windows平台中,某些进程做了各种保护,比如hook了terminateProcess,又或者注册了进程终止函数的回调。当调用这些API或任务管理器终止该进程时,会被绕过,典型如某些杀毒软件,怎么才能终止这些进程了?

进程是由线程组成的,如果该进程名下所有线程都终止,此进程也会被windows回收和注销,终止进程的问题就转化成了终止线程;但如果直接调用terminateThread,同样面临terminateProcess被hook的窘境。深入逆向分析terminateThread后发现,真正终止线程的函数是PspTerminateThreadByPointer,整个调用逻辑为:NtTerminateThread->PsTerminateSystemThread->PspTerminateThreadByPointer,其中PsTerminateSystemThread是导入未文档化函数,可在驱动层掉用MmGetSystemRoutineAddress函数获取地址,进而得到PspTerminateThreadByPointer的地址(当然也能使用https://www.cnblogs.com/theseventhson/p/13024325.html该方法获取),核心函数如下:

1、根据起始和终止地址、特征码查找代码偏移

PVOID SearchMemory(PVOID pStartAddress, PVOID pEndAddress, PUCHAR pMemoryData, ULONG ulMemoryDataSize)

{

    PVOID pAddress = NULL;

    PUCHAR i = NULL;

    ULONG m = ;

    // 扫描内存

    for (i = (PUCHAR)pStartAddress; i < (PUCHAR)pEndAddress; i++)

    {

        // 判断特征码

        for (m = ; m < ulMemoryDataSize; m++)

        {

            if (*(PUCHAR)(i + m) != pMemoryData[m])

            {

                break;

            }

        }

        // 判断是否找到符合特征码的地址

        if (m >= ulMemoryDataSize)

        {

            // 找到特征码位置, 获取紧接着特征码的下一地址

            pAddress = (PVOID)(i + ulMemoryDataSize);

            break;

        }

    }

    return pAddress;

}

2、(1)PsTerminateSystemThread是导出未文档化的函数,可以直接用MmGetSystemRoutineAddress得到函数地址

(2)windbg中根据PsTerminateSystemThread进一步查找PspTerminateThreadByPointer:这里用了e8作为特征码,直接定位到“e8dcf0fbff      call    nt!PspTerminateThreadByPointer (fffff803`d01c6210)”这行代码;

kd> u 0xfffff803`d0207110   //下面偏移x20 = 32byte处

nt!PsTerminateSystemThread:

fffff803`d0207110 4883ec28        sub     rsp,28h

fffff803`d0207114 8bd1            mov     edx,ecx

fffff803`d0207116 65488b0c2588010000 mov   rcx,qword ptr gs:[188h]

fffff803`d020711f f7417400040000  test    dword ptr [rcx+74h],400h

fffff803`d0207126 0f84a0630e00    je      nt!PsTerminateSystemThread+0xe63bc (fffff803`d02ed4cc)

fffff803`d020712c 41b001          mov     r8b,1

fffff803`d020712f e8dcf0fbff      call    nt!PspTerminateThreadByPointer (fffff803`d01c6210)

  熟悉x86汇编的都知道:e8是call的硬编码,后面dcf0fbff是目标地址当对于当前的偏移,偏移为0xfffbf0dc。这个偏移很大,根据经验判断应该是个负数,0n-266020,那么PspTerminateThreadByPointer的计算方法:

  PspTerminateThreadByPointer =  当前地址 + 4 + 偏移(负数)

=0xfffff800`63f7e130 + 0x4 + 0n-266020

= ‭FFFFF80063F7E134‬ + 0n-266020

= -8,794,415,832,780 - 266020 //统一转成10进制

= -8,794,416,098,800‬

= FFFF F800 63F3 D210‬

继续windbg查一下:发现这个地址确实是PspTerminateThreadByPointer的,没错:

kd> u 0xfffff800`63f3d210

nt!PspTerminateThreadByPointer:

fffff800`63f3d210 48895c2408      mov     qword ptr [rsp+8],rbx

fffff800`63f3d215 48896c2410      mov     qword ptr [rsp+10h],rbp

fffff800`63f3d21a 4889742418      mov     qword ptr [rsp+18h],rsi

fffff800`63f3d21f 57              push    rdi

fffff800`63f3d220 4883ec30        sub     rsp,30h

fffff800`63f3d224 8b81d0060000    mov     eax,dword ptr [rcx+6D0h]

fffff800`63f3d22a 418ae8          mov     bpl,r8b

fffff800`63f3d22d 488bb920020000  mov     rdi,qword ptr [rcx+220h]

  详细代码如下(这里pSpecialData用E8就好):

PVOID SearchPspTerminateThreadByPointer(PUCHAR pSpecialData, ULONG ulSpecialDataSize)

{

    UNICODE_STRING ustrFuncName;

    PVOID pAddress = NULL;

    LONG lOffset = ;

    PVOID pPsTerminateSystemThread = NULL;

    PVOID pPspTerminateThreadByPointer = NULL;

    // 先获取 PsTerminateSystemThread 函数地址

    RtlInitUnicodeString(&ustrFuncName, L"PsTerminateSystemThread");

    pPsTerminateSystemThread = MmGetSystemRoutineAddress(&ustrFuncName);

    if (NULL == pPsTerminateSystemThread)

    {

        ShowError("MmGetSystemRoutineAddress", );

        return pPspTerminateThreadByPointer;

    }

    // 然后, 查找 PspTerminateThreadByPointer 函数地址

    pAddress = SearchMemory(pPsTerminateSystemThread,

        (PVOID)((PUCHAR)pPsTerminateSystemThread + 0xFF),//搜索255字节长度

        pSpecialData, ulSpecialDataSize);

    if (NULL == pAddress)

    {

        ShowError("SearchMemory", );

        return pPspTerminateThreadByPointer;

    }

    // 先获取偏移, 再计算地址

    lOffset = *(PLONG)pAddress;//0n-266020。注意这里向前跳,偏移是负数,有符号

    pPspTerminateThreadByPointer = (PVOID)((PUCHAR)pAddress + sizeof(LONG) + lOffset);

    return pPspTerminateThreadByPointer;

}

3、得到PspTerminateThreadByPointer地址:

PVOID GetPspLoadImageNotifyRoutine()

{

    PVOID pPspTerminateThreadByPointerAddress = NULL;

    RTL_OSVERSIONINFOW osInfo = {  };

    UCHAR pSpecialData[] = {  };

    ULONG ulSpecialDataSize = ;

    pSpecialData[] = 0xE8;

    ulSpecialDataSize = ;

    // E8

    pSpecialData[] = 0xE8;

    ulSpecialDataSize = ;

    // 根据特征码获取地址

    pPspTerminateThreadByPointerAddress = SearchPspTerminateThreadByPointer(pSpecialData, ulSpecialDataSize);

    return pPspTerminateThreadByPointerAddress;

}

4、现在可以强杀进程了:

// 强制结束指定进程

NTSTATUS ForceKillProcess(HANDLE hProcessId)

{

    PVOID pPspTerminateThreadByPointerAddress = NULL;

    PEPROCESS pEProcess = NULL;

    PETHREAD pEThread = NULL;

    PEPROCESS pThreadEProcess = NULL;

    NTSTATUS status = STATUS_SUCCESS;

    ULONG i = ;

#ifdef _WIN64

    // 64 位

    typedef NTSTATUS(__fastcall *PSPTERMINATETHREADBYPOINTER) (PETHREAD pEThread, NTSTATUS ntExitCode, BOOLEAN bDirectTerminate);

#else

    // 32 位

    typedef NTSTATUS(*PSPTERMINATETHREADBYPOINTER) (PETHREAD pEThread, NTSTATUS ntExitCode, BOOLEAN bDirectTerminate);

#endif

    // 获取 PspTerminateThreadByPointer 函数地址

    pPspTerminateThreadByPointerAddress = GetPspLoadImageNotifyRoutine();

    if (NULL == pPspTerminateThreadByPointerAddress)

    {

        ShowError("GetPspLoadImageNotifyRoutine", );

        return FALSE;

    }

    // 获取结束进程的进程结构对象EPROCESS

    status = PsLookupProcessByProcessId(hProcessId, &pEProcess);

    if (!NT_SUCCESS(status))

    {

        ShowError("PsLookupProcessByProcessId", status);

        return status;

    }

    // 遍历所有线程, 并结束所有指定进程的线程

    for (i = ; i < 0x80000; i = i + )

    {

        status = PsLookupThreadByThreadId((HANDLE)i, &pEThread);

        if (NT_SUCCESS(status))

        {

            // 获取线程对应的进程结构对象

            pThreadEProcess = PsGetThreadProcess(pEThread);

            // 结束指定进程的线程

            if (pEProcess == pThreadEProcess)

            {

                ((PSPTERMINATETHREADBYPOINTER)pPspTerminateThreadByPointerAddress)(pEThread, , );

                DbgPrint("PspTerminateThreadByPointer Thread:%d\n", i);

            }

            // 凡是Lookup...,必需Dereference,否则在某些时候会造成蓝屏

            ObDereferenceObject(pEThread);

        }

    }

    // 凡是Lookup...,必需Dereference,否则在某些时候会造成蓝屏

    ObDereferenceObject(pEProcess);

    return status;

}

5、测试环境:

windows:进程查杀的更多相关文章

  1. Linux 僵尸进程查杀

    僵尸进程概念 僵尸进程(Zombie process)通俗来说指那些虽然已经终止的进程,但仍然保留一些信息,等待其父进程为其收尸. 书面形式一点:一个进程结束了,但是他的父进程没有等待(调用wait ...

  2. windows查看端口占用情况及查杀进程

    我们平时在做web开发运行web服务器或运行某个应用时会报错,提示该应用的端口号已被占用,我们可以用以下的方法解决. 解决方法一:重新为应用配置端口. 解决方法二:找到占用端口的应用并关闭该应用释放占 ...

  3. shell脚本执行查找进程,然后查杀进程

    shell 执行查找进程,然后查杀进程脚本如下: ps -ef | grep 'IOE' |grep -v 'grep'| awk '{print \$2}' |while read pid; do ...

  4. centos clamav杀毒软件安装配置及查杀,没想到linux下病毒比windows还多!

    centos clamav杀毒软件安装配置及查杀,没想到linux下病毒比windows还多! 一.手动安装 1.下载(官网)    cd /soft     wget http://www.clam ...

  5. 查杀进程小工具——WPF和MVVM初体验

    最近因为工作需要,研究了一下桌面应用程序.在winform.WPF.Electron等几种技术里,最终选择了WPF作为最后的选型.WPF最吸引我的地方,就是MVVM模式了.MVVM模式完全把界面和业务 ...

  6. Linux进程管理:查杀进程

    一.查看进程 Linux下显示系统进程的命令ps,最常用的有ps -ef 和ps aux.这两个到底有什么区别呢? 两者没太大差别,讨论这个问题,要追溯到Unix系统中的两种风格,System V风格 ...

  7. Linux 僵尸进程的筛选和查杀

    一.筛选 ps -A -o stat,ppid,pid,cmd | grep -e '^[Zz]' 二.查杀 ps -A -o stat,ppid,pid,cmd | grep -e '^[Zz]' ...

  8. db2 查杀死锁进程

    db2 查杀死锁进命令 db2 get snapshot for locks on (需要snapshot的访问权限) db2 list applications db2 "force ap ...

  9. CMD查看进程ID并查杀进程

    开始-运行,输入CMD打开命令行界面,输入命令netstat -ano 结束该进程C:\>taskkill /f /t /im Wiz.exe 根据进程ID杀 >taskkill /F / ...

随机推荐

  1. SQL批量插入数据【万级】

    1.每4000条插入一次 for (int i = 0; i < dt.Rows.Count; i++) { IsTBProductForStockInfo model = new IsTBPr ...

  2. Oracle表的基本查询

    Oracle 分页 1.rownum分页 Select * from emp; Select a1.*,rownum rn from (Select * from emp) a1; 2.显示rownu ...

  3. 机器学习实战基础(二十五):sklearn中的降维算法PCA和SVD(六) 重要接口,参数和属性总结

    到现在,我们已经完成了对PCA的讲解.我们讲解了重要参数参数n_components,svd_solver,random_state,讲解了三个重要属性:components_, explained_ ...

  4. Python函数01/函数的初识/函数的定义/函数调用/函数的返回值/函数的参数

    Python函数01/函数的初识/函数的定义/函数调用/函数的返回值/函数的参数 内容大纲 1.函数的初识 2.函数的定义 3.函数的调用 4.函数的返回值 5.函数的参数 1.函数初识 # def ...

  5. Python 爬取 42 年高考数据,告诉你高考为什么这么难?

    作者 | 徐麟 历年录取率 可能很多经历过高考的人都不知道高考的全称,高考实际上是普通高等学校招生全国统一考试的简称.从1977年国家恢复高考制度至今,高考经历了许多的改革,其中最为显著的变化就是录取 ...

  6. “我放弃了年薪20万的offer…”

    最近身边朋友换工作.转型的越来越多.爬到一定高度,或者说到了一定年龄,每个选择都显得尤为重要.不仅因为高昂的机会成本,还有大家对后续规划的多重考虑.有一个说法你可能听过:混职场,要拥有不可替代的能力. ...

  7. echarts 实战 : 怎么写出和自动生成的一样的 tooltip ?

    找到答案很麻烦,但答案本身很简单. 假设 需要给 echarts 的数据是 option. option.tooltip.formatter = (params) => { return `&l ...

  8. Java集合框架1-- HashMap

    HashMap的知识点可以说在面试中经常被问到,是Java中比较常见的一种数据结构.所以这一篇就通过源码来深入理解下HashMap. 1 HashMap的底层是如何实现的?(基于JDK8) 1.1 H ...

  9. 题解 洛谷 P5465 【[PKUSC2018]星际穿越】

    首先考虑题目的性质,发现点向区间连的边为双向边,所以也就可以从一个点向右跳到区间包含该点的点,如图所示: 但事实上向后跳其实是不优的,可以有更好的方法来节省花费: 因此我们发现一个点跳到其前一个区间的 ...

  10. JELLY技术周刊 Vol.15 云游戏会是 5G 杀手级应用么?

    蒲公英 · JELLY技术周刊 Vol.15 听到"云游戏",或许我们的第一反应会是"云玩家"而不是那些上云的"游戏",在这个 5G 已来的 ...