Win64 驱动内核编程-26.强制结束进程

最新推荐文章于 2022-10-29 10:17:25 发布
最新推荐文章于 2022-10-29 10:17:25 发布
阅读量5k 收藏 17
点赞数 2
分类专栏: 驱动内核编程 文章标签: 驱动 强制关闭进程 强制结束进程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013761036/article/details/67768262
版权
本文介绍了在Win64驱动层面强制结束进程的三种方法:1) 使用ZwTerminateProcess函数;2) 通过PsTerminateSystemThread找到PspTerminateThreadByPointer;3) 直接修改目标进程内存。这些方法在处理进程保护时具有一定的实用性。
摘要由CSDN通过智能技术生成

强制结束进程

    依然已经走到驱动这一层了,那么通常结束掉一个进程不是什么难的事情。同时因为win64 位的各种保护,导致大家慢慢的已经不敢HOOK了,当然这指的是产品。作为学习和破解的话当然可以尝试各种hook。目前来说很多杀软进程保护都是通过回调了保护的,简单,稳定,安全。So,强制结束进程会比当年简单很多。

首先就是上一个最基本的驱动里结束进程的方法:

 

1.直接调用ZwTerminateProcess去结束进程,这个是公开导出的函数,也就是说它很稳定。不要小看这个东西,我测试过很多杀软。目前停不掉的只有国外的 某伞,可能有人会关心国内的各种卫士能不能停掉!我觉得可以尝试一下,通常不会失望。OK不废话,上代码:

TerminateProcess ->NtTerminateProcess ->ZwTerminateProcess

void ZwKillProcess(HANDLE hdPid)
{
__try {
    HANDLE hProcess =
最低0.47元/天 解锁文章
TK13
关注
专栏目录
驱动 -- 强制结束进程 -- 整理
FadeTrack
06-22 2321
有一阵子没 写博客,正好这几天 写了个内核强制结束进程 的小例子。写这个例子之前都没去查什么资料,主要是想试试自己能不能写出来吧。写完后才发现 看雪论坛 曾经发表过一篇很相似的文章,实现的细节可能有点不一样,不过原理基本是相同的了。 都是通过 这个 PspTerminateThreadByPointer 函数,我是通过查ReactOs 来理解的 NtTeriminateProc
模拟PspTerminateProcess结束进程-学习笔记
MichaelJScofield的专栏
05-27 5561
此文是阅读黑防上胡文亮大牛《模拟实现NT系统通用PspTerminateProcess》后作为学习笔记记录下来的,仅作学习记录,理解错的请勿拍砖。和通过特征暴力搜索定位PspTerminateProcess的地址的方法相比,亮点就是模拟了实现PspTerminateProcess,PspTerminateThreadByPointer等函数。 此前先看PJF大牛的一篇《进程终止的内幕》
强制进程结束内核函数)
mmmsss987的博客
06-02 1238
windows给我们结束进程的函数是PsTerminateSystemThread function,通过反汇编我们可以看到PsTerminateSystemThread 调用了未导出的函数PspTerminateThreadByPointer ,然后这个函数又调用了APC和PspExitThread函数对进程实现强制结束。 ...
Windows内核进程的终止和子进程
aoe41606的博客
02-16 237
1 进程终止的方法: <1>主线程的进入点函数返回(最好使用这种方法) <2>进程中的一个线程调用ExitProcesss函数(应该避免使用这样的方法)。 <3>还有一个进程中的线程调用TerminateProcess函数(应该避免使...
进程结束小工具(驱动级)
02-02
一般的方案很难kill,但是有了这个小工具,一切就变简单了,把进程名对号入座即可! 此资源实测无效,请遵守国家法律法规!
驱动开发:内核强制结束进程运行
最新发布
CSDN
10-29 1万+
内核态,但有时我们不得不想办法结束掉这些特殊的进程,当然某些正常进程在特殊状态下也会无法被正常结束,此时使用驱动前行在内核态将其结束掉就变得很有用了,驱动结束进程有多种方法。存在时则可以看到结束效果,当然这种方式只是在内核层面调用了结束进程函数,其本质上还是正常结束,只是这种方式权限要大一些仅此而已。没有被导出,所以我们需要动态的这个内存地址,然后动态调用即可,这个寻找方法可以总结为以下步骤。第二种方法,其原理就是将进程内的线程全部结束掉从而让进程自动结束,由于。首先是第一种方法结束进程,封装实现。
Linux0.11内核--进程结束
weixin_34270606的博客
04-15 120
进程结束 结束一个进程,就是要释放该进程所有的结构和资源,让系统从此之后再也感觉不到它的存在。如前面所说的,一个进程的结构包括: task[]数组中一项,指向了该进程的task_struct和内核堆栈所在页面; GDT中两项,一项是TSS描述符,一项是LDT描述符; 若干页目录项和若干页表。 一个进程拥有的资源包括: 进程拥有的所有物理页面(...
内核结束进程 结束冰刃进程 结束360等杀软进程
12-24
内核结束进程 内核结束进程 结束冰刃进程 结束360等杀软进程进程不能被冰刃结束
WIN64驱动编程基础教程
12-06
|-强制结束进程 |-强制读写进程内存 |-枚举消息钩子 |-强制解锁文件 |-初步探索PE32+格式文件 ------------------------------ 6.用户态HOOK与UNHOOK |-RING3注射DLL到系统进程 |-RING3的INLINE HOOK和UNHOOK |...
驱动级暴力结束进程,暴力结束360杀毒/安全卫士-易语言
06-12
加载驱动后理论可以暴力结束任何进程 加载驱动杀毒/卫士会提示是否拦截/是否允许加载
易语言驱动级暴力结束进程 包括结束360杀毒/卫士,纯源码/无模块
06-04
加载驱动后理论可以暴力结束任何进程,但是未经过很多测试所以不敢妄下定言。加载驱动杀毒/卫士会提示是否拦截/是否允许加载。@X.lycs。
windows进程结束
07-07
使用TerminateProcess直接结束进程,如果结束不了,则修改token获取SE_DEBUG_NAME特权,再次TerminateProcess结束进程
驱动进程管理器(内核进程无敌咔嚓工具!)
07-27
驱动进程管理器(内核进程无敌咔嚓工具!)
原版win10-进程保护驱动源码_c_保护驱动_进程保护_win10驱动保护_win10进程保护.zip
10-11
总结,Win10进程保护驱动技术是确保系统安全的重要手段,通过C语言进行驱动开发需要掌握Windows驱动模型和内核编程知识。尽管存在一定的挑战,但掌握这项技术能为构建更安全、可靠的系统环境提供坚实的基础。
驱动开发-结束进程
Fly_Sky
10-18 546
在"遍历进程"的基础上做结束进程的操作: 参考:http://blog.csdn.net/u013761036/article/details/67768262 实现结束notepad.exe进程代码: #pragma once #include #include //win7x86 #define FLINKOFFSET 0x00b8 #define PEBOFFSET 0x01a
使用 PspTerminateThreadByPointer 强制结束进程
LYSM
06-24 1914
实现过程 我们知道,线程是进程中执行运算的最小单位,是进程中的一个实体,是被系统独立调度和分派的基本单位,线程自己不拥有系统资源,只拥有一点在运行中必不可少的资源,但它可与同属一个进程的其它线程共享进程所拥有的全部资源。一个线程可以创建和撤消另一个线程,同一进程中的多个线程之间可以并发执行。 也就是说,当一个进程中的所有线程都被结束的时候,这个进程也就没有了存在的意义,也随之结束了。这,便是我们本文介绍的这种强制进程的实现原理,即把进程中的线程都杀掉,从而让进程消亡,实现间接杀进程的效果。 Windows
Windows驱动学习(三)-- 杀死进程
安全杂货铺
09-18 2729
1. 概述 我们常常遇到这种棘手的情况,使用任务管理器或一些应用程序无法将某一进程杀死。出现这种现象的原因一般是因为权限不够,若我们在驱动层调用ZwTerminateProcess来杀死这些进程,那么成功率将大大增加。 2. 驱动编写 2.1 初始化变量 2.2 DrvierEntry 在上一章,我们发现DeviceCreate和DeviceClose等函数怎么长得一模一样?我们可不可以进行代码...
驱动关闭进程
qq_41071646的博客
10-28 942
#include &lt;ntifs.h&gt; NTSTATUS ZwQuerySystemInformation( ULONG SystemClass, PVOID SystemInformation, ULONG SystemInformationLength, PULONG RetLength ); typedef struct _SYSTEM_THREADS { LARG...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值