windows hook之进程防杀(任务管理器)

2024-08-22 01:44
文章标签 windows 进程 任务 管理器 hook 防杀

本文主要是介绍windows hook之进程防杀(任务管理器),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

任务管理器防杀指定进程

minihook使用指南

1、原理

注入dll到任务管理,hook OpenProcessAPI实现进程信息获取操作,达到进程防杀

2、dll实现

#include "pch.h"
#include <Windows.h>
#include "../include/minihook/MinHook.h"
#include <TlHelp32.h>
#include <set>#ifdef _WIN64#pragma comment(lib,"../include/minihook/libMinHook.x64.lib")
#else#pragma comment(lib,"../include/minihook/libMinHook.x86.lib")
#endif // _WIN64std::set<DWORD> g_setPid = {1024};
typedef HANDLE(WINAPI* OldOpenProcess)(DWORD, BOOL, DWORD);
OldOpenProcess fpOldOpenProcess = NULL;HANDLE WINAPI MyOpenProcess(DWORD dwDesiredAccess, BOOL bInheritHandle, DWORD dwProcessId)
{if (!g_setPid.empty()) {auto setPid = g_setPid;if (setPid.find(dwProcessId) != setPid.end()) {// set error codeSetLastError(ERROR_ACCESS_DENIED);return NULL;}}return fpOldOpenProcess(dwDesiredAccess, bInheritHandle, dwProcessId);
}void HookOpenProcess() {if (MH_Initialize() == MB_OK){MH_CreateHook(&OpenProcess, &MyOpenProcess, reinterpret_cast<void**>(&fpOldOpenProcess));MH_EnableHook(&OpenProcess);}else {MessageBoxA(NULL, "Hooked opeprocess failed", "Tip", MB_OK);}
}void UnhookOpenProcess() {if (MH_DisableHook(MH_ALL_HOOKS) == MB_OK){MH_Uninitialize();}
}BOOL APIENTRY DllMain(HMODULE hModule,DWORD  ul_reason_for_call,LPVOID lpReserved
)
{switch (ul_reason_for_call){case DLL_PROCESS_ATTACH: {HookOpenProcess();break;}case DLL_THREAD_ATTACH: {break;}case DLL_THREAD_DETACH: {break;}case DLL_PROCESS_DETACH:UnhookOpenProcess();break;}return TRUE;
}

3、任务管理器dll注入/卸载

#include <iostream>
#include <Windows.h>
#include <tlhelp32.h>DWORD nPid = 0;
DWORD GetTaskMgrPid()
{DWORD nPid = 0;std::wstring wstrProcessName(L"TaskMgr.exe");PROCESSENTRY32 pe32;HANDLE hSnapshot = NULL;pe32.dwSize = sizeof(PROCESSENTRY32);hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);if (hSnapshot == INVALID_HANDLE_VALUE) return -1;if (Process32First(hSnapshot, &pe32)) {do {// wcsicmp: ignore case; wcscmp: case sensitiveif (_wcsicmp(pe32.szExeFile, wstrProcessName.c_str()) == 0) {nPid = pe32.th32ProcessID;break;}} while (Process32Next(hSnapshot, &pe32));}if (hSnapshot != INVALID_HANDLE_VALUE)CloseHandle(hSnapshot);return nPid;
}void ejectDll() {wchar_t szDll[] = L"HookOpenProcess.dll";BOOL bMore = FALSE, bFound = FALSE;HANDLE hSnapshot, hProcess, hThread;HMODULE hModule = NULL;MODULEENTRY32 me = { sizeof(me) };LPTHREAD_START_ROUTINE pThreadProc;hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, nPid);if (INVALID_HANDLE_VALUE == hSnapshot) {std::cout << "Create snapshot failed: " << GetLastError() << ", pid: " << nPid << "\n";return;}bMore = Module32First(hSnapshot, &me);for (; bMore; bMore = Module32Next(hSnapshot, &me)){if (!_wcsicmp((LPCTSTR)me.szModule, szDll) ||!_wcsicmp((LPCTSTR)me.szExePath, szDll)){bFound = TRUE;break;}}if (!bFound){std::cout << "Not found\n";CloseHandle(hSnapshot);return ;}if (!(hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, nPid))){//_tprintf(L"OpenProcess(%d) failed!!! [%d]\n", dwPID, GetLastError());return ;}hModule = GetModuleHandle(L"kernel32.dll");// free library with manualpThreadProc = (LPTHREAD_START_ROUTINE)GetProcAddress(hModule, "FreeLibrary");hThread = CreateRemoteThread(hProcess, NULL, 0,pThreadProc, me.modBaseAddr,0, NULL);WaitForSingleObject(hThread, INFINITE);CloseHandle(hThread);CloseHandle(hProcess);CloseHandle(hSnapshot);std::cout << "Eject completed.\n";
}void injectDll()
{char szDll[] = "D:/Demo/include/HookOpenProcess.dll";HANDLE hTaskMgr = OpenProcess(PROCESS_ALL_ACCESS, FALSE, nPid);if (NULL == hTaskMgr) {std::cout << "Open process failed: " << GetLastError() << "\n";return;}SIZE_T pathSize = strlen(szDll) + 1;LPVOID pDllAddr = VirtualAllocEx(hTaskMgr, NULL, pathSize, MEM_COMMIT, PAGE_READWRITE);BOOL bSucc = WriteProcessMemory(hTaskMgr, pDllAddr, szDll, pathSize, NULL);LPTHREAD_START_ROUTINE fun = (LPTHREAD_START_ROUTINE)LoadLibraryA;auto hThread = CreateRemoteThread(hTaskMgr, NULL, 0, fun, pDllAddr, 0, NULL);WaitForSingleObject(hThread, INFINITE);// do cleanCloseHandle(hThread);VirtualFreeEx(hTaskMgr, pDllAddr, 0, MEM_RELEASE);CloseHandle(hTaskMgr);std::cout << "Inject completed.\n";
}int main()
{nPid = GetTaskMgrPid();if (nPid <= 0) {std::cout << "TaskMgr.exe not running, try it later\n";return 0;}
#if 1injectDll();
#elseejectDll();
#endifgetchar();return 0;
}

注意事项

1、dll编译和待注入程序位数保持一致(待注入程序是64位,dll必须是64位)
2、注入程序必须和待注入程序位数保持一致(待注入程序是64位,注入必须是64位)
3、pid信息可通过共享内存(FileMapping)传递,如果dll内部有用到event并等待,一定要先退出等待,dll才能卸载,不然会导致任务管理器异常
4、HookOpenProcess,如果忽略需要返回NULL,不是INVALID_HANDLE_VALUE,不然win7会导致任务管理器崩溃
5、若dll路径没问题,注入成功,但是dll未加载,请采用mt编译

这篇关于windows hook之进程防杀(任务管理器)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/1094889

相关文章

Python实现剪贴板历史管理器

Python实现剪贴板历史管理器

《Python实现剪贴板历史管理器》在日常工作和编程中,剪贴板是我们使用最频繁的功能之一,本文将介绍如何使用Python和PyQt5开发一个功能强大的剪贴板历史管理器,感兴趣的可以了解下... 目录一、概述:为什么需要剪贴板历史管理二、功能特性全解析2.1 核心功能2.2 增强功能三、效果展示3.1 主界面
阅读更多...
Python+Tkinter实现Windows Hosts文件编辑管理工具

Python+Tkinter实现Windows Hosts文件编辑管理工具

《Python+Tkinter实现WindowsHosts文件编辑管理工具》在日常开发和网络调试或科学上网场景中,Hosts文件修改是每个开发者都绕不开的必修课,本文将完整解析一个基于Python... 目录一、前言:为什么我们需要专业的Hosts管理工具二、工具核心功能全景图2.1 基础功能模块2.2 进
阅读更多...
Django之定时任务django-crontab的实现

Django之定时任务django-crontab的实现

《Django之定时任务django-crontab的实现》Django可以使用第三方库如django-crontab来实现定时任务的调度,本文主要介绍了Django之定时任务django-cront... 目录crontab安装django-crontab注册应用定时时间格式定时时间示例设置定时任务@符号
阅读更多...
Python+PyQt5开发一个Windows电脑启动项管理神器

Python+PyQt5开发一个Windows电脑启动项管理神器

《Python+PyQt5开发一个Windows电脑启动项管理神器》:本文主要介绍如何使用PyQt5开发一款颜值与功能并存的Windows启动项管理工具,不仅能查看/删除现有启动项,还能智能添加新... 目录开篇:为什么我们需要启动项管理工具功能全景图核心技术解析1. Windows注册表操作2. 启动文件
阅读更多...
使用Python创建一个功能完整的Windows风格计算器程序

使用Python创建一个功能完整的Windows风格计算器程序

《使用Python创建一个功能完整的Windows风格计算器程序》:本文主要介绍如何使用Python和Tkinter创建一个功能完整的Windows风格计算器程序,包括基本运算、高级科学计算(如三... 目录python实现Windows系统计算器程序(含高级功能)1. 使用Tkinter实现基础计算器2.
阅读更多...
Android实现定时任务的几种方式汇总(附源码)

Android实现定时任务的几种方式汇总(附源码)

《Android实现定时任务的几种方式汇总(附源码)》在Android应用中,定时任务(ScheduledTask)的需求几乎无处不在:从定时刷新数据、定时备份、定时推送通知,到夜间静默下载、循环执行... 目录一、项目介绍1. 背景与意义二、相关基础知识与系统约束三、方案一:Handler.postDel
阅读更多...
Windows系统宽带限制如何解除?

Windows系统宽带限制如何解除?

《Windows系统宽带限制如何解除?》有不少用户反映电脑网速慢得情况,可能是宽带速度被限制的原因,只需解除限制即可,具体该如何操作呢?本文就跟大家一起来看看Windows系统解除网络限制的操作方法吧... 有不少用户反映电脑网速慢得情况,可能是宽带速度被限制的原因,只需解除限制即可,具体该如何操作呢?本文
阅读更多...
windows和Linux使用命令行计算文件的MD5值

windows和Linux使用命令行计算文件的MD5值

《windows和Linux使用命令行计算文件的MD5值》在Windows和Linux系统中,您可以使用命令行(终端或命令提示符)来计算文件的MD5值,文章介绍了在Windows和Linux/macO... 目录在Windows上:在linux或MACOS上:总结在Windows上:可以使用certuti
阅读更多...
Java并发编程之如何优雅关闭钩子Shutdown Hook

Java并发编程之如何优雅关闭钩子Shutdown Hook

《Java并发编程之如何优雅关闭钩子ShutdownHook》这篇文章主要为大家详细介绍了Java如何实现优雅关闭钩子ShutdownHook,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起... 目录关闭钩子简介关闭钩子应用场景数据库连接实战演示使用关闭钩子的注意事项开源框架中的关闭钩子机制1.
阅读更多...
springboot使用Scheduling实现动态增删启停定时任务教程

springboot使用Scheduling实现动态增删启停定时任务教程

《springboot使用Scheduling实现动态增删启停定时任务教程》:本文主要介绍springboot使用Scheduling实现动态增删启停定时任务教程,具有很好的参考价值,希望对大家有... 目录1、配置定时任务需要的线程池2、创建ScheduledFuture的包装类3、注册定时任务,增加、删
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2