X64论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

热搜: 样本 软件
查看: 187|回复: 43

哇哈哈哈哈哈,我的驱动完成辣

[复制链接]

0

技术

0

魅力

0

原创

略知一二

Rank: 3Rank: 3

积分
638
人气
17
分享
11
发表于 2022-5-8 14:25:00 | 显示全部楼层 |阅读模式
本帖最后由 YFSafe 于 2022-5-8 14:30 编辑

如题,最近在学驱动开发,写了一个强制结束进程的驱动,发出来给大家看看,只支持64位系统

下载链接:https://pan.huang1111.cn/s/23RNIN

两个杀进程函数发出来给大家看看,低技术力,见笑了
[C++] 纯文本查看 复制代码
BOOLEAN KillProcess(LONG pid)
{
        HANDLE ProcessHandle;
        NTSTATUS status;
        OBJECT_ATTRIBUTES ObjectAttributes;
        CLIENT_ID Cid;

        // 初始化ObjectAttributes和Cid
        HalQuerySystemInformation()
        InitializeObjectAttributes(&ObjectAttributes, 0, 0, 0, 0);
        Cid.UniqueProcess = (HANDLE)pid;
        Cid.UniqueThread = 0;
        // 打开进程句柄
        status = ZwOpenProcess(&ProcessHandle, PROCESS_ALL_ACCESS, &ObjectAttributes, &Cid);
        if (NT_SUCCESS(status))
        {
                DbgPrint("Open Process %d Successful!\n", pid);
                // 结束进程
                ZwTerminateProcess(ProcessHandle, status);
                
                // 关闭句柄
                ZwClose(ProcessHandle);
                return TRUE;
        }
        DbgPrint("Open Process %d Failed!\n", pid);
        return FALSE;
}

[C++] 纯文本查看 复制代码
BOOLEAN ZeroKill(ULONG PID)   //X32  X64
{
        NTSTATUS ntStatus = STATUS_SUCCESS;
        int i = 0;
        PVOID handle;
        PEPROCESS Eprocess;
        ntStatus = PsLookupProcessByProcessId(PID, &Eprocess);
        if (NT_SUCCESS(ntStatus))
        {
                PKAPC_STATE pKs = (PKAPC_STATE)ExAllocatePool(NonPagedPool, sizeof(PKAPC_STATE));
                KeStackAttachProcess(Eprocess, pKs);//Attach进程虚拟空间
                for (i = 0; i <= 0x7fffffff; i += 0x1000)
                {
                        if (MmIsAddressValid((PVOID)i))
                        {
                                _try
                                {
                                   ProbeForWrite((PVOID)i,0x1000,sizeof(ULONG));
                                   memset((PVOID)i,0xcc,0x1000);
                                }_except(1) { continue; }
                        }
                        else {
                                if (i > 0x1000000)  //填这么多足够破坏进程数据了  
                                        break;
                        }
                }
                KeUnstackDetachProcess(pKs);
                if (ObOpenObjectByPointer((PVOID)Eprocess, 0, NULL, 0, NULL, KernelMode, &handle) != STATUS_SUCCESS)
                        return FALSE;
                ZwTerminateProcess((HANDLE)handle, STATUS_SUCCESS);
                ZwClose((HANDLE)handle);
                return TRUE;
        }
        return FALSE;
}

END

评分

参与人数 3经验 +50 人气 +5 分享 +3 收起 理由
hackerbob + 20 + 2 + 2 赞一个!
xiaomeng + 30
Andysun06 + 3 + 1 赞一个!

查看全部评分

回复

使用道具 举报

0

技术

6

魅力

0

原创

实习版主

Rank: 7Rank: 7Rank: 7

积分
2984
人气
108
分享
5
发表于 2022-5-8 15:38:15 | 显示全部楼层
没编译出来?

能杀火绒吗
Manners maketh man
回复

使用道具 举报

0

技术

0

魅力

0

原创

略知一二

Rank: 3Rank: 3

积分
638
人气
17
分享
11
 楼主| 发表于 2022-5-8 16:33:00 | 显示全部楼层
xiaomeng 发表于 2022-5-8 15:38
没编译出来?

能杀火绒吗

编译出来了啊,项目不是一个驱动文件吗?
我在自己的机器上试验过了,能杀火绒的全部进程。
回复

使用道具 举报

2

技术

0

魅力

1

原创

病毒研究组

Rank: 8Rank: 8

积分
994
人气
46
分享
4
发表于 2022-5-8 17:01:13 | 显示全部楼层
第一个我看懂了,是调用系统进程相关api直接关闭进程
第二个是往进程内存空间里写数据,导致溢出吗?
回复

使用道具 举报

2

技术

0

魅力

1

原创

病毒研究组

Rank: 8Rank: 8

积分
994
人气
46
分享
4
发表于 2022-5-8 17:02:54 | 显示全部楼层
xiaomeng 发表于 2022-5-8 15:38
没编译出来?

能杀火绒吗

驱动一旦被加载,就和杀软是同级权限,当然能关闭呀
回复

使用道具 举报

0

技术

0

魅力

0

原创

略知一二

Rank: 3Rank: 3

积分
638
人气
17
分享
11
 楼主| 发表于 2022-5-8 17:42:17 | 显示全部楼层
hackerbob 发表于 2022-5-8 17:01
第一个我看懂了,是调用系统进程相关api直接关闭进程
第二个是往进程内存空间里写数据,导致溢出吗? ...

内存填0破坏进程
回复

使用道具 举报

0

技术

6

魅力

0

原创

实习版主

Rank: 7Rank: 7Rank: 7

积分
2984
人气
108
分享
5
发表于 2022-5-8 18:07:51 | 显示全部楼层
YFSafe 发表于 2022-5-8 17:42
内存填0破坏进程

火绒:太难了
Manners maketh man
回复

使用道具 举报

0

技术

6

魅力

0

原创

实习版主

Rank: 7Rank: 7Rank: 7

积分
2984
人气
108
分享
5
发表于 2022-5-8 18:08:16 | 显示全部楼层
hackerbob 发表于 2022-5-8 17:02
驱动一旦被加载,就和杀软是同级权限,当然能关闭呀

r0层?
Manners maketh man
回复

使用道具 举报

2

技术

0

魅力

1

原创

病毒研究组

Rank: 8Rank: 8

积分
994
人气
46
分享
4
发表于 2022-5-8 18:29:15 | 显示全部楼层

确实哈,内核权限级别有r0~r3
回复

使用道具 举报

0

技术

6

魅力

0

原创

实习版主

Rank: 7Rank: 7Rank: 7

积分
2984
人气
108
分享
5
发表于 2022-5-8 18:31:05 | 显示全部楼层
hackerbob 发表于 2022-5-8 18:29
确实哈,内核权限级别有r0~r3

平时不咋研究这方面,以后你也发发
Manners maketh man
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|X64论坛 ( 沪ICP备2020028431号-4 )|网站地图

GMT+8, 2022-5-20 06:16 , Processed in 0.066136 second(s), 9 queries , MemCache On.

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表