ARK工具都有的一个功能的原理实现.[强制关闭]句柄
在R3下是使用(Nt)ZwClose进行关闭吧.
但是有些句柄是无法普通关闭.
但是使用Win64AST 或者 xuetr 之类的ARK工具都有一个特殊的关闭方式[强制关闭].
这样的功能都是采用一些什么样的原理去实现[强制关闭]的呢?
在驱动里AttachProcess,然后调用ZwClose。
部分句柄需要用ObSetHandleAttributes设置为“可关闭”。
不过关闭SYSTEM进程里的句柄更加复杂些,用上面的方法是不行的。 本帖最后由 aisht 于 2015-3-2 07:09 编辑
Tesla.Angela 发表于 2015-3-1 21:26
在驱动里AttachProcess,然后调用ZwClose。
部分句柄需要用ObSetHandleAttributes设置为“可关闭”。
不过 ...
感谢TA的指点
为了方便一些遇到和我一样问题的朋友.
发个资料链接.
(只是没想到居然也是TA本人写的...~,只是貌似在论坛搜索不到0.0)
http://www.hacker.com.cn/uploadfile/2014/0318/20140318035154204.pdf
额...好吧.貌似我又2了.
看着代码有点眼熟.翻查了一下WIN64教程.
果然在5-7种有.....(我才看到3-5)
又问了一些脑残的问题.
果然还是先要一步一步把win64教程全部看一遍再来提问好.. M5Home 越来越好
页:
[1]