强制结束进程

依然已经走到驱动这一层了,那么通常结束掉一个进程不是什么难的事情。同时因为win64 位的各种保护,导致大家慢慢的已经不敢HOOK了,当然这指的是产品。作为学习和破解的话当然可以尝试各种hook。目前来说很多杀软进程保护都是通过回调了保护的,简单,稳定,安全。So,强制结束进程会比当年简单很多。

首先就是上一个最基本的驱动里结束进程的方法:

1.直接调用ZwTerminateProcess去结束进程,这个是公开导出的函数,也就是说它很稳定。不要小看这个东西,我测试过很多杀软。目前停不掉的只有国外的 某伞,可能有人会关心国内的各种卫士能不能停掉!我觉得可以尝试一下,通常不会失望。OK不废话,上代码:

TerminateProcess ->NtTerminateProcess ->ZwTerminateProcess

void ZwKillProcess(HANDLE hdPid)

{

__try {

    HANDLE hProcess = NULL;

    CLIENT_ID ClientId = {0};

    OBJECT_ATTRIBUTES oa = {0};

    ClientId.UniqueProcess = (HANDLE)hdPid;

    ClientId.UniqueThread = 0;

    oa.Length = sizeof(oa);

    oa.RootDirectory = 0;

    oa.ObjectName = 0;

    oa.Attributes = 0;

    oa.SecurityDescriptor = 0;

    oa.SecurityQualityOfService = 0;

    ZwOpenProcess(&hProcess, 1, &oa, &ClientId);

    if (hProcess)

    {

        ZwTerminateProcess(hProcess, 0);

        ZwClose(hProcess);

    };

  }

  __except (EXCEPTION_EXECUTE_HANDLER)

 {;}}

2.方法2就是通过PsTerminateSystemThread找到PspTerminateThreadByPointer

下面是Win7 64 双机调试 windbg获取的信息

然后要找到Win7 64位PspTerminateThreadByPointer结构(注意下面的是win7 64每个系统要单独去找):

typedef NTSTATUS (__fastcall *PSPTERMINATETHREADBYPOINTER)

(

IN PETHREAD Thread,

IN NTSTATUS ExitStatus,

IN BOOLEAN DirectTerminate

);

然后就是定位一个特征码,从PsTerminateSystemThread开始往下找,直接把学习资料的代码拿过来吧,作者是定位了01e8也就是两条汇编指令相关的部分。然后自定义了一个计算公式hash这个特征码,代码如下(这个地方不固定,定位的越长,越准确):

if(PspTerminateThreadByPointer==NULL)

{

	AddressOfPsTST=(ULONG64)GetFunctionAddr(L"PsTerminateSystemThread");

	if(AddressOfPsTST==0)

		return STATUS_UNSUCCESSFUL;

	for(i=1;i<0xff;i++)

	{

		if(MmIsAddressValid((PVOID)(AddressOfPsTST+i))!=FALSE)

		{

		if(*(BYTE*)(AddressOfPsTST+i)==0x01&&*(BYTE*)(AddressOfPsTST+i+1)==0xe8) //目标地址-原始地址-5=机器码 ==> 目标地址=机器码+5+原始地址

			{

				RtlMoveMemory(&callcode,(PVOID)(AddressOfPsTST+i+2),4);

				AddressOfPspTTBP=(ULONG64)callcode + 5 + AddressOfPsTST+i+1;

			}

		}

	}

PspTerminateThreadByPointer=(PSPTERMINATETHREADBYPOINTER)AddressOfPspTTBP;

	}

找到函数位置之后,剩下的可以直接枚举线程id,找到进程id,通过进程id进行对比之后决定是否结束掉这个线程。

for(i=4;i<0x40000;i+=4)

{

    status=PsLookupThreadByThreadId((HANDLE)i, &Thread);

    if(NT_SUCCESS(status))

    {

    tProcess=IoThreadToProcess(Thread);

    if(tProcess==Process)

    PspTerminateThreadByPointer(Thread,0,1);

    ObDereferenceObject(Thread);

    }

}

3.第三种方式就是强行切到对方内存里,然后直接 进程虚拟内存擦除(这个自己也会退出,但是可以继续打开新进程链接服务干活,或者擦除的时候就直接启动一个擦除进程):

BOOLEAN ZeroKill(ULONG PID)   //X32  X64

{

    NTSTATUS ntStatus = STATUS_SUCCESS;

    int i = 0;

    PVOID handle;

    PEPROCESS Eprocess;

    ntStatus = PsLookupProcessByProcessId(PID, &Eprocess);

    if (NT_SUCCESS(ntStatus))

    {

    PKAPC_STATEpKs=(PKAPC_STATE)ExAllocatePool(NonPagedPool, sizeof(PKAPC_STATE));

    KeStackAttachProcess(Eprocess , pKs);//Attach进程虚拟空间

    for (i = 0; i <= 0x7fffffff; i += 0x1000)

    {

    if (MmIsAddressValid((PVOID)i))

        {

            _try

           {

              ProbeForWrite((PVOID)i,0x1000,sizeof(ULONG));

              memset((PVOID)i,0xcc,0x1000);

           }_except(1){continue;}

     }else{

      if (i>0x1000000)  //填这么多足够破坏进程数据了

         break;

      }

   }

    KeUnstackDetachProcess(pKs);

    if (ObOpenObjectByPointer((PVOID)Eprocess, 0, NULL, 0, NULL, KernelMode, &handle) != STATUS_SUCCESS)

        return FALSE;

    ZwTerminateProcess((HANDLE)handle, STATUS_SUCCESS);

    ZwClose((HANDLE)handle);

    return TRUE;

    }

    return FALSE;

}

Win64 驱动内核编程-26.强制结束进程的更多相关文章

  1. Win64 驱动内核编程-27.强制读写受保护的内存

    强制读写受保护的内存 某些时候我们需要读写别的进程的内存,某些时候别的进程已经对自己的内存读写做了保护,这里说四个思路(两个R3的,两个R0的). 方案1(R3):直接修改别人内存 最基本的也最简单的 ...

  2. Win64 驱动内核编程-7.内核里操作进程

    在内核里操作进程 在内核里操作进程,相信是很多对 WINDOWS 内核编程感兴趣的朋友第一个学习的知识点.但在这里,我要让大家失望了,在内核里操作进程没什么特别的,就标准方法而言,还是调用那几个和进程 ...

  3. Win64 驱动内核编程-8.内核里的其他常用

    内核里的其他常用 1.遍历链表.内核里有很多数据结构,但它们并不是孤立的,内核使用双向链表把它们像糖 葫芦一样给串了起来.所以遍历双向链表能获得很多重要的内核数据.举个简单的例子,驱 动对象 Driv ...

  4. Win64 驱动内核编程-3.内核里使用内存

    内核里使用内存 内存使用,无非就是申请.复制.设置.释放.在 C 语言里,它们对应的函数是:malloc.memcpy.memset.free:在内核编程里,他们分别对应 ExAllocatePool ...

  5. Win64 驱动内核编程-2.基本框架(安装.通讯.HelloWorld)

    驱动安装,通讯,Hello World 开发驱动的简单流程是这样,开发驱动安装程序,开发驱动程序,然后安装程序(或者其他程序)通过通讯给驱动传命令,驱动接到之后进行解析并且执行,然后把执行结果返回. ...

  6. Win64 驱动内核编程-18.SSDT

    SSDT 学习资料:http://blog.csdn.net/zfdyq0/article/details/26515019 学习资料:WIN64内核编程基础 胡文亮 SSDT(系统服务描述表),刚开 ...

  7. Win64 驱动内核编程-31.枚举与删除映像回调

    枚举与删除映像回调 映像回调可以拦截 RING3 和 RING0 的映像加载.某些游戏保护会用此来拦截黑名单中的驱动加载,比如 XUETR.WIN64AST 的驱动.同理,在反游戏保护的过程中,也可以 ...

  8. Win64 驱动内核编程-21.DKOM隐藏和保护进程

    DKOM隐藏和保护进程 主要就是操作链表,以及修改节点内容. DKOM 隐藏进程和保护进程的本质是操作 EPROCESS 结构体,不同的系统用的时候注意查下相关定义,确定下偏移,下面的数据是以win7 ...

  9. Win64 驱动内核编程-11.回调监控进线程句柄操作

    无HOOK监控进线程句柄操作 在 NT5 平台下,要监控进线程句柄的操作. 通常要挂钩三个API:NtOpenProcess.NtOpenThread.NtDuplicateObject.但是在 VI ...

随机推荐

  1. 深入浅出新一代跨平台抓包&调式利器Fiddler Everywhere

    什么是Fiddler Everywhere? Fiddler Everywhere is a web debugging proxy for macOS, Windows, and Linux. Ca ...

  2. 单元测试 - SpringBoot2+Mockito实战

    单元测试 - SpringBoot2+Mockito实战 在真实的开发中,我们通常是使用SpringBoot的,目前SpringBoot是v2.4.x的版本(SpringBoot 2.2.2.RELE ...

  3. MySQL入门(2)——存储引擎

    MySQL入门(2)--存储引擎 查询MySQL支持的存储引擎 查询全部支持的引擎: show engines; ";"可以使用"\g"等价替换,而使用&quo ...

  4. BZOJ_2115 [Wc2011] Xor 【图上线性基】

    一.题目 [Wc2011] Xor 二.分析 比较有意思的一题,这里也学到一个结论:$1$到$N$的任意一条路径异或和,可以是一个任意一条$1$到$N$的异或和与图中一些环的异或和组合得到.因为一个数 ...

  5. ch1_6_3求解移动字符串问题

    import java.util.Scanner; public class ch1_6_3求解移动字符串问题 { public static void main(String[] args) { / ...

  6. windows 以管理员身份运行 代码

    1 // 以管理员身份运行本进程 2 // 1 获取本进程的文件路径. 3 TCHAR path[MAX_PATH] = { 0 }; // 需要初始化 4 DWORD dwPathSize = MA ...

  7. 【java框架】SpringBoot(3) -- SpringBoot集成Swagger2

    1.SpringBoot web项目集成Swagger2 1.1.认识Swagger2 Swagger 是一个规范和完整的框架,用于生成.描述.调用和可视化 RESTful 风格的 Web 服务.总体 ...

  8. redis数据库如何批量删除键和设置过期时间?

    我们可以借助Linux中的xargs,在终端中执行命令来实现这两个功能. 一.批量删除键 批量删除以"key"开头key的方法,需要借助Linux中的xargs,在终端中执行以下命 ...

  9. Java例题_38 自定义函数求字符串长度

    1 /*38 [程序 38 求字符串长度] 2 题目:写一个函数,求一个字符串的长度,在 main 函数中输入字符串,并输出其长度. 3 */ 4 5 /*分析 6 * 1.从键盘得到一个字符串 7 ...

  10. Android 学习之活动的生命周期

    •返回栈 Android 中的活动是可以叠层的: 我们每启动一个新的活动,就会覆盖在原活动之上: 然后点击 Back 键会销毁最上面的活动,下面一个活动就会重新显示出来: 其实 Android 是使用 ...