Ring3内存清0结束进程2

最新推荐文章于 2023-08-10 19:27:43 发布
最新推荐文章于 2023-08-10 19:27:43 发布
阅读量971 收藏
点赞数
分类专栏: Windows编程
/* This simple app demonstrates how to kill process by writing process's memory.
Write by EP_X0FF and DNY,I just extract it to C ---- zjjmj2002
*/
#include <Windows.h> 
#include <Ntsecapi.h> 
#include <Aclapi.h>
#include <tlhelp32.h> 

#pragma comment (lib,"ntdll.lib") // Copy From DDK 
#pragma comment (lib,"Kernel32.lib") 
#pragma comment (lib,"Advapi32.lib") 
#pragma comment(linker, "/ENTRY:main")

//------------------ 数据类型声明开始 --------------------//
typedef struct _PROCESS_BASIC_INFORMATION {
NTSTATUS ExitStatus;
ULONG PebBaseAddress;
ULONG_PTR AffinityMask;
LONG BasePriority;
ULONG_PTR UniqueProcessId;
ULONG_PTR InheritedFromUniqueProcessId;
} PROCESS_BASIC_INFORMATION;
typedef PROCESS_BASIC_INFORMATION *PPROCESS_BASIC_INFORMATION;

typedef struct _SYSTEM_HANDLE_INFORMATION
{
ULONG ProcessId;
UCHAR ObjectTypeNumber;
UCHAR Flags;
USHORT Handle;
PVOID Object;
ACCESS_MASK GrantedAccess;
} SYSTEM_HANDLE_INFORMATION, *PSYSTEM_HANDLE_INFORMATION; 
typedef struct _SYSTEM_MODULE_INFORMATION { 
ULONG Reserved[2]; 
PVOID Base; 
ULONG Size; 
ULONG Flags; 
USHORT Index; 
USHORT Unknown; 
USHORT LoadCount; 
USHORT ModuleNameOffset; 
CHAR ImageName[256]; 
} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION; 

typedef struct _OBJECT_ATTRIBUTES { 
ULONG Length; 
HANDLE RootDirectory; 
PUNICODE_STRING ObjectName; 
ULONG Attributes; 
PVOID SecurityDescriptor; 
PVOID SecurityQualityOfService; 
} OBJECT_ATTRIBUTES, *POBJECT_ATTRIBUTES; 

typedef enum _SECTION_INHERIT { 
ViewShare = 1, 
ViewUnmap = 2 
} SECTION_INHERIT; 

typedef struct _MY_PROCESS_INFO { 
ULONG PID; 
ULONG KPEB; 
ULONG CR3; 
CHAR Name[16]; 
ULONG Reserved; 
} MY_PROCESS_INFO, *PMY_PROCESS_INFO;
typedef struct _CLIENT_ID {
HANDLE UniqueProcess;
HANDLE UniqueThread;
} CLIENT_ID;
typedef CLIENT_ID *PCLIENT_ID; 

typedef long NTSTATUS; 
//------------------ 数据类型声明结束 --------------------// 

//--------------------- 预定义开始 -----------------------// 
#define NT_SUCCESS(Status) ((NTSTATUS)(Status) >= 0) 
#define STATUS_SUCCESS 0x00000000 
#define STATUS_UNSUCCESSFUL 0xC0000001 
#define STATUS_NOT_IMPLEMENTED 0xC0000002 
#define STATUS_INFO_LENGTH_MISMATCH 0xC0000004 
#define STATUS_INVALID_PARAMETER 0xC000000D 
#define STATUS_ACCESS_DENIED 0xC0000022 
#define STATUS_BUFFER_TOO_SMALL 0xC0000023 
#define OBJ_KERNEL_HANDLE 0x00000200 
#define SystemModuleInformation 11
#define SystemHandleInformation 0x10 

#define InitializeObjectAttributes( p, n, a, r, s ) { (p)->Length = sizeof( OBJECT_ATTRIBUTES );(p)->RootDirectory = r; (p)->Attributes = a; (p)->ObjectName = n; (p)->SecurityDescriptor = s; (p)->SecurityQualityOfService = NULL; } 
//--------------------- 预定义结束 -----------------------// 

//------------------ Native API声明开始 ------------------// 

NTSYSAPI 
NTSTATUS 
NTAPI 
ZwQuerySystemInformation( 
ULONG SystemInformationClass, 
PVOID SystemInformation, 
ULONG SystemInformationLength, 
PULONG ReturnLength 
); 
NTSYSAPI 
NTSTATUS
NTAPI
ZwOpenProcess(

OUT PHANDLE ProcessHandle,
IN ACCESS_MASK AccessMask,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN PCLIENT_ID ClientId );
NTSYSAPI 
NTSTATUS
NTAPI
ZwAllocateVirtualMemory(

IN HANDLE ProcessHandle,
IN OUT PVOID *BaseAddress,
IN ULONG ZeroBits,
IN OUT PULONG RegionSize,
IN ULONG AllocationType,
IN ULONG Protect );
NTSYSAPI 
NTSTATUS
NTAPI
ZwDuplicateObject(

IN HANDLE SourceProcessHandle,
IN PHANDLE SourceHandle,
IN HANDLE TargetProcessHandle,
OUT PHANDLE TargetHandle,
IN ACCESS_MASK DesiredAccess OPTIONAL,
IN BOOLEAN InheritHandle,
IN ULONG Options );
NTSYSAPI 
NTSTATUS
NTAPI
ZwQueryInformationProcess(

IN HANDLE ProcessHandle,
IN PVOID    ProcessInformationClass,
OUT PVOID ProcessInformation,
IN ULONG ProcessInformationLength,
OUT PULONG ReturnLength );
NTSYSAPI 
NTSTATUS
NTAPI
ZwProtectVirtualMemory(

IN HANDLE ProcessHandle,
IN OUT PVOID *BaseAddress,
IN OUT PULONG NumberOfBytesToProtect,
IN ULONG NewAccessProtection,
OUT PULONG OldAccessProtection );
NTSYSAPI 
NTSTATUS
NTAPI
ZwWriteVirtualMemory(

IN HANDLE ProcessHandle,
IN PVOID BaseAddress,
IN PVOID Buffer,
IN ULONG NumberOfBytesToWrite,
OUT PULONG NumberOfBytesWritten OPTIONAL );

NTSYSAPI 
NTSTATUS
NTAPI
ZwClose(

IN HANDLE ObjectHandle );

NTSYSAPI 
NTSTATUS
NTAPI
ZwFreeVirtualMemory(

IN HANDLE ProcessHandle,
IN PVOID *BaseAddress,
IN OUT PULONG RegionSize,
IN ULONG FreeType );

//------------------ Native API声明结束 ------------------// 

//------------------ 程序正式开始 ------------------// 

DWORD GetPidByName(char *szName)
{
HANDLE hProcessSnap = INVALID_HANDLE_VALUE;
PROCESSENTRY32 pe32={0};
DWORD dwRet=0;

hProcessSnap =CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
if(hProcessSnap == INVALID_HANDLE_VALUE)return 0;

pe32.dwSize = sizeof(PROCESSENTRY32);
if(Process32First(hProcessSnap, &pe32))
{
do
{
if(lstrcmpi(szName,pe32.szExeFile)==0)
{
dwRet=pe32.th32ProcessID;
break;
}
}while (Process32Next(hProcessSnap,&pe32));
}
else return 0;

if(hProcessSnap !=INVALID_HANDLE_VALUE)CloseHandle(hProcessSnap);
return dwRet;
}

void KillIce(ULONG dwProcessId) 

HANDLE ph, h_dup;
ULONG bytesIO;
PVOID buf;
ULONG i;
CLIENT_ID cid1;
OBJECT_ATTRIBUTES attr;
HANDLE csrss_id;
HANDLE SnapShotHandle;
PROCESS_BASIC_INFORMATION pbi;
PVOID p0, p1;
ULONG sz, oldp;
ULONG NumOfHandle;
PSYSTEM_HANDLE_INFORMATION h_info; 

csrss_id = (HANDLE)GetPidByName("csrss.exe");
attr.Length = sizeof(OBJECT_ATTRIBUTES);
attr.RootDirectory = 0;
attr.ObjectName = 0;
attr.Attributes = 0;
attr.SecurityDescriptor = 0;
attr.SecurityQualityOfService = 0;

cid1.UniqueProcess = csrss_id;
cid1.UniqueThread = 0;
ZwOpenProcess(&ph, PROCESS_ALL_ACCESS, &attr, &cid1);

bytesIO = 0x400000;
buf = 0;
ZwAllocateVirtualMemory(GetCurrentProcess(), &buf, 0, &bytesIO, MEM_COMMIT, PAGE_READWRITE);
ZwQuerySystemInformation(SystemHandleInformation, buf, 0x400000, &bytesIO);
NumOfHandle = (ULONG)buf;
h_info = ( PSYSTEM_HANDLE_INFORMATION )((ULONG)buf+4);

for (i= 0 ; i<NumOfHandle; i++)
{
if ((h_info .ProcessId == (ULONG)csrss_id)&&(h_info.ObjectTypeNumber == 5))
{
if (ZwDuplicateObject(ph, (PHANDLE)h_info.Handle, (HANDLE)-1, &h_dup,
0, 0, DUPLICATE_SAME_ACCESS) == STATUS_SUCCESS)
ZwQueryInformationProcess(h_dup, 0, &pbi, sizeof(pbi), &bytesIO);
if (pbi.UniqueProcessId == dwProcessId)
{
MessageBox(0, "目标已确定!", "OK", MB_OK);
for (i = 0x1000; i<0x80000000; i = i + 0x1000)
{
p0 = (PVOID)i;
p1 = p0;
sz = 0x1000;
if (ZwProtectVirtualMemory(h_dup, &p1, &sz, PAGE_EXECUTE_READWRITE, &oldp) == STATUS_SUCCESS)

ZwWriteVirtualMemory(h_dup, p0, buf, 0x1000, &oldp);

}
MessageBox(0, "任务已完成!","OK", 0);
ZwClose(h_dup); 
}
}
}

bytesIO = 0;
ZwFreeVirtualMemory(GetCurrentProcess(), &buf, &bytesIO, MEM_RELEASE);


}
BOOL EnablePrivilege(HANDLE hToken,LPCTSTR szPrivName,BOOL fEnable)
{
TOKEN_PRIVILEGES tp;
tp.PrivilegeCount = 1;
LookupPrivilegeValue(NULL,szPrivName,&tp.Privileges[0].Luid);
tp.Privileges[0].Attributes = fEnable ? SE_PRIVILEGE_ENABLED:0;
AdjustTokenPrivileges(hToken,FALSE,&tp,sizeof(tp),NULL,NULL);
return((GetLastError() == ERROR_SUCCESS));
}
void main() 

ULONG Pid;
HANDLE hToken;
OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES,&hToken);
EnablePrivilege(hToken,SE_DEBUG_NAME,TRUE);
if (Pid = GetPidByName("taskmgr.exe"))
{
KillIce(Pid);

ExitProcess(0);
}
cosmoslife
关注
专栏目录
内存修改(Ring3)
KOOKNUT的博客
04-08 585
Ring3对目标进程内存进行修改,说一下实现思路: (1)调用GetSystemInfo函数得到系统信息,将应用层程序最大地址和页面大小保存到全局变量中 (2)通过目标进程进程名得到目标进程ID 拍摄进程快照CreateToolhelp32Snapshot 遍历ProcessEntry,进行字符串比较,匹配成功周,取出ID值,返出。 (3)提权,根据目标进程ID打开进程,得到进程ID。 (...
Linux 操作系统原理 — 内存管理 — 虚拟地址空间
烟云的计算
02-25 1695
相应的,Linux 和 CPU 软硬件结合提供了 2 级保护机制,只有 Kernel Space 的代码可以使用 Ring0 的 CPU 指令,而 User Space 的代码只可以使用 Ring3 的 CPU 指令。在 Kernel 中用于对虚拟地址进行寻址的数据结构称为 Kernel Page Table(内核页表),包括:页表目录、页表、页表项、属性标记等组成部分,可以将每个页表项(Page Table Entry)标记为只读、可写、只执行等,以控制内存的访问权限和缓存行为。
RING3内存结束进程
03-22 1684
RKU的这招确实不错。在DebugMan上看到一点关于内存零的提示信息,准备在RING0下实践下,结果BSOD的受不了,调试驱动偶还木有入门啊。无赖之下看到了RING3下实现的code,于是学习之。/************************************************************************** 学习者: sudami* 时间:    07
Ring3结束进程的方法汇总
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-27 1031
所有的 OpenProcess/ZwOpenProcess/OpenThread/ZwOpenThread 都可以替换为 ZwQuerySystemInformation->ZwOpenProcess->ZwDuplicateObject 。具体是为什么请自己研究。 (Zw)OpenProcess(PID+0/1/2/3)->(Zw)TerminateProcess (Zw)OpenProce
学习RING3 内存结束进程
nickwu1220的专栏
03-31 2137
<br />内存零法 杀进程 原理分析 :<br />1.先打开CSRSS.EXE系统进程,获得其句柄,几乎系统所有的HANDLE结构体中,里面的ProcessId都是指向csrss.exe的,利用它的PID来进行遍历进程实现过滤。<br /><br />2.分配好一块内存空间Buffer,用来存储SystemHandleInformation系统句柄信息<br /><br />3.通过ZwQuerySystemInformation函数来查询系统句柄信息并保存在Buffer中,为 ZwQuerySyst
ZwProtectVirtualMemory使用出现的问题和
最新发布
被遗弃的庸才博客
08-10 784
需要注意的是这个函数未文档话,网上随便找了个定义,发现报错0xC00000F1注意第三个参数应该是SIZE_T*类型了,PULONG传进去如果复制的时候是ULONG,前面的高4位不会零会出错。
ring3实现的进程防杀
05-18
Ring3是CPU操作模式之一,通常指用户模式,与Ring0(内核模式)相对。在用户模式下运行的代码不能直接访问硬件资源,但可以通过系统调用来请求操作系统服务。这一特性使得Ring3级别的进程防杀技术成为可能,因为它...
ring0下使用内核重载绕过杀软hook
hongduilanjun的博客
04-08 1316
内核重载听起来是一个很高大上的概念,但其实跟PE的知识息息相关,那么为什么会有内核重载的出现呢? 我们知道从ring3进入ring0需要通过int2e/sysenter(syscall)进入ring0,而进入ring0之后又会通过KiFastCallEntry/KiSystemService去找SSDT表对应响应的内核函数,那么杀软会在这两个地方进行重点盯防。 首先是对int2e/sysenter的盯防,我们知道大多数函数都是通过一系列的调用链,最终找到ntdll.dll里面的函数,找到调用号后通过int
ring0强杀的软件源码
04-09
3. **进程控制**:在Ring0权限下,可以调用内核API如`NtTerminateProcess`来结束指定进程。由于在最高权限级别,即使目标进程尝试保护自身,也无法抵挡Ring0的终止请求。 4. **异常处理**:由于Ring0操作的敏感性,...
易语言内存零杀进程
07-16
易语言内存零杀进程源码,内存零杀进程,OpenProcess,ZwWriteVirtualMemory,ZwProtectVirtualMemory,ZwClose
mhook钩ZwProtectVirtualMemory直接崩溃的问题与解决
suprole的黑皮本
05-25 2420
Mhook_SetHook()的相关大致流程:
Ring0上调用未导出Zw函数通用函数
huobengle
11-09 338
转自虾总前段时间写的一段无聊代码,可能对大家有点用。用于在驱动里调用一些没有直接导出的Zw函数,如ZwProtectVirtualMemory。在此感谢alpha提供思路。BOOLEAN CallZwFunction(CONST CHAR *FunctionName,PVOID pCallRet,ULONG ArgNum,...) { char *vl; BOOLEAN retval = FA...
浅析windows安全策略
深之JohnChen的专栏
04-27 6818
理论:本篇我们将通过一个例子,来大致了解下windows的安全策略。实现windows安全性的安全组件和数据库有:1。安全引用监视器Security reference monitor (简称SRM)   如图,这是位于核心态windows执行体中的一个组件。它负责: 1)定义访问令牌数据结构来表示一个安全环境。2)执行对象的安全访问检查3)管理特权(用户权限)4) 生成所有的结果安全审计消息。
内核级结束进程c代码
xinew的专栏
10-11 2122
  #include     #include     #include    #include     #pragma comment (lib,"ntdll.lib")    // Copy From DDK    #pragma comment (lib,"Kernel32.lib")    #pragma comment (lib,"Advapi32.l
结束进程的N种方法(RING0 AND RING3)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
03-24 1273
结束进程的N种方法(RING0 AND RING3) 来源:www.hack base.com 释放驱动HOOK了SSDT表中的NtOpenProcess,但是对参数过滤不严密,只过滤 PROCESS_TERMINATE, PROCESS_WRITE, XXXX(忘记了),,三种.然后比较的PID是放在全局变量中,可以通过发送 DeviceIoControl 改变这个值~ 所 ...
ring3-NtMapViewOfSection注入
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
09-19 1285
新的注入方式:利用一个未公开函数NtMapViewOfSection在远程进程地址空间写入代码,并且用一种新的技术在远程进程中执行它,这种技术完全工作在用户模式下,并且不需要特殊的条件比如像管理员权限或者之类的要求 [cpp] view plain copy #define _WIN32_WINNT 0x0400   #include      
为什么要用NT_SUCCESS()宏测试返回的NTSTATUS值
热门推荐
郑智仁的备忘录
08-01 1万+
在Windows驱动程序的编写中,当我们调用一个返回NTSTATUS值的函数时(比如IoCreateDevice),应当检查返回值是否成功。有人经常这样写ntStatus = function(...); if(STATUS_SUCCESS == ntStatus) ...但是,这并不总是合理的。在ddk头文件”ntdef.h“中,NTSTATUS是这样定义的:typedef __success(return >= 0) LONG NTSTATUS; // // Status values
Windows下Ring0级进程保护组件:SSDT HOOK技术实现
"基于SSDT HOOK 技术的Ring0级进程保护组件设计与实现" 在Windows操作系统中,实现进程保护通常需要深入到系统的核心层,即Ring0级别。这篇文档详细介绍了如何利用SSDT(System Service Descriptor Table,系统服务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值