进程强杀

最新推荐文章于 2023-04-16 21:24:34 发布
最新推荐文章于 2023-04-16 21:24:34 发布
阅读量2.7k 收藏 3
点赞数 2
分类专栏: 驱动学习 文章标签: 进程强杀 内核 WinDbg
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuhuibeishadiao/article/details/51055018
版权

强杀进程

PsTerminateProcessPspTerminateProcess
PspTerminateThreadByPointerPspExitThread
未导出函数
暴力搜索
特征值 xp的
0x8B55ff8B
0xA16456EC
0x00000124
0x3B08758B
内核地址空间NtQueryXXX / AuxKlibQueryModuleInformation 
ntosknlEndAddr
ntosknlBase


以下代码效率很低 而且只支持XP 
#include <ntddk.h>
#include <ntimage.h>
#include <ntdef.h>
#include "Ioctlcmd.h"


const WCHAR deviceLinkBuffer[]  = L"\\DosDevices\\KillProc";
const WCHAR deviceNameBuffer[]  = L"\\Device\\KillProc";


typedef NTSTATUS (*NTQUERYSYSTEMINFORMATION)(
		
		IN ULONG                        SystemInformationClass,
		OUT PVOID                        SystemInformation,
		IN ULONG                        SystemInformationLength,
		OUT PULONG                        ReturnLength OPTIONAL  );
typedef unsigned long DWORD;	
NTQUERYSYSTEMINFORMATION NtQuerySystemInformation;
#define	SystemModuleInformation	11	
typedef struct _SYSTEM_MODULE_INFORMATION
{
		ULONG  Reserved[2];
		PVOID  Base;
		ULONG  Size;
		ULONG  Flags;
		USHORT Index;
		USHORT Unknown;
		USHORT LoadCount;
		USHORT ModuleNameOffset;
		CHAR   ImageName[256];
} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;


PDEVICE_OBJECT g_HookDevice;
NTSTATUS  PsLookupProcessByProcessId(ULONG ProcessId,PEPROCESS *Process);


typedef  NTSTATUS  (*PSPTERPROC) ( PEPROCESS Process, NTSTATUS ExitStatus );
PSPTERPROC MyPspTerminateProcess = NULL ;




NTSTATUS OnUnload(IN PDRIVER_OBJECT DriverObject)
{
	UNICODE_STRING          deviceLinkUnicodeString;
	PDEVICE_OBJECT	   p_NextObj;




	DbgPrint("OnUnload called\n");


	p_NextObj = DriverObject->DeviceObject;


	if (p_NextObj != NULL)
	{


		RtlInitUnicodeString( &deviceLinkUnicodeString, deviceLinkBuffer );
		IoDeleteSymbolicLink( &deviceLinkUnicodeString );


		IoDeleteDevice( DriverObject->DeviceObject );
	}
	return STATUS_SUCCESS;
}


NTSTATUS 
DispatchControl(
    IN PDEVICE_OBJECT DeviceObject, 
    IN PIRP Irp)
{
    PIO_STACK_LOCATION      irpStack;
    PVOID                   inputBuffer;
    PVOID                   outputBuffer;
    PVOID			     userBuffer;
    ULONG                   inputBufferLength;
    ULONG                   outputBufferLength;
    ULONG                   ioControlCode;
    NTSTATUS		     ntstatus;


    unsigned int i;


    unsigned total = 0;
    ULONG count = 0;


    HANDLE handle;




    ULONG cnt;


    PEPROCESS Eprocess = NULL;
    DWORD pid;




    ntstatus = Irp->IoStatus.Status = STATUS_SUCCESS;
    Irp->IoStatus.Information = 0;


    irpStack = IoGetCurrentIrpStackLocation (Irp);


    inputBuffer             = Irp->AssociatedIrp.SystemBuffer;
    inputBufferLength       = irpS
最低0.47元/天 解锁文章
zhuhuibeishadiao
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Win64 驱动内核编程-26.强制结束进程
天使也掉毛
03-29 4991
强制结束进程     依然已经走到驱动这一层了,那么通常结束掉一个进程不是什么难的事情。同时因为win64 位的各种保护,导致大家慢慢的已经不敢HOOK了,当然这指的是产品。作为学习和破解的话当然可以尝试各种hook。目前来说很多杀软进程保护都是通过回调了保护的,简单,稳定,安全。So,强制结束进程会比当年简单很多。 首先就是上一个最基本的驱动里结束进程的方法:   1.直接调用ZwTer
<学习笔记>Windows驱动开发技术详解__驱动程序的同步处理
The New Old Things
09-28 6134
如果驱动程序没有很好地处理同步问题,操作系统的性能就会下降,甚至出现死锁等现象。 基本概念 1.问题的引出 下面这段代码: int number; void Foo() { number++; //做一些事情 number--
驱动开发:内核强制结束进程运行
热门推荐
CSDN
10-29 1万+
内核态,但有时我们不得不想办法结束掉这些特殊的进程,当然某些正常进程在特殊状态下也会无法被正常结束,此时使用驱动前行在内核态将其结束掉就变得很有用了,驱动结束进程有多种方法。存在时则可以看到结束效果,当然这种方式只是在内核层面调用了结束进程函数,其本质上还是正常结束,只是这种方式权限要大一些仅此而已。没有被导出,所以我们需要动态的这个内存地址,然后动态调用即可,这个寻找方法可以总结为以下步骤。第二种方法,其原理就是将进程内的线程全部结束掉从而让进程自动结束,由于。首先是第一种方法结束进程,封装实现。
线程同步(2) - 内核模式下的线程同步
收集学习过程中对自己有帮助的牛人文章
11-29 1997
转载自:http://mzf2008.blog.163.com/blog/static/355997862010112041821953/ 1.内核模式下的等待 NTSTATUS    KeWaitForSingleObject(     IN PVOID  Object,     IN KWAIT_REASON  WaitReason,     IN KPROCE
Window XP驱动开发(二十二) 驱动程序的同步处理
chenyujing1234的专栏
08-04 7665
转载请标明是引用于 http://blog.csdn.net/chenyujing1234  欢迎大家拍砖!    参考书籍:> 1、中断请求级 在Windows的时候,设计者将中断请求分别划分为软件中断和硬件中断,并将这些中断都映射成不同级别的中断请求级(IRQL)。 同步处理机制很大程序上依赖于中断请求级,本节对中断请求级做介绍。 1、1 中断请求(IRQ)与可编程中断控制器(P
进程强杀(XP系统)
12-07
"进程强杀"指的是能够强制结束任何进程,包括那些拥有SYSTEM权限的高权限进程。这通常需要特殊的工具和技术,因为普通的任务管理器可能无法结束某些具有较高安全级别的进程。 在XP系统中," KillProc "这个工具可能...
pb9.0 pb11.5 强制结束进程 可支持多个同名进程强杀
11-19
标题中的“pb9.0 pb11.5 强制结束进程 可支持多个同名进程强杀”指的是在Progress OpenEdge版本9.0和11.5中,如何强制终止运行的进程,特别是针对相同名称的多个进程进行批量终止的操作方法。Progress OpenEdge是一...
意天Windows助手(进程强杀/进程守护/进程查询) v1.0.0.30简体中文绿色免费版
05-28
意天Windows助手(进程强杀/进程守护/进程查询) v1.0.0.30简体中文绿色免费版 该软件是一款真正永久免费软件,您无需为使用软件支付任何费用! 进程树图: 用树的模式显示进程列表,让您可以轻松了解父进程与子进程间的...
强杀各种顽固进程
01-31
标题中的“强杀各种顽固进程”指的是采取特殊手段结束这些难以正常关闭的进程。描述中提到了“冰点还原”和“比较麻烦的一些病毒”,这些都是典型的顽固程序例子,它们可能通过自我保护机制防止被普通方法关闭,甚至...
上网专用进程强杀
04-27
上网专用进程强杀
3.driverbase-Wait函数和创建线程(sytem和本进程
hgy413的专栏
08-25 1618
1. Wait函数 用户模式下的WaitForSingleObject和WaitForMultipleObject都是依赖内核模式下的KeWaitForSingleObject和KeWaitForMultipleObjects函数实现的,其声明如下: NTSTATUS KeWaitForMultipleObjects( IN ULONG Count,// IN PVOID Ob
驱动程序的同步学习
weixin_30419799的博客
09-13 198
中断请求: IRQ 1)外部中断=硬件产生的中断 一般16个中断信号 2)由软件指令int n 产生的中断 可编程中断控制器: PIC 高级可编程控制器 APIC 兼容PIC IRQ增加到了24个 设备管理器可以查看到这些 每个IRQ有个字的优先级别 正在运行的线程随时可以被中断打断 进入中断处理程序 中断请求级 IRQL WINDOWS将中断的...
进程和线程的创建过程
fyfy
04-13 2331
http://book.douban.com/annotation/28879242/
浅谈驱动中强制结束进程的3种方法
少仲
04-12 6702
一个应用程序想要结束另一个进程所要做的事:首先获得目标的进程ID,接着利用OpenProcess获取进程句柄(确保足够权限),最后将句柄传给TerminateProcess了结那个进程. OpenProcess通过本机系统服务接口进入核心态,随后调用ntoskrnl的NtOpenProcess.在服务函数里,系统使用SeSinglePrivilegeCheck检查调用者是否有DEBUG权
内核驱动层实现强杀三方程序进程/线程
不会写代码的丝丽
04-16 550
一些流氓程序通过一些恶意手段会阻止用户杀死自身。本文在杀软层面 编写相关内核代码强行关闭对应的程序。在内核层面有相关API进行终止对应线程函数原型只能线程自己关闭自己,但是你看到相关官方文档最后一句话有这不就是暗示我们玩骚?于是将内核代码拖入IDA进行分析最后发现跳转到函数,其中gs:[188]表示指向当前进程(在x64中gs指向kpcr)是一个公开函数 ,但没有公开,那么可以先定位函数,然后通过特征码去寻找对应的函数地址。也就是这条指令一共五个字节,且小尾编码。
6种进程防杀方案和源码
woshiyipihaoma的专栏
09-27 6023
6种进程防杀方案和源码,windows操作系统,vc++2005源码,hookApi,钩子,驱动hook
Win32汇编实现终止进程
Famidlistimo的博客
01-31 688
具体代码实现 .386 ;汇编语言的伪指令 .model flat,stdcall option casemap:none include windows.inc include user32.inc includelib user32.lib include kernel32.inc includelib ...
强删文件,强杀进程,文件注册表穿越
05-16 938
本公众号分享的所有技术仅用于学习交流,请勿用于其他非法活动,如有错漏,欢迎留言交流指正 《Windows NT File System Iternals》 文件加解密必备 《Windows驱动开发技术详解》张帆 电子工业出版社 很基础,仅仅适合入门 《Windows 2000设备驱动程序设计智能》 Art Baker等主 机械工业出版社 《寒江独钓:Windows内核安全编程》 邵坚磊等著 电子工业出版社 《Windows内核原理与实现》潘爱民 强删,强杀,穿越 强制删除文件 安全软件用强删..
c++r3强杀r0保护进程思路
最新发布
07-10
你可以使用C++语言编写程序来实现强杀进程的功能。以下是一种可能的思路: 1. 首先,你需要获取目标进程进程ID(PID)。你可以使用操作系统提供的函数或API来获取进程ID。 2. 接下来,你可以使用操作系统提供的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值