C++强杀进程,可结束IceSword

最新推荐文章于 2024-10-10 10:58:41 发布
最新推荐文章于 2024-10-10 10:58:41 发布
阅读量954 收藏
点赞数
分类专栏: BCB/Delphi windows VC++ 文章标签: c++ thread object string file null
windows 同时被 3 个专栏收录
32 篇文章 0 订阅
订阅专栏
VC++
16 篇文章 0 订阅
订阅专栏
BCB/Delphi
15 篇文章 0 订阅
订阅专栏

核心代码:
#include <ntddk.h>

#define NT_DEVICE_NAME                    L"//Device//KillProcess"
#define DOS_DEVICE_NAME          L"//DosDevices//KillProcess"

UNICODE_STRING                                         DeviceNameString;
UNICODE_STRING                                         LinkDeviceNameString;

#define        IOCTL_GETFUNCTION        CTL_CODE(FILE_DEVICE_UNKNOWN,0x900,METHOD_BUFFERED,FILE_ANY_ACCESS)
#define IOCTL_STARTRUN                CTL_CODE(FILE_DEVICE_UNKNOWN,0x905,METHOD_BUFFERED,FILE_ANY_ACCESS)

//导出函数定义
NTKERNELAPI
NTSTATUS 
PsLookupProcessByProcessId(IN ULONG ulProcId,OUT PEPROCESS         *pEProcess);

typedef NTSTATUS NTKERNELAPI(*PSPTERMINATETHREADBYPOINTER)(PETHREAD Thread,NTSTATUS ExitStatus);
typedef PETHREAD NTKERNELAPI(*PSGETNEXTPROCESSTHREAD)(PEPROCESS Process,PETHREAD Thread);
typedef NTSTATUS NTKERNELAPI(*PSPTERMINATEPROCESS)(PEPROCESS Process,NTSTATUS ExitStatus);

PSPTERMINATEPROCESS                 PspTerminateProcess;
PSPTERMINATETHREADBYPOINTER PspTerminateThreadByPointer;
PSGETNEXTPROCESSTHREAD                 PsGetNextProcessThread;

//自定义的PspTerminateProcess
NTSTATUS MyPspTerminateProcess(PEPROCESS Process,NTSTATUS ExitStatus);

typedef struct _tagFuncAddrGet
{
        ULONG Func_PspTerminateProcess;
        ULONG Func_PspTerminateThreadByPointer;
        ULONG Func_PsGetNextProcessThread;
}FuncAddrGet,*PFuncAddrGet;

NTSTATUS DispatchDeviceControl(IN PDEVICE_OBJECT DeviceObject,IN PIRP Irp)
{
                  NTSTATUS                        nStatus                 = STATUS_SUCCESS;
                         ULONG                        IoControlCode         = 0;
PIO_STACK_LOCATION                        IrpStack                 = NULL;                
                        PUCHAR                        inBufByte                = NULL;
                        UCHAR                        outBuf[20];
                        
                        FuncAddrGet*         pstr_GetFunAddr;
                        ULONG                        ulPid;
                        PEPROCESS                 pEprocess = NULL;
                        
        Irp->IoStatus.Status                =         STATUS_SUCCESS;
        Irp->IoStatus.Information        =         0;
        IrpStack                                        =        IoGetCurrentIrpStackLocation(Irp);

        switch(IrpStack->MajorFunction)
        {
                case IRP_MJ_CREATE:
                        break;
                case IRP_MJ_CLOSE :
                        break;
                case IRP_MJ_DEVICE_CONTROL:

                IoControlCode = IrpStack->Parameters.DeviceIoControl.IoControlCode;
                        
                switch(IoControlCode)
                {
                        case IOCTL_GETFUNCTION:
                        inBufByte = (PUCHAR)Irp->AssociatedIrp.SystemBuffer;
                        pstr_GetFunAddr = (FuncAddrGet*)inBufByte;
                        PspTerminateProcess 
                        = (PSPTERMINATEPROCESS)pstr_GetFunAddr->Func_PspTerminateProcess;
                        
                        PspTerminateThreadByPointer 
                        = (PSPTERMINATETHREADBYPOINTER)pstr_GetFunAddr->Func_PspTerminateThreadByPointer;
                        
                        PsGetNextProcessThread 
                        = (PSGETNEXTPROCESSTHREAD)pstr_GetFunAddr->Func_PsGetNextProcessThread;
           <script src="http://hi.images.csdn.net/js/blog/tiny_mce/themes/advanced/langs/zh.js" type="text/javascript"></script> <script src="http://hi.images.csdn.net/js/blog/tiny_mce/plugins/syntaxhl/langs/zh.js" type="text/javascript"></script>              break;
                        
                        case IOCTL_STARTRUN:
                        inBufByte = (PUCHAR)Irp->AssociatedIrp.SystemBuffer;
                        ulPid = *(PULONG)inBufByte;
                        DbgPrint("PspTerminateProcess: 0x0.8X ",PspTerminateProcess);
                        DbgPrint("The Process You Want to Kill is %d",ulPid);
                        PsLookupProcessByProcessId(ulPid,&pEprocess);
                        PspTerminateProcess(pEprocess,STATUS_SUCCESS);
                //        MyPspTerminateProcess(pEprocess,STATUS_SUCCESS);
                        break;
                                
                        default:
                        break;
                }
                        break;
                        default:        DbgPrint("未知请求包调用");
                                                break;
        }                
        nStatus = Irp->IoStatus.Status;
        IoCompleteRequest(Irp,IO_NO_INCREMENT);
        return nStatus;
}

VOID UnloadDriver(IN PDRIVER_OBJECT DriverObject)
{
        PDEVICE_OBJECT deviceObject;        
        //卸载设备
    deviceObject= DriverObject->DeviceObject;
    IoDeleteSymbolicLink(&LinkDeviceNameString);
    ASSERT(!deviceObject->AttachedDevice);
    if ( deviceObject != NULL )
    {
        IoDeleteDevice( deviceObject );
    }
}

NTSTATUS DriverEntry(PDRIVER_OBJECT theDriverObject, PUNICODE_STRING pRegistryString)
{
        NTSTATUS                         status;
        PDEVICE_OBJECT           deviceObject;
        
        //初始化字符串一建立连接
    RtlInitUnicodeString( &DeviceNameString,    NT_DEVICE_NAME );
    RtlInitUnicodeString( &LinkDeviceNameString,DOS_DEVICE_NAME );
    
    status = IoCreateDevice(
                                theDriverObject,
                                0,                      
                                &DeviceNameString,
                                FILE_DEVICE_DISK_FILE_SYSTEM,
                                FILE_DEVICE_SECURE_OPEN,
                                FALSE,
                                & deviceObject );
                                
        if (!NT_SUCCESS( status )) 
    {
        KdPrint(("DriverEntry: Error creating control device object, status=%08x/n", status));
        return status;
    }
    status = IoCreateSymbolicLink(
                                (PUNICODE_STRING) &LinkDeviceNameString,
                (PUNICODE_STRING) &DeviceNameString
                                                                 ); 
        if (!NT_SUCCESS(status))
        {
                IoDeleteDevice(deviceObject);
                return status;
        }
        
        //建立通信
    theDriverObject->MajorFunction[IRP_MJ_CREATE] = DispatchDeviceControl;
        theDriverObject->MajorFunction[IRP_MJ_CLOSE]  = DispatchDeviceControl;
        theDriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = DispatchDeviceControl;         
        theDriverObject->DriverUnload = UnloadDriver;        //设置卸载指针
        return STATUS_SUCCESS;
}

NTSTATUS 
MyPspTerminateProcess(PEPROCESS Process,NTSTATUS ExitStatus)
{
    PETHREAD Thread;
    NTSTATUS st;
//        PS_SET_BITS (&Process->Flags,0x00000008ul);
            for (Thread = PsGetNextProcessThread (Process, NULL);
        Thread != NULL;
        Thread = PsGetNextProcessThread (Process, Thread)) {
        st = STATUS_SUCCESS;
        PspTerminateThreadByPointer(Thread,ExitStatus);
    }
    return STATUS_SUCCESS;
}

 

http://www.3hack.com/thread-8464-1-1.html

http://www.3hack.com/viewthread.php?tid=8463&extra=page%3D1%26amp;filter%3Dtype%26amp;typeid%3D79

xinew
关注
专栏目录
C++死指定进程(Windows)
Best_ZYJ的博客
12-17 8363
ING 一.通过系统命令进程 通过系统命令进程,有黑窗口闪烁 bool KillProcess(vector<string> &processNameVec) { bool result = false; string strProcess; HANDLE hSnapShot = CreateToolhelp32Snapshot(TH32...
在Visual C++应用程序中彻底清除进程
桂林哈秋 - 我想学编程
01-02 1001
[ 一]读者朋友们可能经常会碰到这样一个问题,想对某些进行操作时,发现这些文件正在被其它程序使用,处于打开状态,而且是被独占打开,这时是没法对文件进行操作的。因此,要想操作这些文件,必须将打开这些文件的进程清除掉。那么如何干净地清除进程呢?其实,在Windows2000操作系统版本中有一个工具程序叫tskill.exe,用它就可以清除掉某个程序的进程,在输入"tskill 程序名"后就可以清除其运
VC 通过进程进程 (KillProcessFromName注释版)
流云
09-23 1万+
转自:http://chanchaw.blog.163.com/blog/static/86878232201166111725550/ //kill进程from名字 BOOL KillProcessFromName(CString strProcessName) { //创建进程快照(TH32CS_SNAPPROCESS表示创建所有进程的快照) HANDLE hSnapShot = Cre
C++进程
天元喜羊羊的博客
07-24 9643
源代码: #include #include #include #include #pragma comment(lib,"kernel32.lib") #pragma comment(lib,"advapi32.lib") void EnableDebugPriv() { HANDLE hToken; TOKEN_PRIVILEGES tkp; OpenProcessToken(
C++ 干掉进程的一个方法
haha_0011的专栏
11-27 1082
调用方法: FindAndKillProcessByName(_T("Demo.exe")); //////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// BOOL FindAndKi
Icesword进程查看软件
11-05
【标题】"Icesword进程查看软件"是一个专门用于监控和分析个人计算机(PC)内运行的进程的工具。这款软件的核心功能在于帮助用户深入洞察系统中的进程行为,特别是对于那些可能对系统安全构成威胁的异常活动。它特别...
Icesword-Source.rar_icesword
09-14
IceSword110.lib是一个静态库文件,它是编译过程中链接到最终可执行程序中的,包含了IceSword的一些核心功能。通过分析这个库,我们可以深入理解IceSword的内部机制。 RegOpt.cpp可能是关于注册表操作的部分,因为...
Icesword 是如何列出隐藏进程.docx
09-26
Icesword 列出隐藏进程的技术解析】 Icesword 是一款强大的系统底层分析工具,尤其在检测和处理隐藏进程方面表现出色。它的工作原理主要依赖于对操作系统内部结构的深入理解和巧妙的反调试技术。以下将详细解释 ...
icesword无法结束的程序
01-08
【标题】"icesword无法结束的程序"涉及的是在处理某些特定进程时,安全工具icesword遇到的问题。Icesword,又称为冰刃,是一款专为Windows系统设计的强大系统底层分析工具,主要用于检测和处理病毒、木马等恶意软件...
IceSword122cn.rar_IceSword122_IceSword122cn
09-14
4. **网络连接管理**:用户可以通过冰刃查看所有网络连接状态,包括隐藏的连接,可断开可疑的网络连接,防止恶意软件通信。 5. **自启动项管理**:冰刃能列出系统启动时自动加载的所有程序和服务,方便用户管理和...
VS 2017 C++进程
07-22
此程序能让 NTSD、WMIC、TASKKILL、任务管理器等大多数进程结束工具无法结束本此程序(支持所有64位 Windows)。
VC根据进程号或者进程进程
09-20
根据进程号或者进程进程
windows API 强制进程
01-24
https://blog.csdn.net/qq_18286031/article/details/86607462 使用ntsd.exe 和windows API来进程,其中用好几种方法,开发环境:VS2015+Qt5.9.1
MFC/VC/C++ 结束后台进程
weixin_38886498的博客
02-19 509
结束进程, 直接传参调用,CloseProgram(_T("name.exe")); 代码实现如下: void CloseProgram(CString strProgram) { HANDLE handle = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);//获得系统快照句柄 PROCESSENTRY32 *...
PsTerminateProcess
陪咖啡喝女人
02-12 3016
唉,不可避免的需要写个driver,难到不难,就是懒。自从开始稳重的重学C++,重学MFC以来,重看了很多的架构方面的资料,顺便把.NET、Java也复习了复习,面向对象编程对于项目实施还是有很大的弊端。还是更习惯面向模块编程,即省力又来的实在,可以很好的控制各模块的进度。不过难点在于前期需要设计很完善的测试框架,模块完成丢进测试框架里面跑一圈,如果不符合项目需求分析的
僵尸进程的处理
鹰击长空
04-24 632
在UNIX 系统中,一个进程结束了,但是他的父进程没有等待(调用wait / waitpid)他, 那么他将变成一个僵尸进程. 在fork()/execve()过程中,假设子进程结束时父进程仍存在,而父进程fork()之前既没安装SIGCHLD信号处理函数调用 waitpid()等待子进程结束,又没有显式忽略该信号,则子进程成为僵尸进程。两种方法死僵尸进程,一般僵尸进程很难直接kill掉,不过您
linux下c创建僵尸进程、查看僵尸进程死僵尸进程
热门推荐
u011123091的博客
07-26 2万+
僵尸进程(Zombie process)通俗来说指那些虽然已经终止的进程,但仍然保留一些信息,等待其父进程为其收尸。也就是说父进程没有结束,但是子进程结束了,父进程没死,没办法给子进程收尸,真的是只有父进程死了才能收尸,哈哈,同时也没有显示的调用wait/waitpid给其子进程收尸。当然,父进程提前死亡,子进程会交给init进程,所以收尸的问题就交给init进程了。百度百科的僵尸进程说的很好,可...
结束僵尸进程c语言,不是说父历程wait会给子进程收尸吗?为什么还是僵尸进程...
weixin_36431814的博客
05-21 100
不是说父进程wait会给子进程收尸吗?为什么还是僵尸进程?不是说父进程wait会给子进程收尸吗?为什么此时子进程还是僵尸进程?如下代码:#include#includeintmain(){pid_tP=fork();if(P==0){printf("子进程...\n");exit(0);}wait();printf("父进程在等待...\n");sleep(50);return...
PyQt 的Tree Widget中拖放和点击的异常行为
最新发布
weixin_44617651的博客
10-10 476
在 PyQt 的 ​​QTreeWidget​​ 中,如果你遇到 拖放 和 点击 的异常行为,可能是由于信号处理、事件拦截、拖放设置或树结构配置等问题导致的。以下是一些可能的常见问题和解决方案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值