驱动开发-结束进程

最新推荐文章于 2023-06-23 17:09:42 发布
最新推荐文章于 2023-06-23 17:09:42 发布
阅读量533 收藏
点赞数
分类专栏: 驱动 文章标签: 驱动开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/glc22/article/details/78276159
版权

在"遍历进程"的基础上做结束进程的操作:

参考:http://blog.csdn.net/u013761036/article/details/67768262

实现结束notepad.exe进程代码:

#pragma once
#include <ntifs.h>
#include <ntstrsafe.h>
 
//win7x86
#define FLINKOFFSET 0x00b8
#define PEBOFFSET 0x01a8
#define NAMEOFFSET 0x016c
#define PIDOFFSET 0x00b4

//结束进程
void ZwKillProcess(HANDLE hdPid)
{
	__try {
	HANDLE hProcess  = NULL;
	CLIENT_ID ClientId  = { 0 };
	OBJECT_ATTRIBUTES oa  = { 0 };
	ClientId.UniqueProcess  = (HANDLE)hdPid;
	ClientId.UniqueThread  = 0;
	oa.Length  = sizeof(oa);
	oa.RootDirectory  = 0;
	oa.ObjectName  = 0;
	oa.Attributes  = 0;
	oa.SecurityDescriptor  = 0;
	oa.SecurityQualityOfService  = 0;
	ZwOpenProcess(&hProcess, 1, &oa, &ClientId);
	if (hProcess)
	{
		ZwTerminateProcess(hProcess, 0);
		ZwClose(hProcess);
	};
}
	__except (EXCEPTION_EXECUTE_HANDLER)
	{
		;
	}
}
//进程信息
VOID EnumProcessInformations()
{
	//第一个进程环境块
	PEPROCESS eprocess_first = PsGetCurrentProcess();
	PLIST_ENTRY pTempList = (PLIST_ENTRY)((PUCHAR)eprocess_first + FLINKOFFSET);
	PEPROCESS eprocess = NULL;
	PUCHAR lpname = NULL;
	ULONG pID = 0;

	//用于调试  KdBreakPoint();
	while (eprocess != eprocess_first)
	{
		if (eprocess == NULL)
		{
			eprocess = (PEPROCESS)((PUCHAR)pTempList - FLINKOFFSET);
		}
		lpname = (PUCHAR)eprocess + NAMEOFFSET;

		pID = *(PULONG *)((ULONG_PTR)eprocess + PIDOFFSET);

		KdPrint(("process %s--%d\n", lpname, pID));

		if (_strnicmp(lpname, "notepad.exe", 11) == 0) //_wcsicmp(lpname, L"notepad.exe") 
			ZwKillProcess(pID);

		pTempList = pTempList->Flink;

		eprocess = (PEPROCESS)((PUCHAR)pTempList - FLINKOFFSET);
	} 
 

} 
//卸载函数很简单
VOID unload(PDRIVER_OBJECT p)
{
	DbgPrint("UnloadDriver...");
} 
//驱动入口函数 
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver_Obj, PUNICODE_STRING pRegisterPath)
{

	DbgPrint("DriverEntry...");
	pDriver_Obj->DriverUnload = unload;

	DbgPrint("DriverName:%wZ RegisterPath:%wZ \n ",
		&pDriver_Obj->DriverName,
		pRegisterPath);

	//这里调用
	EnumProcessInformations();

	return STATUS_SUCCESS;
}

宇文仲竹
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅谈驱动中强制结束进程的3种方法
少仲
04-12 6728
一个应用程序想要结束另一个进程所要做的事:首先获得目标的进程ID,接着利用OpenProcess获取进程句柄(确保足够权限),最后将句柄传给TerminateProcess了结那个进程. OpenProcess通过本机系统服务接口进入核心态,随后调用ntoskrnl的NtOpenProcess.在服务函数里,系统使用SeSinglePrivilegeCheck检查调用者是否有DEBUG权
驱动 -- 强制结束进程 -- 整理
FadeTrack
06-22 2314
有一阵子没 写博客,正好这几天 写了个内核级强制结束进程 的小例子。写这个例子之前都没去查什么资料,主要是想试试自己能不能写出来吧。写完后才发现 看雪论坛 曾经发表过一篇很相似的文章,实现的细节可能有点不一样,不过原理基本是相同的了。 都是通过 这个 PspTerminateThreadByPointer 函数,我是通过查ReactOs 来理解的 NtTeriminateProc
流氓软件-驱动精灵
热门推荐
犹有傲霜枝的博客
07-25 2万+
流氓软件-驱动精灵 驱动精灵是真的很过分,各种默认勾选,各种偷偷藏在角落(估计是钻法律的空子,毕竟是提醒别人了,别人看不到那可就不怪我了呀)。 这张图是驱动精灵卸载时的界面,请睁大眼睛看看界面左下角,表示视力2.0看不见。真TMD恶心。 这张图是驱动精灵安装时候的界面截图,安装路径啊,许可协议什么的全部给你自动搞好了,路径就不说了,协议什么的虽然正常人都不会去看,但是至少让我去勾选的权利...
易语言驱动级暴力结束进程 包括结束360杀毒/卫士,纯源码/无模块
06-04
加载驱动后理论可以暴力结束任何进程,但是未经过很多测试所以不敢妄下定言。加载驱动杀毒/卫士会提示是否拦截/是否允许加载。@X.lycs。
驱动开发:内核强制结束进程运行
CSDN
10-29 1万+
内核态,但有时我们不得不想办法结束掉这些特殊的进程,当然某些正常进程在特殊状态下也会无法被正常结束,此时使用驱动前行在内核态将其结束掉就变得很有用了,驱动结束进程有多种方法。存在时则可以看到结束效果,当然这种方式只是在内核层面调用了结束进程函数,其本质上还是正常结束,只是这种方式权限要大一些仅此而已。没有被导出,所以我们需要动态的这个内存地址,然后动态调用即可,这个寻找方法可以总结为以下步骤。第二种方法,其原理就是将进程内的线程全部结束掉从而让进程自动结束,由于。首先是第一种方法结束进程,封装实现。
驱动关闭进程
qq_41071646的博客
10-28 925
#include &lt;ntifs.h&gt; NTSTATUS ZwQuerySystemInformation( ULONG SystemClass, PVOID SystemInformation, ULONG SystemInformationLength, PULONG RetLength ); typedef struct _SYSTEM_THREADS { LARG...
驱动级暴力结束进程,暴力结束360杀毒/安全卫士-易语言
06-12
在本案例中,我们讨论的主题是“驱动级暴力结束进程”,特别提到了使用易语言来实现这一功能,目标是结束360杀毒或安全卫士这类防护软件的进程。这里将详细阐述驱动级编程、暴力结束进程以及与易语言相关的知识。 ...
易语言驱动开发模块
08-16
"易语言驱动开发模块"是针对易语言的扩展,用于开发操作系统驱动程序,它允许程序员深入系统层面,实现对硬件设备、系统资源的管理和控制。 驱动程序是操作系统与硬件设备之间的桥梁,它们提供了高级接口,使得操作...
08517009vbCheckProcess_结束进程_
09-29
首先,Visual Basic是一种由微软开发的事件驱动编程语言,常用于创建图形用户界面(GUI)应用程序。在这个程序中,VB被用来编写代码,以便与操作系统进行交互,获取进程信息,并允许用户终止这些进程。VB提供了丰富...
驱动进程保护
05-22
回调函数允许操作系统在特定事件发生时调用预先定义的函数,例如当一个进程被创建、修改或结束时。通过注册这些回调,我们可以监控并控制进程的行为,实现保护功能。在描述中提到的"通过进程回调来完成",意味着...
进程结束小工具(驱动级)
02-02
一般的方案很难kill,但是有了这个小工具,一切就变简单了,把进程名对号入座即可! 此资源实测无效,请遵守国家法律法规!
用于结束Windows操作系统无法结束进程软件工具ntsd.zip
05-11
用于结束进程的ntsd的命令工具,非常好用,但是有一些rootkit的进程结束不了
内核级结束进程 结束冰刃进程 结束360等杀软进程
12-24
内核级结束进程 内核级结束进程 结束冰刃进程 结束360等杀软进程进程不能被冰刃结束
驱动进程管理器(内核级进程无敌咔嚓工具!)
07-27
驱动进程管理器(内核级进程无敌咔嚓工具!)
易语言强制结束进程模块源码 强制结束进程
11-04
易语言强制结束进程模块源码,可以强制结束任务管理器无法关闭的进程,杀毒软件的防杀进程无法结束。大部分程序都可以结束
三环结束进程之全局钩子结束杀软托盘
信息安全
03-26 583
因为有驱动保护,在三环的常规结束进程方法是无效的,例如,利用任务管理器是无法结束掉火绒托盘程序的 利用全局钩子,可以注入火绒托盘进程,从而结束进程 点击确定后火绒托盘被结束 直接上代码,实现很简单 exe部分 #include <windows.h> #include <stdio.h> int main(int argc, char* argv[]) { do ...
32位/64位WINDOWS驱动拒绝结束进程无效分析
最新发布
a756598009的博客
06-23 164
中断等级/INTEGRITYCHECK 强制驱动签名/INTEGRITYCHECK(需要签名检查)指定必须在加载时检查二进制映像的数字签名。
根据进程名一键批量结束进程(chromedriver.exe)
embracestar的博客
07-11 2396
使用python+selenium+chrome进行自动化测试期间遇到的问题。
Win64 驱动内核编程-26.强制结束进程
天使也掉毛
03-29 5010
强制结束进程     依然已经走到驱动这一层了,那么通常结束掉一个进程不是什么难的事情。同时因为win64 位的各种保护,导致大家慢慢的已经不敢HOOK了,当然这指的是产品。作为学习和破解的话当然可以尝试各种hook。目前来说很多杀软进程保护都是通过回调了保护的,简单,稳定,安全。So,强制结束进程会比当年简单很多。 首先就是上一个最基本的驱动结束进程的方法:   1.直接调用ZwTer
Android驱动开发入门与手机案例分析
"这篇教程是关于Android驱动开发的入门及手机案例分析,主要涵盖四个主题:Linux驱动开发入门、Android系统对Linux驱动的优化与调整、Android电源管理框架及策略应用,以及基于PXA310平台的Android手机驱动开发案例...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值