windows平台中,某些进程做了各种保护,比如hook了terminateProcess,又或者注册了进程终止函数的回调。当调用这些API或任务管理器终止该进程时,会被绕过,典型如某些杀毒软件,怎么才能终止这些进程了?

进程是由线程组成的,如果该进程名下所有线程都终止,此进程也会被windows回收和注销,终止进程的问题就转化成了终止线程;但如果直接调用terminateThread,同样面临terminateProcess被hook的窘境。深入逆向分析terminateThread后发现,真正终止线程的函数是PspTerminateThreadByPointer,整个调用逻辑为:NtTerminateThread->PsTerminateSystemThread->PspTerminateThreadByPointer,其中PsTerminateSystemThread是导入未文档化函数,可在驱动层掉用MmGetSystemRoutineAddress函数获取地址,进而得到PspTerminateThreadByPointer的地址(当然也能使用https://www.cnblogs.com/theseventhson/p/13024325.html该方法获取),核心函数如下:

1、根据起始和终止地址、特征码查找代码偏移

PVOID SearchMemory(PVOID pStartAddress, PVOID pEndAddress, PUCHAR pMemoryData, ULONG ulMemoryDataSize)

{

    PVOID pAddress = NULL;

    PUCHAR i = NULL;

    ULONG m = ;

    // 扫描内存

    for (i = (PUCHAR)pStartAddress; i < (PUCHAR)pEndAddress; i++)

    {

        // 判断特征码

        for (m = ; m < ulMemoryDataSize; m++)

        {

            if (*(PUCHAR)(i + m) != pMemoryData[m])

            {

                break;

            }

        }

        // 判断是否找到符合特征码的地址

        if (m >= ulMemoryDataSize)

        {

            // 找到特征码位置, 获取紧接着特征码的下一地址

            pAddress = (PVOID)(i + ulMemoryDataSize);

            break;

        }

    }

    return pAddress;

}

2、(1)PsTerminateSystemThread是导出未文档化的函数,可以直接用MmGetSystemRoutineAddress得到函数地址

(2)windbg中根据PsTerminateSystemThread进一步查找PspTerminateThreadByPointer:这里用了e8作为特征码,直接定位到“e8dcf0fbff      call    nt!PspTerminateThreadByPointer (fffff803`d01c6210)”这行代码;

kd> u 0xfffff803`d0207110   //下面偏移x20 = 32byte处

nt!PsTerminateSystemThread:

fffff803`d0207110 4883ec28        sub     rsp,28h

fffff803`d0207114 8bd1            mov     edx,ecx

fffff803`d0207116 65488b0c2588010000 mov   rcx,qword ptr gs:[188h]

fffff803`d020711f f7417400040000  test    dword ptr [rcx+74h],400h

fffff803`d0207126 0f84a0630e00    je      nt!PsTerminateSystemThread+0xe63bc (fffff803`d02ed4cc)

fffff803`d020712c 41b001          mov     r8b,1

fffff803`d020712f e8dcf0fbff      call    nt!PspTerminateThreadByPointer (fffff803`d01c6210)

  熟悉x86汇编的都知道:e8是call的硬编码,后面dcf0fbff是目标地址当对于当前的偏移,偏移为0xfffbf0dc。这个偏移很大,根据经验判断应该是个负数,0n-266020,那么PspTerminateThreadByPointer的计算方法:

  PspTerminateThreadByPointer =  当前地址 + 4 + 偏移(负数)

=0xfffff800`63f7e130 + 0x4 + 0n-266020

= ‭FFFFF80063F7E134‬ + 0n-266020

= -8,794,415,832,780 - 266020 //统一转成10进制

= -8,794,416,098,800‬

= FFFF F800 63F3 D210‬

继续windbg查一下:发现这个地址确实是PspTerminateThreadByPointer的,没错:

kd> u 0xfffff800`63f3d210

nt!PspTerminateThreadByPointer:

fffff800`63f3d210 48895c2408      mov     qword ptr [rsp+8],rbx

fffff800`63f3d215 48896c2410      mov     qword ptr [rsp+10h],rbp

fffff800`63f3d21a 4889742418      mov     qword ptr [rsp+18h],rsi

fffff800`63f3d21f 57              push    rdi

fffff800`63f3d220 4883ec30        sub     rsp,30h

fffff800`63f3d224 8b81d0060000    mov     eax,dword ptr [rcx+6D0h]

fffff800`63f3d22a 418ae8          mov     bpl,r8b

fffff800`63f3d22d 488bb920020000  mov     rdi,qword ptr [rcx+220h]

  详细代码如下(这里pSpecialData用E8就好):

PVOID SearchPspTerminateThreadByPointer(PUCHAR pSpecialData, ULONG ulSpecialDataSize)

{

    UNICODE_STRING ustrFuncName;

    PVOID pAddress = NULL;

    LONG lOffset = ;

    PVOID pPsTerminateSystemThread = NULL;

    PVOID pPspTerminateThreadByPointer = NULL;

    // 先获取 PsTerminateSystemThread 函数地址

    RtlInitUnicodeString(&ustrFuncName, L"PsTerminateSystemThread");

    pPsTerminateSystemThread = MmGetSystemRoutineAddress(&ustrFuncName);

    if (NULL == pPsTerminateSystemThread)

    {

        ShowError("MmGetSystemRoutineAddress", );

        return pPspTerminateThreadByPointer;

    }

    // 然后, 查找 PspTerminateThreadByPointer 函数地址

    pAddress = SearchMemory(pPsTerminateSystemThread,

        (PVOID)((PUCHAR)pPsTerminateSystemThread + 0xFF),//搜索255字节长度

        pSpecialData, ulSpecialDataSize);

    if (NULL == pAddress)

    {

        ShowError("SearchMemory", );

        return pPspTerminateThreadByPointer;

    }

    // 先获取偏移, 再计算地址

    lOffset = *(PLONG)pAddress;//0n-266020。注意这里向前跳,偏移是负数,有符号

    pPspTerminateThreadByPointer = (PVOID)((PUCHAR)pAddress + sizeof(LONG) + lOffset);

    return pPspTerminateThreadByPointer;

}

3、得到PspTerminateThreadByPointer地址:

PVOID GetPspLoadImageNotifyRoutine()

{

    PVOID pPspTerminateThreadByPointerAddress = NULL;

    RTL_OSVERSIONINFOW osInfo = {  };

    UCHAR pSpecialData[] = {  };

    ULONG ulSpecialDataSize = ;

    pSpecialData[] = 0xE8;

    ulSpecialDataSize = ;

    // E8

    pSpecialData[] = 0xE8;

    ulSpecialDataSize = ;

    // 根据特征码获取地址

    pPspTerminateThreadByPointerAddress = SearchPspTerminateThreadByPointer(pSpecialData, ulSpecialDataSize);

    return pPspTerminateThreadByPointerAddress;

}

4、现在可以强杀进程了:

// 强制结束指定进程

NTSTATUS ForceKillProcess(HANDLE hProcessId)

{

    PVOID pPspTerminateThreadByPointerAddress = NULL;

    PEPROCESS pEProcess = NULL;

    PETHREAD pEThread = NULL;

    PEPROCESS pThreadEProcess = NULL;

    NTSTATUS status = STATUS_SUCCESS;

    ULONG i = ;

#ifdef _WIN64

    // 64 位

    typedef NTSTATUS(__fastcall *PSPTERMINATETHREADBYPOINTER) (PETHREAD pEThread, NTSTATUS ntExitCode, BOOLEAN bDirectTerminate);

#else

    // 32 位

    typedef NTSTATUS(*PSPTERMINATETHREADBYPOINTER) (PETHREAD pEThread, NTSTATUS ntExitCode, BOOLEAN bDirectTerminate);

#endif

    // 获取 PspTerminateThreadByPointer 函数地址

    pPspTerminateThreadByPointerAddress = GetPspLoadImageNotifyRoutine();

    if (NULL == pPspTerminateThreadByPointerAddress)

    {

        ShowError("GetPspLoadImageNotifyRoutine", );

        return FALSE;

    }

    // 获取结束进程的进程结构对象EPROCESS

    status = PsLookupProcessByProcessId(hProcessId, &pEProcess);

    if (!NT_SUCCESS(status))

    {

        ShowError("PsLookupProcessByProcessId", status);

        return status;

    }

    // 遍历所有线程, 并结束所有指定进程的线程

    for (i = ; i < 0x80000; i = i + )

    {

        status = PsLookupThreadByThreadId((HANDLE)i, &pEThread);

        if (NT_SUCCESS(status))

        {

            // 获取线程对应的进程结构对象

            pThreadEProcess = PsGetThreadProcess(pEThread);

            // 结束指定进程的线程

            if (pEProcess == pThreadEProcess)

            {

                ((PSPTERMINATETHREADBYPOINTER)pPspTerminateThreadByPointerAddress)(pEThread, , );

                DbgPrint("PspTerminateThreadByPointer Thread:%d\n", i);

            }

            // 凡是Lookup...,必需Dereference,否则在某些时候会造成蓝屏

            ObDereferenceObject(pEThread);

        }

    }

    // 凡是Lookup...,必需Dereference,否则在某些时候会造成蓝屏

    ObDereferenceObject(pEProcess);

    return status;

}

5、测试环境:

windows:进程查杀的更多相关文章

  1. Linux 僵尸进程查杀

    僵尸进程概念 僵尸进程(Zombie process)通俗来说指那些虽然已经终止的进程,但仍然保留一些信息,等待其父进程为其收尸. 书面形式一点:一个进程结束了,但是他的父进程没有等待(调用wait ...

  2. windows查看端口占用情况及查杀进程

    我们平时在做web开发运行web服务器或运行某个应用时会报错,提示该应用的端口号已被占用,我们可以用以下的方法解决. 解决方法一:重新为应用配置端口. 解决方法二:找到占用端口的应用并关闭该应用释放占 ...

  3. shell脚本执行查找进程,然后查杀进程

    shell 执行查找进程,然后查杀进程脚本如下: ps -ef | grep 'IOE' |grep -v 'grep'| awk '{print \$2}' |while read pid; do ...

  4. centos clamav杀毒软件安装配置及查杀,没想到linux下病毒比windows还多!

    centos clamav杀毒软件安装配置及查杀,没想到linux下病毒比windows还多! 一.手动安装 1.下载(官网)    cd /soft     wget http://www.clam ...

  5. 查杀进程小工具——WPF和MVVM初体验

    最近因为工作需要,研究了一下桌面应用程序.在winform.WPF.Electron等几种技术里,最终选择了WPF作为最后的选型.WPF最吸引我的地方,就是MVVM模式了.MVVM模式完全把界面和业务 ...

  6. Linux进程管理:查杀进程

    一.查看进程 Linux下显示系统进程的命令ps,最常用的有ps -ef 和ps aux.这两个到底有什么区别呢? 两者没太大差别,讨论这个问题,要追溯到Unix系统中的两种风格,System V风格 ...

  7. Linux 僵尸进程的筛选和查杀

    一.筛选 ps -A -o stat,ppid,pid,cmd | grep -e '^[Zz]' 二.查杀 ps -A -o stat,ppid,pid,cmd | grep -e '^[Zz]' ...

  8. db2 查杀死锁进程

    db2 查杀死锁进命令 db2 get snapshot for locks on (需要snapshot的访问权限) db2 list applications db2 "force ap ...

  9. CMD查看进程ID并查杀进程

    开始-运行,输入CMD打开命令行界面,输入命令netstat -ano 结束该进程C:\>taskkill /f /t /im Wiz.exe 根据进程ID杀 >taskkill /F / ...

随机推荐

  1. day78 作业

    目录 1 在作业.html的代码基础上,完成商品数量的加减,注意商品数量如果低于0个,则自动删除当前商品 2 在作业.html的代码基础仧,完成购物车总价格的计算 3 使用ajax获取北京天气,并把昨 ...

  2. java IO流 (九) Path、Paths、Files的使用

    1.NIO的使用说明:>Java NIO (New IO,Non-Blocking IO)是从Java 1.4版本开始引入的一套新的IO API,可以替代标准的Java IO AP.>NI ...

  3. Django之 Models组件

    本节内容 路由系统 models模型 admin views视图 template模板 引子 讲django的models之前, 先来想一想, 让你通过django操作数据库,你怎么做? 做苦思冥想, ...

  4. HotSpot VM运行时

    HotSpot VM运行时系统为HotSpot JIT编译器和垃圾收集器提供服务和通用API,同时还为VM提供启动.线程管理.JNI(Java本地接口)等基本功能.HotSpot VM运行时环境担当许 ...

  5. Linux驱动之I2C总线设备以及驱动

    [ 导读] 本文通过阅读内核代码,来梳理一下I2C子系统的整体视图.在开发I2C设备驱动程序时,往往缺乏对于系统整体的认识,导致没有一个清晰的思路.所以从高层级来分析一下I2C系统的设计思路,将有助于 ...

  6. Azure Web App (二)使用部署槽切换部署环境

    一,引言 前天我们将到使用Azure的 Pass 服务 “Web App” 去部署我们的.NET Core Web项目,也同时有介绍到如何在VS中配置登陆中国区的Azure账号,今天接着讲,我们部署完 ...

  7. oop的三种设计模式(单例、工厂、策略)

    参考网站 单例模式: 废话不多说,我们直接上代码: <?php /** 三私一公 *私有的静态属性:保存类的单例 *私有的__construct():阻止在类的外部实例化 *私有的__clone ...

  8. web自动化测试实战之生成测试报告

    同志们,老铁们,继上篇文章 web自动化测试实战之批量执行测试用例 之后我们接着继续往下走,有人说我们运行了所有测试用例,控制台输入的结果,如果很多测试用例那也不能够清晰快速的知道多少用例通过率以及错 ...

  9. C++代码规约--命名约定

    目录 通用命名规则 文件命名 类型命名 变量命名 常量命名 函数命名 宏命名 枚举命名 命名空间命名 命名规则的特例 学习自Google C++编程规约 通用命名规则 函数命名, 变量命名, 文件命名 ...

  10. 想用@Autowired注入static静态成员?官方不推荐你却还偏要这么做

    生命太短暂,不要去做一些根本没有人想要的东西.本文已被 https://www.yourbatman.cn 收录,里面一并有Spring技术栈.MyBatis.JVM.中间件等小而美的专栏供以免费学习 ...