有人投到黑防去了,不过黑防不厚道,竟然没给完整的代码,自己整理一份备用吧,驱网、DebugMan、邪八的那群人直接飘过吧。
这种方法的关键在于给线程的ETHREAD.CrossThreadFlags设置PS_CROSS_THREAD_FLAGS_SYSTEM值,这样其它进程就无法结束它了,包括IceSword、RkU。至于原理,那就先看看wrk里结束进程的那几个内核函数源码,NtTerminateProcess、PsTerminateProcess、PspTerminateProcess最终都是调用PspTerminateThreadByPointer来将每个线程杀死,而在PspTerminateThreadByPointer里,如果线程是被其它进程强x结束的,就会有个这样的判断:

  1. if (IS_SYSTEM_THREAD
    (Thread))
    {
  2.     return STATUS_ACCESS_DENIED;
  3. }

Thread类型是PETHREAD,IS_SYSTEM_THREAD是个宏,如下:

  1. #define IS_SYSTEM_THREAD(Thread)  (((Thread)->CrossThreadFlags&PS_CROSS_THREAD_FLAGS_SYSTEM)
    )

也就是说当线程的ETHREAD.CrossThreadFlags包含PS_CROSS_THREAD_FLAGS_SYSTEM位时,就直接返回拒绝访问,这样线程就不会被结束了。具体参考代码请看wrk 1.2里的文件base\ntos\ps\psdelete.c。
好,现在只要给我们的进程里的每个线程都设置PS_CROSS_THREAD_FLAGS_SYSTEM,进程就不会被结束掉了。但是ETHREAD的结构没有文档化,所以还得自己找到CrossThreadFlags成员在ETHREAD结构里的偏移。可以通过在已导出的相关函数中找一些特征来定位CrossThreadFlags,黑防中是在PsIsSystemThread里找,但是这个函数在Windows 2000里没有,所以我们换个,换成PsTerminateSystemThread,先看下PsTerminateSystemThread的源码:

  1. NTSTATUS
  2. PsTerminateSystemThread(
  3.     __in NTSTATUS ExitStatus
  4.     )
  5. {
  6.     PETHREAD Thread = PsGetCurrentThread();
  7.  
  8.     if (!IS_SYSTEM_THREAD
    (Thread))
    {
  9.         return STATUS_INVALID_PARAMETER;
  10.     }
  11.  
  12.     return PspTerminateThreadByPointer
    (Thread, ExitStatus, TRUE);
  13. }

这里也用到了IS_SYSTEM_THREAD,那么也一定会有定位CrossThreadFlags的代码,如下:

  1. kd> u PsTerminateSystemThread
  2. nt!PsTerminateSystemThread:
  3. 805c89f8 8bff            mov    
    edi,edi
  4.              push    ebp
  5. 805c89fb 8bec            mov    
    ebp,esp
  6. 805c89fd 64a124010000    mov    
    eax,dword
    ptr
    fs:[00000124h]
  7. 805c8a03 f6804802000010  test    byte
    ptr
    [eax+248h],10h
  8.            jne     nt!PsTerminateSystemThread+0x1b
    (805c8a13)
  9. 805c8a0c b80d0000c0      mov    
    eax,0C000000Dh
  10. 805c8a11 eb09            jmp     nt!PsTerminateSystemThread+0x24
    (805c8a1c)
  11. 805c8a13 ff7508          push    dword
    ptr
    []
  12.              push    eax
  13. 805c8a17 e828fcffff      call    nt!PspTerminateThreadByPointer
    (805c8644)
  14. 805c8a1c 5d              pop    
    ebp
  15. 805c8a1d c20400          ret    

很明显test    byte ptr [eax+248h],10h中的248h就是CrossThreadFlags在ETHREAD里的偏移了,test    byte ptr [eax+xxxxxxxx],10h的16进制是f680xxxxxxxx10,现在只要先获得PsTerminateSystemThread的地址,然后向后搜索0x80f6,搜索到后再后面的4个字节就是CrossThreadFlags在ETHREAD里的偏移了。

得到了偏移,下面就是写代码了,驱动部分:

  1. #include <ntifs.h>
  2. #include <ntddk.h>
  3.  
  4. #define PS_CROSS_THREAD_FLAGS_SYSTEM 0x00000010UL  //form wrk 1.2 base\ntos\inc\ps.h
  5. #define IOCTL_THREAD_PROTECT CTL_CODE(FILE_DEVICE_UNKNOWN,
    0x800, METHOD_BUFFERED, FILE_ANY_ACCESS)
  6.  
  7. VOID DriverUnload(PDRIVER_OBJECT pDriverObject)
  8. {
  9.   UNICODE_STRING usSymLink;
  10.   RtlInitUnicodeString(&usSymLink, L"\\??\\ThreadProtect");
  11.   IoDeleteSymbolicLink(&usSymLink);
  12.   IoDeleteDevice(pDriverObject->DeviceObject);
  13. }
  14.  
  15. NTSTATUS DispatchCreateClose(PDEVICE_OBJECT pDeviceObject, PIRP pIrp)
  16. {
  17.   pIrp->IoStatus.Status
    = STATUS_SUCCESS;
  18.   pIrp->IoStatus.Information
    ;
  19.   IoCompleteRequest(pIrp, IO_NO_INCREMENT);
  20.  
  21.   return STATUS_SUCCESS;
  22. }
  23.  
  24. NTSTATUS DispatchControl(PDEVICE_OBJECT pDeviceObject, PIRP pIrp)
  25. {
  26.   NTSTATUS nRet = STATUS_UNSUCCESSFUL;
  27.   ULONG_PTR uInf ;
  28.   PIO_STACK_LOCATION pIoStack = IoGetCurrentIrpStackLocation(pIrp);
  29.   PVOID pSysBuff = pIrp->AssociatedIrp.SystemBuffer;
  30.  
  31.   switch (pIoStack->Parameters.DeviceIoControl.IoControlCode)
  32.   {
  33.   case IOCTL_THREAD_PROTECT:
  34.     PETHREAD pEThread;
  35.     PsLookupThreadByThreadId(HANDLE(*(PULONG)pSysBuff),
    &pEThread);
  36.     UNICODE_STRING usName;
  37.     RtlInitUnicodeString(&usName, L"PsTerminateSystemThread");
  38.     PUSHORT pOffset =
    (PUSHORT)MmGetSystemRoutineAddress(&usName);
  39.  
  40.     //search "test byte ptr [eax+xxxxxxxx],10h",hex:f680xxxxxxxx10
  41.     while (*pOffset
    !=
    0x80f6)
  42.       pOffset = PUSHORT((PUCHAR)pOffset
    );
  43.     PULONG pFlags = PULONG((PUCHAR)pEThread
    + *(PULONG)(pOffset
    ));
  44.     DbgPrint("pOffset:%08x, CrossFlagOffset:%08x\r\n", pOffset,
    *(PULONG)(pOffset
    ));
  45.     *pFlags |= PS_CROSS_THREAD_FLAGS_SYSTEM;  //set PS_CROSS_THREAD_FLAGS_SYSTEM bit
  46.     nRet = STATUS_SUCCESS;
  47.     uInf ;
  48.     break;
  49.   }
  50.  
  51.   pIrp->IoStatus.Status
    = nRet;
  52.   pIrp->IoStatus.Information
    = uInf;
  53.   IoCompleteRequest(pIrp, IO_NO_INCREMENT);
  54.   return nRet;
  55. }
  56.  
  57. extern "C" NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegPath)
  58. {
  59.   pDriverObject->DriverUnload
    = DriverUnload;
  60.   pDriverObject->MajorFunction[IRP_MJ_CREATE]
    = DispatchCreateClose;
  61.   pDriverObject->MajorFunction[IRP_MJ_CLOSE]
    = DispatchCreateClose;
  62.   pDriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL]
    = DispatchControl;
  63.  
  64.   UNICODE_STRING usDeviceName;
  65.   RtlInitUnicodeString(&usDeviceName, L"\\Device\\ThreadProtect");
  66.  
  67.   NTSTATUS nRet;
  68.   PDEVICE_OBJECT pDeviceObject;
  69.   nRet = IoCreateDevice(pDriverObject,
    , &usDeviceName, FILE_DEVICE_UNKNOWN,
  70.     FILE_DEVICE_SECURE_OPEN, FALSE,
    &pDeviceObject);
  71.   if (!NT_SUCCESS(nRet))
  72.     return nRet;
  73.  
  74.   UNICODE_STRING usSymLink;
  75.   RtlInitUnicodeString(&usSymLink, L"\\??\\ThreadProtect");
  76.   nRet = IoCreateSymbolicLink(&usSymLink,
    &usDeviceName);
  77.   if (!NT_SUCCESS(nRet))
  78.   {
  79.     IoDeleteDevice(pDeviceObject);
  80.     return nRet;
  81.   }
  82.   return STATUS_SUCCESS;
  83. }

这段代码要解释的都在上面了。EXE部分的代码就不用帖了,只要将每个线程的ID通过DeviceIoControl传入驱动即可:

  1. #define IOCTL_THREAD_PROTECT CTL_CODE(FILE_DEVICE_UNKNOWN,
    0x800, METHOD_BUFFERED, FILE_ANY_ACCESS)
  2.  
  3. DeviceIoControl(hDevice, IOCTL_THREAD_PROTECT,
    &nThreadId, sizeof(nThreadId),
    , ,
    &nByteRet, );

点击这里下载文件: ThreadProtect.rar
运行后果自行负责,运行不了自行想办法到注册表里删除先前的ThreadProtect键值。

最后,怎么结束用这种方法保护的进程?方法大大的有,插入APC,然后PspExitThread就不会经过PspTerminateThreadByPointer了。

jpg 改 rar

进程防结束之PS_CROSS_THREAD_FLAGS_SYSTEM的更多相关文章

  1. HOOK API(四)—— 进程防终止

    HOOK API(四) —— 进程防终止 0x00        前言 这算是一个实战吧,做的一个应用需要实现进程的防终止保护,查了相关资料后决定用HOOK API的方式实现.起初学习HOOK API ...

  2. win10周年更新后程序各种卡死,进程无法结束怎么破?

    最近THINKPAD T460P更新了WIN10周年版后程序各种卡死,运行一段时间,各种程序就开始崩溃,进程无法结束,最终只能强制关机. 这个BUG微软已经确认了,安装了SSD+HDD双硬盘的WIN1 ...

  3. Windows下查看进程及结束进程命令[转]

    Windows下查看进程及结束进程命令 1)查看占用8080端口的进程号 >netstat –aon | findstr “8080” 结果:TCP    0.0.0.0:8080        ...

  4. Windows下查看8080进程及结束进程命令

    Windows下查看进程及结束进程命令 1)查看占用8080端口的进程号 >netstat –aon | findstr “8080” 结果:TCP    0.0.0.0:8080        ...

  5. Delphi监视进程并结束进程

    监视进程并结束进程在很多地方都用到这里借前人的经验写了个小例子: 以QQ的进程qq.exe为例 关键代码如下: function CheckTask(ExeFileName: string): Boo ...

  6. C#程序中:如何启用进程、结束进程、查找进程

    在启动某个程序之前,如果需要先检查改程序是否已经运行,可以查找进程里有没有这个进程,再根据查找进程后的结果进行相应的判断操作. 产找进程的范围是任务管理器中的进程列表.如果进程被隐藏了,结果……(我没 ...

  7. windows下查看进程及结束进程命令

    windows下查看进程及结束进程命令 1)查看占用8080端口的进程号 >netstat –aon | findstr “8080” 结果:TCP    0.0.0.0:8080        ...

  8. 性能优化-service进程防杀

    service作为后台服务,其重要性不言而喻,但很多时候service会被杀死,从而失去了我们原本想要其发挥的作用,在这种情况下我们该如何确保我们的service不被杀死就是本节需要讨论的内容了 se ...

  9. C程序的执行和当前进程的结束

    内核使程序执行的唯一方法,就是调用exec函数,这个函数又会启动一个C程序启动例程,这个启动例程是C程序的启动地址.负责调用main函数,并接受mainn函数的返回值. 使得进程结束的唯一方式是隐式的 ...

随机推荐

  1. zookeeper原生API做java客户端

    简介 本文是使用apache提供的原生api做zookeeper客户端 jar包 zookeeper-3.4.5.jar   Demo package bjsxt.zookeeper.base; im ...

  2. DRAM 各项基本参数记录

    记录一下DRAM的各项基本参数 tCL CAS Latency CAS 潜伏期, 列地址寻找/读写命令执行完毕,准备要读出来,需要一个延时缓一缓 tRAS: RAS Active Timeing 行有 ...

  3. size_t ssize_t socklen_t

    size_t 解释一:为了增强程序的可移植性,便有了size_t,它是为了方便系统之间的移植而定义的,不同的系统上,定义size_t可能不一样. 在32位系统上 定义为 unsigned int 也就 ...

  4. posix进程间通信

    ************************************************************************************************** p ...

  5. Extjs Toolbar 当做弹出菜单

    menuAlign: 'tl-tr', listeners: { mouseover: function(btn) { btn.toolb.showBy(btn,btn.menuAlign); } } ...

  6. WPF教程五:布局之Canvas面板

    Canvas:画布面板 画布,用于完全控制每个元素的精确位置.他是布局控件中最为简单的一种,直接将元素放到指定位置,主要来布置图面.使用Canvas,必须指定一个子元素的位置(相对于画布),否则所有元 ...

  7. form_tag

    class SwitchesController < ApplicationController #before_filter :authenticate_user!, :except => ...

  8. FroalaEditor使用方法汇总

    最近在整个移动端富文本编辑器.写完后,在安卓端表现良好,在苹果端测试让我直吐血.开始在网上找了一圈,也没发现自己中意的那款. 今天无意中发现了FroalaEditor,经过在移动端测试一番,表现的好的 ...

  9. vlc player验证交换机igmp

    使用vlc media player发送多播数据,验证交换机igmp的设置是否成功. 链接 http://peakdrive.com/?p=440 http://www.dasblinkenlicht ...

  10. e661. 确定图像中是否有透明像素

    // This method returns true if the specified image has transparent pixels public static boolean hasA ...