浅谈驱动中强制结束进程的3种方法

最新推荐文章于 2025-09-06 13:32:31 发布
原创 最新推荐文章于 2025-09-06 13:32:31 发布 · 7.1k 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细探讨了驱动中强制结束进程的三种方法:1) 暴力搜索未公开函数PspTerminateProcess和PspTerminateThreadByPointer来结束Eprocess/Ethread;2) 通过APC调用来结束进程,模拟PspTerminateThreadByPointer的行为;3) 使用内存清零法。每种方法都涉及到进程和线程的内部操作,包括APC调用、系统线程标志修改等技术细节。
部署运行你感兴趣的模型镜像

 

 

 

 

一个应用程序想要结束另一个进程所要做的事:首先获得目标的进程ID,接着利用OpenProcess获取进程句柄(确保足够权限),最后将句柄传给TerminateProcess了结那个进程.


OpenProcess通过本机系统服务接口进入核心态,随后调用ntoskrnl的NtOpenProcess.在服务函数里,系统使用SeSinglePrivilegeCheck检查调用者是否有DEBUG权限(SeDebugPrivilege),若有,则修改AccessState使得在后面的操作中获取允许任意进程访问操作的句柄.最后通过ObOpenObjectByName或 PsLookupProcessByProcessId +ObOpenObjectByPointer来打开进程(创建并返回进程句柄).TerminateProcess通过本机系统服务接口进入核心态,随后调用ntoskrnl的NtTerminateProcess.系统首先调用ObReferenceObjectByHandle获取进程执行体块,执行体块的DebugPort指出进程是否处于调试状态,若处于调试状态且传入的ExitStatus为DBG_TERMINATE_PROCESS则返回失败禁止结束进程.随后服务函数转入正题:

系统利用ThreadListHead枚举进程的每一个线程,使用PspTerminateThreadByPointer来结束它们.注意并不是对每个线程系统都会忠实地执行你的命令:若枚举到的线程是系统线程则不会继续执行而是返回STATUS_INVALID_PARAMETER.

线程是怎样结束的呢.PspTerminateThreadByPointer并不是直接“杀掉”指定线程,实质上线程是“自杀”的.系统简单的使用KeInitializeApc/KeInsertQueueApc插入了一个核心态的APC调用,若是用户线程,会再插入用户态的APC调用,最终线程在自己的执行环境中使用PspExitThread自行了断.

我理解的过程是这样的
TerminateProcess -> NtTerminateProcess-> PsTerminteProcess -> PspTerminateProcess ->PspTerminateThreadByPointer ->KeInitializeApc/KeInsertQueueApc(插入了一个核心态的APC调用,若是用户线程,会再插入用户态的APC调用,最终线程在自己的执行环境中) -> PspExitThread

那么有了这样清晰的思路,写出了3种在强制结束进程的方法.


1.暴力搜索PspTerminateProcess/PspTerminateThreadByPointer ,来强制结束Eprocess/Ethread.

 

 

首先,为什么要暴力搜索?因为这些函数都是未公开的函数.通过WinDbg来找到这些函数的名字.

 

 

 

kd> x nt!*Ps*terminate*
805c9eb6 nt!PsTerminateSystemThread =<no type information>
805c9ee4 nt!PsTerminateProcess = <notype information>
805c9b02 nt!PspTerminateThreadByPointer =<no type information>
805c9da4 nt!PspTerminateProcess = <notype information>
805cd84e nt!PspTerminateAllProcessesInJob =<no type information>

 

 

 

那么如何搜索到PspTerminateProcess的地址呢?再次反汇编PspTerminateProcess看看.

 

uf PspTerminateProcess:
805c9da4 8bff            mov     edi,edi
805c9da6 55              push    ebp
805c9da7 8bec            mov     ebp,esp
805c9da9 56              push    esi
805c9daa 64a124010000    mov    eax,dword ptr fs:[00000124h]
805c9db0 8b7508          mov     esi,dword ptr [ebp+8]
805c9db3 3b7044          cmp     esi,dword ptr [eax+44h]
805c9db6 7507            jne     nt!PspTerminateProcess+0x1b (805c9dbf)

 

看到了地址805c9da4,现在通过特征码来定位它在系统中的位置.

kd> dd PspTerminateProcess L8
805c9da4 8b55ff8b a16456ec 00000124 3b08758b
805c9db4 07754470 00000db8 575aebc0 0248be8d

 

通过校验这32个字节.网上大部分校验的是16字节.甚至还有更巧妙的算法..还有大牛给出了用kmp算法定位地址的方法.但是某贴中看了mj大牛说的话,暴搜特征码不是追求效率而是追求准确.所以就定位了32字节...(经测试,win xp 定位16字节可以准确无误的找到函数地址,而win7 以上要定位更多字节)

 

typedef  NTSTATUS  (*PSPTERPROC)( PEPROCESS Process,NTSTATUSExitStatus);
PSPTERPROC MyPspTerminateProcess =NULL;
 
PVOID GetPspTerminateProcessAddr()
{
    ULONG size,index;
    PULONG buf;
    ULONG i;
    PSYSTEM_MODULE_INFORMATIONmodule;
    PVOID driverAddress=0;
    ULONG ntosknlBase;
    ULONG ntosknlEndAddr;
    ULONG curAddr;
    NTSTATUS status;
    PVOID retAddr;
   
    ULONG code1=0x8b55ff8b,code2=0xa16456ec,code3=0x00000124,code4=0x3b08758b;
    ULONG code5=0x07754470,code6=0x00000db8,code7=0x575aebc0,code8=0x0248be8d;
 
    ZwQuerySystemInformation(SystemModuleInformation,&size, 0, &size);
    if(NULL==(buf = (PULONG)ExAllocatePoolWithTag(PagedPool,size,'aaa')))
    {
        DbgPrint("failedalloc memory failed \n");
        return 0;
    }
    status=ZwQuerySystemInformation(SystemModuleInformation,buf,size , 0);
    if(!NT_SUCCESS(status ))
    {
        DbgPrint("failedquery\n");
        return 0;
    }
    module = (PSYSTEM_MODULE_INFORMATION)((PULONG )buf+ 1);
    ntosknlEndAddr=(ULONG)module->Base+(ULONG)module->Size;
    ntosknlBase=(ULONG)module->Base;
    curAddr=ntosknlBase;
    ExFreePool(buf);
   
    for (i=curAddr;i<=ntosknlEndAddr;i++)
    {
        if ((*((ULONG *)i)==code1)&&(*((ULONG *)(i+4))==code2)&&(*((ULONG*)(i+8))==code3)&&(*((ULONG*)(i+12))==code4)&&(*((ULONG*)(i+16))==code5)&&(*((ULONG*)(i+20))==code6)&&(*((ULONG*)(i+24))==code7)&&(*((ULONG*)(i+28))==code8) )
        {
            retAddr=(PVOID*)i;
            DbgPrint("PspTerminateProcessadress is:%x\n",retAddr);
            MyPspTerminateProcess = (PSPTERPROC)retAddr;
            return retAddr;
        }
    }
    DbgPrint("Can'tFind PspTerminateProcess Address:%x\n");
    return 0;
}

 

得到了地址,保存在MyPspTerminateProcess中,那么现在就可以来结束进程了.通过PsLookupProcessByProcessId来找到Eprocess,然后MyPspTerminateProcess(Eprocess, 0)就ok了.

 

 2.调用APC来结束进程.其实这个方法本质上来讲和第一种是一样的.因为第一种方法就是通过PspTerminateProcess ->PspTerminateThreadByPointer ->KeInitializeApc/KeInsertQueueApc来结束进程的.但是不同的是第一种方法用PspTerminateProcess通过PEPROCESS的hreadListHead链表来获取所有线程,然后PspTerminateThreadByPointer一个个的把线程干掉.我这里从新修改了它,不用PsGetNextProcessThread来遍历线程.而是用一个我认为足够大的数字来枚举并结束线程
过程为PsLookupThreadByThreadId传入线程ID获取线程结构指针,再通过IoThreadToProcess传入线程指针结构,返回线程所属的进程指针,然后对比确定该线程属于目标进程后,调用PspTerminateThreadBypointer传入该线程结构指针,干掉它

BOOLEAN My_PspTerminateProcess(PEPROCESSProcess)
{
    ULONG i;
    PETHREAD txtd;
    PEPROCESS txps;
    NTSTATUS st = STATUS_UNSUCCESSFUL;
    for (i=8;i<=65536;i+=4)
    {
        st = PsLookupThreadByThreadId(i,&txtd);
        if ( NT_SUCCESS(st) )
        {
            txps=IoThreadToProcess(txtd);
            if ( txps == Process )
            {
                MyPspTerminatePsByPointer(txtd);
            }
        }
    }
    return TRUE;
}
 
NTSTATUS MyPspTerminatePsByPointer(PETHREADThread)
{
    //系统线程常量标志
    ULONG Systerm_Thread_Sign= 0x10;
    ULONG Size = 0;
    ULONG i = 0;
    PKAPC pApc = 0;
 
    if ( MmIsAddressValid((PVOID)Thread))//首先要校验地址,有效的话就DKOM
    {
        *(PULONG)((ULONG)Thread + 0x248) =Systerm_Thread_Sign;
 
        pApc = ExAllocatePoolWithTag(NonPagedPool,sizeof(KAPC),'apc');
 
        if (pApc)
        {
            //apcrt 是apc例程
            KeInitializeApc(pApc,Thread,OriginalApcEnvironment,APCRT,0,0,KernelMode,0);
            KeInsertQueueApc(pApc,pApc,0,2);
        }
    }
   
    return STATUS_SUCCESS;
}
 
VOID APCRT(PKAPC Apc,PKNORMAL_ROUTINE*NormalRoutine,PVOID  *NormalContext,PVOID *SystemArgument1,PVOID *SystemArgument2)
{
    ExFreePool(Apc);
    PsTerminateSystemThread(STATUS_SUCCESS);
}

 

为什么要把线程标志修改为系统线程呢?因为我们需要使用导出的PsTerminateSystemThread。这个东西很奇怪,不仅只能结束系统线程,而且只对当前进程线程有效,它唯一的参数就是ExitStatus。所以我们要使用这个函数,只能欺骗我们要结束的线程是系统线程。特别的,只能在内核APC例程里使用,否则无效或者是把自己的线程给结束了(如果执行此函数的线程是系统线程)。由于CrossThreadFlags偏移是硬编码,所以我们只能根据系统使用硬编码,
WindowsXP的硬编码是0x248,Windows2003的硬编码是0x240,WindowsVISTA和Windows2008的硬编码是0x260,Windows7的硬编码是0x280.

 

 

 

3.内存清零法.attach到进程,然后将数据填充为0

BOOLEAN ZeroKill(ULONG PID)
{
    NTSTATUS ntStatus=STATUS_SUCCESS;
    int i = 0;
    PVOID handle;
    PEPROCESS Eprocess;
    ntStatus = PsLookupProcessByProcessId(PID,&Eprocess);
 
    if (NT_SUCCESS(ntStatus))
    {
        KeAttachProcess(Eprocess);//Attach进程虚拟空间
        for(i = 0;i <= 0x7fffffff;i+= 0x1000)
        {
            if(MmIsAddressValid((PVOID)i))
            {
                _try
                {
                    ProbeForWrite((PVOID)i,0x1000,sizeof(ULONG));
                    memset((PVOID)i,0xcc,0x1000);
                }_except(1)
                {
                    continue; 
                }
            }
            else
            {
                if(i>0x1000000)  //填这么多足够破坏进程数据了
                    break;
            }
        }
       
        KeDetachProcess();
 
        if(ObOpenObjectByPointer((PVOID)Eprocess,0,NULL, 0, NULL,KernelMode, &handle)!=STATUS_SUCCESS)
            return FALSE;
        ZwTerminateProcess((HANDLE)handle,STATUS_SUCCESS);
        ZwClose((HANDLE)handle );
        return TRUE;
    }
 
 
    return FALSE;
}

 

 

 

 

 

您可能感兴趣的与本文相关的镜像

Stable-Diffusion-3.5

Stable-Diffusion-3.5

图片生成
Stable-Diffusion

Stable Diffusion 3.5 (SD 3.5) 是由 Stability AI 推出的新一代文本到图像生成模型,相比 3.0 版本,它提升了图像质量、运行速度和硬件效率

Win64 驱动内核编程-26.强制结束进程
天使也掉毛
03-29 5332
强制结束进程     依然已经走到驱动这一层了,那么通常结束掉一个进程不是什么难的事情。同时因为win64 位的各种保护,导致大家慢慢的已经不敢HOOK了,当然这指的是产品。作为学习和破解的话当然可以尝试各种hook。目前来说很多杀软进程保护都是通过回调了保护的,简单,稳定,安全。So,强制结束进程会比当年简单很多。 首先就是上一个最基本的驱动结束进程方法:   1.直接调用ZwTer
浅谈linux下的进程,线程的概念与使用
vjhghjghj的博客
02-08 631
进程 进程的概念 对于进程的的一个直观的理解可以是:占用内存空间的正在运行着的程序  比如,你下载游戏安装到硬盘里没有玩 那是程序.开始玩了以后,游戏加载到主内存开始运行就可以称为进程,以上是直观理解, 进程的准确定义是:进程是具有一定独立功能的程序关于某个数据集合的一次运行活动,它是系统资源分配、调度的独立单位。 以上把握三个点:(1)独立功能的程序 (2)关于某个数据集合(3)系统资源分配...
Windows系统强制关闭指定进程方法详解
最新发布
weixin_32102617的博客
09-06 1759
在现代操作系统管理中,进程控制是系统维护和资源管理的重要组成部分。每个进程作为程序执行的基本单位,承载着具体的任务逻辑,并占用系统资源如CPU时间、内存和I/O设备。理解进程的生命周期(创建、运行、等待、终止)及其状态转换机制,是掌握系统行为的基础。在某些情况下,例如程序卡死、资源泄漏或系统响应迟缓时,可能需要强制关闭进程以恢复系统正常运行。然而,这一操作并非无风险:强制终止可能导致数据丢失、资源未释放、甚至系统不稳定。
驱动关闭进程
qq_41071646的博客
10-28 1002
#include &lt;ntifs.h&gt; NTSTATUS ZwQuerySystemInformation( ULONG SystemClass, PVOID SystemInformation, ULONG SystemInformationLength, PULONG RetLength ); typedef struct _SYSTEM_THREADS { LARG...
易语言驱动级暴力结束进程 包括结束360杀毒/卫士,纯源码/无模块
06-04
加载驱动后理论可以暴力结束任何进程,但是未经过很多测试所以不敢妄下定言。加载驱动杀毒/卫士会提示是否拦截/是否允许加载。@X.lycs。
驱动级暴力结束进程,暴力结束360杀毒/安全卫士-易语言
06-12
加载驱动后理论可以暴力结束任何进程 加载驱动杀毒/卫士会提示是否拦截/是否允许加载
驱动开发:内核强制结束进程运行
优快云
10-29 1万+
内核态,但有时我们不得不想办法结束掉这些特殊的进程,当然某些正常进程在特殊状态下也会无法被正常结束,此时使用驱动前行在内核态将其结束掉就变得很有用了,驱动结束进程有多种方法。存在时则可以看到结束效果,当然这种方式只是在内核层面调用了结束进程函数,其本质上还是正常结束,只是这种方式权限要大一些仅此而已。没有被导出,所以我们需要动态的这个内存地址,然后动态调用即可,这个寻找方法可以总结为以下步骤。第二种方法,其原理就是将进程内的线程全部结束掉从而让进程自动结束,由于。首先是第一种方法结束进程,封装实现。
[Windows 驱动开发] 清内存强杀进程
LYSM
04-15 1563
原理 Attach 到进程进行内存清零.这里提供了两种方法.原理是一样 KeAttachProcess方法 与 KeStackAttachProcess方法. 其中第一种属于旧方法了.根据MSDN所说API已经升级为了KeStackAttachProcess #include <ntifs.h> NTKERNELAPI UCHAR* PsGetProcessImageFileName(IN PEPROCESS Process); //未公开的进行导出即可 NTKERNELAPI VOID
浅谈游戏《超级马里奥:奥德赛》
点点的博客
09-26 3338
序言 写文动机有二:一是9月23日是任天堂130岁的生日,感谢这样一个执着的公司为我们带来无穷无尽的欢乐,而马里奥作为任天堂最出名的一个IP,理应写一篇总结与感悟;二是这个暑假,我第一次接触了任天堂Swtich,马里奥奥德赛也是我玩的第一款任天堂游戏,对我有着非比寻常的意义。因此,我敲下这些文字,记录游玩过程中马里奥奥德赛带给我的欢乐与思考。 马里奥奥德赛由17年10月27日发布于NS平台,是一款...
来自Unix/Linux的编程启示录
Floating Cat
02-08 7914
写本文的最初灵感源于16年11月份我将工作环境切换到Mac OS上,其中一些使用"差异"让我开始对Unix/Linux中设计产生了浓厚的兴趣.虽然从13年开始使用redhat,再到后来一直使用的ubuntu,但却从来关注过这些,特此记录.
进程结束小工具(驱动级)
02-02
一般的方案很难kill,但是有了这个小工具,一切就变简单了,把进程名对号入座即可! 此资源实测无效,请遵守国家法律法规!
内核级结束进程 结束冰刃进程 结束360等杀软进程
12-24
内核级结束进程 内核级结束进程 结束冰刃进程 结束360等杀软进程进程不能被冰刃结束
超级驱动进程
08-20
超级驱动进程
易语言驱动级杀进程
07-22
易语言驱动级杀进程源码,驱动级杀进程,取驱动句柄,加载驱动_,卸载驱动_,CTL_CODE,十六到十,NtQuerySystemInformation,LocalAlloc,LocalFree,SYSTEM_MODULE_INFORMATION,LoadLibraryEx,FreeLibrary,GetProcAddress,OpenSCManagerA,DeleteService,CreateService
驱动进程管理器(内核级进程无敌咔嚓工具!)
07-27
驱动进程管理器(内核级进程无敌咔嚓工具!)
求职与面试(一):Java必备
热门推荐
Floating Cat
02-19 4万+
今天要谈的主题是关于求职.求职是在每个技术人员的生涯中都要经历多次,对于我们大部分人而言,在进入自己心仪的公司之前少不了准备工作,有一份全面细致面试题将帮助我们减少许多麻烦.在跳槽季来临之前,特地做这个系列的文章,一方面帮助自己巩固下基础,另一方面也希望帮助想要换工作的朋友.
SpringBoot使用Redis 数据访问(单点、集群、哨兵、连接池、Pipline、分布式框架Redisson、解决方案)
纸上得来终觉浅,绝知此事要躬行
04-29 2739
Redis操作是单线程的,使用连接池可以减少连接的创建,redis连接池有两种方式:Jedis(JedisPool) 和 Lettuce(LettucePool)。Lettuce 和 Jedis 的定位都是Redis的client,所以他们当然可以直接连接redis server。在Lettuce和Jedis之外还有Redission ,Redisson:实现了分布式和可扩展的Java数据结构。...
通过驱动杀死那个进程
weixin_30919235的博客
11-22 297
继续写一下学习驱动的成果,看大佬的文章介绍了枚举系统进程和禁止创建新进程,最后自己结合一下写了每当进程被创建时,通过检查新创建的进程名来杀死想要结束进程。 遇到的问题 使用函数RtlCompareUnicodeString对比进程名的字符串时会出现蓝屏的问题 解决的方法 对比的两个参数都用RtlInitUnicodeString进行赋值后进行对比 环境 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值