驱动关闭进程

最新推荐文章于 2023-04-16 21:24:34 发布
最新推荐文章于 2023-04-16 21:24:34 发布
阅读量884 收藏 3
点赞数
分类专栏: 驱动入门
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071646/article/details/83451267
版权 
#include <ntifs.h>
NTSTATUS ZwQuerySystemInformation(
	ULONG SystemClass,
	PVOID SystemInformation,
	ULONG SystemInformationLength,
	PULONG RetLength
	);

typedef struct _SYSTEM_THREADS
{
	LARGE_INTEGER  KernelTime;
	LARGE_INTEGER  UserTime;
	LARGE_INTEGER  CreateTime;
	ULONG    WaitTime;
	PVOID    StartAddress;
	CLIENT_ID   ClientID;
	KPRIORITY   Priority;
	KPRIORITY   BasePriority;
	ULONG    ContextSwitchCount;
	ULONG    ThreadState;
	KWAIT_REASON  WaitReason;
	ULONG    Reserved; //Add
}SYSTEM_THREADS, *PSYSTEM_THREADS;

typedef struct _SYSTEM_PROCESS_INFORMATION {
	ULONG                   NextEntryOffset;
	ULONG                   NumberOfThreads;
	LARGE_INTEGER           Reserved[3];
	LARGE_INTEGER           CreateTime;
	LARGE_INTEGER           UserTime;
	LARGE_INTEGER           KernelTime;
	UNICODE_STRING          ImageName;
	KPRIORITY               BasePriority;
	HANDLE                  ProcessId;
	HANDLE                  InheritedFromProcessId;
	ULONG                   HandleCount;
	ULONG                   Reserved2[2];
	ULONG                   PrivatePageCount;
	VM_COUNTERS             VirtualMemoryCounters;
	IO_COUNTERS             IoCounters;
	SYSTEM_THREADS           Threads[0];
} SYSTEM_PROCESS_INFORMATION, *PSYSTEM_PROCESS_INFORMATION;
CHAR*  PsGetProcessImageFileName(PEPROCESS Process);
NTSTATUS PsSuspendProcess(PEPROCESS Process);//挂起
NTSTATUS PsResumeProcess(PEPROCESS Process);//回复
void driveunload(PDRIVER_OBJECT pDriveObject)
{


	KdPrint(("卸载结束!\n"));

}
//使用接口 来结束进程!
void MyTerminateProcess(ULONG Pid)
{
	NTSTATUS status;
	OBJECT_ATTRIBUTES objAttr = { 0 };
	CLIENT_ID  Client = { 0 };
	HANDLE hProcess=NULL;
	status = ZwOpenProcess(hProcess, PROCESS_ALL_ACCESS, &objAttr, &Client);
	if (NT_SUCCESS(status))
	{
		KdPrint(("成功进入函数!\n"));
		ZwTerminateProcess(hProcess, 0);
		ZwClose(hProcess);
	}


}
//暴力清0
void MyTerminateProcess2(ULONG Pid)
{
	NTSTATUS status;
	PEPROCESS Process;
	ULONG64  Address;
	status = PsLookupProcessByProcessId(Pid, &Process);
	if (NT_SUCCESS(status))
	{
		KeAttachProcess(Process);
		for (Address = 0; Address <= 0x80000000; Address += PAGE_SIZE)
		{
			_try
			{
				memset(Address, 0, PAGE_SIZE);

			}_except(0)
			{
				;
			   
			}

		}

		ObDereferenceObject(Process);

	}

}
void EumProcessByQueyInformation()
{
	NTSTATUS status;
	ULONG Retlength;
	PVOID Buffer = NULL;
	PSYSTEM_PROCESS_INFORMATION SystemProcess = NULL;
	status = ZwQuerySystemInformation(5, NULL,0,&Retlength);
	if (status == STATUS_INFO_LENGTH_MISMATCH)
	{
		KdPrint(("开始运行!\n"));
		Buffer = ExAllocatePool(PagedPool, Retlength);
		if (Buffer)
		{
		 RtlZeroMemory(Buffer, Retlength);
         status = ZwQuerySystemInformation(5, Buffer, Retlength, &Retlength);
		 if (NT_SUCCESS(status))
		 {
			 SystemProcess = Buffer;
			 do{
				 KdPrint(("%wZ\n", SystemProcess->ImageName));
				 SystemProcess = ((ULONG64)SystemProcess) + SystemProcess->NextEntryOffset;
			 } while (SystemProcess->NextEntryOffset);
				 

		  }
		   ExFreePool(Buffer);
		}
		


	}

}   
void EumProcessByLookUpProcessId()
{
	ULONG Pid;
	NTSTATUS status;
	PEPROCESS Process;
	for (Pid = 0; Pid <= 240000; Pid += 4)
	{ 
		status = PsLookupProcessByProcessId(Pid, &Process);
		if (NT_SUCCESS(status))
		{
			KdPrint(("%s\n", PsGetProcessImageFileName(Process)));
			if (strstr(PsGetProcessImageFileName(Process),"notepad"))
			{
			  //	PsSuspendProcess(Process);//挂起
				MyTerminateProcess(Pid);
			}
			ObDereferenceObject(Process);
		}
	}
}
NTSTATUS  DriverEntry(PDRIVER_OBJECT DriveObject,PUNICODE_STRING RegisterPath)
{
	//EumProcessByQueyInformation();
	EumProcessByLookUpProcessId();
	DriveObject->DriverUnload = driveunload;

	 return STATUS_SUCCESS;
}

 

pipixia233333
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
易语言驱动级暴力结束进程 包括结束360杀毒/卫士,纯源码/无模块
06-04
加载驱动后理论可以暴力结束任何进程,但是未经过很多测试所以不敢妄下定言。加载驱动杀毒/卫士会提示是否拦截/是否允许加载。@X.lycs。
Win64 驱动内核编程-26.强制结束进程
天使也掉毛
03-29 4932
强制结束进程     依然已经走到驱动这一层了,那么通常结束掉一个进程不是什么难的事情。同时因为win64 位的各种保护,导致大家慢慢的已经不敢HOOK了,当然这指的是产品。作为学习和破解的话当然可以尝试各种hook。目前来说很多杀软进程保护都是通过回调了保护的,简单,稳定,安全。So,强制结束进程会比当年简单很多。 首先就是上一个最基本的驱动结束进程的方法:   1.直接调用ZwTer
内核驱动层实现强杀三方程序进程/线程
不会写代码的丝丽
04-16 449
一些流氓程序通过一些恶意手段会阻止用户杀死自身。本文在杀软层面 编写相关内核代码强行关闭对应的程序。在内核层面有相关API进行终止对应线程函数原型只能线程自己关闭自己,但是你看到相关官方文档最后一句话有这不就是暗示我们玩骚?于是将内核代码拖入IDA进行分析最后发现跳转到函数,其中gs:[188]表示指向当前进程(在x64中gs指向kpcr)是一个公开函数 ,但没有公开,那么可以先定位函数,然后通过特征码去寻找对应的函数地址。也就是这条指令一共五个字节,且小尾编码。
驱动开发:内核强制结束进程运行
热门推荐
CSDN
10-29 1万+
内核态,但有时我们不得不想办法结束掉这些特殊的进程,当然某些正常进程在特殊状态下也会无法被正常结束,此时使用驱动前行在内核态将其结束掉就变得很有用了,驱动结束进程有多种方法。存在时则可以看到结束效果,当然这种方式只是在内核层面调用了结束进程函数,其本质上还是正常结束,只是这种方式权限要大一些仅此而已。没有被导出,所以我们需要动态的这个内存地址,然后动态调用即可,这个寻找方法可以总结为以下步骤。第二种方法,其原理就是将进程内的线程全部结束掉从而让进程自动结束,由于。首先是第一种方法结束进程,封装实现。
驱动遍历进程的方法
qq_41071646的博客
10-27 1390
/*#include &lt;ntddk.h&gt; #define DEVICE_OBJECT_NAME L"\\Device\\BufferedIODeviceObjectName" #define DEVICE_LINK_NAME L"\\DosDevices\\BufferedIODevcieLinkName" void dirver(IN PDRIVER_OBJECT pDri...
[内核编程]进程操作
輚至消亡
07-12 993
1. 进程枚举 首先来介绍2个重要函数: PCHAR PsGetProcessImageFileName(IN PEPROCESS pProcess) 这个函数是从内核导出的,声明后可以直接使用 作用是可以通过EPROCESS的指针获取对应进程映像名。实际上直接从EPROCESS结构内自己获取也可以。 该函数在ntifs.h内有声明,包含后就可以直接使用。 作用是通过PID获取对应进程的EPROCESS结构。 看一个例子: NTSYSCALLAPI PCHAR PsGetProce.
浅谈驱动中强制结束进程的3种方法
少仲
04-12 6654
一个应用程序想要结束另一个进程所要做的事:首先获得目标的进程ID,接着利用OpenProcess获取进程句柄(确保足够权限),最后将句柄传给TerminateProcess了结那个进程. OpenProcess通过本机系统服务接口进入核心态,随后调用ntoskrnl的NtOpenProcess.在服务函数里,系统使用SeSinglePrivilegeCheck检查调用者是否有DEBUG权
驱动 -- 强制结束进程 -- 整理
FadeTrack
06-22 2283
有一阵子没 写博客,正好这几天 写了个 内核级强制结束进程 的小例子。写这个例子之前都没去查什么资料,主要是想试试自己能不能写出来吧。写完后才发现 看雪论坛 曾经发表过一篇很相似的文章,实现的细节可能有点不一样,不过原理基本是相同的了。 都是通过 这个  PspTerminateThreadByPointer 函数,我是通过查 ReactOs 来理解的  NtTeriminateProc
易语言源码易语言加载驱动防止进程关闭源码.rar
03-30
易语言源码易语言加载驱动防止进程关闭源码.rar
易语言加载驱动防止进程关闭源码
06-06
易语言加载驱动防止进程关闭源码。@易语言在线学习。
驱动级暴力结束进程,暴力结束360杀毒/安全卫士-易语言
06-12
加载驱动后理论可以暴力结束任何进程 加载驱动杀毒/卫士会提示是否拦截/是否允许加载
进程结束小工具(驱动级)
02-02
一般的方案很难kill,但是有了这个小工具,一切就变简单了,把进程名对号入座即可! 此资源实测无效,请遵守国家法律法规!
内核级结束进程 结束冰刃进程 结束360等杀软进程
12-24
内核级结束进程 内核级结束进程 结束冰刃进程 结束360等杀软进程进程不能被冰刃结束
驱动进程管理器(内核级进程无敌咔嚓工具!)
07-27
驱动进程管理器(内核级进程无敌咔嚓工具!)
驱动防火墙,可以关闭任何进程
03-10
驱动防火墙,可以关闭任何
Windows内核和驱动进程保护
01-06
驱动开发环境详细配置,SSDT钩子的进程保护,详细的源代码
用 ZwAllocateVirtualMemory 来申请内存
qq_41071646的博客
01-06 4736
用ZwOpenProcess ZwAllocateVirtualMemory 这两个函数 申请内存  #include &lt;ntddk.h&gt; //ZwAllocateVirtualMemory(hProcess,&amp;AllocateAddress,0,&amp;RegionSize,MEM_COMMIT,PAGE_EXECUTE_READWRITE); NTSTATUS ZwA...
驱动读写(只有读)
qq_41071646的博客
03-31 4611
哈哈 今天看见女装大佬 看我们 这群猪头太菜了了 然后出了一个驱动读写的教程 然后这里是链接 https://www.bilibili.com/video/av26193169?t=992&p=19 这篇博客是根据 这个 教程写的 然后 大佬 说了一个函数 感觉挺有必要注意的 if (!MmIsAddressValid(DbgDir)) break; 这样判断内存是...
Minifiter 文件监控 (Windows黑客编程技术详解)
qq_41071646的博客
01-17 2353
最近感觉有点浮躁   不知道为什么 可能是学习 驱动学的有点心态崩吧。。。。。 但是还是咬咬牙坚持了    、 因为感觉自己现在还差了远   如果自己 寒假不好好学习 内核这方面的知识 下学期 还要去 撸关于CTF的东西  自己一直海峡那个去看看 编译原理   所以 感觉 任务比较多呀!!!!!!!!!! 然后这次  博客 是根据 Windows黑客编程技术详解 一书所写   感觉很惭愧 感觉...
c++ 隐藏进程的思路
最新发布
07-03
3. 加载驱动程序:通过加载驱动程序来隐藏进程驱动程序可以通过修改操作系统的内核或者系统调用,来隐藏正在运行的进程。这种方法相对复杂,需要对操作系统内部有深刻的理解。 4. 使用Rootkit技术:Rootkit是一种...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值