新方法杀进程哈,百试百灵

最新推荐文章于 2026-04-28 08:51:43 发布
原创 最新推荐文章于 2026-04-28 08:51:43 发布 · 1.1k 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#hook
本文介绍了一种通过卸载ntdll.dll来结束进程的方法,提供了两种实现途径:使用sdt表中的NtUnLoadMap函数或MmUnmapViewOfSection函数,并强调了后者的优势。

直接卸载要杀进程的ntdll.dll就可以直接杀死该进程

 

卸载可以用sdt表中的那个NtUnLoadMap**函数,或者可以使用

MmUnmapViewOfSection(未导出,自己搜索到)来结束

 

绿色无污染撒,用

MmUnmapViewOfSection这个比较好,除非被inline hook了,不然都有效(前提是获取EPROCESS,相信这个很简单吧)

window内核监控工具源代码
09-26
一:SSDT表的hook检测和恢复 ~!~~~ 二:IDT表的hook检测和恢复 ~~~~~~(idt多处理器的恢复没处理,自己机器是单核的,没得搞,不过多核的列举可以) 三:系统加载驱动模块的检测 通过使用一个全局hash表(以DRIVEROBJECT为对象)来使用以下的方法来存储得到的结果,最终显示出来 1.常规的ZwQuerySystemInformation来列举 2通过打开驱动对象目录来列举 3搜索内核空间匹配驱动的特征来列举(这个功能里面我自己的主机一运行就死机,别的机器都没事,手动设置热键来蓝屏都不行,没dump没法分析,哎,郁闷) 4从本驱动的Modulelist开始遍历来列举驱动 四:进程的列举和进程所加载的dll检测 采用以下方法来列举进程: 1ZwQuerySystemInformation参数SystemProcessesAndThreadsInformation来枚举 2进程EPROCESS 结构的Activelist遍历来枚举 3通过解析句柄表来枚举进程 4通过Handletablelisthead枚举进程 5进程创建时都会向csrss来注册,从这个进程里面句柄表来枚举进程 6通过自身进程的HANDLETABLE来枚举进程 7通过EPROCESS的SessionProcessLinks来枚举进程 8通过EPROCESS ---VM---WorkingSetExpansionLinks获取进程 9暴力搜索内存MmSystemRangeStart以上查找PROCESS对象 进程操作: 进程的唤醒和暂停通过获取PsSuspendProcess和PsResumeProcess来操作的 进程结束通过进程空间清0和插入apc。 采用以下方法查找DLL: 1遍历VAD来查找dll 2挂靠到对应的进程查找InLoadOrderLinks来枚举dll 3暴力搜索对应进程空间查找pe特征来枚举dll DLL的操作: Dll的卸载是通过MmUnmapViewOfSection和MmmapViewOfSection(从sdt表中相应函数搜索到的)来实现的(本来想直接清0 dll空间,有时行有时不行)(只要将这个进程的ntdll卸载了,进程就结束了,一个好的杀进程的办法撒,绿色环保无污染),注入dll使用的是插入apc实现的。(注入的dll必须是realse版的。Debug版会出现***错误,全局dll注入貌似也是)插入apc效果不是很好,要有线程有告警状态才执行。 五:线程信息的检测 遍历ThreadList来枚举线程 线程的暂停和唤醒都是通过反汇编获取PsResumeThread和PsSuspendThread直接从r3传来ETHREAD来操作的,通过插入APC来结束线程 六:shadow sdt表的hook检测与恢复 没有采用pdb来解决函数名问题,直接写入xp和03的shandow表函数名(主要是自己的网不稳定,连windbg有时都连不上微软) 七:系统所有的过滤驱动的检测 查看各device下是否挂接有驱动之类的,可直接卸载 八:系统常用回调历程的检测和清除 只检查了PsSetLoadImageNotifyRoutine PsSetCreateThreadNotifyRoutine PsSetCreateProcessNotifyRoutine CmRegisterCallback这几个,至于那个什么shutdown回调不知道是啥玩意,就没搞了,有知道的顺便告诉我下撒,谢谢 九:文件系统fat和ntfs的分发函数检测 直接反汇编fat和ntfs的DriverEntry得到对应的填充分发的偏移,然后和当前已经运行的文件系统的分发相比是否被hook,并附带恢复 十:文件查看功能 自己解析ntfs和fat的结构,来实现列举文件和直接写磁盘删除。附带有普通的删除和发生IRP来删除。不过这里面有点问题,ntfs删除有时把目录给搞坏了,大家凑合着吧, Ntfs网上删除这些操作的代码不多,就是sudami大大的利用ntfs-3g来实现的,看了下,太多了,充满了结构。然后自己对照着系统删除文件时目录的变化来自己实现的。只处理了$BITMAP对应的位清除,父目录的对应文件的索引项的覆盖,删除文件对应的filerecord清0. 另外偷懒时间都没处理,呵呵,y的,一个破时间都都搞好几个字节移来移去的。 十一:常用内核模块钩子的检测和恢复 这里只检测了主要的内核模块nkrnlpa**.exe的.win32k.sys,hal.dll,比对它们的原始文件从而查找eat inline hook,iat hook ,和inline hook。Inline是从TEXT段开始一段位置开始比较的。(有点慢貌似,等待显示扫描完成就好了) 十二:应用层进程所加载dll的钩子 应用层钩子检测和内核模块钩子检测原理一样,不过为了能读写别的进程的空间,并没有使用openprocess去打开进程,而是通过KiattachProcess挂靠到当前进程,然后通过在r0直接读写进程空间的。
MmCreateSection/MmMapViewOfSection个人注释及理解(二)
lixiangminghate的专栏
04-06 4041
MmCreateSection/MmMapViewOfSection个人注释及理解(一)中提到内存映射的第一步创建Section对象建立Segment与文件的关系,彼时尚未建立虚拟内存因此不能被访问。此文是内存映射的第二步,MmMapViewOfSection建立虚拟映射。
windows C++:进程间通信高实时性、安全、数据量大的通信方式(一)文件映射 (File Mapping)
Bobowen的博客
05-15 2013
文件映射通过将文件的部分或全部内容映射到一个或多个进程的虚拟地址空间,使得这些进程可以像访问普通内存一样访问文件内容。创建或打开文件:进程首先需要创建或打开一个文件。创建文件映射对象:通过调用 Windows API 函数,创建一个文件映射对象。这个对象表示文件的映射视图。映射视图到内存:使用函数将文件映射对象的一个视图映射到进程的地址空间中。
MmCreateSection/MmMapViewOfSection个人注释及理解(一)
lixiangminghate的专栏
04-03 3022
建立内存映射,就是把文件内容映射到进程虚拟空间,这个可以通过MSDN达成共识。NtCreateSection是建立内存映射的第一步,而MmCreateSection是建立内存映射NtCreateSection的具体实现。前面 一文提到了Section/Segment等对象之间的关系,而 MmCreateSection就是用来建立这些对象的关系。     MmCreateSection代码过于繁
gl00my-内存与进程管理器2
06-04 1121
gl00my-内存与进程管理器2==========================                                   But I fear tomorrow Ill be crying,07.page fault的处理==============================对于转向对pagefault的研究,我们现在有了所有必须的信息了。转换线
Mac 自带拼音输入法卡顿?一行代码起效,百灵
Zexious的博客
04-21 2227
遇到好多次了,每次打着要么就一个字一个字地蹦出来,要么展开候选词卡顿。找到个解决方法,那就是: 杀进程! pkill -f SCIM.app 再切换为中文输入法,就不卡惹~
tomcat启动时提示端口被占用解决办法
盖世英雄来了
05-20 1万+
有时候,我们在启动tomcat服务器的时候,项目并不能运行,会提示某个端口existing 被占用,这时候,我们一般有两种解决办法。 如图 方法一:(通用)修改tomcat默认端口 进入tomcat的目录下找到conf里面的配置文件server.xml 修改其中的端口号: 方法二:(linux系统)直接在命令行里面查看占用的端口号,然后杀死进程,即可(方便快...
Docker端口占用别再重启电脑了!一招根治所有端口冲突bug
最新发布
qq_54929838的博客
04-28 697
Docker端口冲突终极解决方案:告别重启电脑的暴力修复法 文章针对开发者常见的Docker端口冲突问题,提供了系统化的解决方案。
(转)Android ADB server didn't ACK * failed to start daemon * 简单有效的解决方案
zgf1991 IT新人
10-14 701
这个问题比较有时出现是比较蛋疼,一般就杀进程,重启eclipse... 然后就是一些手机助手  但是有时候,还存在..就是没找到谁占用了... 凑巧看到,转一下 转载请注明出处:http://blog.csdn.net/xiaanming/article/details/9401981 ADB server didn't ACK 这个问题会困恼很多的新手朋友,我以前刚
关于rootkit和anti-rootkit的一些思考(2)
MTrickster的专栏
03-24 720
       过去近两个月,终于写了第二篇思考。 相信做rootkit等一些反安全的朋友都对杀毒软件是仇视万分。看看bbs的帖子不少是朋友问的关于如何关闭卡巴、瑞新,如何过杀毒软件的主动防御。当然最近给不用说的就是kv2008,居然icesword也搞不定。下面我就对这些说说我做的工作。      首先说说过杀软的主动防御,相信很多朋友用的是ssdt 恢复,这种方法好不好先不说。来说说我的方法
驱动开发:内核运用LoadImage屏蔽驱动
LYSHARK
10-26 1万+
强制返回的方法意外,屏蔽驱动加载还可以使用另一种方式实现禁用模块加载,例如当驱动被加载首先回调函数内可以接收到,当接收到以后直接调用。我们看下驱动加载器,提示的信息是拒绝访问,因为这个驱动其实是加载了的,只是入口处被填充了返回而已。加载这段驱动程序,当有DLL文件被加载后,则会强制弹出,从而实现屏蔽模块加载的作用。无法实现参数控制,而如果我们想要控制特定驱动的加载则需要自己做一些事情来实现,如下。节点,该节点里面就是被加载驱动入口,通过汇编在驱动头部写入。返回指令,即可实现屏蔽加载特定驱动文件。
windows删除动态.dll文件
qq_44555205的博客
06-25 630
因为这些动态文件会嵌入到windows的进程中,导致删除不了,下面通过三个指令即可搞定。 1.win+R打开cmd 2.cd 到要删除的文件目录下 3.tasklist /m 文件名字.dll 找到该文件嵌入的进程的PID 4.taskkill /f /PID 3240 这个3240就是上面进程对应的PID 这个时候电脑会黑屏。不要慌 5.输入del /a/f/s/q * 表示强制删除所有属性的文件(及其子文件)并且无提示。 会显示删除成功 6.由于桌面黑屏了,所以要么使用电脑开机键强制关
windows系统中.DLL动态链接的删除
一抹离愁
04-14 3045
在卸载软件时尽量将此软件自有的DLL动态链接库文件删除的办法。解决办法打开cmd 命令行输入regsvr32 "C:\Program Files (x86)\iDesk\iKUtil64.dll"(动态库所在的路径)...
一招删除.dll文件
xitongzhijianet的博客
03-30 2445
3、此时我们就要在 “我的电脑” 中找到:“ HKEY_LOCAL_MACHINE ”文件,然后点展开 --SOFTWARE--Microsoft--Windows--CurrentVersion--Explorer。4、在右侧新建名为:“AlwaysUnloadDLL”的项,开启清除内存不被使用的动态链接文件功能———点击新建的,然后将其数值数据修改为 “ 1 ”(开启此功能),如果是设置为0,则是关闭该功能。5、设置成功后重启电脑,再去删除你需要删掉的.dll文件。
【已解决】win7系统出现ntdll.dll错误模块怎么解决?
热门推荐
qdx698767896的博客
01-06 3万+
ntdll.dll模块故障怎么办?ntdll.dll是windonws 7操作系统中重要的一个组件,是NT内核级文件,系统从ring3到ring0的入口。当Windows启动时,ntdll.dll就驻留在内存中特定的写保护区域,使别的程序无法占用这个内存区域!当我们在win7 64位系统中遇到了ntdll.dll模块故障的错误提示后该如何解决?在本文中winwin7小编给大家分享下修复方法。 ntdll.dll丢失的解决方法 1、从本站下载ntdll.dll文件【点击进入下载地址】 2、将下载过
滴水逆向三期 win10 ASLR UnmapViewOfSection傀儡进程 加密壳项目
四位的博客
12-27 4026
特意加了一个win10标题, 碰到0xc0000005的朋友就不要再浪费时间了, 我在这个问题上花了整整一天 概要 利用挂起创建进程, 然后卸载源程序(以下统称src)镜像(ps: 非必须选项),
驱动回调的实现与逆向
摔不死的笨鸟的博客
10-27 788
PsSetCreateProcessNotifyRoutineEx函数创建进程回调 NTSTATUS status = PsSetCreateProcessNotifyRoutineEx( (PCREATE_PROCESS_NOTIFY_ROUTINE_EX)ProcessNotifyExRoutine, FALSE); 第一个参数是真实处理的回调函数,第二个参数是BOOLEAN Remove。为True时即是卸载回调函数。 VOID ProcessNotifyExRoutine(PEPROCESS pEP
Win64 驱动内核编程-7.内核里操作进程
天使也掉毛
03-05 4888
在内核里操作进程     在内核里操作进程,相信是很多对 WINDOWS 内核编程感兴趣的朋友第一个学习的知识点。但在这里,我要让大家失望了,在内核里操作进程没什么特别的,就标准方法而言,还是调用那几个和进程相关的 NATIVE API 而已(当然了,本文所说的进程操作,还包括对线程和 DLL 模块的操作)。本文包括 10 个部分:分别是:枚举进程、暂停进程、恢复进程、结束进程、枚举线程、暂停线
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值