Q

的Windows：不同的方法來從內核

2016-06-10 58 views 1 likes

1

終止一個進程

有這一個特定方法直接，因爲它的驅動程序註冊一個回調函數說保護自己，我不能ZwTerminateProcess終止。的Windows：不同的方法來從內核

其他方法：

注入DLL，並調用了ExitProcess
附加與KeAttachProcess然後調用ZwTerminateProcess其地址空間（導致BSOD IRQL_NOT_LESS_OR_EQUAL）
MmUnmapViewOfSection（導致藍屏死機，因爲程序試圖寫入不可讀的內存）

過程黑客如何做到這一點？

2016-06-10 user1304765

+0

過程黑客是開源的，看看？ –

+0

我不知道。我覺得很愚蠢。我會在找到答案時發佈答案。 – user1304765

+0

啊，我明白了。它使用ObOpenObjectByPointer。直接使用ZwOpenProcess是我的問題。我很明顯是內核編程的新手。 – user1304765

A

回答

0

由於ExpandEnvironmentSettings是kernel32.dll，你應該能夠調用它使用無證內核例程KeUserModeCallback，如https://thisissecurity.net/2014/04/08/how-to-run-userland-code-from-the-kernel-on-windows/描述。

2016-10-09 10:56:47 ProfFan

相關問題