ZwProcessKiller - 这回有源码

iceboy

原理很简单:
在驱动里面 ZwOpenProcess - ZwTerminateProcess - ZwClose
不知为何. 瑞星和 360 都能被结束

PS: 测试表明: IS、RkU 和 KV 都结束不了.

vb 部分源码见附件
驱动部分源码:

1. #include <ntddk.h>
   
2. 
   
3. __declspec(dllimport) NTSTATUS ZwOpenProcess(HANDLE* pProcessHandle, int AccessMask, OBJECT_ATTRIBUTES* pObjectAttributes, CLIENT_ID* pClientId);
   
4. __declspec(dllimport) NTSTATUS ZwTerminateProcess(HANDLE ProcessHandle, int ExitStatus);
   
5. __declspec(dllimport) NTSTATUS ZwClose(HANDLE ObjectHandle);
   
6. 
   
7. NTSTATUS OnDispatch(PDEVICE_OBJECT DeviceObject, PIRP Irp)
   
8. {
   
9.         PIO_STACK_LOCATION irpStack;
   
10. 
    
11.         Irp->IoStatus.Status = STATUS_SUCCESS;
    
12.         Irp->IoStatus.Information = 0;
    
13. 
    
14.         irpStack = IoGetCurrentIrpStackLocation(Irp);
    
15. 
    
16.         if(irpStack->MajorFunction == IRP_MJ_DEVICE_CONTROL &&
    
17.                 irpStack->Parameters.DeviceIoControl.IoControlCode == 0x11372 &&
    
18.                 irpStack->Parameters.DeviceIoControl.InputBufferLength == 4)
    
19.         {
    
20.                 HANDLE hProcess = 0;
    
21.                 CLIENT_ID cli = {0};
    
22.                 OBJECT_ATTRIBUTES oa = {0};
    
23.                 cli.UniqueProcess = *(PHANDLE)Irp->AssociatedIrp.SystemBuffer;
    
24.                 oa.Length = sizeof(oa);
    
25.                 DbgPrint("MyDrv2.sys : pid = %d", cli.UniqueProcess);
    
26.                 if(ZwOpenProcess(&hProcess, PROCESS_ALL_ACCESS, &oa, &cli) != 0) goto failed;
    
27.                 if(hProcess == 0) goto failed;
    
28.                 if(ZwTerminateProcess(hProcess, 0) != 0)
    
29.                 {
    
30.                         ZwClose(hProcess);
    
31.                         goto failed;
    
32.                 }
    
33.                 ZwClose(hProcess);
    
34.                 DbgPrint("MyDrv2.sys : Succeeded.");
    
35.         }
    
36.         IoCompleteRequest(Irp, IO_NO_INCREMENT);
    
37.         return STATUS_SUCCESS;
    
38. failed:
    
39.         DbgPrint("MyDrv2.sys : Failed.");
    
40.         IoCompleteRequest(Irp, IO_NO_INCREMENT);
    
41.         return -1;
    
42. }
    
43. 
    
44. NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath)
    
45. {
    
46.         UNICODE_STRING deviceName = {0}, deviceLink = {0};
    
47.         PDEVICE_OBJECT pDeviceController;
    
48.         DbgPrint("MyDrv2.sys : Load.");
    
49.         RtlInitUnicodeString(&deviceName, L"\\Device\\MyDrv2");
    
50.         IoCreateDevice(DriverObject, 0, &deviceName, FILE_DEVICE_UNKNOWN, 0, FALSE, &pDeviceController);
    
51.         RtlInitUnicodeString(&deviceLink, L"\\DosDevices\\MyDrv2");
    
52.         IoCreateSymbolicLink(&deviceLink, &deviceName);
    
53.         DriverObject->MajorFunction[IRP_MJ_CREATE] =
    
54.                 DriverObject->MajorFunction[IRP_MJ_CLOSE] =
    
55.                 DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = OnDispatch;
    
56.         return STATUS_SUCCESS;
    
57. }
    

复制代码

[ 本帖最后由 icesboy 于 2008-4-2 15:37 编辑 ]

startbin321

好谢谢~~不错

startbin321

可以把驱动部分的所有源码都贴进来吗~~~

iceboy

上面就是驱动部分的所有源码.

是不是很短小精悍?

其实我才学写驱动几天...

我不是西门

晕，不要这么搞笑.......

dolphins

靠，楼主怎么搞的嘛

iceboy

原帖由 dolphins 于 2008-4-2 19:59 发表
靠，楼主怎么搞的嘛

我怎么了.?

VBProFan

让人看完后IE锁死连瑞星诺顿都没法修复只好格式化硬盘重装启动后主页显示的还是它的好帖

炉子

rs应该是只有PreviousMode=UserMode才会处理OpenProcess的调用吧。。  谁去逆向下 - -！

VBProFan

你的权限是20，就差那么1点了，努力一下，很快达到