还原NtTerminateProcess

最新推荐文章于 2021-10-30 23:15:19 发布
最新推荐文章于 2021-10-30 23:15:19 发布
阅读量3.3k 收藏 1
点赞数
分类专栏: Windows Tech
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Vizee/article/details/8257410
版权
本文详述了作者在闲暇时研究Windows XP Service Pack 3的内核过程中,如何还原NtTerminateProcess的代码。通过Windbg分析,发现PsTerminateProcess实际上依赖于NtTerminateProcess和ObReferenceObjectByHandle。作者对于为何不直接调用NtTerminateProcess而采用间接方式存在疑问,推测可能是为了防止函数被篡改,因为PsTerminateProcess并未导出。
摘要由CSDN通过智能技术生成

在上课吃饱了没事干的情况下,花了点功夫还原了我电脑上的NtTerminateProcess的代码

我的系统是Windows XP Kernel Version 2600 (Service Pack 3) MP (2 procs) Free x86 compatible(来自windbg)

nt!NtTerminateProcess:
mov     edi,edi
push    ebp
mov     ebp,esp
sub     esp,10h
push    ebx
push    esi
push    edi
mov     eax,KPCR.PrcbData.CurrentThread ;eax = CurrentThread
cmp     ProcessHandle,0
mov     edi,eax
mov     eax,CurrentThread.ApcState.Process
mov     Process,eax ;Process = CurrentThread.ApcState.Process
je      nt!NtTerminateProcess+0x25
;if(ProcessHandle)
;{
nt!NtTerminateProcess+0x1f:
mov     ebp_1,1 ;ebp_1 = 1
jmp     nt!NtTerminateProcess+0x2d
;}
;else
;{
nt!NtTerminateProcess+0x25:
or      ProcessHandle,0FFFFFFFFh ;ProcessHandle = NtCurrentProcess()
mov     ebp_1,0 ;ebp_1 = 0
;}
nt!NtTerminateProcess+0x2d:
mov     al,CurrentThread.PreviousMode
push    0
mov     PreviousMode,al ;ebp_8.PreviousMode = CurrentThread.PreviousMode
lea     eax,EPROCESS
push    eax
push    CurrentThread.PreviousMode
push    dword ptr [nt!PsProcessType]
push    1
push    ProcessHandle
call    nt!ObReferenceObjectByHandle ;NTSTATUS = ObReferenceObjectByHandle(ProcessHandle,1,PsProcessType,ebp_8.PreviousMode,&ebp_8.EPROCESS,NULL)
test    eax,eax
mov     esi,EPROCESS ;esi = EPROCESS
mov     ebx,esi ;ebx = esi
jl      nt!NtTerminateProcess+0x144
;if(NT_SUCCESS(NTSTATUS))
;{
nt!NtTerminateProcess+0x5c:
lea     eax,EPROCESS.Fl
最低0.47元/天 解锁文章
vizee
关注
专栏目录
一、C++反作弊对抗实战 (基础篇 —— 8.在ring3调用NtTerminateProcess结束进程)
Koma的主页
03-02 466
在ring3调用NtTerminateProcess结束进程
[转贴]在Windows 2003中HOOK ZwCreateProcessEx
享受开发,颠倒银河
09-10 2365
以下部分全部为转贴,特此声明!***********************************************************在Windows 2003中HOOK ZwCreateProcessEx创建时间:2005-03-09文章属性:原创文章提交:suei8423 (suei8423_at_163.com)作者:ZwelL工作需要,想控制进程的创建,于是HOO
NtTerminateProcess 终止进程
weixin_30699235的博客
12-07 856
NtTerminateProcess真正终止进程. 首先,要使用Native API,要对它进行声名: typedef DWORD (CALLBACK* NTTERMINATEPROCESS)(HANDLE,UINT);NTTERMINATEPROCESS NtTerminateProcess;HMODULE hNtdll = NULL; hNtdll = LoadLibrary( "...
7.HOOK NtTerminateProcess驱动保护进程
Mikasys的博客
11-04 1563
1、项目说明 将系统服务表中某个函数改成自己的函数,使任务管理器右键无法关闭自己,只有点击自己的关闭按钮才可以正常关闭。 2、获取目标进程的进程名 kd> dt _Eprocess ntdll!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessLock : _EX_PUSH_LOCK +0x070 CreateTime : _LARGE_INTEGER +0x078 ExitTime
hook NtTerminateProcess进行应用的保护
weixin_30652491的博客
11-14 267
这段时间在学习驱动,然后看到hook ssdt的代码,找了一个写的清晰的学习了一下:http://www.netfairy.net/?post=218 这里是hook NtOpenProcess,但是想自己练手所以hookNtTerminateProcess,经过多次蓝屏后,然后这里记录一下 遇到的问题 由于所学的例子是通过应用程序获取pid来控制保护的进程,但...
内核态进程管理器Intercessor和实现细节
jingzu的专栏
11-27 2184
 标 题: 【原创】内核态进程管理器Intercessor和实现细节 作 者: greatcsk 时 间: 2007-09-05,20:20 链 接: http://bbs.pediy.com/showthread.php?t=51157 BLOG原文:http://www.csksoft.net/blog/post/Intercessor_taskmgr.html 相关文件: 已经修
不用驱动一行代码让自己蓝屏
KD的疯狂实验室
06-23 2769
蓝屏的钙好喝的钙
windows遍历进程与杀死进程
热门推荐
sowhat_Ah的专栏
02-04 1万+
windows下遍历进程有多种方式: 进程快照:CreateToolhelp32Snapshot; 进程状态API:PSAPI; 在psapi中主要使用到的方法有: EnumProcesses——枚举进程; EnumProcessModules——枚举进程内模块; GetModuleFileNameEx——获取模块名; 通过这3个方法就可以遍历进程以及进程内各个模块;
蓝屏总结(一) ——基本分析方法
VinWqx的博客
07-20 1万+
目录 一、蓝屏造成原因 二、通常的排查步骤 三、Debug步骤 四、使用Driver Verifier进行排查 五、Debug示例 1、分析示例 1 2、分析示例 2 一、蓝屏造成原因 关于停止错误(蓝屏或者错误检查)没有简单的解释,包含很多因素,目前大量研究表明停止错误通常不是由微软Windows组件导致的,而是厂商的硬件驱动或者三方软件的驱动,包括声卡、无线网卡、安全程序等等。 crash的根因一般都是由三方驱动代码引起的,另外一小部分是硬件问...
Win7-ring0-Kill360-AllProcess.zip_kill process win7_win7_win7 36
07-14
Win7下测试成功 xp自己去试验 前面的说明一定要看哦
三次蓝屏对内核崩溃日志的分析记录
无情的搬砖人的Blog
10-30 9251
下面的所有内容都是WinDBG的输出内容 //后跟的所有内容都是针对下一行具体项的具体解释 Microsoft ® Windows Debugger Version 6.12.0002.633 AMD64 Copyright © Microsoft Corporation. All rights reserved. Loading Dump File [C:\Windows\Minidump\103021-8359-01.dmp] Mini Kernel Dump File: Only register
使用 PspTerminateThreadByPointer 强制结束进程
墨鱼菜鸡
06-24 225
实现过程 我们知道,线程是进程中执行运算的最小单位,是进程中的一个实体,是被系统独立调度和分派的基本单位,线程自己不拥有系统资源,只拥有一点在运行中必不可少的资源,但它可与同属一个进程的其它线程共享进程所拥有的全部资源。...
《Windows内核原理与实现》-------函数,结构,全局变量的所在页数
走在北风里
11-08 752
最近学习《Windows内核原理与实现》发现其博大精深,粗略过了一遍,很多东西比较茫然,看书之余把书中涉及的函数,结构,全局变量的所在页数总结出来,便于以后查阅。 由于半自动半手工,难免有写错的地方,如有发现还请留言通知,谢谢。 函数 函数名称 所在页数 _KeSystemStartup 149 _KiExceptionExit 341 _KiFastCallEntry 552 554 _KiServiceExit 553 _KiShutUpAssembler 321 _
Dynamic forking (Process hollowing)
gj333的专栏
08-09 1114
Dynamic forking (also known as process hollowing), is a technique that allow you to execute a executable image within another process's address space. It works by creating a host process in suspende
深入解析结构化异常处理(SEH) - by Matt Pietrek
dvlinker的技术专栏
09-18 1万+
深入解析结构化异常处理(SEH) - by Matt Pietrek
ARK之杀进程这点小事-有线程补充
zhuhuibeishadiao
06-07 3139
A.NtTerminateProcess B.涂改内存    //内存清0 C.卸载模块 //free ntdll.dll或主模块 D.窗口攻击 //发close quit 洪水 或 SetParant 这里演示SetParant R3 如果要这么做的话最好在内核中使用更底层的函数 这里提一下枚举窗口 使用EnumWinodws是调用内核中NtUserBuildHwndList 这个函数
Win64 驱动内核编程-19.HOOK-SSDT
天使也掉毛
03-19 4896
HOOK SSDT     在 WIN64 上 HOOK SSDT 和 UNHOOK SSDT 在原理上跟 WIN32 没什么不同,甚至说 HOOK 和 UNHOOK 在本质上也没有不同,都是在指定的地址上填写一串数字而已 (填写代理函数的地址时叫做 HOOK,填写原始函数的地址时叫做 UNHOOK)。不过实现起来还是很大不同的。 一 、 HOOK SSDT     要挂钩 SSDT,必然
预加密检测算法:加密勒索软件早期识别策略
例如,NtProtectVirtualMemory和NtTerminateProcess在大多数勒索软件中频繁出现,而NtWriteVirtualMemory等API则相对较少见于这类恶意软件。 这项工作的重要性在于,它不仅提供了一种早期预警机制,减少了数据丢失...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值