防止进程退出锁函数的妙用ExAcquireRundownProtection

陌路人 · 发表于 2015-5-25 01:12:57

本帖最后由陌路人于 2015-5-25 13:08 编辑

没有啥技术,就是用到这个函数后,想看看实现原理,具体是怎么操作的,也就有了下面的文章,
从头开始记录分析的,水平有限中间遇到不少问题,最明显的就是,当要退出的时候会有一个标记1同时也是一个指针
因为看的反汇编,而直接假设1 却没假设出来一个指针.``````

分析完后,发现有几个地方可以利用的,
1,就是多线程同步. 使用理由就是只需要定义一个全局变量即可,方便易懂.不容易出错.
2,就是可以保护进程或者线程 , 有利有弊 . 看个人取决了, 据目前测试没发现触发PG.
如果选择保护进程,副作用很大很多函数访问都会失败,
但是有一点,所有访问它的函数都会返回失败但是不会循环等待释放而它占用资源,
如果要想保护进程或者进程中的某个线程不正是我们想要的结果吗.

下面是我从一开始的分析过程, 可以直接跳到最下边看功能实现

游客，如果您要查看本帖隐藏内容请回复

Tesla.Angela · 发表于 2015-5-25 10:29:08

很不错，有截图又有注释。

我几年前就知道RundownProtection可以用来保护进程和线程但副作用巨大，今天才知道它的正规用途，学习了。

此外，从WIN8.1开始，EPROCESS有一个标志位，是专门用来实现进程保护的。。。

陌路人 · 发表于 2015-5-25 12:49:39

Tesla.Angela 发表于 2015-5-25 10:29
很不错，有截图又有注释。

我几年前就知道RundownProtection可以用来保护进程和线程但副作用巨大，今天才 ...

哦, win8 我还没有看过呢, 随后直接看win10把哈哈

Alpha.Po · 发表于 2015-6-15 14:31:04

看看，谢谢。。。

a92352102 · 发表于 2015-6-30 00:43:00

学习下

viphack · 发表于 2015-7-9 14:07:53

支持一下哈哈

upring · 发表于 2015-7-13 15:39:05

学习一下感谢分享

andylau004 · 发表于 2015-7-13 18:03:02

回复学习了e

309100 · 发表于 2015-7-13 23:35:55

正好遇到的这个问题

luqi_44 · 发表于 2015-7-15 21:11:41

看看哈

jzy1115 · 发表于 2015-7-28 10:45:31

看看了。。。。

nayan007 · 发表于 2015-9-26 18:24:39

来学习的

落笔飞花 · 发表于 2015-9-28 03:47:52

先看看把，回复一下总是好的。。

绿林科技 · 发表于 2015-9-28 15:09:28

谢谢！

谁杀了我的牛 · 发表于 2015-10-29 01:02:16

这好像
不错啊·！！

284406022 · 发表于 2015-10-29 09:53:43

来学习学习的

wird0r · 发表于 2015-10-29 15:08:51

学习一下, 有时候就是不想程序退出- -

gujin162 · 发表于 2015-10-29 16:44:36

此贴必火，占位留名，众亲平身

jie471043191 · 发表于 2016-1-13 16:59:04

学习一下·······

jie471043191 · 发表于 2016-1-13 16:59:06

学习一下·······

jie471043191 · 发表于 2016-1-13 16:59:07

学习一下·······

meesong · 发表于 2016-1-14 11:55:26

学习一下，感谢分享~

zjr230506 · 发表于 2016-7-21 14:54:07

要看看

羽痕乀 · 发表于 2016-8-12 00:08:13

多谢分享学习

evon · 发表于 2016-8-12 12:04:57

study

viphack · 发表于 2016-8-22 17:25:18

ExAcquireRundownProtection((ULONG64)pProcess + 0x178); *(ULONG64*)((ULONG64)pProcess + 0x178) |= 1; 为什么没反应线程改为了照样被远程线程侵害

wangmin1944 · 发表于 2016-8-24 21:16:08

学习了

kz丶cn · 发表于 2016-8-26 02:25:21