如何杀掉本地和远程NT系统进程
如何杀掉本地和远程NT系统进程
前面我们说了四种查看本地、远程系统进程的办法,接下来我们来研究一下怎么杀掉本地、远程NT系统的进程吧,呵呵。
杀掉本地进程其实很简单,取得进程ID后,调用OpenProcess函数打开进程句柄,然后调用TerminateProcess函数就可以杀掉进程了。有些情况下并不能直接打开进程句柄,例如WINLOGON等系统进程,因为权限不够。这个时候我们就得先提升自己的进程的权限了。提升权限过程也不复杂,先调用GetCurrentProcess函数取得当前进程的句柄,然后调用OpenProcessToken打开当前进程的访问令牌,接着调用LookupPrivilegeValue函数取得你想提升的权限的值,最后调用AdjustTokenPrivileges函数给当前进程的访问令牌增加权限就可以了。一般有了SeDebugPrivilege特权后,就可以杀掉除Idle外的所有进程了。
OK!那如何杀掉远程进程呢?说起来有点复杂,但其实也不难。
<1>与远程系统建立IPC连接
<2>在远程系统的系统目录admin$/system32中写入一个文件killsrv.exe
<3>调用函数OpenSCManager打开远程系统的Service Control Manager[SCM]
<4>调用函数CreateService在远程系统创建一个服务,服务指向的程序是在<2>中写入的程序killsrv.exe
<5>调用函数StartService启动刚才创建的服务,把想杀掉的进程的ID作为参数传递给它
<6>服务启动后,killsrv.exe运行,杀掉进程
<7>清场
嗯!这样看来,我们需要两个程序了。Killsrv.exe的源代码如下:
/***********************************************************************
Module:Killsrv.c
Date:2001/4/27
Author:ey4s<ey4s@21cn.com>
Http://www.ey4s.org
***********************************************************************/
#include <stdio.h>
#include <windows.h>
#include "function.c"
#define ServiceName "PSKILL"
SERVICE_STATUS_HANDLE ssh;
SERVICE_STATUS ss;
/
void ServiceStopped(void)
{
ss.dwServiceType=SERVICE_WIN32_OWN_PROCESS|SERVICE_INTERACTIVE_PROCESS;
ss.dwCurrentState=SERVICE_STOPPED;
ss.dwControlsAccepted=SERVICE_ACCEPT_STOP;
ss.dwWin32ExitCode=NO_ERROR;
ss.dwCheckPoint=0;
ss.dwWaitHint=0;
SetServiceStatus(ssh,&ss);
return;
}
/
void ServicePaused(void)
{
ss.dwServiceType=SERVICE_WIN32_OWN_PROCESS|SERVICE_INTERACTIVE_PROCESS;
ss.dwCurrentState=SERVICE_PAUSED;
ss.dwControlsAccepted=SERVICE_ACCEPT_STOP;
ss.dwWin32ExitCode=NO_ERROR;
ss.dwCheckPoint=0;
ss.dwWaitHint=0;
SetServiceStatus(ssh,&ss);
return;
}
void ServiceRunning(void)
{
ss.dwServiceType=SERVICE_WIN32_OWN_PROCESS|SERVICE_INTERACTIVE_PROCESS;
ss.dwCurrentState=SERVICE_RUNNING;
ss.dwControlsAccepted=SERVICE_ACCEPT_STOP;
ss.dwWin32ExitCode=NO_ERROR;
ss.dwCheckPoint=0;
ss.dwWaitHint=0;
SetServiceStatus(ssh,&ss);
return;
}
/
void WINAPI servier_ctrl(DWORD Opcode)//服务控制程序
{
switch(Opcode)
{
case SERVICE_CONTROL_STOP://停止Service
ServiceStopped();
break;
case SERVICE_CONTROL_INTERROGATE:
SetServiceStatus(ssh,&ss);
break;
}
return;
}
//
//杀进程成功设置服务状态为SERVICE_STOPPED
//失败设置服务状态为SERVICE_PAUSED
//
void WINAPI ServiceMain(DWORD dwArgc,LPTSTR *lpszArgv)
{
ssh=RegisterServiceCtrlHandler(ServiceName,servier_ctrl);
if(!ssh)
{
ServicePaused();
return;
}
ServiceRunning();
Sleep(100);
//注意,argv[0]为此程序名,argv[1]为pskill,参数需要递增1
//argv[2]=target,argv[3]=user,argv[4]=pwd,argv[5]=pid
if(KillPS(atoi(lpszArgv[5])))
ServiceStopped();
else
ServicePaused();
return;
}
/
void main(DWORD dwArgc,LPTSTR *lpszArgv)
{
SERVICE_TABLE_ENTRY ste[2];
ste[0].lpServiceName=ServiceName;
ste[0].lpServiceProc=ServiceMain;
ste[1].lpServiceName=NULL;
ste[1].lpServiceProc=NULL;
StartServiceCtrlDispatcher(ste);
return;
}
/
function.c中有两个函数,一个是提升权限的,一个是提供进程ID,杀进程的。代码如
下:
/***********************************************************************
Module:function.c
Date:2001/4/28
Author:ey4s<ey4s@21cn.com>
Http://www.ey4s.org
***********************************************************************/
#include <windows.h>
BOOL SetPrivilege(HANDLE hToken,LPCTSTR lpszPrivilege,BOOL bEnablePrivilege)
{
TOKEN_PRIVILEGES tp;
LUID luid;
if(!LookupPrivilegeValue(NULL,lpszPrivilege,&luid))
{
printf("/nLookupPrivilegeValue error:%d", GetLastError() );
return FALSE;
}
tp.PrivilegeCount = 1;
tp.Privileges[0].Luid = luid;
if (bEnablePrivilege)
tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
else
tp.Privileges[0].Attributes = 0;
// Enable the privilege or disable all privileges.
AdjustTokenPrivileges(
hToken,
FALSE,
&tp,
sizeof(TOKEN_PRIVILEGES),
(PTOKEN_PRIVILEGES) NULL,
(PDWORD) NULL);
// Call GetLastError to determine whether the function succeeded.
if (GetLastError() != ERROR_SUCCESS)
{
printf("AdjustTokenPrivileges failed: %u/n", GetLastError() );
return FALSE;
}
return TRUE;
}
BOOL KillPS(DWORD id)
{
HANDLE hProcess=NULL,hProcessToken=NULL;
BOOL IsKilled=FALSE,bRet=FALSE;
__try
{
if(!OpenProcessToken(GetCurrentProcess(),TOKEN_ALL_ACCESS,&hProcessToken))
{
printf("/nOpen Current Process Token failed:%d",GetLastError());
__leave;
}
//printf("/nOpen Current Process Token ok!");
if(!SetPrivilege(hProcessToken,SE_DEBUG_NAME,TRUE))
{
__leave;
}
printf("/nSetPrivilege ok!");
if((hProcess=OpenProcess(PROCESS_ALL_ACCESS,FALSE,id))==NULL)
{
printf("/nOpen Process %d failed:%d",id,GetLastError());
__leave;
}
//printf("/nOpen Process %d ok!",id);
if(!TerminateProcess(hProcess,1))
{
printf("/nTerminateProcess failed:%d",GetLastError());
__leave;
}
IsKilled=TRUE;
}
__finally
{
if(hProcessToken!=NULL) CloseHandle(hProcessToken);
if(hProcess!=NULL) CloseHandle(hProcess);
}
return(IsKilled);
}
//
OK!服务端的程序已经好了。接下来还需要一个客户端。如果通过在客户端运行的时候,把killsrv.exe COPY到远程系统上,那么就需要提供两个exe文件给用户,这样显得不是很专业,呵呵。不如我们就把killsrv.exe的二进制码作为buff保存在客户端吧,这样在运行的时候,我们直接把buff中的内容写过去,这样提供给用户一个exe文件就可以了。Pskill.c的源代码如下:
/*********************************************************************************************
Module:PsKill.c
Create:2001/4/28
Modify:2001/6/23
Author:ey4s<ey4s@21cn.com>
Http://www.ey4s.org
PsKill ==>Local and Remote process killer for windows 2k
**************************************************************************/
#include "ps.h"
#define EXE "killsrv.exe"
#define ServiceName "PSKILL"
#pragma comment(lib,"mpr.lib")
//
//定义全局变量
SERVICE_STATUS ssStatus;
SC_HANDLE hSCManager=NULL,hSCService=NULL;
BOOL bKilled=FALSE;
char szTarget[52]={0};
//
BOOL ConnIPC(char *,char *,char *);//建立IPC连接函数
BOOL InstallService(DWORD,LPTSTR *);//安装服务函数
BOOL WaitServiceStop();//等待服务停止函数
BOOL RemoveService();//删除服务函数
/
int main(DWORD dwArgc,LPTSTR *lpszArgv)
{
BOOL bRet=FALSE,bFile=FALSE;
char tmp[52]={0},RemoteFilePath[128]={0},
szUser[52]={0},szPass[52]={0};
HANDLE hFile=NULL;
DWORD i=0,dwIndex=0,dwWrite,dwSize=sizeof(exebuff);
//杀本地进程
if(dwArgc==2)
{
if(KillPS(atoi(lpszArgv[1])))
printf("/nLoacl Process %s have beed killed!",lpszArgv[1]);
else
printf("/nLoacl Process %s can't be killed!ErrorCode:%d",
lpszArgv[1],GetLastError());
return 0;
}
//用户输入错误
else if(dwArgc!=5)
{
printf("/nPSKILL ==>Local and Remote Process Killer"
"/nPower by ey4s<ey4s@21cn.com>"
"/nhttp://www.ey4s.org 2001/6/23"
"/n/nUsage:%s <PID> <==Killed Local Process"
"/n %s <IP> <User> <PWD> <PID> <==Killed Remote Process/n",
lpszArgv[0],lpszArgv[0]);
return 1;
}
//杀远程机器进程
strncpy(szTarget,lpszArgv[1],sizeof(szTarget)-1);
strncpy(szUser,lpszArgv[2],sizeof(szUser)-1);
strncpy(szPass,lpszArgv[3],sizeof(szPass)-1);
//将在目标机器上创建的exe文件的路径
sprintf(RemoteFilePath,"%s//admin$//system32//%s",szTarget,EXE);
__try
{
//与目标建立IPC连接
if(!ConnIPC(szTarget,szUser,szPass))
{
printf("/nConnect to %s failed:%d",szTarget,GetLastError());
return 1;
}
printf("/nConnect to %s success!",szTarget);
//在目标机器上创建exe文件
hFile=CreateFile(RemoteFilePath,GENERIC_ALL,FILE_SHARE_READ|FILE_SHARE_WRIT
E,
NULL,CREATE_ALWAYS,FILE_ATTRIBUTE_NORMAL,NULL);
if(hFile==INVALID_HANDLE_VALUE)
{
printf("/nCreate file %s failed:%d",RemoteFilePath,GetLastError());
__leave;
}
//写文件内容
while(dwSize>dwIndex)
{
if(!WriteFile(hFile,&exebuff[dwIndex],dwSize-dwIndex,&dwWrite,NULL))
{
printf("/nWrite file %s
failed:%d",RemoteFilePath,GetLastError());
__leave;
}
dwIndex+=dwWrite;
}
//关闭文件句柄
CloseHandle(hFile);
bFile=TRUE;
//安装服务
if(InstallService(dwArgc,lpszArgv))
{
//等待服务结束
if(WaitServiceStop())
{
//printf("/nService was stoped!");
}
else
{
//printf("/nService can't be stoped.Try to delete it.");
}
Sleep(500);
//删除服务
RemoveService();
}
}
__finally
{
//删除留下的文件
if(bFile) DeleteFile(RemoteFilePath);
//如果文件句柄没有关闭,关闭之~
if(hFile!=NULL) CloseHandle(hFile);
//Close Service handle
if(hSCService!=NULL) CloseServiceHandle(hSCService);
//Close the Service Control Manager handle
if(hSCManager!=NULL) CloseServiceHandle(hSCManager);
//断开ipc连接
wsprintf(tmp,"%s//ipc$",szTarget);
WNetCancelConnection2(tmp,CONNECT_UPDATE_PROFILE,TRUE);
if(bKilled)
printf("/nProcess %s on %s have been
killed!/n",lpszArgv[4],lpszArgv[1]);
else
printf("/nProcess %s on %s can't be
killed!/n",lpszArgv[4],lpszArgv[1]);
}
return 0;
}
//
BOOL ConnIPC(char *RemoteName,char *User,char *Pass)
{
NETRESOURCE nr;
char RN[50]="";
strcat(RN,RemoteName);
strcat(RN,"//ipc$");
nr.dwType=RESOURCETYPE_ANY;
nr.lpLocalName=NULL;
nr.lpRemoteName=RN;
nr.lpProvider=NULL;
if(WNetAddConnection2(&nr,Pass,User,FALSE)==NO_ERROR)
return TRUE;
else
return FALSE;
}
/
BOOL InstallService(DWORD dwArgc,LPTSTR *lpszArgv)
{
BOOL bRet=FALSE;
__try
{
//Open Service Control Manager on Local or Remote machine
hSCManager=OpenSCManager(szTarget,NULL,SC_MANAGER_ALL_ACCESS);
if(hSCManager==NULL)
{
printf("/nOpen Service Control Manage failed:%d",GetLastError());
__leave;
}
//printf("/nOpen Service Control Manage ok!");
//Create Service
hSCService=CreateService(hSCManager,// handle to SCM database
ServiceName,// name of service to start
ServiceName,// display name
SERVICE_ALL_ACCESS,// type of access to service
SERVICE_WIN32_OWN_PROCESS,// type of service
SERVICE_AUTO_START,// when to start service
SERVICE_ERROR_IGNORE,// severity of service
failure
EXE,// name of binary file
NULL,// name of load ordering group
NULL,// tag identifier
NULL,// array of dependency names
NULL,// account name
NULL);// account password
//create service failed
if(hSCService==NULL)
{
//如果服务已经存在,那么则打开
if(GetLastError()==ERROR_SERVICE_EXISTS)
{
//printf("/nService %s Already exists",ServiceName);
//open service
hSCService = OpenService(hSCManager, ServiceName,
SERVICE_ALL_ACCESS);
if(hSCService==NULL)
{
printf("/nOpen Service failed:%d",GetLastError());
__leave;
}
//printf("/nOpen Service %s ok!",ServiceName);
}
else
{
printf("/nCreateService failed:%d",GetLastError());
__leave;
}
}
//create service ok
else
{
//printf("/nCreate Service %s ok!",ServiceName);
}
// 起动服务
if ( StartService(hSCService,dwArgc,lpszArgv))
{
//printf("/nStarting %s.", ServiceName);
Sleep(20);//时间最好不要超过100ms
while( QueryServiceStatus(hSCService, &ssStatus ) )
{
if ( ssStatus.dwCurrentState == SERVICE_START_PENDING)
{
printf(".");
Sleep(20);
}
else
break;
}
if ( ssStatus.dwCurrentState != SERVICE_RUNNING )
printf("/n%s failed to run:%d",ServiceName,GetLastError());
}
else if(GetLastError()==ERROR_SERVICE_ALREADY_RUNNING)
{
//printf("/nService %s already running.",ServiceName);
}
else
{
printf("/nStart Service %s failed:%d",ServiceName,GetLastError());
__leave;
}
bRet=TRUE;
}//enf of try
__finally
{
return bRet;
}
return bRet;
}
/
BOOL WaitServiceStop(void)
{
BOOL bRet=FALSE;
//printf("/nWait Service stoped");
while(1)
{
Sleep(100);
if(!QueryServiceStatus(hSCService, &ssStatus))
{
printf("/nQueryServiceStatus failed:%d",GetLastError());
break;
}
if(ssStatus.dwCurrentState==SERVICE_STOPPED)
{
bKilled=TRUE;
bRet=TRUE;
break;
}
if(ssStatus.dwCurrentState==SERVICE_PAUSED)
{
//停止服务
bRet=ControlService(hSCService,SERVICE_CONTROL_STOP,NULL);
break;
}
else
{
//printf(".");
continue;
}
}
return bRet;
}
/
BOOL RemoveService(void)
{
//Delete Service
if(!DeleteService(hSCService))
{
printf("/nDeleteService failed:%d",GetLastError());
return FALSE;
}
//printf("/nDelete Service ok!");
return TRUE;
}
/
其中ps.h头文件的内容如下:
/
#include <stdio.h>
#include <windows.h>
#include "function.c"
unsigned char exebuff[]="这里存放的是killsrv.exe的二进制码";
/
以上程序在Windows2000、VC++6.0环境下编译,测试还行。编译好的pskill.exe在我的主页http://www.ey4s.org有下载。其实我们变通一下,改变一下killsrv.exe的内容,例如启动一个cmd.exe什么的,呵呵,这样有了admin权限,并且可以建立IPC连接的时候,不就可以在远程运行命令了吗。象www.sysinternals.com出的psexec.exe和小榕的ntcmd.exe原理都和这差不多的。也许有人会问了,怎么得到程序的二进制码啊?呵呵,随便用一个二进制编辑器,例如UltraEdit等。但是好像不能把二进制码保存为文本,类似这样"/xAB/x77/xCD",所以我们就不能直接用了。懒的去找这样的工具了,自己写个简单的吧,代码如下[我够意思吧~_*]:
/*******************************************************************************************
Module:exe2hex.c
Author:ey4s<ey4s@21cn.com>
Http://www.ey4s.org
Date:2001/6/23
****************************************************************************/
#include <stdio.h>
#include <windows.h>
int main(int argc,char **argv)
{
HANDLE hFile;
DWORD dwSize,dwRead,dwIndex=0,i;
unsigned char *lpBuff=NULL;
__try
{
if(argc!=2)
{
printf("/nUsage: %s <File>",argv[0]);
__leave;
}
hFile=CreateFile(argv[1],GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_EXISTING,FI
LE_ATTRIBUTE_NORMAL,NULL);
if(hFile==INVALID_HANDLE_VALUE)
{
printf("/nOpen file %s failed:%d",argv[1],GetLastError());
__leave;
}
dwSize=GetFileSize(hFile,NULL);
if(dwSize==INVALID_FILE_SIZE)
{
printf("/nGet file size failed:%d",GetLastError());
__leave;
}
lpBuff=(unsigned char *)malloc(dwSize);
if(!lpBuff)
{
printf("/nmalloc failed:%d",GetLastError());
__leave;
}
while(dwSize>dwIndex)
{
if(!ReadFile(hFile,&lpBuff[dwIndex],dwSize-dwIndex,&dwRead,NULL))
{
printf("/nRead file failed:%d",GetLastError());
__leave;
}
dwIndex+=dwRead;
}
for(i=0;i<dwSize;i++)
{
if((i%16)==0)
printf("/"/n/"");
printf("//x%.2X",lpBuff[i]);
}
}//end of try
__finally
{
if(lpBuff) free(lpBuff);
CloseHandle(hFile);
}
return 0;
}
这样运行:exe2hex killsrv.exe,就把killsrv.exe的二进制码打印到屏幕上了,你可以把它重定向到一个txt文件中去,如exe2hex killsrv.exe >killsrv.txt,然后copy到ps.h中去就OK了。
OK!搞定,收队!有错误的地方,请各位兄弟来信ey4s@21cn.com指教,谢谢:)
如何杀掉本地和远程NT系统进程相关推荐
- C#通过WMI的wind32 的API函数实现msinfo32的本地和远程计算机的系统摘要信息查看功能...
最近做一个项目碰到要实现查看本地和远程计算机的摘要信息,采用命令行msinfo32可以很快查看到,如下图: 需要在用C#来实现类似信息查看.尤其远程计算机的..因此通过MSDN查询到.win32的AP ...
- C#通过WMI的wind32 的API函数实现msinfo32的本地和远程计算机的系统摘要信息查看功能
最近做一个项目碰到要实现查看本地和远程计算机的摘要信息,采用命令行msinfo32可以很快查看到,如下图: 需要在用C#来实现类似信息查看.尤其远程计算机的..因此通过MSDN查询到.win32的AP ...
- git 入门教程之本地和远程仓库的本质
本地仓库和远程仓库在本质上没有太大区别,只不过一个是本地电脑,一个是远程电脑. 远程仓库不一定非得是 github 那种专门的"中央服务器",甚至局域网的另外一台电脑也可以充当&q ...
- windows下本地或者远程连接MYSQL数据库,报1130错误的解决方法
windows下本地或者远程连接MYSQL数据库,报1130错误的解决方法 参考文章: (1)windows下本地或者远程连接MYSQL数据库,报1130错误的解决方法 (2)https://www. ...
- 本地Windows远程桌面连接阿里云Ubuntu服务器
本地Windows远程桌面连接阿里云Ubuntu 16.04服务器: 1.目的:希望通过本地的Windows远程桌面连接到阿里云的Ubuntu服务器,通过远程桌面图形界面的方式操作服务器. 2.条件: ...
- 本地Windows远程桌面连接阿里云Ubuntu 16.04服务器:
本地Windows远程桌面连接阿里云Ubuntu 16.04服务器: 1.目的:希望通过本地的Windows远程桌面连接到阿里云的Ubuntu服务器,通过远程桌面图形界面的方式操作服务器. 2.条件: ...
- 四章: CentOS6.5 配置连接Windows远程桌面、创建新用户、禁用root在本地或远程使用ssh登录
1,配置连接Windows远程桌面 yum -y install freerdp xfreerdp -g 800x600 -u administrator 192.168.31.13 2,rz.sz ...
- git强行让本地分支覆盖远程分支
学习笔记,仅供参考 参考自:https://www.imooc.com/wenda/detail/542766 如果远程分支上的提交都不需要了,可以强行让本地分支覆盖远程分支: git push or ...
- swarm 本地管理远程_带有WildFly Swarm的远程JMS
swarm 本地管理远程 我再次在博客中谈论WildFly群? 简短的版本是:我需要对远程JMS访问进行测试,并且拒绝设置复杂的功能(如完整的应用程序服务器). 这个想法是要有一个简单的WildFly ...
最新文章
- Python with语句
- 记一个自认为写得有点复杂的sql语句
- 因为返回有true ajax提示进入错误,jquery ajax中error返回错误解决办法
- 《Python数据科学指南》——1.23 采用键排序
- 《编译原理》实验报告——TINY语言的词法分析
- “staticMetaObject”: 不是“****”的成员
- 速度之王 — LZ4压缩算法与其他算法的比较
- redis 安全 备份 事务
- 刚毕业就要求月薪10K?我觉得没毛病
- Git笔记(5) 状态记录
- Linux进程调度:完全公平调度器 Completely Fair Scheduler 内幕| linux-2.6
- Android--我的Butterknife黄油刀怎么找不到控件了!!!
- Laravel响应宏原理
- C语言冒泡排序(通用版)
- Uniapp实现实时音视频的基础美颜滤镜功能
- pl330 dmac驱动分析2----关键函数
- 葡萄城报表介绍:自由报表
- vue php聊天室,实时聊天室:基于Laravel+Pusher+Vue通过事件广播实现
- 数组题目:全局倒置与局部倒置
- Sentinel LDK配置记录