论坛广场 › WINDOWS核心编程 › 超级杀进程 - TaExKillProcess

HoviDelphic 发表于 2010-2-14 03:58:10

超级杀进程 - TaExKillProcess

本帖最后由 HoviDelphic 于 2010-5-2 11:04 编辑

Restore KeInsertQueueApc Call Hook + KiInsertQueueApc（还玩了点小花样）……
bypass KV2010、IxxLxxxx-1.96.46……
不过微点，没做特殊处理……测试微点用HdKillMP，当我还叫Hovi.Delphic的时候写的……
驱动无花无壳，可直接IDA+F5……
For Whole Windows NT x86 Family（理论上）……
需要从Ring 3传硬编码，里面附带了一个硬编码表，大家测试下……

乔丹二世 发表于 2010-6-29 01:14:03

下载了顶一下。

fengerpro 发表于 2010-6-29 03:30:29

MS 360tray还是结束不了...............

乔丹二世 发表于 2010-6-29 08:56:20

对付360那种垃圾保护就免提了吧，干不掉是360没让你加驱动吧。

马大哈 发表于 2010-6-29 11:54:46

没必要老去杀安全软件吧..............

HoviDelphic 发表于 2010-6-29 19:45:26

本帖最后由 HoviDelphic 于 2010-6-29 19:48 编辑

这份垃圾代码在我的硬盘上找不到了，直接用KiInsertQueueApc杀进程的代码貌似如此：

//作用：结束线程
NTSTATUS TerminateThread(IN PETHREAD Thread)
{
      NTSTATUS st = STATUS_UNSUCCESSFUL;
      ULONG Size = 0;
      ULONG i = 0;
      PKAPC pApc = 0;
      ULONG EToffSET=0x248; //XP=0x248, 2K3=0x240, VISTA+2k8=0x260, Win7=0x280
      if ( MmIsAddressValid((PVOID)Thread) == TRUE)
      {
                pApc = ExAllocatePool(NonPagedPool, sizeof(KAPC));
                *(PULONG)((ULONG)Thread+EToffSET)=0x10;               
                if (pApc)
                {
                        KeInitializeApc(pApc, (PKTHREAD)Thread, OriginalApcEnvironment, ApcCallBack, 0, 0, KernelMode, 0);
                        pApc->SystemArgument1=NULL;
                        pApc->SystemArgument2=NULL;
                        pApc->Inserted = FALSE;
                        KiInsertQueueApc(pApc,0);//要自己找到KiInsertQueueApc的地址才行
                        DbgPrint("KiInsertQueueApc Over!");
                }
                st = STATUS_SUCCESS;
      }
      return st;      
}

时过境迁，我现在已经忘记怎么强杀进程了。。。

本网站最菜的人 发表于 2010-6-30 21:55:46

HoviDelphic 发表于 2010-7-24 18:59:06

随便说几句吧：
KeInsertQueueApc定位KiInsertQueueApc（特征码：28 e8，XP~WIN7通用）
PsTerminateSystemThread定位PspTerminateThreadByPointer（特征码：e8，XP~WIN7通用）
恢复KiInsertQueueApc和PspTerminateThreadByPointer前20字节
直接用KiInsertQueueApc杀进程

eaaca123 发表于 2010-7-31 12:45:12

回复 8# HoviDelphic
有k*****************apc还要p**************d干嘛？

8013 发表于 2010-8-3 20:56:24

膜拜楼上几位！~······

erwin 发表于 2010-8-4 12:36:17

膜拜，学习了

xiaoly99 发表于 2010-8-21 19:39:57

回复 9# eaaca123
你把那么多马赛克掉,Ki和Ke谁分的清?

houwenbin 发表于 2011-8-13 15:53:52

膜拜……
没权限啊！~

Tesla.Angela 发表于 2011-8-13 20:42:23

houwenbin 发表于 2011-8-13 15:53 static/image/common/back.gif
膜拜……
没权限啊！~

请阅读：http://www.vbasm.com/thread-4478-1-1.html

zouxiaofei 发表于 2017-10-13 15:28:29

学习一下

查看完整版本: 超级杀进程 - TaExKillProcess