设为首页收藏本站
切换到宽版

龙马谷

 找回密码
 立即注册

QQ登录

只需一步,快速开始

龙马谷»龙马谷论坛 技术专区 C/C++技术分享 利用NtProtectVirtualMemory结束进程
龙马谷VIP会员办理客服QQ:82926983(如果临时会话没有收到回复,请先加QQ好友再发。)
1 [已完结] GG修改器新手入门与实战教程 31课 2 [已完结] GG修改器美化修改教程 6课 3 [已完结] GG修改器Lua脚本新手入门教程 12课
4 [已完结] 触动精灵脚本新手入门必学教程 22课 5 [已完结] 手游自动化脚本入门实战教程 9课 6 [已完结] C++射击游戏方框骨骼透视与自瞄教程 27课
7 [已完结] C++零基础UE4逆向开发FPS透视自瞄教程 29课 8 [已完结] C++零基础大漠模拟器手游自动化辅助教程 22课
以下是天马阁VIP教程,本站与天马阁合作,赞助VIP可以获得天马阁对应VIP会员,名额有限! 点击进入天马阁论坛
1 [已完结] x64CE与x64dbg入门基础教程 7课 2 [已完结] x64汇编语言基础教程 16课 3 [已完结] x64辅助入门基础教程 9课
4 [已完结] C++x64内存辅助实战技术教程 149课 5 [已完结] C++x64内存检测与过检测技术教程 10课 6 [已完结] C+x64二叉树分析遍历与LUA自动登陆教程 19课
7 [已完结] C++BT功能原理与x64实战教程 29课 8 [已完结] C+FPS框透视与自瞄x64实现原理及防护思路
返回列表 发新帖
查看: 1881|回复: 0

利用NtProtectVirtualMemory结束进程

[复制链接]
三木目

21

主题

0

回帖

26

积分

编程入门

Rank: 1

龙马币
52
三木目 | 显示全部楼层 |阅读模式

原理很简单,用PROCESS_VM_OPERATION打开目标进程(没必要PROCESS_ALL_ACCESS),把目标进程的ntdll.dll设为不能访问

  1. #include <stdio.h>
  2. #include <Windows.h>
  3. #include <Psapi.h>
  4. #include <Tlhelp32.h>

  6. #pragma comment(lib,"Psapi.lib")

  8. typedef NTSTATUS (__stdcall *RtlAdjustPrivilege_)(
  9.     ULONG Privilege,
  10.     BOOLEAN Enable,
  11.     BOOLEAN CurrentThread,
  12.     PBOOLEAN Enabled
  13.     );
  14. RtlAdjustPrivilege_ RtlAdjustPrivilege = NULL;

  16. typedef NTSTATUS (__stdcall *NtProtectVirtualMemory_)(
  17.     __in HANDLE ProcessHandle,
  18.     __inout PVOID *BaseAddress,
  19.     __inout PSIZE_T RegionSize,
  20.     __in ULONG NewProtectWin32,
  21.     __out PULONG OldProtect
  22.     );
  23. NtProtectVirtualMemory_ NtProtectVirtualMemory = NULL;

  25. ULONG GetPID (WCHAR* proc)
  26. {
  27.     BOOL                working =   0;
  28.     PROCESSENTRY32      lppe    = {0};
  29.     ULONG               targetPid=0;
  30.     HANDLE hSnapshot    =   CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS ,0);

  32.     if ( hSnapshot )
  33.     {
  34.         lppe.dwSize = sizeof( lppe );
  35.         working = Process32First( hSnapshot, &lppe );
  36.         while ( working )
  37.         {
  38.             if ( _wcsicmp( lppe.szExeFile,proc) ==0 )
  39.             {
  40.                 targetPid = lppe.th32ProcessID;
  41.                 break;
  42.             }
  43.             working = Process32Next(hSnapshot,&lppe);
  44.         }
  45.     }

  47.     CloseHandle( hSnapshot );
  48.     return targetPid;
  49. }

  51. void main()
  52. {
  53.     HMODULE     ntdll;
  54.     MODULEINFO  ModuleInfo;
  55.     ntdll   =   GetModuleHandle( L"ntdll.dll" );
  56.     if ( !GetModuleInformation( (HANDLE)-1, ntdll, &ModuleInfo, sizeof(MODULEINFO) ) )
  57.     {
  58.         return;
  59.     }   

  61.     BOOLEAN         Enabled;
  62.     RtlAdjustPrivilege =  (RtlAdjustPrivilege_)GetProcAddress( ntdll, "RtlAdjustPrivilege" );
  63.     if ( RtlAdjustPrivilege ==NULL )
  64.     {
  65.         return;
  66.     }

  68.     RtlAdjustPrivilege( 20, TRUE, FALSE, &Enabled );

  70.     HANDLE hProc    =   OpenProcess( PROCESS_VM_OPERATION, FALSE, GetPID(L"services.exe") );
  71.     if ( hProc ==   NULL )
  72.     {
  73.         return;
  74.     }

  76.     NtProtectVirtualMemory =  (NtProtectVirtualMemory_)GetProcAddress( ntdll, "NtProtectVirtualMemory" );
  77.     if ( NtProtectVirtualMemory ==  NULL )
  78.     {
  79.         return;
  80.     }

  82.     ULONG   OldProtect;
  83.     NtProtectVirtualMemory( hProc, &ModuleInfo.lpBaseOfDll, &ModuleInfo.SizeOfImage, PAGE_NOACCESS, &OldProtect );
  84. }
复制代码

回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

龙马谷| C/C++辅助教程| 安卓逆向安全| 论坛导航| 免责申明|Archiver|
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论,本站内容均为会员发表,并不代表龙马谷立场!
任何人不得以任何方式翻录、盗版或出售本站视频,一经发现我们将追究其相关责任!
我们一直在努力成为最好的编程论坛!
Copyright© 2018-2021 All Right Reserved.
关闭

会员办理

售后客服

技术支持

工作时间:9:00-22:00

在线客服
快速回复 返回顶部 返回列表