设为首页收藏本站
切换到窄版

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛»论坛广场 置顶区 WINDOWS核心编程 [开源]驱动里挂起进程
返回列表 发新帖
查看: 10750|回复: 12

[开源]驱动里挂起进程

 火.. [复制链接]
HoviDelphic

38

主题

199

回帖

2

精华

钻石会员

积分
3408
发表于 2010-5-29 02:12:17 | 显示全部楼层 |阅读模式
既然有人问到,就把代码发出来吧,反正留着没用。。。
寻找PsSuspendProcess,然后调用这个函数就可以了。
主要代码:

  2. typedef NTSTATUS (*PSSUSPENDPROCESS)(PEPROCESS Process);
  3. PSSUSPENDPROCESS MySuspendProcess;
  4. ULONG AddressOfPsSuspendProcess=0;
  5. VOID GetPsSuspendProcess()
  6. {
  7. UCHAR *cPtr, *pOpcode;
  8. ULONG Length, CallCount=0;
  9. ULONG AddressOfNtSuspendProcess=0;
  10. AddressOfNtSuspendProcess=GetSSDTRealAddr(GetSysCallIndex("NtSuspendProcess"));
  11. if (AddressOfNtSuspendProcess==0) return;
  12. for (cPtr = (PUCHAR)AddressOfNtSuspendProcess; cPtr < (PUCHAR)AddressOfNtSuspendProcess + PAGE_SIZE; cPtr += Length)
  13. {
  14.   Length = SizeOfCode(cPtr, &pOpcode);
  15.   if (!Length) return;
  16.   if (*pOpcode == 0xE8)
  17.   {
  18.    CallCount=CallCount+1;
  19.    if (CallCount==2)
  20.    {
  21.     AddressOfPsSuspendProcess=(*(PULONG)(pOpcode+1)+(ULONG)cPtr + 5);
  22.     return;
  23.    }
  24.   }
  25. }
  26. }

  28. VOID SuspendProcess(PEPROCESS Process)
  29. {
  30. if (AddressOfPsSuspendProcess==0) GetPsSuspendProcess();
  31. if (AddressOfPsSuspendProcess!=0)
  32. {
  33.   MySuspendProcess=(PSSUSPENDPROCESS)AddressOfPsSuspendProcess;
  34.   MySuspendProcess(Process);
  35. }
  36. }
复制代码


顺便把ssdt.h也发出来吧(这个不是我写的)。。。

  2. #include <NTDDK.H>

  4. typedef struct _System_Service_Table{
  5. PVOID  ServiceTableBase;
  6. PVOID  ServiceCounterTableBase;
  7. ULONG  NumberOfServices;
  8. PVOID  ParamTableBase;
  9. } SYSTEM_SERVICE_TABLE, *PSYSTEM_SERVICE_TABLE;

  11. typedef struct _SERVICE_DESCRIPTOR_TABLE{
  12. SYSTEM_SERVICE_TABLE ntoskrnl;  // ntoskrnl.exe (native api)
  13. SYSTEM_SERVICE_TABLE win32k;    // win32k.sys   (gdi/user)
  14. SYSTEM_SERVICE_TABLE Table3;    // not used
  15. SYSTEM_SERVICE_TABLE Table4;    // not used
  16. }SERVICE_DESCRIPTOR_TABLE,*PSERVICE_DESCRIPTOR_TABLE;

  18. extern  PSYSTEM_SERVICE_TABLE KeServiceDescriptorTable;

  20. //------------------------------------函数------------------------------------------
  21. typedef enum _SYSTEM_INFORMATION_CLASS     //    Q S
  22. {
  23. SystemBasicInformation,                // 00 Y N
  24. SystemProcessorInformation,            // 01 Y N
  25. SystemPerformanceInformation,          // 02 Y N
  26. SystemTimeOfDayInformation,            // 03 Y N
  27. SystemNotImplemented1,                 // 04 Y N
  28. SystemProcessesAndThreadsInformation,  // 05 Y N
  29. SystemCallCounts,                      // 06 Y N
  30. SystemConfigurationInformation,        // 07 Y N
  31. SystemProcessorTimes,                  // 08 Y N
  32. SystemGlobalFlag,                      // 09 Y Y
  33. SystemNotImplemented2,                 // 10 Y N
  34. SystemModuleInformation,               // 11 Y N
  35. SystemLockInformation,                 // 12 Y N
  36. SystemNotImplemented3,                 // 13 Y N
  37. SystemNotImplemented4,                 // 14 Y N
  38. SystemNotImplemented5,                 // 15 Y N
  39. SystemHandleInformation,               // 16 Y N
  40. SystemObjectInformation,               // 17 Y N
  41. SystemPagefileInformation,             // 18 Y N
  42. SystemInstructionEmulationCounts,      // 19 Y N
  43. SystemInvalidInfoClass1,               // 20
  44. SystemCacheInformation,                // 21 Y Y
  45. SystemPoolTagInformation,              // 22 Y N
  46. SystemProcessorStatistics,             // 23 Y N
  47. SystemDpcInformation,                  // 24 Y Y
  48. SystemNotImplemented6,                 // 25 Y N
  49. SystemLoadImage,                       // 26 N Y
  50. SystemUnloadImage,                     // 27 N Y
  51. SystemTimeAdjustment,                  // 28 Y Y
  52. SystemNotImplemented7,                 // 29 Y N
  53. SystemNotImplemented8,                 // 30 Y N
  54. SystemNotImplemented9,                 // 31 Y N
  55. SystemCrashDumpInformation,            // 32 Y N
  56. SystemExceptionInformation,            // 33 Y N
  57. SystemCrashDumpStateInformation,       // 34 Y Y/N
  58. SystemKernelDebuggerInformation,       // 35 Y N
  59. SystemContextSwitchInformation,        // 36 Y N
  60. SystemRegistryQuotaInformation,        // 37 Y Y
  61. SystemLoadAndCallImage,                // 38 N Y
  62. SystemPrioritySeparation,              // 39 N Y
  63. SystemNotImplemented10,                // 40 Y N
  64. SystemNotImplemented11,                // 41 Y N
  65. SystemInvalidInfoClass2,               // 42
  66. SystemInvalidInfoClass3,               // 43
  67. SystemTimeZoneInformation,             // 44 Y N
  68. SystemLookasideInformation,            // 45 Y N
  69. SystemSetTimeSlipEvent,                // 46 N Y
  70. SystemCreateSession,                   // 47 N Y
  71. SystemDeleteSession,                   // 48 N Y
  72. SystemInvalidInfoClass4,               // 49
  73. SystemRangeStartInformation,           // 50 Y N
  74. SystemVerifierInformation,             // 51 Y Y
  75. SystemAddVerifier,                     // 52 N Y
  76. SystemSessionProcessesInformation      // 53 Y N
  77. } SYSTEM_INFORMATION_CLASS;
  78. typedef struct _SYSTEM_MODULE_INFORMATION {
  79. ULONG Reserved[2];
  80. PVOID Base; //The base address of the module.
  81. ULONG Size; //The size of the module.
  82. ULONG Flags;
  83. USHORT Index;
  84. USHORT Unknown;
  85. USHORT LoadCount;
  86. USHORT ModuleNameOffset;
  87. CHAR ImageName[256];//The filepath of the module.
  88. } SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;
  89. NTSTATUS ZwQuerySystemInformation(
  90.   IN SYSTEM_INFORMATION_CLASS SystemInformationClass,
  91.   IN OUT PVOID SystemInformation,
  92.   IN ULONG SystemInformationLength,
  93.   OUT PULONG ReturnLength OPTIONAL );
  94. typedef struct _MODULE_LIST {
  95. ULONG    NumberOfModules;
  96. SYSTEM_MODULE_INFORMATION  SysModuleInfo[];
  97. } MODULE_LIST, *PMODULE_LIST;
  98. typedef struct _SECTION_IMAGE_INFORMATION {
  99. PVOID EntryPoint;
  100. ULONG StackZeroBits;
  101. ULONG StackReserved;
  102. ULONG StackCommit;
  103. ULONG ImageSubsystem;
  104. WORD  SubsystemVersionLow;
  105. WORD  SubsystemVersionHigh;
  106. ULONG Unknown1;
  107. ULONG ImageCharacteristics;
  108. ULONG ImageMachineType;
  109. ULONG Unknown2[3];
  110. } SECTION_IMAGE_INFORMATION, *PSECTION_IMAGE_INFORMATION;
  111. /*NTSTATUS ZwCreateSection(
  112.    OUT PHANDLE SectionHandle,
  113.    IN  ACCESS_MASK DesiredAccess,
  114.    IN  POBJECT_ATTRIBUTES ObjectAttributes OPTIONAL,
  115.    IN  PLARGE_INTEGER MaximumSize OPTIONAL,
  116.    IN  ULONG SectionPageProtection,
  117.    IN  ULONG AllocationAttributes,
  118.    IN  HANDLE FileHandle OPTIONAL);*/

  120. ULONG GetKernelBaseAddress(OUT PCHAR lpszModule)
  121. {
  122. NTSTATUS ntStatus;
  123. ULONG NeededSize, KernelAddr=0;
  124. PMODULE_LIST pModuleList;
  125. ZwQuerySystemInformation( SystemModuleInformation, &NeededSize, 0, &NeededSize);
  126. pModuleList = ExAllocatePool( NonPagedPool, NeededSize );
  127. ntStatus = ZwQuerySystemInformation( SystemModuleInformation, pModuleList, NeededSize, NULL );
  128. if ( NT_SUCCESS(ntStatus) )
  129. {
  130.   KernelAddr = (ULONG)pModuleList->SysModuleInfo[0].Base;
  131.   if (lpszModule)
  132.   {
  133.    strcpy( lpszModule, "\\SystemRoot\\System32\" );
  134.    strcat( lpszModule, pModuleList->SysModuleInfo[0].ModuleNameOffset+ pModuleList->SysModuleInfo[0].ImageName );
  135.   }
  136. }
  137. ExFreePool(pModuleList);
  138. return KernelAddr;
  139. }
  140. //用内存文件头 速度快点.
  141. ULONG RVAToRaw(IN  ULONG lpBase, IN  ULONG VirtualAddress )
  142. {
  143. IMAGE_DOS_HEADER     *pDosHeader;
  144. IMAGE_NT_HEADERS     *pNtHeader;
  145. IMAGE_SECTION_HEADER *pSectionHeader;
  146. ULONG  NumOfSections, i;
  147. pDosHeader = (IMAGE_DOS_HEADER*)lpBase;
  148. if ( pDosHeader->e_magic != IMAGE_DOS_SIGNATURE )
  149.   return 0;
  150. pNtHeader =(IMAGE_NT_HEADERS*)( (unsigned char*)lpBase + pDosHeader->e_lfanew );
  151. NumOfSections = pNtHeader->FileHeader.NumberOfSections;

  153. pSectionHeader = (IMAGE_SECTION_HEADER*)((ULONG)pNtHeader + sizeof(ULONG) + sizeof(IMAGE_FILE_HEADER)
  154.   + pNtHeader->FileHeader.SizeOfOptionalHeader);
  155. VirtualAddress -= (ULONG)lpBase;
  156. for ( i=0; i<NumOfSections; i++ )
  157. {
  158.   pSectionHeader = (IMAGE_SECTION_HEADER*)( (ULONG)pSectionHeader + sizeof(IMAGE_SECTION_HEADER) * i );
  159.   if( VirtualAddress > pSectionHeader->VirtualAddress &&
  160.    VirtualAddress < pSectionHeader->VirtualAddress + pSectionHeader->SizeOfRawData )
  161.   {
  162.    ULONG Offset = VirtualAddress - pSectionHeader->VirtualAddress + pSectionHeader->PointerToRawData;
  163.    return Offset;
  164.   }
  165. }
  166. return 0;
  167. }
  168. ULONG GetSSDTRealAddr(IN ULONG Index)
  169. {
  170. NTSTATUS ntStatus;
  171. ULONG KernelVirtualBase, KernelImageBase,RealServiceAddress=0;
  172. ULONG NumberOfServices, KiServiceTable, uSSDTRaw,KernelServiceTable;
  173. char szKernelPath[256];
  174. ANSI_STRING asFileName;
  175. UNICODE_STRING usFileName;
  176. OBJECT_ATTRIBUTES ObjAttr;
  177. IO_STATUS_BLOCK ioStatus;
  178. FILE_POSITION_INFORMATION FilePos;
  179. HANDLE hFile;
  180. KernelVirtualBase = GetKernelBaseAddress( szKernelPath );
  181. KernelImageBase  = ((IMAGE_NT_HEADERS*)(KernelVirtualBase + ((IMAGE_DOS_HEADER*)KernelVirtualBase)->e_lfanew))->OptionalHeader.ImageBase;
  182. NumberOfServices = KeServiceDescriptorTable->NumberOfServices;
  183. KiServiceTable  = (ULONG)KeServiceDescriptorTable->ServiceTableBase;
  184. if (Index>=NumberOfServices) return FALSE;
  185. uSSDTRaw = RVAToRaw( KernelVirtualBase, KiServiceTable+Index*4);//文件偏移
  186. if (uSSDTRaw)
  187. {
  188.   RtlInitAnsiString( &asFileName, szKernelPath );
  189.   ntStatus = RtlAnsiStringToUnicodeString( &usFileName, &asFileName, TRUE );
  190.   if( NT_SUCCESS(ntStatus) )
  191.   {
  192.    InitializeObjectAttributes(&ObjAttr,&usFileName,OBJ_KERNEL_HANDLE | OBJ_CASE_INSENSITIVE,NULL,NULL);
  193.    ntStatus = ZwOpenFile(&hFile,FILE_READ_DATA,&ObjAttr,&ioStatus,FILE_SHARE_READ | FILE_SHARE_WRITE | FILE_SHARE_DELETE,FILE_SYNCHRONOUS_IO_NONALERT );
  194.    if ( NT_SUCCESS(ntStatus) && hFile )
  195.    {
  196.     FilePos.CurrentByteOffset.LowPart = uSSDTRaw;
  197.     FilePos.CurrentByteOffset.HighPart = 0;
  198.     ntStatus = ZwSetInformationFile( hFile,&ioStatus,&FilePos,sizeof(FILE_POSITION_INFORMATION),FilePositionInformation );
  199.     if( NT_SUCCESS(ntStatus) )
  200.     {
  201.      ntStatus = ZwReadFile(hFile,NULL,NULL,NULL,&ioStatus,&KernelServiceTable,sizeof(ULONG),NULL,NULL );
  202.      if( NT_SUCCESS(ntStatus) )
  203.      {
  204.       RealServiceAddress=KernelServiceTable - KernelImageBase + KernelVirtualBase;   
  205.      }
  206.     }
  207.     ZwClose(hFile);
  208.    }
  209.   }
  210. }
  211. RtlFreeUnicodeString( &usFileName );
  212. return RealServiceAddress;
  213. }

  215. ULONG GetExportFuncAddr(IN PCHAR lpFunctionName, IN PUNICODE_STRING pDllName)
  216. {
  217. HANDLE hThread, hSection, hFile, hMod;
  218. SECTION_IMAGE_INFORMATION sii;
  219. PIMAGE_DOS_HEADER       pDosHeader;
  220. PIMAGE_OPTIONAL_HEADER  pOptHeader;
  221. PIMAGE_EXPORT_DIRECTORY pExportTable;
  222. PULONG arrayOfFuncAddr,arrayOfFuncNames;
  223. PSHORT  arrayOfFuncOrdinals;
  224. ULONG  funcOrdinal,Base, i, FuncAddr;
  225. PCHAR  FuncName;
  226. STRING ntFuncName, ntFuncNameSearch;
  227. PVOID  BaseAddress = NULL;
  228. SIZE_T size = 0;
  229. OBJECT_ATTRIBUTES ObjAttr;
  230. IO_STATUS_BLOCK IoStatusBlock;
  231. InitializeObjectAttributes(&ObjAttr,pDllName,OBJ_CASE_INSENSITIVE,NULL, NULL);
  232. ZwOpenFile(&hFile,FILE_EXECUTE | SYNCHRONIZE,&ObjAttr,&IoStatusBlock,FILE_SHARE_READ,FILE_SYNCHRONOUS_IO_NONALERT);
  233. ObjAttr.ObjectName = 0;
  234. ZwCreateSection(&hSection,SECTION_ALL_ACCESS,&ObjAttr,0,PAGE_EXECUTE,0x1000000,hFile);
  235. ZwMapViewOfSection(hSection,NtCurrentProcess(),&BaseAddress,0,1000, 0,&size,(SECTION_INHERIT)1,MEM_TOP_DOWN, PAGE_READWRITE);
  236. ZwClose(hFile);
  237. hMod = BaseAddress;
  238. pDosHeader = (PIMAGE_DOS_HEADER)hMod;
  239. pOptHeader = (PIMAGE_OPTIONAL_HEADER)((PBYTE)hMod + pDosHeader->e_lfanew + 24 );
  240. pExportTable =(PIMAGE_EXPORT_DIRECTORY)((PBYTE)hMod  + pOptHeader->DataDirectory[ IMAGE_DIRECTORY_ENTRY_EXPORT]. VirtualAddress);
  241. arrayOfFuncAddr     = (PULONG)( (PBYTE)hMod + pExportTable->AddressOfFunctions);
  242. arrayOfFuncNames    = (PULONG)( (PBYTE)hMod + pExportTable->AddressOfNames);
  243. arrayOfFuncOrdinals = (PSHORT)( (PBYTE)hMod + pExportTable->AddressOfNameOrdinals);
  244. Base = pExportTable->Base;
  245. RtlInitString(&ntFuncNameSearch, lpFunctionName);
  246. for( i=0; i<pExportTable->NumberOfFunctions; i++ )
  247. {
  248.   FuncName = (PCHAR)( (PBYTE)hMod + arrayOfFuncNames[i]);
  249.   RtlInitString( &ntFuncName, FuncName );
  250.   funcOrdinal = arrayOfFuncOrdinals[i] + Base - 1;
  251.   FuncAddr = (ULONG)( (PBYTE)hMod + arrayOfFuncAddr[funcOrdinal]);
  252.   if (RtlCompareString(&ntFuncName, &ntFuncNameSearch, TRUE) == 0)
  253.   {
  254.    ZwClose(hSection);
  255.    return FuncAddr;
  256.   }
  257. }
  258. ZwClose(hSection);
  259. return 0;
  260. }

  262. ULONG GetSysCallIndex( PCHAR FuncName )
  263. {
  264. UNICODE_STRING usDllName;
  265. ULONG     FuncAddr;
  266. ULONG     SysCallIndex;
  267. RtlInitUnicodeString( &usDllName, L"\\SystemRoot\\System32\\ntdll.dll" );
  268. FuncAddr = GetExportFuncAddr(FuncName, &usDllName);
  269. SysCallIndex = *( (PSHORT)(FuncAddr + 1) );
  270. return SysCallIndex;
  271. }
复制代码

至于效果,就自己测试吧。。。

评分

参与人数 1水晶币 +10 收起 理由
囧rz12 + 10 没什么水晶币了 话说有没有哪位仁兄愿意把S.

查看全部评分

如果附件无法下载,请点击这里
回复

举报

本网站最菜的人 该用户已被删除
发表于 2010-5-29 22:07:34 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

举报

本网站最菜的人 该用户已被删除
发表于 2010-5-29 22:11:46 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
发表于 2010-5-30 00:31:00 | 显示全部楼层
沙发 + 膜拜 + 学习,感谢TA神牛为我们菜鸟提供代码
貌似只有XP以上才可以用
本网站最菜的人 发表于 2010-5-29 22:07



  这不是废话吗,XP以前根本没有NtSuspendProcess。
  另外到了NT6也不用这么干了,PsSuspendProcess直接被ntosxxxx.exe导出。
回复

举报

364589886

23

主题

117

回帖

1

精华

银牌会员

积分
400
发表于 2010-6-27 11:45:09 | 显示全部楼层
貌似我不太喜欢这种邪门功夫。。。。。又或者是我不太喜欢带有inlinehook风格的代码
回复

举报

364589886

23

主题

117

回帖

1

精华

银牌会员

积分
400
发表于 2010-6-27 11:46:00 | 显示全部楼层
挂起进程的话,最好另寻它途
回复

举报

364589886

23

主题

117

回帖

1

精华

银牌会员

积分
400
发表于 2010-6-27 11:47:47 | 显示全部楼层
比如模拟KeWaitforsignleObject的做法
又或者模拟进程管理器的做法,将进程的执行时间片改为0得了
回复

举报

kxgsmk99

1

主题

14

回帖

0

精华

铜牌会员

积分
43
发表于 2012-2-19 15:35:29 | 显示全部楼层
好东西啊  佩服一定好好学习
回复

举报

siuwai

1

主题

48

回帖

0

精华

金牌会员

积分
978
发表于 2012-7-29 09:54:06 | 显示全部楼层
win7可以使用吗?
回复

举报

kk1025

7

主题

414

回帖

1

精华

铂金会员

积分
2173
发表于 2013-4-8 16:20:42 | 显示全部楼层
好東西! 看看!
回复

举报

wangmin1944
头像被屏蔽

4

主题

101

回帖

0

精华

初来乍到

积分
19658
发表于 2014-1-17 17:17:26 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

举报

囧rz12

0

主题

6

回帖

0

精华

初来乍到

积分
10
发表于 2014-2-4 13:39:24 | 显示全部楼层
有没有哪位仁兄愿意把SYS文件发给我 好用VB调用哈
回复

举报

囧rz12

0

主题

6

回帖

0

精华

初来乍到

积分
10
发表于 2014-2-4 13:40:03 | 显示全部楼层
有没有哪位仁兄愿意把SYS文件发给我 好用VB调用哈
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

快速回复 返回顶部 返回列表