PspTerminateProcess 结束冰刃进程

最新推荐文章于 2023-04-28 14:38:48 发布
最新推荐文章于 2023-04-28 14:38:48 发布
阅读量1.8k 收藏
点赞数
分类专栏: Rootkit/驱动底层 文章标签: object include string c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SysProgram/article/details/5436734
版权
#include <ntddk.h>

typedef  NTSTATUS  ( * PSPTERPROC) ( PEPROCESS Process , NTSTATUS ExitStatus );
PSPTERPROC MyPspTerminateProcess ;
NTSTATUS
PsLookupProcessByProcessId(
                        IN HANDLE ProcessId ,
                        OUT PEPROCESS * Process
                        );

void Unload( PDRIVER_OBJECT pDriverObj)
{
        DbgPrint( "Driver Stop /n ");
}

NTSTATUS DriverEntry( PDRIVER_OBJECT pDriverObj , PUNICODE_STRING pRegistryString)
{
        PEPROCESS hProcess;
        MyPspTerminateProcess =( PSPTERPROC) 0x805c8642;

        //比如冰刃的进程ID为1732
        if( PsLookupProcessByProcessId( 1732 , & hProcess) == STATUS_SUCCESS)
        {
                     MyPspTerminateProcess( hProcess , 0);
        }
        pDriverObj -> DriverUnload = Unload;
        return STATUS_SUCCESS;
}

-----------------------------------------------------------------------------
以上代码使用了系统未导出函数PspTerminateProcess结束了冰刃,
函数的地址是我用WinDbg看到的,所以可能在不同的系统里地址不同。

 

sysprogram
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
冰刃IceSword 1.20 进程管理软件
11-30
IceSword是一斩断黑手的利刃(所以取这土名,有点搞e,呵呵)。它适用于Windows 2000/XP/2003操作系统,用于查探系统中的幕后黑手(木马后门)并作出处理,当然使用它需要用户有一些操作系统的知识。
SSTD HOOK
最新发布
qq_50242229的博客
05-06 130
打开一个记事本,只能通过点击关闭按钮或者菜单退出可以,而不能通过其他程序调用TerminateProcess关闭它。首先我们得找到TerminateProcess真正调用的内核函数的函数编号(所以我们需要修改编号101H的函数的地址,更新为我们自己的函数地址0x101但是,我们去修改该地址的值,有可能修改失败,页有可能是只读的,所以我们可以去修改该地址的PDPTE\PDE\PTE的属性,或者可以直接修改CR0寄存器的WP位。
模拟PspTerminateProcess结束进程-学习笔记
MichaelJScofield的专栏
05-27 5465
此文是阅读黑防上胡文亮大牛《模拟实现NT系统通用PspTerminateProcess》后作为学习笔记记录下来的,仅作学习记录,理解错的请勿拍砖。和通过特征暴力搜索定位PspTerminateProcess的地址的方法相比,亮点就是模拟了实现PspTerminateProcessPspTerminateThreadByPointer等函数。 此前先看PJF大牛的一篇《进程终止的内幕》
PsTerminateProcess
陪咖啡喝女人
02-12 2965
唉,不可避免的需要写个driver,难到不难,就是懒。自从开始稳重的重学C++,重学MFC以来,重看了很多的架构方面的资料,顺便把.NET、Java也复习了复习,面向对象编程对于项目实施还是有很大的弊端。还是更习惯面向模块编程,即省力又来的实在,可以很好的控制各模块的进度。不过难点在于前期需要设计很完善的测试框架,模块完成丢进测试框架里面跑一圈,如果不符合项目需求分析的
结束进程方法
wxdvc的专栏
12-08 4359
方法一针对有窗口的消息攻击法void main(void){   HWND hwnd = FindWindow(NULL, "sai";   SendMessage(hwnd,WM_CLOSE,0,0);//PostMessage(hwnd,WM_CLOSE,0,0);//SendMessage(hwnd,WM_SYSCOMMAND,SC_CLOSE,0);//PostMessage(hwnd,W
终于完成了Ring3下Call PspTerminateProcess
chenhui530的专栏
10-23 2808
出差到现在都即将两个月了,无聊郁闷中,好在昨天晚上成功在Ring3下Call PspTerminateProcess总算是有一份值得高兴得事情了,目前还只支持XP,关于搜索PspTerminateProcess的特征码定位是参考了网络上的一篇文章.目前工作正在移植到DLL中封装成标准函数供VB等语言调用.现在冰刃也可以轻易被结束了^_^. 
03 特征码搜索PspTerminateProcess函数、隐藏驱动模块
qq_50242229的博客
04-28 284
函数地址。
进程强杀
kernweak的博客
05-28 735
应用层杀进程会调用terminateProcess,往下会调用zwterminateProcess,再往下 PsTerminateProcess->PspTerminateProcess->PspTerminateThreadByPoint->PspExitThread 所以我们想调用PspTerminateProcess(再往下就是线程函数了),但是未导出。所以只能暴力搜索...
进程强杀探究
hongduilanjun的博客
03-07 1939
前言 我们知道在windows操作系统里面有ring0跟ring3的概念(ring1、ring2在windows中并未使用),因为ring0的特权级别是比ring3高的,那么我们肯定不能在ring3调用windows提供的api杀死ring0特权级别的进程,那么这时候我们就需要使用的ring0的函数来强行结束一些处于ring0级别的进程。 测试 我们首先打开PCHunter32.exe看一下,应用层是不能够访问的,我们知道可以在cmd里面使用taskkill命令来结束进程,但这种方式对ring0特权级别的程
冰刃(IceSword)的使用方法(基础篇)
qq_43934844的博客
12-16 2843
举个例子,比如你不能删除的文件是c:\windows\system32\下的1.sys,那么你可以在c:\建立一个记事本文件,里面随便打两个字母,保证文件大小不为0KB,修改其名称为1.sys,然后打开冰刃,选中新建立的c:\1.sys,在右键菜单中选择“复制”,然后打开复制对话框,选择病毒所在目录——c:\windows\system32\,然后输入文件名——1.sys,点复制,就可以了。在冰刃左面选择“文件”,按照上面的方法,选中要删除的文件所在的文件夹,找到要删除的文件。
冰刃进程结束利器)
08-31
冰刃进程结束的利器)IceSword122cn,试试吧,一般工具结速不了的进程它绝对可以,所有顽固进程一剑结束……
冰刃 进程管理工具 非常强悍
03-09
冰刃 的用途我就不用讲了! 很不错的安全工具! 可以结束几乎所有进程
内核级结束进程 结束冰刃进程 结束360等杀软进程
12-24
内核级结束进程 内核级结束进程 结束冰刃进程 结束360等杀软进程进程不能被冰刃结束
冰刃进程管理软件
01-05
用于进程的查看,当有可疑进程时呈红色。
IceLight V1.3.44[一线光-无驱,恢复SSDT,可杀IS,SS]
04-04
+小改动,同时结束多个进程 Version 1.2.38:3月9日,放弃DLL注入结束进程,改用代码注入。另新增保护PID、隐藏进程功能。使用Knlps强杀进程,不过稳定性不太好. Version 1.3.16:3月30日,一次巨大的改动,加入枚举...
通过进程ID得到进程
热门推荐
十年磨一剑,霜刃未曾试!
05-21 1万+
在内核中,通过进程ID,得到进程名称,有多种方法。我使用了两种方法,第一种是使用ZwOpeProcess得到句柄然后ObReferenceObjectByHandle函数得到PEPROCESS结构,然后char *ProcessName = (char*)EProcess + 0x174;第二种方法是得到PEPROCESS结构之后,使用PsGetProcessImageFileName函数得到进程名。具体代码如下:#include #include UCHAR* PsGetProcessImageF
Win7下使用DbgPrint
十年磨一剑,霜刃未曾试!
07-27 9287
在Win7下默认DbgPrint输出信息后,使用DbgView看不到内容。新建一个reg文件,双击导出就行了。 Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Con
Ring3下实现进程保护,不用hook
十年磨一剑,霜刃未曾试!
05-04 6859
今天在分析一款木马的时候,发现做了进程保护,没加驱动,也没做hook,能做进程保护,感觉非常奇怪,原来是这么一回事,mark一下吧! #include "stdafx.h" #include #include #pragma comment(lib,"Advapi32.lib") BOOL Ring3ProtectProcess() { HANDLE hProcess = ::Get
VMware+Win7+windbg 双机调试
十年磨一剑,霜刃未曾试!
06-16 3037
一. vmware 设置 1. 添加串口 2.选择输出到命名管道 3. 命名管道名称  \\.\pipe\com_1,  该端是服务器,  另一端是虚拟机 二. 系统设置 bcdedit /copy {current} /d "Windows 7 copy" bcdedit /debug ON bcdedit /bootdebug ON bcdedit /dbgsetting
ntdll.dll和ntoskrnl.exe中的NT*和ZW*函数区别
十年磨一剑,霜刃未曾试!
08-11 2796
<br />以NtOpenProcessZwOpenProcess为例,结合Windbg的lkd调试来说明<br />1、Q:ntdll.dll中的Nt*和Zw*区别?<br />lkd> u ntdll!zwopenprocess l4<br />ntdll!ZwOpenProcess:<br />7c92d5fe b87a000000      mov     eax,7Ah           //函数服务号<br />7c92d603 ba0003fe7f       mov     edx,of

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值