超级杀进程 - TaExKillProcess

HoviDelphic

Restore KeInsertQueueApc Call Hook + KiInsertQueueApc（还玩了点小花样）……
bypass KV2010、IxxLxxxx-1.96.46……
不过微点，没做特殊处理……测试微点用HdKillMP，当我还叫Hovi.Delphic的时候写的……
驱动无花无壳，可直接IDA+F5……
For Whole Windows NT x86 Family（理论上）……
需要从Ring 3传硬编码，里面附带了一个硬编码表，大家测试下……

乔丹二世

下载了顶一下。

fengerpro

MS 360tray还是结束不了...............

乔丹二世

对付360那种垃圾保护就免提了吧，干不掉是360没让你加驱动吧。

马大哈

没必要老去杀安全软件吧..............

HoviDelphic

这份垃圾代码在我的硬盘上找不到了，直接用KiInsertQueueApc杀进程的代码貌似如此：

//作用：结束线程
NTSTATUS TerminateThread(IN PETHREAD Thread)
{
        NTSTATUS st = STATUS_UNSUCCESSFUL;
        ULONG Size = 0;
        ULONG i = 0;
        PKAPC pApc = 0;
        ULONG EToffSET=0x248; //XP=0x248, 2K3=0x240, VISTA+2k8=0x260, Win7=0x280
        if ( MmIsAddressValid((PVOID)Thread) == TRUE)
        {
                pApc = ExAllocatePool(NonPagedPool, sizeof(KAPC));
                *(PULONG)((ULONG)Thread+EToffSET)=0x10;                 
                if (pApc)
                {
                        KeInitializeApc(pApc, (PKTHREAD)Thread, OriginalApcEnvironment, ApcCallBack, 0, 0, KernelMode, 0);
                        pApc->SystemArgument1=NULL;
                        pApc->SystemArgument2=NULL;
                        pApc->Inserted = FALSE;
                        KiInsertQueueApc(pApc,0);//要自己找到KiInsertQueueApc的地址才行
                        DbgPrint("KiInsertQueueApc Over!");
                }
                st = STATUS_SUCCESS;
        }
        return st;        
}

时过境迁，我现在已经忘记怎么强杀进程了。。。

HoviDelphic

随便说几句吧：
KeInsertQueueApc定位KiInsertQueueApc（特征码：28 e8，XP~WIN7通用）
PsTerminateSystemThread定位PspTerminateThreadByPointer（特征码：e8，XP~WIN7通用）
恢复KiInsertQueueApc和PspTerminateThreadByPointer前20字节
直接用KiInsertQueueApc杀进程

eaaca123

回复 8# HoviDelphic
有k*****************apc还要p**************d干嘛？

8013

膜拜楼上几位！~······

erwin

膜拜，学习了

xiaoly99

回复 9# eaaca123
你把那么多马赛克掉,Ki和Ke谁分的清?

houwenbin

膜拜……
没权限啊！~

Tesla.Angela

houwenbin 发表于 2011-8-13 15:53
膜拜……
没权限啊！~

请阅读：http://www.vbasm.com/thread-4478-1-1.html

zouxiaofei

学习一下