有人投到黑防去了,不过黑防不厚道,竟然没给完整的代码,自己整理一份备用吧,驱网、DebugMan、邪八的那群人直接飘过吧。
这种方法的关键在于给线程的ETHREAD.CrossThreadFlags设置PS_CROSS_THREAD_FLAGS_SYSTEM值,这样其它进程就无法结束它了,包括IceSword、RkU。至于原理,那就先看看wrk里结束进程的那几个内核函数源码,NtTerminateProcess、PsTerminateProcess、PspTerminateProcess最终都是调用PspTerminateThreadByPointer来将每个线程杀死,而在PspTerminateThreadByPointer里,如果线程是被其它进程强x结束的,就会有个这样的判断:

  1. if (IS_SYSTEM_THREAD
    (Thread))
    {
  2.     return STATUS_ACCESS_DENIED;
  3. }

Thread类型是PETHREAD,IS_SYSTEM_THREAD是个宏,如下:

  1. #define IS_SYSTEM_THREAD(Thread)  (((Thread)->CrossThreadFlags&PS_CROSS_THREAD_FLAGS_SYSTEM)
    )

也就是说当线程的ETHREAD.CrossThreadFlags包含PS_CROSS_THREAD_FLAGS_SYSTEM位时,就直接返回拒绝访问,这样线程就不会被结束了。具体参考代码请看wrk 1.2里的文件base\ntos\ps\psdelete.c。
好,现在只要给我们的进程里的每个线程都设置PS_CROSS_THREAD_FLAGS_SYSTEM,进程就不会被结束掉了。但是ETHREAD的结构没有文档化,所以还得自己找到CrossThreadFlags成员在ETHREAD结构里的偏移。可以通过在已导出的相关函数中找一些特征来定位CrossThreadFlags,黑防中是在PsIsSystemThread里找,但是这个函数在Windows 2000里没有,所以我们换个,换成PsTerminateSystemThread,先看下PsTerminateSystemThread的源码:

  1. NTSTATUS
  2. PsTerminateSystemThread(
  3.     __in NTSTATUS ExitStatus
  4.     )
  5. {
  6.     PETHREAD Thread = PsGetCurrentThread();
  7.  
  8.     if (!IS_SYSTEM_THREAD
    (Thread))
    {
  9.         return STATUS_INVALID_PARAMETER;
  10.     }
  11.  
  12.     return PspTerminateThreadByPointer
    (Thread, ExitStatus, TRUE);
  13. }

这里也用到了IS_SYSTEM_THREAD,那么也一定会有定位CrossThreadFlags的代码,如下:

  1. kd> u PsTerminateSystemThread
  2. nt!PsTerminateSystemThread:
  3. 805c89f8 8bff            mov    
    edi,edi
  4.              push    ebp
  5. 805c89fb 8bec            mov    
    ebp,esp
  6. 805c89fd 64a124010000    mov    
    eax,dword
    ptr
    fs:[00000124h]
  7. 805c8a03 f6804802000010  test    byte
    ptr
    [eax+248h],10h
  8.            jne     nt!PsTerminateSystemThread+0x1b
    (805c8a13)
  9. 805c8a0c b80d0000c0      mov    
    eax,0C000000Dh
  10. 805c8a11 eb09            jmp     nt!PsTerminateSystemThread+0x24
    (805c8a1c)
  11. 805c8a13 ff7508          push    dword
    ptr
    []
  12.              push    eax
  13. 805c8a17 e828fcffff      call    nt!PspTerminateThreadByPointer
    (805c8644)
  14. 805c8a1c 5d              pop    
    ebp
  15. 805c8a1d c20400          ret    

很明显test    byte ptr [eax+248h],10h中的248h就是CrossThreadFlags在ETHREAD里的偏移了,test    byte ptr [eax+xxxxxxxx],10h的16进制是f680xxxxxxxx10,现在只要先获得PsTerminateSystemThread的地址,然后向后搜索0x80f6,搜索到后再后面的4个字节就是CrossThreadFlags在ETHREAD里的偏移了。

得到了偏移,下面就是写代码了,驱动部分:

  1. #include <ntifs.h>
  2. #include <ntddk.h>
  3.  
  4. #define PS_CROSS_THREAD_FLAGS_SYSTEM 0x00000010UL  //form wrk 1.2 base\ntos\inc\ps.h
  5. #define IOCTL_THREAD_PROTECT CTL_CODE(FILE_DEVICE_UNKNOWN,
    0x800, METHOD_BUFFERED, FILE_ANY_ACCESS)
  6.  
  7. VOID DriverUnload(PDRIVER_OBJECT pDriverObject)
  8. {
  9.   UNICODE_STRING usSymLink;
  10.   RtlInitUnicodeString(&usSymLink, L"\\??\\ThreadProtect");
  11.   IoDeleteSymbolicLink(&usSymLink);
  12.   IoDeleteDevice(pDriverObject->DeviceObject);
  13. }
  14.  
  15. NTSTATUS DispatchCreateClose(PDEVICE_OBJECT pDeviceObject, PIRP pIrp)
  16. {
  17.   pIrp->IoStatus.Status
    = STATUS_SUCCESS;
  18.   pIrp->IoStatus.Information
    ;
  19.   IoCompleteRequest(pIrp, IO_NO_INCREMENT);
  20.  
  21.   return STATUS_SUCCESS;
  22. }
  23.  
  24. NTSTATUS DispatchControl(PDEVICE_OBJECT pDeviceObject, PIRP pIrp)
  25. {
  26.   NTSTATUS nRet = STATUS_UNSUCCESSFUL;
  27.   ULONG_PTR uInf ;
  28.   PIO_STACK_LOCATION pIoStack = IoGetCurrentIrpStackLocation(pIrp);
  29.   PVOID pSysBuff = pIrp->AssociatedIrp.SystemBuffer;
  30.  
  31.   switch (pIoStack->Parameters.DeviceIoControl.IoControlCode)
  32.   {
  33.   case IOCTL_THREAD_PROTECT:
  34.     PETHREAD pEThread;
  35.     PsLookupThreadByThreadId(HANDLE(*(PULONG)pSysBuff),
    &pEThread);
  36.     UNICODE_STRING usName;
  37.     RtlInitUnicodeString(&usName, L"PsTerminateSystemThread");
  38.     PUSHORT pOffset =
    (PUSHORT)MmGetSystemRoutineAddress(&usName);
  39.  
  40.     //search "test byte ptr [eax+xxxxxxxx],10h",hex:f680xxxxxxxx10
  41.     while (*pOffset
    !=
    0x80f6)
  42.       pOffset = PUSHORT((PUCHAR)pOffset
    );
  43.     PULONG pFlags = PULONG((PUCHAR)pEThread
    + *(PULONG)(pOffset
    ));
  44.     DbgPrint("pOffset:%08x, CrossFlagOffset:%08x\r\n", pOffset,
    *(PULONG)(pOffset
    ));
  45.     *pFlags |= PS_CROSS_THREAD_FLAGS_SYSTEM;  //set PS_CROSS_THREAD_FLAGS_SYSTEM bit
  46.     nRet = STATUS_SUCCESS;
  47.     uInf ;
  48.     break;
  49.   }
  50.  
  51.   pIrp->IoStatus.Status
    = nRet;
  52.   pIrp->IoStatus.Information
    = uInf;
  53.   IoCompleteRequest(pIrp, IO_NO_INCREMENT);
  54.   return nRet;
  55. }
  56.  
  57. extern "C" NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegPath)
  58. {
  59.   pDriverObject->DriverUnload
    = DriverUnload;
  60.   pDriverObject->MajorFunction[IRP_MJ_CREATE]
    = DispatchCreateClose;
  61.   pDriverObject->MajorFunction[IRP_MJ_CLOSE]
    = DispatchCreateClose;
  62.   pDriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL]
    = DispatchControl;
  63.  
  64.   UNICODE_STRING usDeviceName;
  65.   RtlInitUnicodeString(&usDeviceName, L"\\Device\\ThreadProtect");
  66.  
  67.   NTSTATUS nRet;
  68.   PDEVICE_OBJECT pDeviceObject;
  69.   nRet = IoCreateDevice(pDriverObject,
    , &usDeviceName, FILE_DEVICE_UNKNOWN,
  70.     FILE_DEVICE_SECURE_OPEN, FALSE,
    &pDeviceObject);
  71.   if (!NT_SUCCESS(nRet))
  72.     return nRet;
  73.  
  74.   UNICODE_STRING usSymLink;
  75.   RtlInitUnicodeString(&usSymLink, L"\\??\\ThreadProtect");
  76.   nRet = IoCreateSymbolicLink(&usSymLink,
    &usDeviceName);
  77.   if (!NT_SUCCESS(nRet))
  78.   {
  79.     IoDeleteDevice(pDeviceObject);
  80.     return nRet;
  81.   }
  82.   return STATUS_SUCCESS;
  83. }

这段代码要解释的都在上面了。EXE部分的代码就不用帖了,只要将每个线程的ID通过DeviceIoControl传入驱动即可:

  1. #define IOCTL_THREAD_PROTECT CTL_CODE(FILE_DEVICE_UNKNOWN,
    0x800, METHOD_BUFFERED, FILE_ANY_ACCESS)
  2.  
  3. DeviceIoControl(hDevice, IOCTL_THREAD_PROTECT,
    &nThreadId, sizeof(nThreadId),
    , ,
    &nByteRet, );

点击这里下载文件: ThreadProtect.rar
运行后果自行负责,运行不了自行想办法到注册表里删除先前的ThreadProtect键值。

最后,怎么结束用这种方法保护的进程?方法大大的有,插入APC,然后PspExitThread就不会经过PspTerminateThreadByPointer了。

jpg 改 rar

进程防结束之PS_CROSS_THREAD_FLAGS_SYSTEM的更多相关文章

  1. HOOK API(四)—— 进程防终止

    HOOK API(四) —— 进程防终止 0x00        前言 这算是一个实战吧,做的一个应用需要实现进程的防终止保护,查了相关资料后决定用HOOK API的方式实现.起初学习HOOK API ...

  2. win10周年更新后程序各种卡死,进程无法结束怎么破?

    最近THINKPAD T460P更新了WIN10周年版后程序各种卡死,运行一段时间,各种程序就开始崩溃,进程无法结束,最终只能强制关机. 这个BUG微软已经确认了,安装了SSD+HDD双硬盘的WIN1 ...

  3. Windows下查看进程及结束进程命令[转]

    Windows下查看进程及结束进程命令 1)查看占用8080端口的进程号 >netstat –aon | findstr “8080” 结果:TCP    0.0.0.0:8080        ...

  4. Windows下查看8080进程及结束进程命令

    Windows下查看进程及结束进程命令 1)查看占用8080端口的进程号 >netstat –aon | findstr “8080” 结果:TCP    0.0.0.0:8080        ...

  5. Delphi监视进程并结束进程

    监视进程并结束进程在很多地方都用到这里借前人的经验写了个小例子: 以QQ的进程qq.exe为例 关键代码如下: function CheckTask(ExeFileName: string): Boo ...

  6. C#程序中:如何启用进程、结束进程、查找进程

    在启动某个程序之前,如果需要先检查改程序是否已经运行,可以查找进程里有没有这个进程,再根据查找进程后的结果进行相应的判断操作. 产找进程的范围是任务管理器中的进程列表.如果进程被隐藏了,结果……(我没 ...

  7. windows下查看进程及结束进程命令

    windows下查看进程及结束进程命令 1)查看占用8080端口的进程号 >netstat –aon | findstr “8080” 结果:TCP    0.0.0.0:8080        ...

  8. 性能优化-service进程防杀

    service作为后台服务,其重要性不言而喻,但很多时候service会被杀死,从而失去了我们原本想要其发挥的作用,在这种情况下我们该如何确保我们的service不被杀死就是本节需要讨论的内容了 se ...

  9. C程序的执行和当前进程的结束

    内核使程序执行的唯一方法,就是调用exec函数,这个函数又会启动一个C程序启动例程,这个启动例程是C程序的启动地址.负责调用main函数,并接受mainn函数的返回值. 使得进程结束的唯一方式是隐式的 ...

随机推荐

  1. dubbo2.5.3注解版

    1.环境      在机器192.168.0.4机器上安装了zookeeper,用于dubbo的服务注册,安装教程在另外一篇博客 http://www.cnblogs.com/520playboy/p ...

  2. 【C#/WPF】ListView的MVVM例子,及禁止拖动ListView的头部Header

    一个ListView的MVVM简单例子: <ListView ItemsSource="{Binding GoodsList}" Margin="0,10,0,10 ...

  3. Java 加载配置文件的方式

    一 使用原生方式读取配置文件 1 文件系统加载 Java代码   InputStream in = new FileInputStream("config.properties") ...

  4. [shell]shell脚本传入不固定参数的写法,如--help等

    最近在调试一个wifi模块,需要传一些不固定的参数,一下一个参数解析的函数可以搞定这个事情,里面内容好多部分是从一个example中剽窃而来(窃喜) #!/bin/bash # writen by a ...

  5. Integer与int有什么区别?

      Integer与int有什么区别?       由于面试的时候问到这个问题,所以就网上百度一下,发现一个大神说得非常好,非常清楚,所有就博文复制过来供“自己学习”.(这不是原文,原文底下有链接) ...

  6. Hbase建模

    转自:http://blog.itpub.net/28912557/viewspace-1119865/ 什么情况下使用Hbase?1,成熟的数据分析主题,查询模式已经确定并且不易轻易改变.(主要还是 ...

  7. 关于Android中Fragment静态和动态加载的方法

    一.静态加载 1.首先创建一个layout布局fragment.xml,里面放要显示和操作的控件 2.创建一个layout布局main1.xml,用来实现页面的跳转(跳转为要实现静态加载的界面) 3. ...

  8. jenkins配置过程遇到的问题

    jenkins 搭建完成后,可以浏览器访问: http://localhost:8081/jenkins, 新建任务过程中遇到以下问题: 1. 源码管理不现实git, 只显示无 解决: 插件管理 -  ...

  9. tornado 重定向404

    方法一: 一度喜欢tornado的我, 一直在尝试寻找自定义404的方法,恰巧在看tornaod的mvc结构的时候看到了解决办法 方法之巧妙令人从心底佩服.后来我克隆一份到自己的github以作备份. ...

  10. e657. 用直线和曲线绘制图形

    GeneralPath shape = new GeneralPath(); shape.moveTo(x, y); shape.lineTo(x, y); shape.quadTo(controlP ...