPEL源。...yum update -y yum install epel-release -y 安装rsyslog 你需要确认你的centos服务器上有/var/log/secure这个文件,如果没有或者文件内容没有变化
当你的域名服务器或DNS区域文件被未经授权更改时,你是否会收到相应警报?此外,你是否启用了DNSSEC?...查看:CHIPSEC 保护远程shell sshd通用准则:禁用root登录,使用密钥代替密码,并设置暴破防护。...它可以配置为输出静态密码(非常适合PAM用户登录或挂载卷加密),HOTP或通用双因素(U2F)认证,或者可以使用OpenPGP智能卡。这些设备对于任何系统管理员来说都是不可或缺的。...Quad9是谷歌公共DNS或OpenDNS的替代产品,可阻止客户端访问恶意域名,这与Chrome浏览器通过安全浏览功能来保护用户的功能类似。...所以将你的域名服务器设置为9.9.9.9将能更好的保障你的安全。
S 13:02 0:00 \_ /usr/sbin/httpd 我们查看httpd 服务器的进程;您也可以用pgrep -l httpd 来查看; 我们看上面例子中的第二列,就是进程PID的列,其中4830...是httpd服务器的父进程,从4833-4840的进程都是它4830的子进程;如果我们杀掉父进程4830的话,其下的子进程也会跟着死掉; [root@localhost ~]# kill 4840 注:...是不是httpd服务器仍在运行?...[root@localhost ~]# kill 4830 注:杀掉httpd的父进程; [root@localhost ~]# ps -aux |grep httpd 注:查看httpd的其它子进程是否存在...,httpd服务器是否仍在运行?
对于该公司而言,一旦 IT 基础架构停机,后果不堪设想,因此其采用赛门铁克提供的一套解决方案来保护宝贵的应用程序。...即便是一次中断就会直接影响收益,因此数据保护和高可用性就成为该公司 IT 团队的首要任务。...使备份速度加快一倍 在 2007 年,该公司决定升级数据保护解决方案,将 IBM Tivoli StorageManager 替换为 Veritas NetBackup 。...虽然 NetBackup 总共可以保护大约 200 TB 的数据,而且每年都以10-15% 的速度持续增长,但是备份工作只需一名员工进行监管,数据量的增长并没有导致员工数量的增加。...Yeom 先生表示,为了确保可用性,由三个双节点主被式集群对这个最重要的 CRM 应用程序提供支持。
Nginx服务器的进程有3类:主进程、工作进程、缓存进程 (1)主进程 Nginx启动时运行的主要进程,主要功能是与外界通信和对内部其他进程进行管理 主要工作内容 1)读取配置文件,验证有效性和正确性...2)建立、绑定、关闭 socket 3)按照配置生成、管理、结束工作进程 4)接收指令,如 重启、升级、退出 5)不中断服务,平滑重启、升级,升级失败的回滚处理 6)开启日志文件,获取文件描述符 (2)...工作进程 由主进程生成,生成数量由配置文件指定,工作进程生存于主进程的整个生命周期 主要工作内容 1)接收请求 2)将请求依次送入各个功能模块进行过滤处理 3)IO调用,获取响应数据 4)与后端服务器通信...,接收后端服务器处理结果 5)数据缓存,访问缓存索引、查询、调用缓存数据 6)发送请求结果 7)接收主进程指令,如 重启、升级、退出 (3)缓存进程 缓存进程有两类 1)缓存索引重建进程 nginx启动后由主进程生成...,在缓存元数据重建完成后就自动退出 该进程启动后,对缓存文件的目录结构扫描,在内存中建立索引元数据库 2)缓存索引管理进程 生存于主进程的整个生命周期 负责在索引元数据更新完成后,对元数据是否过期进行判断
区别二:执行效率上的区别因为两者在CPU数量上有区别,所以两者所带来的效率也是不一样的,双路服务器是双路的,所以它的执行率就更高些,而单路服务器因为是单线程在工作,那么它的执行效率也就会低一些,这也就是为什么现在很多企业更偏向与双路服务器了...如果是在AMD平台的话,单路服务器可以是ECC,非ECC,REG,ECC,而双路服务器的内存只能是REC ECC。...还有就是单路服务器只有一个处理器,而双路服务器是有两个处理器在进行工作,所以从某种意义上来说双路服务器才是真正的服务器,单路服务器在价格上虽然便宜,但是在性能上、稳定性上还是无法和双路服务器所比拟的。...双路服务器在最大程度上还能为企业节约成本,这点很受广大企业所喜欢,双路服务器是技术的一种进步,如果有需要选择服务器的企业可以多多的考虑一下双路服务器。...以上就是关于双路服务器和单路服务器之间的区别讲解,希望这篇文章能对大家有所帮助,能让大家更加了解双路服务器和单路服务器。
局部描述符表只能由相应的进程访问,其他进程想要访问本进程的局部描述符表时会被CPU拒绝。 全局描述符表和局部描述符表就构成了一个级联层次。...由于局部描述符表的访问仅限当前进程,其他进程访问不了,因此其他进程就无法获取到本进程数据段和代码段的相关信息。 全局描述符表和局部描述符表的结构如下: ? 我们看看如何在代码中使用上局部描述符表。...由于局部描述符表是跟各自进程相关的,所以每个进程都可以为自己分配一个局部描述符表,因此在表示进程的TASK数据结构中,我们增加局部描述符表的定义: struct TASK { int sel,...我们总结一下当前进程加载的基本逻辑: 1,每一个控制台进程都对应着一个数据结构叫TSS 2,在全局描述符表中含有一个表项对应着这个TSS数据结构 3,当启动控制台进程时,内核用一个jmp指令,指令的参数就是步骤...如果crack进程要想成功入侵客户进程,那么必须获得客户进程的局部描述符表,但该表只能被对应的进程所访问,其他进程是没有权限也没有办法访问的,这样客户进程的代码和数据就能得到完好的保护,恶意进程也无计可施
EAC 保护游戏免受的许多事情(非法线程创建、内联挂钩等)都可以通过在 EasyAntiCheat.dll 中映射您的图像来规避。致命,对吧?...开发 ---- 现在我们了解了镜像是如何映射到进程中的,我们可以开发我们自己的有效负载来劫持用户模式执行,将我们的镜像附加到 EAC 的现有镜像中。...PS:这也意味着您可以故意在二进制文件中创建多个部分,并强制驱动程序为您保护特定的代码部分。...结论 ---- EasyAntiCheat.sys 无意间为游戏中的代码执行创造了一个理想的条件,它允许您从用户模式动态运行进程内的代码,并允许您挂钩和执行任何代码,而不会与反作弊发生冲突。...进一步应用,可以将这个项目变成本地进程注入漏洞,用于由BattlEye等替代解决方案保护的游戏。当然,有一些方法可以完全检测和预防这种情况。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
