模拟ZwTerminateProcess干掉进程

最新推荐文章于 2022-03-07 16:15:51 发布
最新推荐文章于 2022-03-07 16:15:51 发布
阅读量354 收藏
点赞数
原文链接:http://www.cnblogs.com/codingz/archive/2010/05/25/1743248.html
版权
模拟ZwTerminateProcess干掉进程

很多时候我们会碰到杀进程的需求,但是很多程序会hook系统的api造成我们无法结束指定的进程。

 

你流氓,我只有更流氓!下面介绍一种模拟native api ZwTerminateProcess 结束进程的方法,这种方法可以结束掉hook的不深的进程。

 

那么hook的更深的怎么办?你深,我只有更深!不过这不在本文的讨论内容之内。

 

下面上代码:

 

 1  INT __declspec(naked) __stdcall ZwTerminateProcess(HANDLE ProcessHandle,INT ExitStatus)
  2  {
  3    __asm
  4    {
  5  // 方法1
 6      mov     eax, 101h
  7      db       0xE8
 8      dd       0x00
 9      mov     edx,esp
 10      sysenter
 11      ret     8h
 12 
13  /* 方法2  lea edx,[esp + 4]
 14      int 2eh
 15      ret 2ch  */
16    }
 17  }
 18 
19  void  __fastcall TForm1::btn1Click(TObject  * Sender)
 20  {
 21      HANDLE h  =  GetCurrentProcess();
 22      ZwTerminateProcess(h, 0 );    
 23  }

 

 

两种方法都是管用的。

我们看到其实Zw系列的api只是进入内核调用了一个指定序号的服务,上面的代码稍微修改一下就可以模拟出所有的Zw系列了。

 

怎么样?是不是感觉生活美好了一些啊?

posted on 2010-05-25 08:43  笑落天狼 阅读( ...) 评论( ...) 编辑 收藏

转载于:https://www.cnblogs.com/codingz/archive/2010/05/25/1743248.html

de7315
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HOOK ZwTerminateProcess实现进程保护
chenhao1988的专栏
04-25 4225
近期学习了一下HOOK SSDT,通过HOOK ZwTerminateProcess来实现的编了一个小程序实现简单的禁止结束进程,主要代码如下:NTSTATUS HookZwTerminateProcess(IN HANDLE ProcessHandle OPTIONAL,IN NTSTATUS ExitStatus){ ULONG pid = 0; NTSTATUS status = 0; 
Windows驱动学习(三)-- 杀死进程
安全杂货铺
09-18 2597
1. 概述 我们常常遇到这种棘手的情况,使用任务管理器或一些应用程序无法将某一进程杀死。出现这种现象的原因一般是因为权限不够,若我们在驱动层调用ZwTerminateProcess来杀死这些进程,那么成功率将大大增加。 2. 驱动编写 2.1 初始化变量 2.2 DrvierEntry 在上一章,我们发现DeviceCreate和DeviceClose等函数怎么长得一模一样?我们可不可以进行代码...
进程强杀
kernweak的博客
05-28 738
应用层杀进程会调用terminateProcess,往下会调用zwterminateProcess,再往下 PsTerminateProcess->PspTerminateProcess->PspTerminateThreadByPoint->PspExitThread 所以我们想调用PspTerminateProcess(再往下就是线程函数了),但是未导出。所以只能暴力搜索...
进程强杀探究
hongduilanjun的博客
03-07 1969
前言 我们知道在windows操作系统里面有ring0跟ring3的概念(ring1、ring2在windows中并未使用),因为ring0的特权级别是比ring3高的,那么我们肯定不能在ring3调用windows提供的api杀死ring0特权级别的进程,那么这时候我们就需要使用的ring0的函数来强行结束一些处于ring0级别的进程。 测试 我们首先打开PCHunter32.exe看一下,应用层是不能够访问的,我们知道可以在cmd里面使用taskkill命令来结束进程,但这种方式对ring0特权级别的程
KeStackAttachProcess+ZwTerminateProcess结束进程的分析
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
09-04 6369
某些ARK会用以下代码来结束进程,对于很多有进程保护的程序都很有效:  PsLookupProcessByProcessId(); KeStackAttachProcess(); ZwTerminateProcess(0,0); 注意ZwTerminateProcess函数的第一个参数,这是要结束进程的句柄。对于进程句柄来说,-1表示当前进程,而在这里为什么用0呢?我们来分析下
windbg内核模式调试用户态程序
Steven_programe_life的专栏
05-16 421
使用内核调试会话也可以执行一些用户态调试任务,比如向位于用户态的模块设置断点。但这样做与使用用户态调试器有什么不同呢?我们就以向NTDLL.dll模块的ZwTerminateProcess函数(Stub)为例谈谈二者的区别。 区别一、在内核调试会话中设置这个断点的“难度”略大些。这是因为NTDLL不属于内核态的模块,所以内核会话通常不会加载这个模块(的符号),因此当执行bp命令时很可能被自动蜕化为bu命令。 0: kd> bp ntdll!ZwTerminateProcess ..
hook方式进程创建监控,进程保护
kernweak的博客
05-30 2996
关于进程创建, xp系统:CreatProcessW->CreateProcessInternalW->NtCreateProcessEx->NtCreatSection Vista以上:CCreatProcessW->CreateProcessInternalW->NtCreateUserProcess->NtCreateSection 所以我们要Hoo...
SSDT Hook (HookZwTerminateProcess)—— 实现任务管理器无法关闭进程
walker的博客
03-06 552
本节的目的是通过驱动程序修改 ntoskrnl.exe 程序的 SSDT 表中的函数地址表,以实现 SSDT Hook 。本次的测试函数为 R3 API 函数 ZwTerminateProcess ,通过 Hook 该函数,以实现任务管理器无法强制关闭进程,只有通过进程的关闭方法才可以正常结束进程。 Hook 该函数的关键是判断 ZwTerminateProcess 函数中的进程句柄 hProcess 。当进程是通过自身的关闭方法关闭的话,该句柄的值应为 0xffffffff 或 0x00 ,而通过其他进
易语言模拟点击按钮
07-21
易语言模拟点击按钮源码,模拟点击按钮,启动同步工具,模拟退出,模拟设置,模拟按键,Enum,取窗口标题_,进程名取PID,PID取路径,CreateToolhelp32Snapshot,Process32First,Process32Next,OpenProcess,ZwTerminateProcess,...
精选_ring0下使用ZwTerminateProcess函数结束指定进程_源码打包
03-10
ring0下使用ZwTerminateProcess函数结束指定进程
delphi版拦截API函数
12-21
这个是个Dll资源,是拦截TerminateProcess函数和 ZwTerminateProcess函数,以及NtTerminateProcess函数,请使用接口StartHook和stopHook.
delphi版的api图像函数
05-03
delphi描述的图像处理相关的API函数,内含函数调用示例
Delphi拦截进程测试程序..rar
04-15
Delphi拦截进程测试程序..rar
精选_SSDT Hook 之内核函数ZwTerminateProcess实现监控结束进程_源码打包
03-11
SSDT Hook 之内核函数ZwTerminateProcess实现监控结束进程
超强r3杀进程(测试可杀瑞星)
06-01
超强r3杀进程 里面提供两种方法ZwDuplicateObject和远程进程法(之前测试可杀瑞星,现在本人没装杀软,瑞星也升级了,就不知道可不可以了)
结束进程的12种方法
diaowei9599的博客
01-07 1248
方法一针对有窗口的 消息攻击法 void main(int argc, char **argv) { HWND hwnd = FindWindow(NULL, "Title"); SendMessage(hwnd,WM_CLOSE,0,0); HWND hwnd = FindWindow(NULL, "Title"); SendNotifyMessage(hwn...
驱动Hook ZwTerminateProcess(mdl方式)
qq1134993111的专栏
09-21 1764
http://www.cnblogs.com/zhujian198/archive/2010/08/16/1800760.html #include "ntddk.h" typedef struct _SERVICE_DESCRIPTOR_TABLE {     PULONG ServiceTableBase;     PULONG ServiceCounterTab
rku逆向分析 膜拜XueTr的linxer大牛
Sunny_wwc的专栏
01-11 6540
这个驱动本来准备端午节搞的,但后来端午节去了躺北京玩了几天,也就搁置了...最近连续花了4个晚上,大致把它搞的差不多了,有些收获...初学window驱动,水平很菜,有些东西我也未必清明,加上3环的代码还没有吃透,期间也没有用调试器跟踪,全是IDA(F5)静态分析的,谬误在所难免,高手请飘过,希望对菜鸟学习有点帮助.<br /><br />1.SSDT检测<br /><br />这个功能有三个IoControlCode与之对应,他们分别是22000fh(拷贝KeServiceDescriptorTable)

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值