-
-
[原创]打算写一个进程处理API库(Winxp->Win7)
-
发表于:
2009-5-22 04:28
5675
-
[原创]打算写一个进程处理API库(Winxp->Win7)
好久不曾在网上露面了..言语很差.
打算写一个库.分四层
Kernel -> KernelLibrary -> UsermodeLibrary -> GUI
主要包含的功能:
1.进程部分:
1.1 进程枚举 / 隐藏
1.2 进程信息获取接口
1.3 进程操作接口
1.4 进程其他接口
1.5 进程模块枚举 / 隐藏
1.6 线程枚举
1.7 进程的Token处理
2.内存管理部分
1.1 实现山寨版的Kernel API用于跨进程读写.
3.兼容性
09/05/19:Windows XP/2K3测试通过
05/21:Windows 7开始测试
4.关于CPU环境
最高测试过4核稳定
AMD:1/2/4核
Intel:1/2
发帖的主要目的是希望可以找到志同道合的朋友认识,交流,共同完成这个项目.
自从05开始貌似就很少再网络上跟大家合作了.
都快成井底之蛙了.
有兴趣的朋友可以联系我..
直接回复就可以了.我每天都来关注的..
其他功能还在考虑.
先附带上库的头文件..驱动文件..和dll有兴趣的可以测试下
使用说明:
关于枚举:
1.HpDeviceInit
2.HpUpdateKernelProcessTable
3.HpEnumProcess
4.从此以后就可以直接调用任何需要hProcess参数的api了.但是除HpCloseHandle以外
关于隐藏:
1.HpDeviceInit
2.HpUpdateKernelProcessTable
3.HpOpenProcess
4.HpGetProcessListEntry
5.HpIsRemovedProcess
6.HpRemoveProcess
7.HpCloseHandle
这个是根据进程id隐藏一个进程
注意:
HpCloseHandle与HpOpenProcess/HpOpenProcessByIndex是成对使用..
但是HpEnumProcess得到的句柄千万别去HpCloseHandle
虽然api部分帮你做了多重隐藏的处理..但是最好的解决办法是HpIsRemovedProcess
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
