Windows驱动学习(三)-- 杀死进程

最新推荐文章于 2022-10-29 10:17:25 发布
最新推荐文章于 2022-10-29 10:17:25 发布
阅读量2.9k 收藏 13
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Windows驱动 文章标签: Windows内核 驱动编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_37552052/article/details/82764038
本文介绍如何通过编写Windows驱动程序,在内核层利用ZwTerminateProcess函数来提升杀死进程的成功率。详细讲解了驱动的初始化、DeviceIoctl函数用于实现进程杀死功能,以及在应用层如何调用驱动并测试杀死进程的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

教程参考自:https://www.bilibili.com/video/av26193169/?p=3
代码地址:https://github.com/G4rb3n/Windows-Driver/tree/master/MT-KillProcess

1. 概述

我们常常遇到这种棘手的情况,使用任务管理器或一些应用程序无法将某一进程杀死。出现这种现象的原因一般是因为权限不够,若我们在驱动层调用ZwTerminateProcess来杀死这些进程,那么成功率将大大增加。

2. 驱动编写

2.1 初始化变量

1

2.2 DrvierEntry

在上一章,我们发现DeviceCreate和DeviceClose等函数怎么长得一模一样?我们可不可以进行代码上的优化,使得代码看起来更简洁?答案是可以的,我们这里使用一个循环将这些设备函数都统一设置为DeviceApi。
2

2.3 DeviceApi

而DeviceApi的代码跟之前的一样,就是些常规工作。

最低0.47元/天 解锁文章

200万优质内容无限畅学
Win64 驱动内核编程-26.强制结束进程
天使也掉毛
03-29 5254
强制结束进程     依然已经走到驱动这一层了,那么通常结束掉一个进程不是什么难的事情。同时因为win64 位的各种保护,导致大家慢慢的已经不敢HOOK了,当然这指的是产品。作为学习和破解的话当然可以尝试各种hook。目前来说很多杀软进程保护都是通过回调了保护的,简单,稳定,安全。So,强制结束进程会比当年简单很多。 首先就是上一个最基本的驱动里结束进程的方法:   1.直接调用ZwTer
C++获取windows中所有进程,使用pid杀死进程,并用map保存进程id与name以备后用
一只懒虫的博客
04-18 3902
#include <iostream> #include <string> #include <map> #include <windows.h> #include <TlHelp32.h> bool TraverseProcesses(std::map<std::string,int> &_mapProcess)...
通过驱动杀死那个进程
weixin_30919235的博客
11-22 279
继续写一下学习驱动的成果,看大佬的文章介绍了枚举系统进程和禁止创建新进程,最后自己结合一下写了每当进程被创建时,通过检查新创建的进程名来杀死想要结束的进程。 遇到的问题 使用函数RtlCompareUnicodeString对比进程名的字符串时会出现蓝屏的问题 解决的方法 对比的两个参数都用RtlInitUnicodeString进行赋值后进行对比 环境 ...
[Windows 驱动开发] 清内存强杀进程
LYSM
04-15 1462
原理 Attach 到进程进行内存清零.这里提供了两种方法.原理是一样 KeAttachProcess方法 与 KeStackAttachProcess方法. 其中第一种属于旧方法了.根据MSDN所说API已经升级为了KeStackAttachProcess #include <ntifs.h> NTKERNELAPI UCHAR* PsGetProcessImageFileName(IN PEPROCESS Process); //未公开的进行导出即可 NTKERNELAPI VOID
驱动开发:内核强制结束进程运行
优快云
10-29 1万+
内核态,但有时我们不得不想办法结束掉这些特殊的进程,当然某些正常进程在特殊状态下也会无法被正常结束,此时使用驱动前行在内核态将其结束掉就变得很有用了,驱动结束进程有多种方法。存在时则可以看到结束效果,当然这种方式只是在内核层面调用了结束进程函数,其本质上还是正常结束,只是这种方式权限要大一些仅此而已。没有被导出,所以我们需要动态的这个内存地址,然后动态调用即可,这个寻找方法可以总结为以下步骤。第二种方法,其原理就是将进程内的线程全部结束掉从而让进程自动结束,由于。首先是第一种方法结束进程,封装实现。
超级驱动杀进程
08-20
超级驱动杀进程
windows遍历进程杀死进程
热门推荐
sowhat_Ah的专栏
02-04 1万+
windows下遍历进程有多种方式: 进程快照:CreateToolhelp32Snapshot; 进程状态API:PSAPI; 在psapi中主要使用到的方法有: EnumProcesses——枚举进程; EnumProcessModules——枚举进程内模块; GetModuleFileNameEx——获取模块名; 通过这3个方法就可以遍历进程以及进程内各个模块;
[HACK学习呀] - 2020-06-11 绕过卡巴进程保护的一些总结1
08-03
1. **杀死杀软保护的进程**: - 这个方法试图终止卡巴斯基的保护进程,但可能遇到权限问题,特别是在系统中存在驱动级保护的情况下,单纯提升权限可能无法关闭这些进程。 2. **通过蓝屏获取memory.dmp**: - 可以...
fkill-cli:Node.js开发的跨平台进程杀死工具
资源摘要信息:"Node.js-fkill-杀死进程跨平台支持" Node.js是目前流行的JavaScript运行环境,它将JavaScript语言运行在服务器端。Node.js的非阻塞、事件驱动的I/O模型使其成为构建数据密集型实时应用程序的理想选择...
利用驱动杀进程 利用驱动杀进程 利用驱动杀进程
10-28
利用驱动杀进程源码 利用驱动杀进程源码 利用驱动杀进程源码 利用驱动杀进程源码
易语言驱动杀进程
07-22
易语言驱动杀进程源码,驱动杀进程,取驱动句柄,加载驱动_,卸载驱动_,CTL_CODE,十六到十,NtQuerySystemInformation,LocalAlloc,LocalFree,SYSTEM_MODULE_INFORMATION,LoadLibraryEx,FreeLibrary,GetProcAddress,OpenSCManagerA,DeleteService,CreateService
驱动Hook ZwTerminateProcess(mdl方式)
qq1134993111的专栏
09-21 1841
http://www.cnblogs.com/zhujian198/archive/2010/08/16/1800760.html #include "ntddk.h" typedef struct _SERVICE_DESCRIPTOR_TABLE {     PULONG ServiceTableBase;     PULONG ServiceCounterTab
浅谈驱动中强制结束进程的3种方法
少仲
04-12 6981
一个应用程序想要结束另一个进程所要做的事:首先获得目标的进程ID,接着利用OpenProcess获取进程句柄(确保足够权限),最后将句柄传给TerminateProcess了结那个进程. OpenProcess通过本机系统服务接口进入核心态,随后调用ntoskrnl的NtOpenProcess.在服务函数里,系统使用SeSinglePrivilegeCheck检查调用者是否有DEBUG权
驱动 -- 强制结束进程 -- 整理
FadeTrack
06-22 2444
有一阵子没 写博客,正好这几天 写了个内核级强制结束进程 的小例子。写这个例子之前都没去查什么资料,主要是想试试自己能不能写出来吧。写完后才发现 看雪论坛 曾经发表过一篇很相似的文章,实现的细节可能有点不一样,不过原理基本是相同的了。 都是通过 这个 PspTerminateThreadByPointer 函数,我是通过查ReactOs 来理解的 NtTeriminateProc
HOOK ZwTerminateProcess实现进程保护
chenhao1988的专栏
04-25 5230
近期学习了一下HOOK SSDT,通过HOOK ZwTerminateProcess来实现的编了一个小程序实现简单的禁止结束进程,主要代码如下:NTSTATUS HookZwTerminateProcess(IN HANDLE ProcessHandle OPTIONAL,IN NTSTATUS ExitStatus){ ULONG pid = 0; NTSTATUS status = 0; 
模拟ZwTerminateProcess干掉进程
de7315的专栏
05-25 457
模拟ZwTerminateProcess干掉进程 很多时候我们会碰到杀进程的需求,但是很多程序会hook系统的api造成我们无法结束指定的进程。 你流氓,我只有更流氓!下面介绍一种模拟native api ZwTerminateProcess 结束进程的方法...
进程强杀
kernweak的博客
05-28 893
应用层杀进程会调用terminateProcess,往下会调用zwterminateProcess,再往下 PsTerminateProcess->PspTerminateProcess->PspTerminateThreadByPoint->PspExitThread 所以我们想调用PspTerminateProcess(再往下就是线程函数了),但是未导出。所以只能暴力搜索...
KeStackAttachProcess+ZwTerminateProcess结束进程的分析
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
09-04 6680
某些ARK会用以下代码来结束进程,对于很多有进程保护的程序都很有效:  PsLookupProcessByProcessId(); KeStackAttachProcess(); ZwTerminateProcess(0,0); 注意ZwTerminateProcess函数的第一个参数,这是要结束进程的句柄。对于进程句柄来说,-1表示当前进程,而在这里为什么用0呢?我们来分析下
windows内核模式下隐藏进程
sky的专栏
12-19 4752
进程隐藏之内核实现 1、在内核模式下,系统为每个进程维护了一个EPROCESS结构体,系统所有的进程是通过EPROCESS结构体中的一个ActiveProcessLinks指向的双端链表连接起来的,通过winDBG内核调试工具就可以发现并获取其相对于EPROCESS结构体的地址(0x88),这样我们可以通过遍历该循环链表找到我们的目的进程将其链表的节点删除即可隐藏该进程。(EPROCESS中进程
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值