[求助]想用hook OpenProcess 的方法，但是失败-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (14)
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 2 楼 SSDT HOOK NtOpenProcess就可以拦截到不少来自任务管理器的调用。 2009-7-26 03:15 0
Sunnig 雪币： 267 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	Sunnig 3 楼 ring3层的用注入全局dll hook openprocess防止task manager杀掉,网上源码很多搜一下吧. 2009-7-26 08:43 0
suds 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 14 粉丝 0 关注私信	suds 4 楼是我自己弄错了！多谢！现在可以了！但是有一个问题就是我远程注入的一个dll，如何能够正常Free掉呢？我把DllMain传入进来的HMODULE hModule记录下来。在需要free的时候调用 FreeLibrary(hModule); 但是发现整个系统大部分应用程序都crash掉了。explorer也不能幸免 2009-7-26 10:48 0
WinDebug 雪币： 100 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 44 粉丝 0 关注私信	WinDebug 5 楼可以在Ring3 HOOK OpenProcess成功，不过是用Delphi写的 2009-7-26 12:55 0
suds 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 14 粉丝 0 关注私信	suds 6 楼现在Hook是可以成功了！但是在卸载hookdll的时候宿主程序会崩溃。我在hookdll中有一段代码，如果收到某个事件，就调用FreeLibrary来把自己卸载掉。我估计就是这个代码有问题导致了宿主程序crash. 不知道各位有没有什么更好的办法来卸载hookdll. 非常感谢 2009-7-26 13:21 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 7 楼 SSDT HOOK NtOpenProcess 拦截不到任务管理器结束进程的... 要InLine HOOK NtOpenProcess可以拦截到,SDT拦截不到.. 我印象里是这样的拦截NtOpenProcess函数的下层调用,那就可以拦截到大多任务管理器的调用了. 2009-7-26 14:23 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 8 楼你所谓“印象”，也不自己推敲一下就说出来了？！任务管理器本来也就是个Ring3程序，通过调用Native API来获取系统信息，没有任何原理说明它对Native API的调用（更不用说对封装Native API的相应Win32 API的调用）能绕过SSDT HOOK。如果你找到了这个原理，不妨发出来和大家分享。另外我没有说过“SSDT HOOK NtOpenProcess可以拦截任务管理器结束进程”，我认为如果只是为了拦截结束进程操作就进行OpenProcess的限制是不太合理的，因为任务管理器本来就有进程管理功能，这个功能不止包括结束进程，还包括获取进程的相关信息比如CPU及内存占用等等，单独从OpenProcess操作上禁止的话，难以判断这个操作是为了结束进程还是为了读取进程的相关信息（除非任务管理器每次结束进程的时候永远单独使用PROCESS_TERMINATE权限打开，而其他操作的时候永远不使用包含PROCESS_TERMINATE的权限打开，这倒是可以分开，但是我没有试过是不是。而且即使任务管理器是规范地这么做的，其他程序也未必，而楼主显然不只是想对付任务管理器）。因此如果要拦截结束进程，拦截对NtTerminateProcess的调用会好一点，只是这个时候在Ring3判断传入的句柄是否是需保护进程的需要费点劲。 2009-7-26 17:08 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 9 楼轩辕小聪的回复让我很感动啊~ 2009-7-26 21:54 0
suds 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 14 粉丝 0 关注私信	suds 10 楼多谢各位的回复多谢轩辕小聪的建议，看起来拦截NtTerminateProcess更好。还需要多试试！谢谢 2009-7-28 12:41 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 11 楼我晕，我被批评了，其实我意思只是指出LZ为什么HOOK了OpenProcess为什么还是可以被任务管理器结束进程的问题，并没有说来hook OpenProcess来防止结束进程是一个好方法.. 因为我记得SDT HOOKOpenProcess还是会被任务管理器结束的. HOOK xxxxByPointer 任务管理器就结束不了了，或者xxByProcess.. 2009-8-18 13:33 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 12 楼 HOOK NtTerminateProcess来防止结束进程比OpenProcess好很多，但是记得在过滤函数里记得判断一下调用着是否自身。不然有问题！ 2009-8-18 13:35 0
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 13 楼我认为如果Dll是用远程线程LoadLibrary注入的应该用FreeLibraryAndExitThread 如果是钩子应该把钩子Unhook掉其实HookOpenProcess可能也可以，只要过滤dwDesiredAccess让它不显式或隐式包含PROCESS_TERMINATE 2009-8-18 15:50 0
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 14 楼我测试了下，OpenProcess是可以拦到的除非它发了个WM_CLOSE 你自己乖乖退出了这貌似也不对，Taskmgr在自动刷新时不停地在OpenProcess 2009-8-18 16:29 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 15 楼轩辕大牛很热心乐于助人真是我们这群菜鸟的福音哈哈说到任务管理器小弟也有个地方也不大明白任务管理器在拿不到句柄的情况下还是可以正常显示某程序的内存占用等信息类似空闲或处理过的进程不解请轩辕小聪帮忙解答谢谢 2009-8-18 21:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (14)
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 2 楼 SSDT HOOK NtOpenProcess就可以拦截到不少来自任务管理器的调用。 2009-7-26 03:15 0
Sunnig 雪币： 267 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	Sunnig 3 楼 ring3层的用注入全局dll hook openprocess防止task manager杀掉,网上源码很多搜一下吧. 2009-7-26 08:43 0
suds 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 14 粉丝 0 关注私信	suds 4 楼是我自己弄错了！多谢！现在可以了！但是有一个问题就是我远程注入的一个dll，如何能够正常Free掉呢？我把DllMain传入进来的HMODULE hModule记录下来。在需要free的时候调用 FreeLibrary(hModule); 但是发现整个系统大部分应用程序都crash掉了。explorer也不能幸免 2009-7-26 10:48 0
WinDebug 雪币： 100 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 44 粉丝 0 关注私信	WinDebug 5 楼可以在Ring3 HOOK OpenProcess成功，不过是用Delphi写的 2009-7-26 12:55 0
suds 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 14 粉丝 0 关注私信	suds 6 楼现在Hook是可以成功了！但是在卸载hookdll的时候宿主程序会崩溃。我在hookdll中有一段代码，如果收到某个事件，就调用FreeLibrary来把自己卸载掉。我估计就是这个代码有问题导致了宿主程序crash. 不知道各位有没有什么更好的办法来卸载hookdll. 非常感谢 2009-7-26 13:21 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 7 楼 SSDT HOOK NtOpenProcess 拦截不到任务管理器结束进程的... 要InLine HOOK NtOpenProcess可以拦截到,SDT拦截不到.. 我印象里是这样的拦截NtOpenProcess函数的下层调用,那就可以拦截到大多任务管理器的调用了. 2009-7-26 14:23 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 8 楼你所谓“印象”，也不自己推敲一下就说出来了？！任务管理器本来也就是个Ring3程序，通过调用Native API来获取系统信息，没有任何原理说明它对Native API的调用（更不用说对封装Native API的相应Win32 API的调用）能绕过SSDT HOOK。如果你找到了这个原理，不妨发出来和大家分享。另外我没有说过“SSDT HOOK NtOpenProcess可以拦截任务管理器结束进程”，我认为如果只是为了拦截结束进程操作就进行OpenProcess的限制是不太合理的，因为任务管理器本来就有进程管理功能，这个功能不止包括结束进程，还包括获取进程的相关信息比如CPU及内存占用等等，单独从OpenProcess操作上禁止的话，难以判断这个操作是为了结束进程还是为了读取进程的相关信息（除非任务管理器每次结束进程的时候永远单独使用PROCESS_TERMINATE权限打开，而其他操作的时候永远不使用包含PROCESS_TERMINATE的权限打开，这倒是可以分开，但是我没有试过是不是。而且即使任务管理器是规范地这么做的，其他程序也未必，而楼主显然不只是想对付任务管理器）。因此如果要拦截结束进程，拦截对NtTerminateProcess的调用会好一点，只是这个时候在Ring3判断传入的句柄是否是需保护进程的需要费点劲。 2009-7-26 17:08 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 9 楼轩辕小聪的回复让我很感动啊~ 2009-7-26 21:54 0
suds 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 14 粉丝 0 关注私信	suds 10 楼多谢各位的回复多谢轩辕小聪的建议，看起来拦截NtTerminateProcess更好。还需要多试试！谢谢 2009-7-28 12:41 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 11 楼我晕，我被批评了，其实我意思只是指出LZ为什么HOOK了OpenProcess为什么还是可以被任务管理器结束进程的问题，并没有说来hook OpenProcess来防止结束进程是一个好方法.. 因为我记得SDT HOOKOpenProcess还是会被任务管理器结束的. HOOK xxxxByPointer 任务管理器就结束不了了，或者xxByProcess.. 2009-8-18 13:33 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 12 楼 HOOK NtTerminateProcess来防止结束进程比OpenProcess好很多，但是记得在过滤函数里记得判断一下调用着是否自身。不然有问题！ 2009-8-18 13:35 0
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 13 楼我认为如果Dll是用远程线程LoadLibrary注入的应该用FreeLibraryAndExitThread 如果是钩子应该把钩子Unhook掉其实HookOpenProcess可能也可以，只要过滤dwDesiredAccess让它不显式或隐式包含PROCESS_TERMINATE 2009-8-18 15:50 0
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 14 楼我测试了下，OpenProcess是可以拦到的除非它发了个WM_CLOSE 你自己乖乖退出了这貌似也不对，Taskmgr在自动刷新时不停地在OpenProcess 2009-8-18 16:29 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 15 楼轩辕大牛很热心乐于助人真是我们这群菜鸟的福音哈哈说到任务管理器小弟也有个地方也不大明白任务管理器在拿不到句柄的情况下还是可以正常显示某程序的内存占用等信息类似空闲或处理过的进程不解请轩辕小聪帮忙解答谢谢 2009-8-18 21:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复