设为首页收藏本站
切换到窄版

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛»论坛广场 置顶区 WINDOWS核心编程 ARK工具都有的一个功能的原理实现.[强制关闭]句柄 ...
返回列表 发新帖
查看: 5188|回复: 3

ARK工具都有的一个功能的原理实现.[强制关闭]句柄

[复制链接]
aisht

2

主题

35

回帖

0

精华

铜牌会员

积分
173
发表于 2015-2-28 23:25:57 | 显示全部楼层 |阅读模式

在R3下是使用(Nt)ZwClose进行关闭吧.
但是有些句柄是无法普通关闭.
但是使用Win64AST 或者 xuetr 之类的ARK工具都有一个特殊的关闭方式[强制关闭].
这样的功能都是采用一些什么样的原理去实现[强制关闭]的呢?
回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
发表于 2015-3-1 21:26:14 | 显示全部楼层
在驱动里AttachProcess,然后调用ZwClose。
部分句柄需要用ObSetHandleAttributes设置为“可关闭”。
不过关闭SYSTEM进程里的句柄更加复杂些,用上面的方法是不行的。
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

aisht

2

主题

35

回帖

0

精华

铜牌会员

积分
173
 楼主| 发表于 2015-3-2 05:47:25 | 显示全部楼层
本帖最后由 aisht 于 2015-3-2 07:09 编辑
Tesla.Angela 发表于 2015-3-1 21:26
在驱动里AttachProcess,然后调用ZwClose。
部分句柄需要用ObSetHandleAttributes设置为“可关闭”。
不过 ...


感谢TA的指点
为了方便一些遇到和我一样问题的朋友.
发个资料链接.
(只是没想到居然也是TA本人写的...~,只是貌似在论坛搜索不到0.0)
http://www.hacker.com.cn/uploadfile/2014/0318/20140318035154204.pdf

额...好吧.貌似我又2了.
看着代码有点眼熟.翻查了一下WIN64教程.
果然在5-7种有.....(我才看到3-5)

又问了一些脑残的问题.
果然还是先要一步一步把win64教程全部看一遍再来提问好..
回复

举报

upring

30

主题

693

回帖

0

精华

钻石会员

积分
2815
发表于 2015-3-10 11:02:15 | 显示全部楼层
M5Home 越来越好
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

快速回复 返回顶部 返回列表