强制结束进程

依然已经走到驱动这一层了，那么通常结束掉一个进程不是什么难的事情。同时因为win64 位的各种保护，导致大家慢慢的已经不敢HOOK了，当然这指的是产品。作为学习和破解的话当然可以尝试各种hook。目前来说很多杀软进程保护都是通过回调了保护的，简单，稳定，安全。So，强制结束进程会比当年简单很多。

首先就是上一个最基本的驱动里结束进程的方法：

1.直接调用ZwTerminateProcess去结束进程，这个是公开导出的函数，也就是说它很稳定。不要小看这个东西，我测试过很多杀软。目前停不掉的只有国外的 某伞，可能有人会关心国内的各种卫士能不能停掉！我觉得可以尝试一下，通常不会失望。OK不废话，上代码：

TerminateProcess ->NtTerminateProcess ->ZwTerminateProcessvoid ZwKillProcess(HANDLE hdPid)
{
__try {HANDLE hProcess = NULL;CLIENT_ID ClientId = {0};OBJECT_ATTRIBUTES oa = {0};ClientId.UniqueProcess = (HANDLE)hdPid; ClientId.UniqueThread = 0;oa.Length = sizeof(oa);oa.RootDirectory = 0;oa.ObjectName = 0;oa.Attributes = 0;oa.SecurityDescriptor = 0;oa.SecurityQualityOfService = 0;ZwOpenProcess(&hProcess, 1, &oa, &ClientId);if (hProcess){ZwTerminateProcess(hProcess, 0);ZwClose(hProcess);};}__except (EXCEPTION_EXECUTE_HANDLER){;}}

2.方法2就是通过PsTerminateSystemThread找到PspTerminateThreadByPointer

下面是Win7 64 双机调试 windbg获取的信息

然后要找到Win7 64位PspTerminateThreadByPointer结构（注意下面的是win7 64每个系统要单独去找）：

typedef NTSTATUS (__fastcall *PSPTERMINATETHREADBYPOINTER)
(
IN PETHREAD Thread,
IN NTSTATUS ExitStatus,
IN BOOLEAN DirectTerminate
);

然后就是定位一个特征码，从PsTerminateSystemThread开始往下找，直接把学习资料的代码拿过来吧，作者是定位了01e8也就是两条汇编指令相关的部分。然后自定义了一个计算公式hash这个特征码，代码如下（这个地方不固定，定位的越长，越准确）：

if(PspTerminateThreadByPointer==NULL)
{AddressOfPsTST=(ULONG64)GetFunctionAddr(L"PsTerminateSystemThread");if(AddressOfPsTST==0)return STATUS_UNSUCCESSFUL;for(i=1;i<0xff;i++){if(MmIsAddressValid((PVOID)(AddressOfPsTST+i))!=FALSE){if(*(BYTE*)(AddressOfPsTST+i)==0x01&&*(BYTE*)(AddressOfPsTST+i+1)==0xe8) //目标地址-原始地址-5=机器码 ==> 目标地址=机器码+5+原始地址{RtlMoveMemory(&callcode,(PVOID)(AddressOfPsTST+i+2),4);AddressOfPspTTBP=(ULONG64)callcode + 5 + AddressOfPsTST+i+1;}}}
PspTerminateThreadByPointer=(PSPTERMINATETHREADBYPOINTER)AddressOfPspTTBP;}

找到函数位置之后，剩下的可以直接枚举线程id，找到进程id，通过进程id进行对比之后决定是否结束掉这个线程。

for(i=4;i<0x40000;i+=4)
{status=PsLookupThreadByThreadId((HANDLE)i, &Thread);if(NT_SUCCESS(status)){tProcess=IoThreadToProcess(Thread);if(tProcess==Process)PspTerminateThreadByPointer(Thread,0,1);ObDereferenceObject(Thread);}
}

3.第三种方式就是强行切到对方内存里，然后直接 进程虚拟内存擦除（这个自己也会退出，但是可以继续打开新进程链接服务干活，或者擦除的时候就直接启动一个擦除进程）：

BOOLEAN ZeroKill(ULONG PID)   //X32  X64
{NTSTATUS ntStatus = STATUS_SUCCESS;int i = 0;PVOID handle;PEPROCESS Eprocess;ntStatus = PsLookupProcessByProcessId(PID, &Eprocess);if (NT_SUCCESS(ntStatus)){PKAPC_STATEpKs=(PKAPC_STATE)ExAllocatePool(NonPagedPool, sizeof(PKAPC_STATE));KeStackAttachProcess(Eprocess , pKs);//Attach进程虚拟空间for (i = 0; i <= 0x7fffffff; i += 0x1000){if (MmIsAddressValid((PVOID)i)){_try{ProbeForWrite((PVOID)i,0x1000,sizeof(ULONG));memset((PVOID)i,0xcc,0x1000);}_except(1){continue;}}else{if (i>0x1000000)  //填这么多足够破坏进程数据了  break;}}KeUnstackDetachProcess(pKs);if (ObOpenObjectByPointer((PVOID)Eprocess, 0, NULL, 0, NULL, KernelMode, &handle) != STATUS_SUCCESS)return FALSE;ZwTerminateProcess((HANDLE)handle, STATUS_SUCCESS);ZwClose((HANDLE)handle);return TRUE;}return FALSE;
}

Win64 驱动内核编程-26.强制结束进程相关推荐

1. Win64 驱动内核编程-8.内核里的其他常用

   内核里的其他常用 1.遍历链表.内核里有很多数据结构,但它们并不是孤立的,内核使用双向链表把它们像糖 葫芦一样给串了起来.所以遍历双向链表能获得很多重要的内核数据.举个简单的例子,驱 动对象 Driv ...

2. Win64 驱动内核编程-18.SSDT

   SSDT 学习资料:http://blog.csdn.net/zfdyq0/article/details/26515019 学习资料:WIN64内核编程基础 胡文亮 SSDT(系统服务描述表),刚开 ...

3. Win64 驱动内核编程-3.内核里使用内存

   内核里使用内存 内存使用,无非就是申请.复制.设置.释放.在 C 语言里,它们对应的函数是:malloc.memcpy.memset.free:在内核编程里,他们分别对应 ExAllocatePool ...

4. Win64 驱动内核编程-2.基本框架（安装.通讯.HelloWorld）

   驱动安装,通讯,Hello World 开发驱动的简单流程是这样,开发驱动安装程序,开发驱动程序,然后安装程序(或者其他程序)通过通讯给驱动传命令,驱动接到之后进行解析并且执行,然后把执行结果返回. ...

5. Win64 驱动内核编程-31.枚举与删除映像回调

   枚举与删除映像回调 映像回调可以拦截 RING3 和 RING0 的映像加载.某些游戏保护会用此来拦截黑名单中的驱动加载,比如 XUETR.WIN64AST 的驱动.同理,在反游戏保护的过程中,也可以 ...

6. Win64 驱动内核编程-21.DKOM隐藏和保护进程

   DKOM隐藏和保护进程 主要就是操作链表,以及修改节点内容. DKOM 隐藏进程和保护进程的本质是操作 EPROCESS 结构体,不同的系统用的时候注意查下相关定义,确定下偏移,下面的数据是以win7 ...

7. Win64 驱动内核编程-11.回调监控进线程句柄操作

   无HOOK监控进线程句柄操作 在 NT5 平台下,要监控进线程句柄的操作. 通常要挂钩三个API:NtOpenProcess.NtOpenThread.NtDuplicateObject.但是在 VI ...

8. Win64 驱动内核编程-23.Ring0 InLineHook 和UnHook

   Ring0 InLineHook 和UnHook 如果是要在R0里hook,作者的建议是InLine HOOK,毕竟SSDT HOOK 和 SHADOW SSDT HOOK比较麻烦,不好修改.目前R3 ...

9. Win64 驱动内核编程-20.UnHook SSDT

   UNHOOK SSDT 要恢复 SSDT,首先要获得 SSDT 各个函数的原始地址,而 SSDT 各个函数的原始地址,自然是存储在内核文件里的.于是,有了以下思路: 1.获得内核里 KiService ...

最新文章

1. 校园安全责任重大 安防守护迭代升级
2. Lucene的评分(score)机制研究
3. 转载：由图片SEO想起
4. java使用Crawler4j开发爬虫
5. mysqldump: Got errno 28 on write
6. Android绘制基础及手写绘制实例
7. Docker详解（八）——Docker镜像制作
8. ENVI入门系列教程---一、数据预处理---8.图像裁剪
9. 贴片铝电容识别及型号_贴片式铝电解电容常用型号封装
10. Caused by: java.lang.IllegalStateException: No ServletContext set
11. Salesforce 解决chatter简档删除不掉记录类型问题
12. 计算机考试后的感想,计算机考试的感想
13. SpringBoot使用JWT集成Ng-Alain之Token失效处理
14. 小福利，运用python里面的talib模块和cufflinks模块实现stock可视化分析
15. PV、UV、VV、IP及其关系与计算
16. 《Android移动应用基础教程》之Android购物商城
17. 乔布斯辞世或给苹果竞争对手带来机遇缩小差距
18. 使用frp内网穿透，用windows远程桌面连接
19. Mybatis-plus 代码生成器(新)
20. BRDF理论及shader实现（下）

热门文章

1. 《中国人工智能学会通讯》——10.22 能源互联网时代
2. XE5 Android 开发数据访问手机端 解决乱码的办法
3. Windows 家族的十二种常用密码破解法
4. 石川es6课程---18、ES6 复习
5. 后盾网lavarel视频项目---2、phpstorm显示类中的方法快捷键
6. JSP 调用java 常量 枚举
7. VMWARE workstation导致母机反应变慢的现象
8. Javascript中的类实现
9. 如何调用Altera FPGA的内嵌乘法器
10. stark组件开发之添加功能实现