驱动 -- 强制结束进程 -- 整理

已于 2024-06-07 09:26:43 修改
阅读量2.3k 收藏 2
点赞数 1
分类专栏: Win内核 文章标签: windows
于 2015-06-22 19:02:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bkxiaoc/article/details/46595023
版权

有一阵子没 写博客,正好这几天 写了个 内核级强制结束进程 的小例子。写这个例子之前都没去查什么资料,主要是想试试自己能不能写出来吧。写完后才发现 看雪论坛 曾经发表过一篇很相似的文章,实现的细节可能有点不一样,不过原理基本是相同的了。

都是通过 这个  PspTerminateThreadByPointer 函数,我是通过查 ReactOs 来理解的  NtTeriminateProcess 的内部实现过程,

然后 通过 在 SI 里面查找引用,找到的一个 导出函数中调用了 PspTerminateThreadByPointer . 这个函数就是  PsTerminateSystemThread,然后通过 windbg 确认,发现 在Win7 和Xp 下 这个函数 均调用了 PspTerminateThreadByPointer,之后 查到调用的地方,具体的可以去windbg里面看一下,这个函数里面很短,具体我没看,因为这里我只需要用到这个 PspTerminateThreadByPointer 函数。 

PspTerminateThreadByPointer() 这个函数的内部我只简单的看了一下,通过向线程插入APC让线程自己结束的办法。

在Win7 和 XP 的32位下这个函数的 参数又一点点 区别,可以看到 在 Win7 下 他有 3个 参数 ,一个是指向线程对象的指针,一个是退出码,还有一个 始终为 1 的参数,XP 下没有 第三个, (当然 由于我并没有完成 Win7 下的代码,这里的分析可能有问题),需要说明的一点是以下代码仅仅兼容 XP 32位版本。

typedef
NTSTA
最低0.47元/天 解锁文章
FadeTrack
关注
专栏目录
Linux驱动学习--USB 主机控制器及OTG实现方式
文艺小少年的博客
04-26 1804
一、引言 本篇文章介绍下当下设备上的USB接口,以及OTG接口的实现方式 二、USB接口 USB是一种数据通信方式,也是一种数据总线,而且是最复杂的总线之一。 硬件上,它是用插头连接。一边是公头(plug),一边是母头(receptacle)。例如,PC上的插座就是母头,USB设备使用公头与PC连接。 目前USB硬件接口分三种 普通PC上使用的叫Type 原来诺基亚功能机时代的接口为Mini US...
操作系统整理(三)--网络协议栈
最新发布
文艺小少年的博客
05-20 191
本文接着上一章,继续介绍linux中的子系统,本篇介绍网络协议栈
Win64 驱动内核编程-26.强制结束进程
天使也掉毛
03-29 5041
强制结束进程     依然已经走到驱动这一层了,那么通常结束掉一个进程不是什么难的事情。同时因为win64 位的各种保护,导致大家慢慢的已经不敢HOOK了,当然这指的是产品。作为学习和破解的话当然可以尝试各种hook。目前来说很多杀软进程保护都是通过回调了保护的,简单,稳定,安全。So,强制结束进程会比当年简单很多。 首先就是上一个最基本的驱动结束进程的方法:   1.直接调用ZwTer
驱动级暴力结束进程,暴力结束360杀毒/安全卫士-易语言
06-12
加载驱动后理论可以暴力结束任何进程 加载驱动杀毒/卫士会提示是否拦截/是否允许加载
通过驱动杀死那个进程
weixin_30919235的博客
11-22 244
继续写一下学习驱动的成果,看大佬的文章介绍了枚举系统进程和禁止创建新进程,最后自己结合一下写了每当进程被创建时,通过检查新创建的进程名来杀死想要结束进程。 遇到的问题 使用函数RtlCompareUnicodeString对比进程名的字符串时会出现蓝屏的问题 解决的方法 对比的两个参数都用RtlInitUnicodeString进行赋值后进行对比 环境 ...
易语言驱动级暴力结束进程 包括结束360杀毒/卫士,纯源码/无模块
06-04
加载驱动后理论可以暴力结束任何进程,但是未经过很多测试所以不敢妄下定言。加载驱动杀毒/卫士会提示是否拦截/是否允许加载。@X.lycs。
驱动开发:内核强制结束进程运行
热门推荐
CSDN
10-29 1万+
内核态,但有时我们不得不想办法结束掉这些特殊的进程,当然某些正常进程在特殊状态下也会无法被正常结束,此时使用驱动前行在内核态将其结束掉就变得很有用了,驱动结束进程有多种方法。存在时则可以看到结束效果,当然这种方式只是在内核层面调用了结束进程函数,其本质上还是正常结束,只是这种方式权限要大一些仅此而已。没有被导出,所以我们需要动态的这个内存地址,然后动态调用即可,这个寻找方法可以总结为以下步骤。第二种方法,其原理就是将进程内的线程全部结束掉从而让进程自动结束,由于。首先是第一种方法结束进程,封装实现。
从零开始用VS2019+WDK10搭建环境编译Tap-Windows6(9.23.3.601)(NDIS6)
weixin_42057209的博客
07-07 9699
编译Tap-Windows6写在前面非常重要:需要64位操作系统才能完成编译!环境搭建前期准备安装VS1029功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FL...
Springcloud-面试自整理
u012382796的博客
03-03 719
它利用Spring Boot的开发便利性巧妙地简化了分布式系统基础设施的开发,如服务发现注册、配置中心、消息总线、负载均衡、断路器、数据监控等,都可以用Spring Boot的开发风格做到一键启动和部署。Spring Cloud并没有重复制造轮子,它只是将各家公司开发的比较成熟、经得起实际考验的服务框架组合起来,通过Spring Boot风格进行再封装屏蔽掉了复杂的配置和实现原理,最终给开发者留出了一套简单易懂、易部署和易维护的分布式系统开发工具包。Spring Cloud是一系列框架的。
进程结束小工具(驱动级)
02-02
一般的方案很难kill,但是有了这个小工具,一切就变简单了,把进程名对号入座即可! 此资源实测无效,请遵守国家法律法规!
易语言驱动级杀进程
07-22
易语言驱动级杀进程源码,驱动级杀进程,取驱动句柄,加载驱动_,卸载驱动_,CTL_CODE,十六到十,NtQuerySystemInformation,LocalAlloc,LocalFree,SYSTEM_MODULE_INFORMATION,LoadLibraryEx,FreeLibrary,GetProcAddress,OpenSCManagerA,DeleteService,CreateService
内核级结束进程 结束冰刃进程 结束360等杀软进程
12-24
内核级结束进程 内核级结束进程 结束冰刃进程 结束360等杀软进程进程不能被冰刃结束
驱动级杀进程易语言源码
12-15
易语言驱动级杀进程源码带驱动,除驱动外还有N种方法,都是在没有恢复SSDT下完成的.如果恢复了SSDT,进程就像豆腐般脆弱.
超级驱动进程
08-20
超级驱动进程
驱动开发-结束进程
Fly_Sky
10-18 543
在"遍历进程"的基础上做结束进程的操作: 参考:http://blog.csdn.net/u013761036/article/details/67768262 实现结束notepad.exe进程代码: #pragma once #include #include //win7x86 #define FLINKOFFSET 0x00b8 #define PEBOFFSET 0x01a
[Windows 驱动开发] 清内存强杀进程
LYSM
04-15 1102
原理 Attach 到进程进行内存清零.这里提供了两种方法.原理是一样 KeAttachProcess方法 与 KeStackAttachProcess方法. 其中第一种属于旧方法了.根据MSDN所说API已经升级为了KeStackAttachProcess #include <ntifs.h> NTKERNELAPI UCHAR* PsGetProcessImageFileName(IN PEPROCESS Process); //未公开的进行导出即可 NTKERNELAPI VOID
驱动关闭进程
qq_41071646的博客
10-28 941
#include &lt;ntifs.h&gt; NTSTATUS ZwQuerySystemInformation( ULONG SystemClass, PVOID SystemInformation, ULONG SystemInformationLength, PULONG RetLength ); typedef struct _SYSTEM_THREADS { LARG...
内核驱动层实现强杀三方程序进程/线程
不会写代码的丝丽
04-16 604
一些流氓程序通过一些恶意手段会阻止用户杀死自身。本文在杀软层面 编写相关内核代码强行关闭对应的程序。在内核层面有相关API进行终止对应线程函数原型只能线程自己关闭自己,但是你看到相关官方文档最后一句话有这不就是暗示我们玩骚?于是将内核代码拖入IDA进行分析最后发现跳转到函数,其中gs:[188]表示指向当前进程(在x64中gs指向kpcr)是一个公开函数 ,但没有公开,那么可以先定位函数,然后通过特征码去寻找对应的函数地址。也就是这条指令一共五个字节,且小尾编码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值