PspTerminateProcess 结束冰刃进程

最新推荐文章于 2023-04-28 14:38:48 发布
原创 最新推荐文章于 2023-04-28 14:38:48 发布 · 1.9k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#object #include #string #c

本文介绍了一种通过编写Windows内核驱动程序来终止指定进程的方法。利用未公开的`PspTerminateProcess`函数,文章给出了具体实现代码示例,并展示了如何针对特定进程ID结束进程。
#include <ntddk.h>

typedef  NTSTATUS  ( * PSPTERPROC) ( PEPROCESS Process , NTSTATUS ExitStatus );
PSPTERPROC MyPspTerminateProcess ;
NTSTATUS
PsLookupProcessByProcessId(
                        IN HANDLE ProcessId ,
                        OUT PEPROCESS * Process
                        );

void Unload( PDRIVER_OBJECT pDriverObj)
{
        DbgPrint( "Driver Stop /n ");
}

NTSTATUS DriverEntry( PDRIVER_OBJECT pDriverObj , PUNICODE_STRING pRegistryString)
{
        PEPROCESS hProcess;
        MyPspTerminateProcess =( PSPTERPROC) 0x805c8642;

        //比如冰刃的进程ID为1732
        if( PsLookupProcessByProcessId( 1732 , & hProcess) == STATUS_SUCCESS)
        {
                     MyPspTerminateProcess( hProcess , 0);
        }
        pDriverObj -> DriverUnload = Unload;
        return STATUS_SUCCESS;
}

-----------------------------------------------------------------------------
以上代码使用了系统未导出函数PspTerminateProcess结束了冰刃,
函数的地址是我用WinDbg看到的,所以可能在不同的系统里地址不同。

 

冰刃进程结束利器)
08-31
冰刃进程结束的利器)IceSword122cn,试试吧,一般工具结速不了的进程它绝对可以,所有顽固进程一剑结束……
IceLight V1.3.44[一线光-无驱,恢复SSDT,可杀IS,SS]
04-04
+小改动,同时结束多个进程 Version 1.2.38:3月9日,放弃DLL注入结束进程,改用代码注入。另新增保护PID、隐藏进程功能。使用Knlps强杀进程,不过稳定性不太好. Version 1.3.16:3月30日,一次巨大的改动,加入枚举...
PsTerminateProcess结束进程
weixin_30781433的博客
08-11 368
PsTerminateProcess函数用于结束一个进程,其声明如下 NTSTATUS NTAPI PsTerminateProcess(IN PEPROCESS Process, IN NTSTATUS ExitStatus) 其中第一个参数是PEPROCESS的指针,如果你只知道pid,可以通过PsLookupProcessByProcessId 获得,而第二个参数指定退出状...
终于完成了Ring3下Call PspTerminateProcess
chenhui530的专栏
10-23 2874
出差到现在都即将两个月了,无聊郁闷中,好在昨天晚上成功在Ring3下Call PspTerminateProcess总算是有一份值得高兴得事情了,目前还只支持XP,关于搜索PspTerminateProcess的特征码定位是参考了网络上的一篇文章.目前工作正在移植到DLL中封装成标准函数供VB等语言调用.现在冰刃也可以轻易被结束了^_^. 
用代码关闭冰刃(IceSword)
伴水之剑
01-13 4208
(*冰刃这个系统分析工具以前还没用过。这样高级的工具,用结束进程的方式就不试了。按手工关闭的流程实现。首先是通过遍历当前进程,确定冰刃进程的主窗体;然后发送WM_CLOSE关闭主窗体。当关闭对话框出现的时候,最后就是模拟点击确定按钮。具体实现的时候要注意亮点:1、不能使用SendMessage发送WM_CLOSE消息,而用PostMessage替代。  否则要等到关闭对话框结束才处理后面的语句。这
进程强杀探究
hongduilanjun的博客
03-07 2359
前言 我们知道在windows操作系统里面有ring0跟ring3的概念(ring1、ring2在windows中并未使用),因为ring0的特权级别是比ring3高的,那么我们肯定不能在ring3调用windows提供的api杀死ring0特权级别的进程,那么这时候我们就需要使用的ring0的函数来强行结束一些处于ring0级别的进程。 测试 我们首先打开PCHunter32.exe看一下,应用层是不能够访问的,我们知道可以在cmd里面使用taskkill命令来结束进程,但这种方式对ring0特权级别的程
进程强杀
zhuhuibeishadiao
04-04 2902
强杀进程 PsTerminateProcessPspTerminateProcess PspTerminateThreadByPointerPspExitThread未导出函数 暴力搜索 特征值 xp的 0x8B55ff8B 0xA16456EC 0x00000124 0x3B08758B 内核地址空间NtQueryXXX / AuxKlibQueryModuleInform
************* Preparing the environment for Debugger Extensions Gallery repositories ************** ExtensionRepository : Implicit UseExperimentalFeatureForNugetShare : true AllowNugetExeUpdate : true NonInteractiveNuget : true AllowNugetMSCredentialProviderInstall : true AllowParallelInitializationOfLocalRepositories : true EnableRedirectToChakraJsProvider : false -- Configuring repositories ----> Repository : LocalInstalled, Enabled: true ----> Repository : UserExtensions, Enabled: true >>>>>>>>>>>>> Preparing the environment for Debugger Extensions Gallery repositories completed, duration 0.015 seconds ************* Waiting for Debugger Extensions Gallery to Initialize ************** >>>>>>>>>>>>> Waiting for Debugger Extensions Gallery to Initialize completed, duration 0.016 seconds ----> Repository : UserExtensions, Enabled: true, Packages count: 0 ----> Repository : LocalInstalled, Enabled: true, Packages count: 45 Microsoft (R) Windows Debugger Version 10.0.27920.1001 AMD64 Copyright (c) Microsoft Corporation. All rights reserved. Loading Dump File [D:\CTF\music\[Misc]我不要革命失败\071825-14921-01.dmp] Mini Kernel Dump File: Only registers and stack trace are available ************* Path validation summary ************** Response Time (ms) Location Deferred srv* Symbol search path is: srv* Executable search path is: Windows 10 Kernel Version 22621 MP (32 procs) Free x64 Product: WinNt, suite: TerminalServer SingleUserTS Personal Edition build lab: 22621.1.amd64fre.ni_release.220506-1250 Kernel base = 0xfffff803`17200000 PsLoadedModuleList = 0xfffff803`17e130c0 Debug session time: Fri Jul 18 22:35:54.900 2025 (UTC + 8:00) System Uptime: 0 days 0:35:21.567 Loading Kernel Symbols ............................................................... ................................................................ ................................................................ ........................................ Loading User Symbols Loading unloaded module list ...................... For analysis of this file, run !analyze -v nt!KeBugCheckEx: fffff803`17612740 48894c2408 mov qword ptr [rsp+8],rcx ss:0018:fffffc01`fe187860=00000000000000ef 14: kd> !analyze -v Loading Kernel Symbols ............................................................... ................................................................ ................................................................ ........................................ Loading User Symbols Loading unloaded module list ...................... ******************************************************************************* * * * Bugcheck Analysis * * * ******************************************************************************* CRITICAL_PROCESS_DIED (ef) A critical system process died Arguments: Arg1: ffffd18e9cfbc140, Process object or thread object Arg2: 0000000000000000, If this is 0, a process died. If this is 1, a thread died. Arg3: ffffd18e9cfbc140, The process object that initiated the termination. Arg4: 0000000000000000, Additional triage data. Debugging Details: ------------------ KEY_VALUES_STRING: 1 Key : Analysis.CPU.mSec Value: 1718 Key : Analysis.Elapsed.mSec Value: 5022 Key : Analysis.IO.Other.Mb Value: 0 Key : Analysis.IO.Read.Mb Value: 1 Key : Analysis.IO.Write.Mb Value: 0 Key : Analysis.Init.CPU.mSec Value: 453 Key : Analysis.Init.Elapsed.mSec Value: 284292 Key : Analysis.Memory.CommitPeak.Mb Value: 113 Key : Analysis.Version.DbgEng Value: 10.0.27920.1001 Key : Analysis.Version.Description Value: 10.2506.23.01 amd64fre Key : Analysis.Version.Ext Value: 1.2506.23.1 Key : Bugcheck.Code.LegacyAPI Value: 0xef Key : Bugcheck.Code.TargetModel Value: 0xef Key : CriticalProcessDied.ExceptionCode Value: 0xa422e080 Key : CriticalProcessDied.Process Value: svchost.exe Key : Failure.Bucket Value: 0xEF_svchost.exe_BUGCHECK_CRITICAL_PROCESS_a422e080_nt!PspCatchCriticalBreak Key : Failure.Hash Value: {139516e8-a181-e0a0-49d2-c73372114d37} Key : Hypervisor.Enlightenments.ValueHex Value: 0x1417df84 Key : Hypervisor.Flags.AnyHypervisorPresent Value: 1 Key : Hypervisor.Flags.ApicEnlightened Value: 0 Key : Hypervisor.Flags.ApicVirtualizationAvailable Value: 1 Key : Hypervisor.Flags.AsyncMemoryHint Value: 0 Key : Hypervisor.Flags.CoreSchedulerRequested Value: 0 Key : Hypervisor.Flags.CpuManager Value: 1 Key : Hypervisor.Flags.DeprecateAutoEoi Value: 1 Key : Hypervisor.Flags.DynamicCpuDisabled Value: 1 Key : Hypervisor.Flags.Epf Value: 0 Key : Hypervisor.Flags.ExtendedProcessorMasks Value: 1 Key : Hypervisor.Flags.HardwareMbecAvailable Value: 1 Key : Hypervisor.Flags.MaxBankNumber Value: 0 Key : Hypervisor.Flags.MemoryZeroingControl Value: 0 Key : Hypervisor.Flags.NoExtendedRangeFlush Value: 0 Key : Hypervisor.Flags.NoNonArchCoreSharing Value: 1 Key : Hypervisor.Flags.Phase0InitDone Value: 1 Key : Hypervisor.Flags.PowerSchedulerQos Value: 0 Key : Hypervisor.Flags.RootScheduler Value: 0 Key : Hypervisor.Flags.SynicAvailable Value: 1 Key : Hypervisor.Flags.UseQpcBias Value: 0 Key : Hypervisor.Flags.Value Value: 21631230 Key : Hypervisor.Flags.ValueHex Value: 0x14a10fe Key : Hypervisor.Flags.VpAssistPage Value: 1 Key : Hypervisor.Flags.VsmAvailable Value: 1 Key : Hypervisor.RootFlags.AccessStats Value: 1 Key : Hypervisor.RootFlags.CrashdumpEnlightened Value: 1 Key : Hypervisor.RootFlags.CreateVirtualProcessor Value: 1 Key : Hypervisor.RootFlags.DisableHyperthreading Value: 0 Key : Hypervisor.RootFlags.HostTimelineSync Value: 1 Key : Hypervisor.RootFlags.HypervisorDebuggingEnabled Value: 0 Key : Hypervisor.RootFlags.IsHyperV Value: 1 Key : Hypervisor.RootFlags.LivedumpEnlightened Value: 1 Key : Hypervisor.RootFlags.MapDeviceInterrupt Value: 1 Key : Hypervisor.RootFlags.MceEnlightened Value: 1 Key : Hypervisor.RootFlags.Nested Value: 0 Key : Hypervisor.RootFlags.StartLogicalProcessor Value: 1 Key : Hypervisor.RootFlags.Value Value: 1015 Key : Hypervisor.RootFlags.ValueHex Value: 0x3f7 Key : WER.OS.Branch Value: ni_release Key : WER.OS.Version Value: 10.0.22621.1 Key : WER.System.BIOSRevision Value: 5.27.0.0 BUGCHECK_CODE: ef BUGCHECK_P1: ffffd18e9cfbc140 BUGCHECK_P2: 0 BUGCHECK_P3: ffffd18e9cfbc140 BUGCHECK_P4: 0 FILE_IN_CAB: 071825-14921-01.dmp FAULTING_THREAD: ffffd18ea422e080 PROCESS_NAME: svchost.exe CRITICAL_PROCESS: svchost.exe ERROR_CODE: (NTSTATUS) 0xa422e080 - <Unable to get error code text> BLACKBOXBSD: 1 (!blackboxbsd) BLACKBOXNTFS: 1 (!blackboxntfs) BLACKBOXPNP: 1 (!blackboxpnp) BLACKBOXWINLOGON: 1 (!blackboxwinlogon) CUSTOMER_CRASH_COUNT: 1 STACK_TEXT: fffffc01`fe187858 fffff803`17bb417b : 00000000`000000ef ffffd18e`9cfbc140 00000000`00000000 ffffd18e`9cfbc140 : nt!KeBugCheckEx fffffc01`fe187860 fffff803`17afcccb : ffffd18e`9cfbc140 00000000`00000002 00000000`00000000 fffff803`1749b62f : nt!PspCatchCriticalBreak+0x11b fffffc01`fe1878f0 fffff803`17923f7b : ffffd18e`9cfbc140 00000000`c0000374 ffffd18e`9cfbc140 00000000`00000000 : nt!PspTerminateAllThreads+0x14f54b fffffc01`fe187960 fffff803`17923d51 : ffffffff`ffffffff ffffd18e`9cfbc140 ffffd18e`a422e080 ffffd18e`9cfbc140 : nt!PspTerminateProcess+0xe7 fffffc01`fe1879a0 fffff803`176274e5 : ffffd18e`00001248 ffffd18e`a422e080 ffffd18e`9cfbc140 ffffffff`f70f2e80 : nt!NtTerminateProcess+0xb1 fffffc01`fe187a20 00007ffc`0a80f974 : 00007ffc`0a87c890 00007ffc`0a8da86c 000000c8`8fb7b760 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x25 000000c8`8fb7a6c8 00007ffc`0a87c890 : 00007ffc`0a8da86c 000000c8`8fb7b760 00000000`00000000 00000000`00000000 : 0x00007ffc`0a80f974 000000c8`8fb7a6d0 00007ffc`0a8da86c : 000000c8`8fb7b760 00000000`00000000 00000000`00000000 00000000`0010c849 : 0x00007ffc`0a87c890 000000c8`8fb7a6d8 000000c8`8fb7b760 : 00000000`00000000 00000000`00000000 00000000`0010c849 00007ffc`0a7ff1b7 : 0x00007ffc`0a8da86c 000000c8`8fb7a6e0 00000000`00000000 : 00000000`00000000 00000000`0010c849 00007ffc`0a7ff1b7 000000c8`8fb7a800 : 0x000000c8`8fb7b760 SYMBOL_NAME: nt!PspCatchCriticalBreak+11b MODULE_NAME: nt IMAGE_NAME: ntkrnlmp.exe IMAGE_VERSION: 10.0.22621.2428 STACK_COMMAND: .process /r /p 0xffffd18e9cfbc140; .thread 0xffffd18ea422e080 ; kb BUCKET_ID_FUNC_OFFSET: 11b FAILURE_BUCKET_ID: 0xEF_svchost.exe_BUGCHECK_CRITICAL_PROCESS_a422e080_nt!PspCatchCriticalBreak OS_VERSION: 10.0.22621.1 BUILDLAB_STR: ni_release OSPLATFORM_TYPE: x64 OSNAME: Windows 10 FAILURE_ID_HASH: {139516e8-a181-e0a0-49d2-c73372114d37} Followup: MachineOwner --------- 指出崩溃类型(即蓝屏显示的终止代码)_故障进程
最新发布
09-23
2. **故障进程**: - `PROCESS_NAME`字段和`CRITICAL_PROCESS`字段均指向`svchost.exe` 按用户要求的flag格式组合为: `flag{ef_svchost.exe}` ### 技术解析补充 该错误表明关键系统进程`svchost.exe`意外终止...
内核级结束进程 结束冰刃进程 结束360等杀软进程
12-24
内核级结束进程 内核级结束进程 结束冰刃进程 结束360等杀软进程进程不能被冰刃结束
冰刃 进程管理工具 非常强悍
03-09
冰刃 的用途我就不用讲了! 很不错的安全工具! 可以结束几乎所有进程
冰刃进程管理软件
01-05
用于进程的查看,当有可疑进程时呈红色。
冰刃IceSword 1.20 进程管理软件
11-30
IceSword是一斩断黑手的利刃(所以取这土名,有点搞e,呵呵)。它适用于Windows 2000/XP/2003操作系统,用于查探系统中的幕后黑手(木马后门)并作出处理,当然使用它需要用户有一些操作系统的知识。
进程管理系列工具(wsyscheck;冰刃;process-X)
06-01
三款进程管理软件:wsyscheck进程管理; 冰刃iceswordV1·22Final官方中文绿色版; process-X
冰刃结束pubwin
强盗的地盘
06-18 1836
      心语网吧现在很变态,用了pubwin这样的东东又用任务管理器增强版,结束一个进程还要密码。不能用迅雷,不能用一些p2p软件。如果你嫌你的网速慢去那个地方下个东东的话,那简直是不可能的。更要命的是还禁用了cmd,过滤了网页中的敏感字,如果打开一个有敏感字的网页,就自动关闭。我是不会让这些破玩艺来限制我的上网自由的:      1:去网上下一个 冰刃1.20,解压缩;      2
03 特征码搜索PspTerminateProcess函数、隐藏驱动模块
qq_50242229的博客
04-28 504
函数地址。
根据特征码找到未导出的内核函数 PspTerminateProcess
pluginL的博客
09-13 1090
使用的是一个UINT32数组来存放shellcode没有考虑全局变量的问题 #include <ntifs.h> typedef NTSTATUS(*pFunTerminateProcess)(IN PEPROCESS Process, IN NTSTATUS ExitStatus); typedef struct _LDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks; LIST_ENTRY InMemoryOrderLinks; LIS
PsTerminateProcess
陪咖啡喝女人
02-12 3144
唉,不可避免的需要写个driver,难到不难,就是懒。自从开始稳重的重学C++,重学MFC以来,重看了很多的架构方面的资料,顺便把.NET、Java也复习了复习,面向对象编程对于项目实施还是有很大的弊端。还是更习惯面向模块编程,即省力又来的实在,可以很好的控制各模块的进度。不过难点在于前期需要设计很完善的测试框架,模块完成丢进测试框架里面跑一圈,如果不符合项目需求分析的
inline hook未导出函数PspTerminateProcess
weixin_30617737的博客
12-22 272
已经把代码附上了….以前的没什么修改,在搜索特征码时没有在非分页内存搜.可能会蓝屏,不过你应该做下适当修改–sysnap之前inline Hook SSDT中的一些函数学,感觉比较容易,可是想hook一些未导出的函数时, 却发现还有点难,开始是蓝了N次屏,最后HOOK成功了,用一些anti-rootkit的工具却查不出 来,以为没成功.郁闷了好久,最后用windbg看,原来是成功,于是写下这篇...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值