通过PspTerminateThreadByPointer结束进程

最新推荐文章于 2024-04-29 20:52:57 发布
最新推荐文章于 2024-04-29 20:52:57 发布
阅读量4.1k 收藏 2
点赞数
分类专栏: windows kernel 文章标签: thread list xp null windows system
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/galihoo/article/details/2298731
版权

 

很早前写的代码了,免得腐烂了,贴出来
这个思想是在读了PJF牛人 "终止进程内幕" 后才晓得
基本思想就是用户态将欲结束的进程PID传递到内核驱动,驱动通过PsLookupProcessByProcessId得到进程的EPROCESS结构,再通过EPROCESS结构找到线程的链表头,遍历这个链表,逐一调用PspTerminateThreadByPointer,将其一个一个的KILL掉
这里有三个问题:
1. EPROCESS 结构里面的 线程链表头的 OFFSET 在2000, XP 2003中不一样,所以要硬编码
#define THREAD_LIST_HEAD_OFFSET_XP 0x190
#define THREAD_LIST_HEAD_OFFSET_2K 0x270
#define THREAD_LIST_HEAD_OFFSET_2K3 0x180

#define THREAD_LIST_ENTRY_OFFSET_XP 0x22c
#define THREAD_LIST_ENTRY_OFFSET_2K 0x240
#define THREAD_LIST_ENTRY_OFFSET_2K3 0x224

2.如何获得PspTerminateThreadByPointer

//  XP: nt!PsTerminateSystemThread -> GetPspTerminateThreadByPointer
 //  2k: NtTerminateThread -> PspTerminateThreadByPointer

BOOL GetPspTerminateThreadByPointer()
 {
    char * PsTerminateSystemThreadAddr;
    int iLen;
    DWORD dwAddr;
    //pAddr;
     PNTPROC ServiceTable;
     DWORD NtTerminateThreadAddr;
     char * pAddr;
    if (dwThreadListHeadOffset == THREAD_LIST_HEAD_OFFSET_2K)
    {
        ServiceTable = KeServiceDescriptorTable->ntoskrnl.ServiceTable;
        
        NtTerminateThreadAddr = *((PULONG)ServiceTable + NTTERMINATETHREAD_OFFSET_2K);
        pAddr  = (char *)NtTerminateThreadAddr;
        for (iLen=0;iLen<0xff;iLen++)
        {
            if (*pAddr == (char)0xff
                &&*(pAddr+1== (char)0x75
                &&*(pAddr+2== (char)0xfc
                &&*(pAddr+8== (char)0x8b
                )
            {
                pAddr += 4;
                dwAddr = *(DWORD *)pAddr + (DWORD)pAddr +4;
                //DbgPrint("PspTerminateThreadByPointer:: 0x%x ",dwAddr);
                PspTerminateThreadByPointer = dwAddr;
                return TRUE;
                //break;
            }
            pAddr++;
        }
    }
    else
    {
        
        PsTerminateSystemThreadAddr= (char *)PsTerminateSystemThread;
        __asm
        {
            __emit 0x90;
            __emit 0x90;
        }
        for (iLen=0;iLen<50;iLen++)
        {
            if (*PsTerminateSystemThreadAddr == (char)0xff
                && *(PsTerminateSystemThreadAddr+1== (char)0x75
                && *(PsTerminateSystemThreadAddr+2== (char)0x08
                )
            {
                __asm
                {
                    __emit 0x90;
                    __emit 0x90;
                }
                PsTerminateSystemThreadAddr += 5;
                dwAddr = *(DWORD *)PsTerminateSystemThreadAddr + (DWORD)PsTerminateSystemThreadAddr +4;
                
                //DbgPrint("PspTerminateThreadByPointer:: 0x%x ",dwAddr);
                PspTerminateThreadByPointer = dwAddr;
                return TRUE;
                //break;
            }
            PsTerminateSystemThreadAddr++;
        }
    }
    return FALSE;
}

3. 在2k下面需要得到 PsLockProcess 和 PsUnlockProcess ,不然调用PspTerminateThreadByPointer就要挂


 // 2K 下使用 ,NtTerminateThread -> PspTerminateThreadByPointer
BOOL GetLockProcessAddr()
 {
    char * PsTerminateSystemThreadAddr;
    int iLen;
    DWORD dwAddr;
    //pAddr;
     PNTPROC ServiceTable;
     DWORD NtTerminateThreadAddr;
     char * pAddr;
     
     ServiceTable = KeServiceDescriptorTable->ntoskrnl.ServiceTable;
     /*
     NtTerminateThreadAddr = *((PULONG)ServiceTable + NTTERMINATETHREAD_OFFSET_2K);
     pAddr  = (char *)NtTerminateThreadAddr;

     for (iLen = 0;iLen<0xff;iLen++)
     {
         //想不到windows竟然用硬编码来寻址..
            if (*pAddr == (char)0x2c
                &&*(pAddr+1) == (char)0x02
                &&*(pAddr+2) == (char)0x00
                &&*(pAddr+3) == (char)0x00
                )
            {
                pAddr += 5;
                dwAddr = *(DWORD *)pAddr + (DWORD)pAddr +4;
                DbgPrint("PsLockProcess :: 0x%x ",dwAddr);
                PsLockProcess = dwAddr;
                for (iLen = 0;iLen<0xff;iLen++)
                {
                    if (*pAddr == (char)0x2c
                        &&*(pAddr+1) == (char)0x02
                        &&*(pAddr+2) == (char)0x00
                        &&*(pAddr+3) == (char)0x00
                        )
                    {
                        pAddr += 5;
                        dwAddr = *(DWORD *)pAddr + (DWORD)pAddr +4;
                        DbgPrint("PsUnLockProcess :: 0x%x ",dwAddr);
                        PsUnLockProcess = dwAddr;
                        return TRUE;
                        //return dwAddr;
                        //break;
                    }
                    pAddr++;
                }
                //return dwAddr;
                //break;
            }
            pAddr++;
     }
    */
     //DbgPrint("NtAssignProcessToJobObject中寻找");
     //在NtTerminateThread 中没有找到
     //NtAssignProcessToJobObject中寻找
     DWORD NtAssignProcessToJobObjectAddr = *((PULONG)ServiceTable + 0x12);
     pAddr  = (char *)NtAssignProcessToJobObjectAddr;
     
     for (iLen = 0;iLen<0xff;iLen++)
     {
         // 定位标志
         if (*pAddr == (char)0xcc
             &&*(pAddr+1== (char)0x00
             &&*(pAddr+2== (char)0x00
             &&*(pAddr+3== (char)0x00
             &&*(pAddr-6== (char)0xe4
             )
         {
             // 找到定位标志
             for (iLen = 0;iLen<0x30;iLen++)
             {
                 __asm
                 {
                     __emit 0x90;
                     __emit 0x90;
                 }
                 //
                 if (*pAddr == (char)0xff
                     &&*(pAddr+1== (char)0x75
                     &&*(pAddr+2== (char)0xf4
                     //&&*(pAddr+3) == (char)0x00
                     )
                 {
                     pAddr += 5;
                     dwAddr = *(DWORD *)pAddr + (DWORD)pAddr +4;
                     //DbgPrint("PsLockProcess :: 0x%x ",dwAddr);
                     PsLockProcess = dwAddr;
                     for (iLen = 0;iLen<0xff;iLen++)
                     {
                         if (*pAddr == (char)0xff
                             &&*(pAddr+1== (char)0x75
                             &&*(pAddr+2== (char)0xfc
                             //&&*(pAddr+3) == (char)0x00
                             )
                         {
                             pAddr += 4;
                             dwAddr = *(DWORD *)pAddr + (DWORD)pAddr +4;
                             //DbgPrint("PsUnLockProcess :: 0x%x ",dwAddr);
                             PsUnLockProcess = dwAddr;
                             return TRUE;
                             //return dwAddr;
                             //break;
                         }
                         pAddr++;
                     }
                     return FALSE;
                     break;
                 }
                 pAddr++;
             }
             return FALSE;
            break
         }
         pAddr++;
     }
    return FALSE;
}

4. 这些问题解决了就好办了


BOOL KillProcessByID(DWORD dwPid) 


    PLIST_ENTRY ListThread;
    PLIST_ENTRY ListThreadHead; 
    DWORD dwThreadAdd;
    DWORD dwExitState = 0xC00002EB;
    DWORD dwState;
    //dwState = STATUS_SYSTEM_SHUTDOWN;
    DWORD dwAddress = GetProcessByID(dwPid);

    if (!dwAddress)
    {

        return FALSE;
    }
    
    __asm
    {
    CLI;                    //dissable interrupt
    MOV EAX, CR0;            //move CR0 register into EAX
    AND EAX, NOT 10000H;    //disable WP bit 
    MOV CR0, EAX;            //write register back
    }

    ListThreadHead = ((PLIST_ENTRY)(dwAddress + dwThreadListHeadOffset));

    if (dwThreadListHeadOffset == THREAD_LIST_HEAD_OFFSET_2K)
    {
        //Lock Process
        __asm
        {
            //push PsLockPollOnTimeout - 0;
            //push PsLockWaitForever - 2;
            push 0;
            push KernelMode;
            push dwAddress;
            call PsLockProcess;
            mov dwState,eax;
        }
        if (dwState != STATUS_SUCCESS)
        {
            //DbgPrint("failed!! ");
            //__asm
            //{
            //    push dwAddress;
            //    call PsUnLockProcess;
            //}
            return FALSE;
        }    
    }


    ListThread = ListThreadHead->Blink;
    while (ListThread != ListThreadHead)
    {
        if (!MmIsAddressValid((char*)ListThread-dwThreadListEntryOffset))
        {
            if (dwThreadListHeadOffset == THREAD_LIST_HEAD_OFFSET_2K)
            {
                
                
                __asm
                {
                    push dwAddress;
                    call PsUnLockProcess;
                }
                //return FALSE;

            }
            //DbgPrint("MmIsAddressValid !!!!! ---- failed!! ");
            return FALSE;
        }
        
        dwThreadAdd = (DWORD)((char*)ListThread-dwThreadListEntryOffset);

        //DbgPrint("Thread Address: 0x%x  ",dwThreadAdd);
        //XP上的定义
        //NTSTATUS
        //00880 NTAPI
        //00881 PspTerminateThreadByPointer(IN PETHREAD Thread,
        //00882                             IN NTSTATUS ExitStatus,
        //00883                             IN BOOLEAN bSelf)

        //2K 下的定义
        //NTSTATUS
        //PspTerminateThreadByPointer(
        //IN PETHREAD Thread,
        //IN NTSTATUS ExitStatus
        //)
        if (dwThreadListHeadOffset == THREAD_LIST_HEAD_OFFSET_2K)
        {
            __asm
            {
                //push 0;
                push dwExitState;
                push dwThreadAdd;
                call PspTerminateThreadByPointer;
            }
        }
        else
        {
            __asm
            {
                //push 0;
                push dwExitState;
                push dwThreadAdd;
                call PspTerminateThreadByPointer;
            }
        }

        ListThread = ListThread->Blink;
    }
    
    if (dwThreadListHeadOffset == THREAD_LIST_HEAD_OFFSET_2K)
    {
        // unlock process
        __asm
        {
            push dwAddress;
            call PsUnLockProcess;
        }
    }
    
    __asm 
    {
        MOV EAX, CR0;    //move CR0 register into EAX
        OR EAX, 10000H; //enable WP bit 
        MOV CR0, EAX;    //write register back 
        STI;            //enable interrupt
    }
    return TRUE;

}  

5. 最后把一个初始化函数贴出来


BOOL MyGetVersion()
 {
    ULONG MajorVersion;
    ULONG MinorVersion;
    MinorVersion = 0;
    MajorVersion = 0;
    PsGetVersion(&MajorVersion,&MinorVersion,NULL,NULL);
    if (MajorVersion == 5{
        if (MinorVersion == 0{
            //2K
            //dwListOffset = LIST_ENTRY_OFFSET_2K;
            //dwNameOffset = NAME_OFFSET_2K;
            //dwStatusOffset = STATUS_OFFSET_2K;
            dwThreadListHeadOffset = THREAD_LIST_HEAD_OFFSET_2K;
            dwThreadListEntryOffset = THREAD_LIST_ENTRY_OFFSET_2K;
            if (!GetLockProcessAddr())
            {
                return FALSE;
            }
        }
        else if (MinorVersion == 1{
            //XP
            //dwListOffset = LIST_ENTRY_OFFSET_XP;
            //dwNameOffset = NAME_OFFSET_XP;
            //dwStatusOffset = STATUS_OFFSET_XP;
            dwThreadListHeadOffset = THREAD_LIST_HEAD_OFFSET_XP;
            dwThreadListEntryOffset = THREAD_LIST_ENTRY_OFFSET_XP;
        }
        else if (MinorVersion == 2)
        {
            // 2K3
            dwThreadListHeadOffset = THREAD_LIST_HEAD_OFFSET_2K3;
            dwThreadListEntryOffset = THREAD_LIST_ENTRY_OFFSET_2K3;
        }
        else
        {
            return FALSE;
        }
    }
    else
    {
        return FALSE;
    }
    return TRUE;
}

 

知道怎么杀的呢,就很好防止了,把PsLookupProcessByProcessId保护起来就对了..

galihoo
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用 PspTerminateThreadByPointer 强制结束进程
LYSM
06-24 1779
实现过程 我们知道,线程是进程中执行运算的最小单位,是进程中的一个实体,是被系统独立调度和分派的基本单位,线程自己不拥有系统资源,只拥有一点在运行中必不可少的资源,但它可与同属一个进程的其它线程共享进程所拥有的全部资源。一个线程可以创建和撤消另一个线程,同一进程中的多个线程之间可以并发执行。 也就是说,当一个进程中的所有线程都被结束的时候,这个进程也就没有了存在的意义,也随之结束了。这,便是我们本文介绍的这种强制杀进程的实现原理,即把进程中的线程都杀掉,从而让进程消亡,实现间接杀进程的效果。 Windows
cid.zip_pspcidtable_进程_驱动
09-21
通过PspCidTable遍历进程线程,并用PspTerminateThreadByPointer结束,无硬编码,在XP下测试通过
驱动开发:内核强制结束进程运行
CSDN
10-29 1万+
内核态,但有时我们不得不想办法结束掉这些特殊的进程,当然某些正常进程在特殊状态下也会无法被正常结束,此时使用驱动前行在内核态将其结束掉就变得很有用了,驱动结束进程有多种方法。存在时则可以看到结束效果,当然这种方式只是在内核层面调用了结束进程函数,其本质上还是正常结束,只是这种方式权限要大一些仅此而已。没有被导出,所以我们需要动态的这个内存地址,然后动态调用即可,这个寻找方法可以总结为以下步骤。第二种方法,其原理就是将进程内的线程全部结束掉从而让进程自动结束,由于。首先是第一种方法结束进程,封装实现。
Windows NT内核函数大全
qq_42577465的博客
06-06 1478
Nt内核函数大全 NtLoadDriver服务控制管理器加载设备驱动. NtUnloadDriver服务控制管理器支持卸载指定的驱动程序. NtRegisterNewDevice加载新驱动文件. NtQueryIntervalProfile返回数据. NtSetIntervalProfile指定采样间隔. NtStartProfile开始取样. NtStopProfile停止采样...
使用PsTerminateThreadByPointer强制结束进程
qq_41490873的博客
01-30 427
该函数会在内部检查是否是系统线程,如果是系统线程不会结束它. #include<ntifs.h> #include <ntddk.h> //根据进程结构获得进程名指针 需要自己申明一下。 ULONG64 g_kernelModuleBase = 0; typedef struct _LDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks; LIST_ENTRY InMemoryOrderLinks; LIST_ENTRY I
 进程和线程的结束
maomao171314的专栏
12-12 720
进程和线程的结束 在执行体层,线程的终止函数是NtTerminateThread,内部调用PspTerminateThreadByPointer完成终止处理。系统线程的终止函数是PsTerminateSystemThread,内部调用 PspTerminateThreadByPointer完成终止处理。 三个函数原型如下: NTSTATUS NtTerminateThread( _in_opt HANDLE ThreadHandle, _in NTSTATUS ExitStatus); N.
熬之滴水成石:最想深入了解的内容--windows内核机制(9)
你的天空阅读专栏
11-25 696
61 进程与线程(6) 在windows的OS中,一个进程的创建是从一个内核函数ntcreateprocess函数开始的。在内核中当然要创建我们之前说到的那个对象;EPROCESS,这个对象创建完毕,实际上也创建了一个初始化的线程,这个时候,这个线程也创建了一个供自己调用的栈并且设置好它的执行环境。进程一个最为重要的事情就是要建立自己独立的地址空间。这个叫NtCreateProcessEx的函数
内核层的进程和线程对象
maomao171314的专栏
11-26 433
Windows进程和线程数据结构 1 内核层的进程和线程对象 进程数据结构: typedef struct _KPROCESS { // // The dispatch header and profile listhead are fairly infrequently // referenced. // DISPATCHER_HEADER Header; LIST_ENTRY ProfileListHead; // // T...
加载驱动进程防杀的软件源码
04-10
加载驱动进程防杀本人精心收集的VB源码,绝对实用
详解内核list_head结构
happy_6678的专栏
11-01 1093
struct list_head { struct list_head *prev; struct list_head *next; }; 链表的定义与初始化,宏的参数用小括号括起来防止出现扩展异常 #define LIST_HEAD_INIT(name) { &(name), &(name) } #define LIST_HEAD(name) / struct list_head name = LIST_HEAD_INIT(name) #define
_ETHREAD断链 —— 实现线程隐藏
walker的博客
03-08 2168
简介 线程所属的父进程 _EPROCESS 结构体中的 ThreadListHead 成员是当前进程中所有线程的双向链表头,该成员有两个,分别在 0x50 和 0x190 处。我们可以通过该线程链表头进行线程遍历,也可以通过直接遍历 _ETHREAD 结构体中的 ThreadListEntry 成员实现遍历进程中的所有线程,ThreadListEntry 分别位于 0x1b0 和 0x22c 处。 我们可以通过 _ETHREADThreadListEntry 断链实现线程隐藏。需要注意的是,Threa
模拟PspTerminateProcess结束进程-学习笔记
MichaelJScofield的专栏
05-27 5473
此文是阅读黑防上胡文亮大牛《模拟实现NT系统通用PspTerminateProcess》后作为学习笔记记录下来的,仅作学习记录,理解错的请勿拍砖。和通过特征暴力搜索定位PspTerminateProcess的地址的方法相比,亮点就是模拟了实现PspTerminateProcess,PspTerminateThreadByPointer等函数。 此前先看PJF大牛的一篇《进程终止的内幕》
ARK之杀进程这点小事-有线程补充
zhuhuibeishadiao
06-07 3079
A.NtTerminateProcess B.涂改内存    //内存清0 C.卸载模块 //free ntdll.dll或主模块 D.窗口攻击 //发close quit 洪水 或 SetParant 这里演示SetParant R3 如果要这么做的话最好在内核中使用更底层的函数 这里提一下枚举窗口 使用EnumWinodws是调用内核中NtUserBuildHwndList 这个函数
浅谈驱动中强制结束进程的3种方法
少仲
04-12 6665
一个应用程序想要结束另一个进程所要做的事:首先获得目标的进程ID,接着利用OpenProcess获取进程句柄(确保足够权限),最后将句柄传给TerminateProcess了结那个进程. OpenProcess通过本机系统服务接口进入核心态,随后调用ntoskrnl的NtOpenProcess.在服务函数里,系统使用SeSinglePrivilegeCheck检查调用者是否有DEBUG权
window下强制杀死某个进程用taskkill /pid 进程号 -t -f命令
热门推荐
u012523921的专栏
07-06 12万+
window下当使用某个端口时,发现这个端口被占用,但是正规的关闭这个进程又关闭不了,可以使用强制杀死。 进入运行的cmd命令下: 比如想查看8088端口被哪个进程占用了,cmd下输入这个命令:netstat   -ano|findstr 8088 如下图: 说明:上面的图片的8088端口的PID是10228,但是下面的8088的PID是2472,因为,上面
X64下利用ObRegisterCallbacks注册对象回调实现进程保护
CalvinXu
02-08 5181
在X86下,保护进程可以直接利用驱动HOOK SSDT表实现对进程的保护,但到了X64之后,微软了为了保护内核不被随意修改,保护系统的稳定和安全,对驱动增加了两点限制,一是必须有数字签名的驱动才能加载,二是加了PATCHGUARD保护内核,如果发现内核被修改就会直接蓝屏,因此SSDT HOOK不再是很好的方法,但微软同样为了系统安全,增加了一个对象回调函数的接口,利用该回调可以实现对对象请求的过滤...
Windows驱动学习(三)-- 杀死进程
安全杂货铺
09-18 2591
1. 概述 我们常常遇到这种棘手的情况,使用任务管理器或一些应用程序无法将某一进程杀死。出现这种现象的原因一般是因为权限不够,若我们在驱动层调用ZwTerminateProcess来杀死这些进程,那么成功率将大大增加。 2. 驱动编写 2.1 初始化变量 2.2 DrvierEntry 在上一章,我们发现DeviceCreate和DeviceClose等函数怎么长得一模一样?我们可不可以进行代码...
初探 JUC 并发编程:Java 并发包中并发 List 源码剖析
最新发布
weixin_74895237的博客
04-29 1295
并发包中的并发 List 只有。这是一个线程安全的ArrayList,对其进行修改的操作都是在底层的一个复制数组上进行的,也就是使用了写时复制策略。每个/***/上面的注解的含义是这样的:保护所有变化的锁。(我们对内置监控器略有偏好,而不是,两者都可以。这个锁的类型要根据不同的 Java 源码来看,不同的团队会有不同的设计选择,所以如果追源码发现这个锁的实现不同,是因为我们看的源码的版本不同。这里使用的就是独占锁。通过上面源码的阅读,可以发现,

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值