windows下ZwQuerySystemInformation隐藏进程,给出c++代码
时间: 2023-06-24 15:03:59 浏览: 87
以下是一个简单的 C++ 代码示例,演示了如何使用 `ZwQuerySystemInformation` 函数来遍历系统中的进程并隐藏指定进程。
注意:这仅是一个示例代码,仅供学习和参考。在实际使用中,请确保您已经理解代码的含义,并且不要滥用这个功能。
```cpp
#include <Windows.h>
#include <iostream>
typedef NTSTATUS(WINAPI* pfnZwQuerySystemInformation)(ULONG, PVOID, ULONG, PULONG);
int main()
{
// 要隐藏的进程名
const wchar_t* processName = L"Demo.exe";
// 加载 ntdll.dll 并获取 ZwQuerySystemInformation 函数地址
HMODULE ntdll = LoadLibrary(L"ntdll.dll");
pfnZwQuerySystemInformation ZwQuerySystemInformation = (pfnZwQuerySystemInformation)GetProcAddress(ntdll, "ZwQuerySystemInformation");
if (ZwQuerySystemInformation == nullptr)
{
std::cerr << "Failed to get ZwQuerySystemInformation address." << std::endl;
return 1;
}
// 获取系统进程信息
ULONG bufferSize = 0;
ZwQuerySystemInformation(SystemProcessInformation, nullptr, 0, &bufferSize);
PVOID buffer = VirtualAlloc(nullptr, bufferSize, MEM_COMMIT, PAGE_READWRITE);
if (buffer == nullptr)
{
std::cerr << "Failed to allocate memory." << std::endl;
return 1;
}
ULONG returnLength;
NTSTATUS status = ZwQuerySystemInformation(SystemProcessInformation, buffer, bufferSize, &returnLength);
if (status != STATUS_SUCCESS)
{
std::cerr << "Failed to get system process information." << std::endl;
VirtualFree(buffer, 0, MEM_RELEASE);
return 1;
}
// 遍历进程信息并隐藏指定进程
PSYSTEM_PROCESS_INFORMATION current = (PSYSTEM_PROCESS_INFORMATION)buffer;
PSYSTEM_PROCESS_INFORMATION previous = nullptr;
while (current != nullptr)
{
if (wcscmp(current->ImageName.Buffer, processName) == 0)
{
// 隐藏进程
if (previous != nullptr)
{
previous->NextEntryOffset += current->NextEntryOffset;
}
else
{
// 如果是第一个进程,则需要更新 ProcessInfoListHead 指针
((PSYSTEM_PROCESS_INFORMATION)buffer)->NextEntryOffset = current->NextEntryOffset;
}
}
// 移动到下一个进程
previous = current;
current = (PSYSTEM_PROCESS_INFORMATION)((PUCHAR)current + current->NextEntryOffset);
}
// 释放内存并退出
VirtualFree(buffer, 0, MEM_RELEASE);
return 0;
}
```
相关推荐
最新推荐
pre_o_1csdn63m9a1bs0e1rr51niuu33e.a
pre_o_1csdn63m9a1bs0e1rr51niuu33e.a
matlab建立计算力学课程的笔记和文件.zip
matlab建立计算力学课程的笔记和文件.zip
FT-Prog-v3.12.38.643-FTD USB 工作模式设定及eprom读写
FT_Prog_v3.12.38.643--FTD USB 工作模式设定及eprom读写
matlab基于RRT和人工势场法混合算法的路径规划.zip
matlab基于RRT和人工势场法混合算法的路径规划.zip
matlab基于matlab的两步定位软件定义接收机的开源GNSS直接位置估计插件模块.zip
matlab基于matlab的两步定位软件定义接收机的开源GNSS直接位置估计插件模块.zip
zigbee-cluster-library-specification
最新的zigbee-cluster-library-specification说明文档。
管理建模和仿真的文件
管理Boualem Benatallah引用此版本:布阿利姆·贝纳塔拉。管理建模和仿真。约瑟夫-傅立叶大学-格勒诺布尔第一大学,1996年。法语。NNT:电话:00345357HAL ID:电话:00345357https://theses.hal.science/tel-003453572008年12月9日提交HAL是一个多学科的开放存取档案馆,用于存放和传播科学研究论文,无论它们是否被公开。论文可以来自法国或国外的教学和研究机构,也可以来自公共或私人研究中心。L’archive ouverte pluridisciplinaire
实现实时数据湖架构:Kafka与Hive集成
# 1. 实时数据湖架构概述**
实时数据湖是一种现代数据管理架构,它允许企业以低延迟的方式收集、存储和处理大量数据。与传统数据仓库不同,实时数据湖不依赖于预先定义的模式,而是采用灵活的架构,可以处理各种数据类型和格式。这种架构为企业提供了以下优势:
- **实时洞察:**实时数据湖允许企业访问最新的数据,从而做出更明智的决策。
- **数据民主化:**实时数据湖使各种利益相关者都可
SPDK_NVMF_DISCOVERY_NQN是什么 有什么作用
SPDK_NVMF_DISCOVERY_NQN 是 SPDK (Storage Performance Development Kit) 中用于查询 NVMf (Non-Volatile Memory express over Fabrics) 存储设备名称的协议。NVMf 是一种基于网络的存储协议,可用于连接远程非易失性内存存储器。
SPDK_NVMF_DISCOVERY_NQN 的作用是让存储应用程序能够通过 SPDK 查询 NVMf 存储设备的名称,以便能够访问这些存储设备。通过查询 NVMf 存储设备名称,存储应用程序可以获取必要的信息,例如存储设备的IP地址、端口号、名称等,以便能
JSBSim Reference Manual
JSBSim参考手册,其中包含JSBSim简介,JSBSim配置文件xml的编写语法,编程手册以及一些应用实例等。其中有部分内容还没有写完,估计有生之年很难看到完整版了,但是内容还是很有参考价值的。