内核层关机重启

最新推荐文章于 2024-02-03 13:56:50 发布
最新推荐文章于 2024-02-03 13:56:50 发布
阅读量4k 收藏 4
点赞数
分类专栏: 安全编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cackeme/article/details/8632429
版权
本文探讨了在用户层和内核驱动中如何实现安全的关机、重启操作。由于用户进程的关机函数易被hook,转向内核驱动进行操作。然而,直接在DriverEntry调用NtShutdownSystem可能会遇到权限不足的问题。为解决此问题,文章提供了一个提权函数AdjustPriv,用于启用SE_SHUTDOWN_PRIVILEGE权限。接着,展示了如何在设备驱动程序中响应ioctl命令,执行不同的关机、重启操作,如IOCTL_SHUTDOWN_POWEROFF、IOCTL_SHUTDOWN_NOREBOOT和IOCTL_SHUTDOWN_REBOOT。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

现在HOOK越来越普遍,很多恶意程序通用hook用户进程的关机函数禁止关机,有些则是hook winlogon.exe的关机函数,因为进程的调用关机函数会最终给winlogon.exe发送关机消息。所以在用户层实现关机已经越来越不安全了。内核驱动禁止关机也不是很安全,通过windbg可以发现xuetr.exe禁止关机的原理是对NtShutdownSystem调用的SeSinglePrivilegeCheck(权限检查)函数进行call hook。不管了,毕竟玩驱的也不是等闲之辈。我们可以经常遇到在DriverEntry调用NtShutdownSystem可以正常关机重启,但是通过ioctl关机重启失效了,NtShutdownSystem的返回值是STATUS_PRIVILEGE_NOT_HELD,也就是权限不足,看来需要提权。提权函数如下:

void AdjustPriv(ULONG ulSe)
{
 NTSTATUS nts = 0;
 TOKEN_PRIVILEGES TokenPrivileges;
 HANDLE tokenHandle;
 nts = ZwOpenProcessToken(NtCurrentProcess(),TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY,&tokenHandle);
 if (NT_SUCCESS(nts))
 {
  TokenPrivileges.PrivilegeCount = 1;
  TokenPrivileges.Privileges[0].Luid = RtlConvertUlongToLuid(ulSe);
  TokenPrivileges.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
  nts = ZwAdjustPrivilegesToken(

最低0.47元/天 解锁文章
一、C++反作弊对抗实战 (基础篇 —— 9.在ring3调用NtShutdownSystem关机与NtRaiseHardError蓝屏)
Koma的主页
03-03 1025
由于一篇幅的代码涉及到强制关机与显示蓝屏的部分,大家测试的时候尽量在虚拟机,否则后果负,手动滑稽~~ // ZwShutdownSystem.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include <Windows.h> #include "NTPublic.h" typedef UINT (CALLBACK* NTRAISEHARDERROR)(NTSTATUS, ULONG, PUNICODE_STRING, PVOID,HARDER
[原]快速关机
.:Hillin, faraway:.
01-17 3836
  在优快云上,用户pbtincsu 给出了这么一段代码,据说可以用来超快速关机:Public Declare Function RtlAdjustPrivilege& Lib "ntdll" (ByVal Privilege&, ByVal Newvalue&, ByVal NewThread&, Oldvalue&)Public Declare Function NtShutdownSyst
内核里强制关机重启
125096
07-08 3770
#include //卸载函数 VOID HelloDDKUnload(IN PDRIVER_OBJECT pDriverObject); extern "C" NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING pRegistryPath); VOID CompuleReBoot(void);
易语言内核关机源码.zip
07-02
易语言内核关机源码 驱动级内核关机。直接关闭无任何提示。 压缩加密文件夹.ec 压缩文件夹.ec 双功能自动编号模块.ec 取十进制.ec 取句柄对应全路径文件名2.1.ec 取图片尺寸.ec 取声调拼音模块1.0.ec 取姓名.ec
linux内核关机,嵌入式linux 内核关机函数实现
weixin_30215717的博客
04-30 405
arch/arm/kernel/process.c实现pm_power_off=关机函数参考board-omap3touchbook.c文件中pm_power_off=omap3_touchbook_poweroff;staticvoidomap3_touchbook_powearch/arm/kernel/process.c实现pm_power_off = 关机函数参考board-omap3to...
阻止关机
愿与念
08-18 1374
对,就是这个,学霸系统是给别人用的,我又不是学霸,在调试时就离不开这个东西了。#include<stdlib.h>int main(void) { system("shutdown -a"); return 0; }
linux内核电源关机流程,linux开机与关机步骤
weixin_36255517的博客
05-02 387
1.Init程序读取/etc/inittab配置文件Init是系统的第一个进程,因此PID为1,也是所有进程的父进程,init启动后会读取配置文件/etc/inittab中的设定,其实/etc/inittab文件最主要的作用就是设定Linux的运行等级,其设定形式是“:id:5:initdefault:”,这就表明Linux需要运行在等级5上。Linux的运行等级设定如下:0:关机1:单用户模式2...
powershell API - 内核函数NtRaiseHardError,RtlAdjustPrivilege,NtShutdownSystem(蓝屏,提权,关机
最新发布
2401_82910308的博客
02-03 799
powershell使用api实现蓝屏和快速关机
Android手机获取root权限并实现关机重启功能的方法
09-04
总的来说,获取root权限和实现关机重启功能是Android开发中的高级技术,主要用于系统级应用和自定义ROM的开发。开发者应谨慎对待root权限,确保在合法和安全的前提下使用。同时,了解和掌握这些技术可以帮助我们更好...
Linux 关机重启流程分析
07-29
Linux 系统的关机重启流程是操作系统中至关重要的组成部分,尤其对于嵌入式系统内核的定制和优化有着深远的影响。理解这些流程有助于开发者更深入地掌握系统的内部运作,以便进行有效的调整和功能扩展。 1. **...
关机重启源码
01-12
这个名为“关机重启源码”的项目,显然提供了一种自定义实现这一功能的软件解决方案。下面将详细讲解与这个主题相关的知识点,包括关机重启的原理、如何在不同操作系统中实现这些操作,以及编写此类程序可能涉及的...
Android 关机重启(reboot and shutdown)源码.rar
12-03
- 最终,Android系统会通过Linux内核提供的函数,如`reboot()`或`shutdown()`,来实现真正的系统重启关机。这些调用会由Android的系统服务器发起,并通过Binder机制传递到内核空间。 7. **权限控制**: - 只有...
阻止系统关机工具
12-11
阻止系统关机工具,xp下绝对有效,win7下未测试。启动此工具后,只能通过本软件取消阻止关机,然后才能通过软件关机,否则无法通过系统关机。当然了,如果你按下电源按钮也能关机
快速关机
Tody Guo的专栏
08-03 1515
<br />使用   NtShutdownSystem   可以强制关闭   Windows   系统。这个函数是众多的未归档的   Windows   NT/2000   Native   API   函数之一,它在关闭系统时不会事先通知系统服务程序和用户程序。行为很是粗鲁,除非迫不得已,最好不要使用这个函数。msgina.dll   中用到了这个函数。该函数由   ntdll.dll   输出,其原型如下: <br /><br /> NTSYSAPI <br /> NTSTATUS
在NT/2000下实现关机
ponydph的专栏
10-25 637
众所周知,在9x下关机只要ExitWindows(0,0)就行了,可是在NT/2000下这个函数的执行结果仅是注销而已,那么如何在NT/2000下实现关机呢?看看下面这个函数吧!void ShutDown(void){ OSVERSIONINFO osv; osv.dwOSVersionInfoSize=sizeof OSVERSIONINFO; GetVersionEx(&osv); if(
Windows关机方法
迷茫的小莱
12-30 685
 Windows关机方法DWORD (__stdcall *NtShutdownSystem)(SHUTDOWN_ACTION); HMODULE hMod; hMod = LoadLibraryA("ntdll.dll"); if(hMod) { NtShutdownSystem = (DWORD(__stdcall *)(SHUTDOWN_ACTION))GetProcAddress(hMod, "NtShu
系统瞬间关闭或重启
《好好先生》专栏
01-03 819
系统瞬间关闭或重启 传统的windows关机程序比较繁琐,当您选择关机或者重启的时候,系统会先向运行的各个程序发送一个消息WM_QUERYENDSESSION,一般的程序收到该消息后会退出,但是有些程序不会,比如你编辑了一段文本,记事本或者word程序收到该消息后会提示用户是否要保存文件,当然,系统有个保留时间,他不会等到用户做出相应,而是在一段时间内,如果用户不做出任何响应,系统也会强制退出这
快速关机重启
Y___Y的专栏
09-14 1992
 Windows操作系统快速关机之谜总有人在抱怨Windows的关机是如何的缓慢,实际上Windows本身的关机速度已经很快的了。问题主要出在用户安装的程序上面,由于一些设计不好的应用程序或驱动程序的问题,造成了关机上的延迟。针对这个问题,网络上出现了类似于下面的技巧:  打开任务管理器,按住“Ctrl”键的同时,再单击任务管理器窗口中的菜单“关机→关闭”命令时,系统会快速地被关闭,同样,
简单实现windows系统普通或强制关机重启注销的功能
cackeme的专栏
08-03 3905
简单实现windows系统普通或强制关机重启注销的功能 #ifndef __H_SHUTDOWN_H__ #define __H_SHUTDOWN_H__ typedef enum _SHUTDOWN_ACTION {     ShutdownNoReboot,     ShutdownReboot,     ShutdownPowerOff } SHUTDOWN_ACTI
一键控制:关屏、关机重启的手机软件
从给定的文件信息来看,它介绍了一个特定的功能性软件,即能够执行关屏、关机重启操作的程序。下面将详细介绍这个软件相关的知识点: ### 知识点一:软件功能的实现原理 1. **关屏功能**:关屏功能是指让手机...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值