VBGood网站全文搜索 Google

搜索VBGood全站网页(全文搜索)

VB爱好者乐园(VBGood)

 找回密码
 立即注册
搜索
查看: 18372|回复: 60

ZwProcessKiller - 这回有源码

[复制链接]
 楼主| 发表于 2008-4-2 14:19:36 | 显示全部楼层 |阅读模式
原理很简单:
在驱动里面 ZwOpenProcess - ZwTerminateProcess - ZwClose
不知为何. 瑞星和 360 都能被结束

PS: 测试表明: IS、RkU 和 KV 都结束不了.

vb 部分源码见附件
驱动部分源码:
  1. #include <ntddk.h>

  2. __declspec(dllimport) NTSTATUS ZwOpenProcess(HANDLE* pProcessHandle, int AccessMask, OBJECT_ATTRIBUTES* pObjectAttributes, CLIENT_ID* pClientId);
  3. __declspec(dllimport) NTSTATUS ZwTerminateProcess(HANDLE ProcessHandle, int ExitStatus);
  4. __declspec(dllimport) NTSTATUS ZwClose(HANDLE ObjectHandle);

  5. NTSTATUS OnDispatch(PDEVICE_OBJECT DeviceObject, PIRP Irp)
  6. {
  7.         PIO_STACK_LOCATION irpStack;

  8.         Irp->IoStatus.Status = STATUS_SUCCESS;
  9.         Irp->IoStatus.Information = 0;

  10.         irpStack = IoGetCurrentIrpStackLocation(Irp);

  11.         if(irpStack->MajorFunction == IRP_MJ_DEVICE_CONTROL &&
  12.                 irpStack->Parameters.DeviceIoControl.IoControlCode == 0x11372 &&
  13.                 irpStack->Parameters.DeviceIoControl.InputBufferLength == 4)
  14.         {
  15.                 HANDLE hProcess = 0;
  16.                 CLIENT_ID cli = {0};
  17.                 OBJECT_ATTRIBUTES oa = {0};
  18.                 cli.UniqueProcess = *(PHANDLE)Irp->AssociatedIrp.SystemBuffer;
  19.                 oa.Length = sizeof(oa);
  20.                 DbgPrint("MyDrv2.sys : pid = %d", cli.UniqueProcess);
  21.                 if(ZwOpenProcess(&hProcess, PROCESS_ALL_ACCESS, &oa, &cli) != 0) goto failed;
  22.                 if(hProcess == 0) goto failed;
  23.                 if(ZwTerminateProcess(hProcess, 0) != 0)
  24.                 {
  25.                         ZwClose(hProcess);
  26.                         goto failed;
  27.                 }
  28.                 ZwClose(hProcess);
  29.                 DbgPrint("MyDrv2.sys : Succeeded.");
  30.         }
  31.         IoCompleteRequest(Irp, IO_NO_INCREMENT);
  32.         return STATUS_SUCCESS;
  33. failed:
  34.         DbgPrint("MyDrv2.sys : Failed.");
  35.         IoCompleteRequest(Irp, IO_NO_INCREMENT);
  36.         return -1;
  37. }

  38. NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath)
  39. {
  40.         UNICODE_STRING deviceName = {0}, deviceLink = {0};
  41.         PDEVICE_OBJECT pDeviceController;
  42.         DbgPrint("MyDrv2.sys : Load.");
  43.         RtlInitUnicodeString(&deviceName, L"\\Device\\MyDrv2");
  44.         IoCreateDevice(DriverObject, 0, &deviceName, FILE_DEVICE_UNKNOWN, 0, FALSE, &pDeviceController);
  45.         RtlInitUnicodeString(&deviceLink, L"\\DosDevices\\MyDrv2");
  46.         IoCreateSymbolicLink(&deviceLink, &deviceName);
  47.         DriverObject->MajorFunction[IRP_MJ_CREATE] =
  48.                 DriverObject->MajorFunction[IRP_MJ_CLOSE] =
  49.                 DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = OnDispatch;
  50.         return STATUS_SUCCESS;
  51. }
复制代码

[ 本帖最后由 icesboy 于 2008-4-2 15:37 编辑 ]

ZwProcKill.zip

9.03 KB, 阅读权限: 21, 下载次数: 127

评分

参与人数 3威望 +20 人气 +1 收起 理由
hovidelphic + 8 + 1 vb都能实现,为啥用驱动?
54jb + 10 给你++分,谢谢分享.. o(∩_∩)o...
startbin321 + 2 发布源码

查看全部评分

发表于 2008-4-2 14:22:35 | 显示全部楼层
好谢谢~~不错
回复 支持 反对

使用道具 举报

发表于 2008-4-2 14:29:07 | 显示全部楼层
可以把驱动部分的所有源码都贴进来吗~~~
回复 支持 反对

使用道具 举报

 楼主| 发表于 2008-4-2 17:49:55 | 显示全部楼层
上面就是驱动部分的所有源码.

是不是很短小精悍?

其实我才学写驱动几天...

评分

参与人数 1人气 +1 收起 理由
hovidelphic + 1 原来你08年才学驱动啊!

查看全部评分

回复 支持 反对

使用道具 举报

发表于 2008-4-2 18:16:42 | 显示全部楼层
晕,不要这么搞笑.......
回复 支持 反对

使用道具 举报

发表于 2008-4-2 19:59:58 | 显示全部楼层
靠,楼主怎么搞的嘛
回复 支持 反对

使用道具 举报

 楼主| 发表于 2008-4-2 21:05:44 | 显示全部楼层
原帖由 dolphins 于 2008-4-2 19:59 发表
靠,楼主怎么搞的嘛

我怎么了.?
回复 支持 反对

使用道具 举报

发表于 2008-4-3 12:16:30 | 显示全部楼层
让人看完后IE锁死连瑞星诺顿都没法修复只好格式化硬盘重装启动后主页显示的还是它的好帖
回复 支持 反对

使用道具 举报

发表于 2008-4-3 12:53:11 | 显示全部楼层
rs应该是只有PreviousMode=UserMode才会处理OpenProcess的调用吧。。  谁去逆向下 - -!
回复 支持 反对

使用道具 举报

发表于 2008-4-3 19:45:06 | 显示全部楼层

回复 #10 ggystudio 的帖子

你的权限是20,就差那么1点了,努力一下,很快达到
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

文字版|手机版|小黑屋|VBGood  

GMT+8, 2022-7-5 00:16

VB爱好者乐园(VBGood)
快速回复 返回顶部 返回列表