PT和XT都无法禁止的关机代码(仅WIN7非驱动)
大家都知道,PT和XT有一个功能叫做“禁止关机/重启/注销”,不过,似乎在WIN7下对以下代码无效:**** Hidden Message *****
大家说HOOK什么函数好呢?HOOK NtShutdownSystem、NtUserCallOneParam、NtUserCallNoParam都不行。。。 围观 观看ing。。。。。 see 楼主又爆料了,进来看看 {:soso_e104:}为什么呢。 回复看下 不知道和这个比起来怎么样
如何从内核态重启系统呢,一个经常被推荐的简单的解决办法是 用驱动来通知一个用户态的服务并调用ExitWindowsEx函数
但是如果你非要想在内核态做这件事呢?那么你可以使用HalReturnToFirmware或NtShutdownSystem函数
但是这些函数都是无文档的,如果你使用它们,你的驱动可能无法通过WHQL认证
这里提供一种简单的、完全有文档的方法:
使用下面的函数
KeBugCheck(POWER_FAILURE_SIMULATE);
也许你会认为这是BugCheck,那么你错了,这并不会引发bugcheck
这样实际上会调用了HalReturnToFirmware(HalRebootMachine)
当执行了BugCheck回调后,无BSOD,无Crash dump,只会进行非常干净、简单和直接的重启动;) 居然是控制台命令 让我想起了拿到webshell管理员禁用cmd
自己上传cmd继续提权 还不错,估计也是HOOK,支持WIN7么? 向键盘端口写数据? {:soso_e114:}围观。、 看看 楼主测试下10楼的代码? Bambo 发表于 2012-5-11 18:58 static/image/common/back.gif
楼主测试下10楼的代码?
还用测试吗? 本帖最后由 qwerasdf 于 2012-5-13 00:44 编辑
{:soso_e130:}又出啥好东东了,这么牛。为什么XP下面没用? Tesla.Angela 发表于 2012-5-11 20:14 static/image/common/back.gif
还用测试吗?
原来楼主真的还在啊?
楼主能不能帮忙做个事情,将MS的detours库移植到64位啊? 了解并学习下 KeBugCheck Look-look XT能禁止桌面Alt+F4,点关机吗?XT在Win7下用的什么啊? 回复看看~ 1111111111111 看看 围观!!! 看看00 看看有什么好东西 只能在win7上? 见识一下 - - Hook NtCreateProcess 之类的.. 以前研究线程启动的时候, Hook 过一个好像叫 MmCreatePcb 的函数.. 应该会有用. 不知道有没有人说过 {:soso_e103:}