KeStackAttachProcess+ZwTerminateProcess结束进程的分析

最新推荐文章于 2024-11-06 05:46:37 发布
最新推荐文章于 2024-11-06 05:46:37 发布
阅读量6.6k 收藏 1
点赞数 1
分类专栏: 驱动开发学习
本文详细分析了使用ZwTerminateProcess函数结束进程的原理,包括其内部工作流程、关键代码段及参数设置的含义。通过实例测试验证了不同参数值对进程结束行为的影响,揭示了在不同环境下的正确使用方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

某些ARK会用以下代码来结束进程,对于很多有进程保护的程序都很有效: 
PsLookupProcessByProcessId();

KeStackAttachProcess();

ZwTerminateProcess(0,0);

注意ZwTerminateProcess函数的第一个参数,这是要结束进程的句柄。对于进程句柄来说,-1表示当前进程,而在这里为什么用0呢?我们来分析下NtTerminateProcess:


(图1) 

图1中可以看到代码一开始先是获取当前线程的ETHREAD,然后获得当前先得的当前进程的KPROCESS(也就是EPROCESS),判断ProcessHandle是否为NULL,如果不为NULL则设置局部标志IsProcessHandleSpecified为TRUE,如果为NULL的话则先设置ProcessHandle为-1,然后把IsProcessHandleSpecified设置为FALSE。 

图(2)

这里很简单,仅仅是根据传入的进程句柄得到对应的EPROCESS对象,这里我们称作TerminateProcess,也就是要结束的进程。 

图(3)

图(3)就是一个循环,利用PsGetNextProcessThread来遍历进程中的每个线程,如果线程不是当前线程,就用PspTerminateThreadByPointer结束掉,显然,没有这个判断如果在遍历过程中遍历到当前线程,把自己结束了,就无法继续了。 
转换成C代码就是:

for (Thread = PsGetNextProcessThread (Process, NULL); 
         Thread != NULL; 
         Thread = PsGetNextProcessThread (Process, Thread)) {

        st = STATUS_SUCCESS; 
        if (Thread != SelfThread) { 
            PspTerminateThreadByPointer (Thread, ExitStatus, FALSE); 
        } 
    }


图(4)

图4可以看到,这里有两个判断,一个是判断TerminateProcess是不是当前进程,如果是的话再判断IsProcessHandleSpecified是不是TRUE,如果为真,则结束当前线程,如果不为真则不会结束当前线程。 
这里是关键,在Attach环境下,虽然是在别的线程的地址空间,但是线程仍然是原始的线程,因此,上面的结束进程的代码可以结束掉其他进程,然后ProcessHandle设置为NULL,就会避免NtTerminateProcess把自己的线程也给结束掉。我写了个测试程序,在IOCTL里调用ZwTerminateProcess结束自己的进程,如果ProcessHandle设置为-1,则IsProcessHandleSpecified为TRUE,那么在上面的循环结束本进程的其他线程后,就会走到图4的代码段里,结束当前线程,这样进程就自杀了。而如果把ProcessHandle设置为0,会导致把本进程除当前线程外的线程都给杀掉,却无法结束当前线程,如果当前线程是主线程的话,就无法结束进程。因此在本文开始的代码中,ZwTerminateProcess的ProcessHandle参数必须设置为NULL才行。

Windows驱动学习(三)-- 杀死进程
安全杂货铺
09-18 2923
1. 概述 我们常常遇到这种棘手的情况,使用任务管理器或一些应用程序无法将某一进程杀死。出现这种现象的原因一般是因为权限不够,若我们在驱动层调用ZwTerminateProcess来杀死这些进程,那么成功率将大大增加。 2. 驱动编写 2.1 初始化变量 2.2 DrvierEntry 在上一章,我们发现DeviceCreate和DeviceClose等函数怎么长得一模一样?我们可不可以进行代码...
HOOK ZwTerminateProcess实现进程保护
chenhao1988的专栏
04-25 5230
近期学习了一下HOOK SSDT,通过HOOK ZwTerminateProcess来实现的编了一个小程序实现简单的禁止结束进程,主要代码如下:NTSTATUS HookZwTerminateProcess(IN HANDLE ProcessHandle OPTIONAL,IN NTSTATUS ExitStatus){ ULONG pid = 0; NTSTATUS status = 0; 
模拟ZwTerminateProcess干掉进程
de7315的专栏
05-25 457
模拟ZwTerminateProcess干掉进程 很多时候我们会碰到杀进程的需求,但是很多程序会hook系统的api造成我们无法结束指定的进程。 你流氓,我只有更流氓!下面介绍一种模拟native api ZwTerminateProcess 结束进程的方法...
驱动Hook ZwTerminateProcess(mdl方式)
qq1134993111的专栏
09-21 1841
http://www.cnblogs.com/zhujian198/archive/2010/08/16/1800760.html #include "ntddk.h" typedef struct _SERVICE_DESCRIPTOR_TABLE {     PULONG ServiceTableBase;     PULONG ServiceCounterTab
驱动开发:内核强制结束进程运行
优快云
10-29 1万+
内核态,但有时我们不得不想办法结束掉这些特殊的进程,当然某些正常进程在特殊状态下也会无法被正常结束,此时使用驱动前行在内核态将其结束掉就变得很有用了,驱动结束进程有多种方法。存在时则可以看到结束效果,当然这种方式只是在内核层面调用了结束进程函数,其本质上还是正常结束,只是这种方式权限要大一些仅此而已。没有被导出,所以我们需要动态的这个内存地址,然后动态调用即可,这个寻找方法可以总结为以下步骤。第二种方法,其原理就是将进程内的线程全部结束掉从而让进程自动结束,由于。首先是第一种方法结束进程,封装实现。
Win64 驱动内核编程-26.强制结束进程
天使也掉毛
03-29 5254
强制结束进程     依然已经走到驱动这一层了,那么通常结束掉一个进程不是什么难的事情。同时因为win64 位的各种保护,导致大家慢慢的已经不敢HOOK了,当然这指的是产品。作为学习和破解的话当然可以尝试各种hook。目前来说很多杀软进程保护都是通过回调了保护的,简单,稳定,安全。So,强制结束进程会比当年简单很多。 首先就是上一个最基本的驱动里结束进程的方法:   1.直接调用ZwTer
Win64 驱动内核编程-7.内核里操作进程
天使也掉毛
03-05 4820
在内核里操作进程     在内核里操作进程,相信是很多对 WINDOWS 内核编程感兴趣的朋友第一个学习的知识点。但在这里,我要让大家失望了,在内核里操作进程没什么特别的,就标准方法而言,还是调用那几个和进程相关的 NATIVE API 而已(当然了,本文所说的进程操作,还包括对线程和 DLL 模块的操作)。本文包括 10 个部分:分别是:枚举进程、暂停进程、恢复进程结束进程、枚举线程、暂停线
SSDT Hook (HookZwTerminateProcess)—— 实现任务管理器无法关闭进程
walker的博客
03-06 693
本节的目的是通过驱动程序修改 ntoskrnl.exe 程序的 SSDT 表中的函数地址表,以实现 SSDT Hook 。本次的测试函数为 R3 API 函数 ZwTerminateProcess ,通过 Hook 该函数,以实现任务管理器无法强制关闭进程,只有通过进程的关闭方法才可以正常结束进程。 Hook 该函数的关键是判断 ZwTerminateProcess 函数中的进程句柄 hProcess 。当进程是通过自身的关闭方法关闭的话,该句柄的值应为 0xffffffff 或 0x00 ,而通过其他进
[Windows 驱动开发] 清内存强杀进程
LYSM
04-15 1462
原理 Attach 到进程进行内存清零.这里提供了两种方法.原理是一样 KeAttachProcess方法 与 KeStackAttachProcess方法. 其中第一种属于旧方法了.根据MSDN所说API已经升级为了KeStackAttachProcess #include <ntifs.h> NTKERNELAPI UCHAR* PsGetProcessImageFileName(IN PEPROCESS Process); //未公开的进行导出即可 NTKERNELAPI VOID
进程强杀
kernweak的博客
05-28 893
应用层杀进程会调用terminateProcess,往下会调用zwterminateProcess,再往下 PsTerminateProcess->PspTerminateProcess->PspTerminateThreadByPoint->PspExitThread 所以我们想调用PspTerminateProcess(再往下就是线程函数了),但是未导出。所以只能暴力搜索...
Win7-ring0-Kill360-AllProcess.zip_kill process win7_win7_win7 36
07-14
Win7下测试成功 xp自己去试验 前面的说明一定要看哦
进程强杀探究
hongduilanjun的博客
03-07 2294
前言 我们知道在windows操作系统里面有ring0跟ring3的概念(ring1、ring2在windows中并未使用),因为ring0的特权级别是比ring3高的,那么我们肯定不能在ring3调用windows提供的api杀死ring0特权级别的进程,那么这时候我们就需要使用的ring0的函数来强行结束一些处于ring0级别的进程。 测试 我们首先打开PCHunter32.exe看一下,应用层是不能够访问的,我们知道可以在cmd里面使用taskkill命令来结束进程,但这种方式对ring0特权级别的程
线程多次KeStackAttachProcess后APCstate的状态
最新发布
weixin_43751677的博客
11-06 153
windows内核开发学习笔记三十八:内核概念之进程和线程管理
jyl_sh的专栏
06-28 818
前面在windows内核开发学习笔记三十五:系统线程和系统进程博文中介绍了系统进程和系统线程,涉及了一些线程和进程的概念,在本文更进一步的介绍进程和线程管理的相关知识。 进程(process)定义了一个执行环境,包括他自己的私有的地址空间、一个句柄表,以及一个安全环境;线程(thread)则是一个控制流,有自己的调用栈(call stack),记录了它的执行历史,每个进程都包含一个或多个线程,当进程被初始创建时系统为该进程创建第一个线程;当最后一个线程结束时,进程也随之结束...
3.3 Windows驱动开发:内核MDL读写进程内存
优快云
11-16 6243
MDL内存读写是一种通过创建MDL结构体来实现跨进程内存读写的方式。在Windows操作系统中,每个进程都有自己独立的虚拟地址空间,不同进程之间的内存空间是隔离的。因此,要在一个进程中读取或写入另一个进程的内存数据,需要先将目标进程的物理内存映射到当前进程的虚拟地址空间中,然后才能进行内存读写操作。MDL结构体是Windows内核中专门用于描述物理内存的数据结构,它包含了一系列的数据元素,包括物理地址、长度、内存映射的虚拟地址等信息。
3.5 Windows驱动开发:应用层与内核层内存映射
热门推荐
优快云
11-16 1万+
在上一篇博文中我们通过使用附加进程的方式得到了该进程的PEB结构信息,本篇文章同样需要使用进程附加功能,但这次我们将实现一个更加有趣的功能,在某些情况下应用层与内核层需要共享一片内存区域通过这片区域可打通内核与应用层的隔离,此类功能的实现依附于MDL内存映射机制实现。
驱动开发:内核RIP劫持实现DLL注入
优快云
06-16 9054
本章将探索内核级DLL模块注入实现原理,DLL模块注入在应用层中通常会使用`CreateRemoteThread`直接开启远程线程执行即可,驱动级别的注入有多种实现原理,而其中最简单的一种实现方式则是通过劫持EIP的方式实现,其实现原理可总结为,挂起目标进程,停止目标进程EIP的变换,在目标进程开启空间,并把相关的指令机器码和数据拷贝到里面去,然后直接修改目标进程EIP使其强行跳转到我们拷贝进去的相关机器码位置,执行相关代码后,然后再次跳转回来执行原始指令集。
检测当前进程是否被挂起
zhuhuibeishadiao
06-04 7875
KTHREAD的结构: +0x16c SuspendApc : _KAPC +0x19c SuspendSemaphore : _KSEMAPHORE +0x1b0 ThreadListEntry : _LIST_ENTRY +0x1b8 FreezeCount : Char +0x1b9 SuspendCount : Char
进程挂靠后使用PsGetCurrentProcessId获取的进程ID不准
Sven的忘却日记
06-01 2058
如题,在使用KeStackAttachProcess挂靠到目标进程后,又调用了一系列子函数,此时并没有把EPROCESS传进去。 PEPROCESS pProcess = NULL; KAPC_STATE apc; NTSTATUS status = PsLookupProcessByProcessId((HANDLE)pid, &pProcess); if (NT_SUCCESS(status)) { KeStackAttachProcess(pProcess, &apc);
SSDT Hook技术实现ZwTerminateProcess进程监控源码解析
ZwTerminateProcess是Windows内核中用于结束进程的一个系统服务函数,通过Hook这个函数,可以监控到尝试结束进程的操作,实现安全审计或防止恶意软件结束关键进程。 本文档的标题和描述说明了该资源是一个关于SSDT ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值