首页
社区
课程
招聘
NtSystemDebugControl修改EPROCESS隐藏进程时返回值提示拒绝访问
发表于: 2013-1-10 16:40 7082

NtSystemDebugControl修改EPROCESS隐藏进程时返回值提示拒绝访问

2013-1-10 16:40
7082
NtSystemDebugControl修改EPROCESS隐藏进程时返回值提示拒绝访问

谁有文章告诉我下 利用NtSystemDebugControl  实现隐藏进程的 R3层的
请问是不是XP系统要在 /DEBUG 的环境下才能调用成功这个函数 可是我在BOOT.INI 加了/DEBUG了还是不行
我的代码大概是这样

.版本 2

len = 取字节集长度 (数据)
MEMORY_CHUNKS = 取字节集左边 (到字节集 (地址), 4) + 到字节集 (_取指针_字节集 (数据, 数据, 0)) + 到字节集 (len)
' 到整数 ({ 188, 55, 86, 128, 192, 120, 21, 0, 4, 0, 0, 0 })) //这个是整数型的机器指令 就是MEMORY_CHUNKS的值
前面已经成功获取了EPROCESS了 但但是下面修改还是不行
status = NtSystemDebugControl (11, MEMORY_CHUNKS, 12, 0, 0, retlen)  ' 12为MEMORY_CHUNKS的长度

status=0xc0000022 好像就是拒绝访问的意思 我网络上搜索的

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (8)
雪    币: 952
活跃值: (1826)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
xp sp3以后已经不能用了
2013-1-10 16:43
0
雪    币: 40
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
哦那还有啥方法 可以实现隐藏进程不 R3层的  也不要通过R3层进入R0层的  更不要利用DLL 注入系统所有进程的方法
2013-1-10 16:46
0
雪    币: 40
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
4
好像可以用啊 我这边都能利用这个函数查询到 物理内存的信息 读取物理内存 应该是可以用吧  而且用GetLastError获取也没有获取到错误 在读物物理内存的时候
2013-1-10 16:50
0
雪    币: 952
活跃值: (1826)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
GetLastError的值就是stats转化出来的,Nt/Zw系列api是不能看GetLastError的
这个函数sp3后封锁了一部分功能,写内存不行了
2013-1-10 16:58
0
雪    币: 371
活跃值: (72)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
6
权限不够~
~~
2013-1-10 17:11
0
雪    币: 40
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
7
可是我的是SP2也不行
2013-1-10 18:34
0
雪    币: 40
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
8
那要咋办那要咋办那要咋办那要咋办那要咋办
2013-1-11 13:28
0
雪    币: 115
活跃值: (46)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
9
正解
操作进程需要有调试级权限,最直接的 RtlAdjustPrivilege (20, 1, 0, 0)
2013-3-12 18:41
0
游客
登录 | 注册 方可回帖
返回
//