|
|
在黑客防线2010里,有一篇文章叫《WS方法结束线程》,是syf大牛写的文章,其文具体思路如下:
搜索PspExitThread的地址,Hook ObOpenObjectByPointer后,判断调用者线程是不是要结束的线程,若是,结束掉,若不是,执行原函数。
感觉这个思路很屌的样子,于是我就制作了x64的版本,思路如下:
Inline Hook PsLookupProcessByProcessId,判断调用者线程是不是要结束的线程,若是,结束掉,若不是,执行原函数。
因为搜索特征码的过程略繁琐,因此就不找PspExitThread的地址,直接用DKOM的方式修改掉ETHREAD->CrossThreadFlags的值为0x10,结束线程就用PsTerminateSystemThread大法。
本文用到的Hook模块,摘自Tesla.Angela的教程。此外还要废掉PG才能运行。
由于DKOM是要用到硬编码的,所以本文的代码只适合在Windows 7 x64下使用。
p.s:本文的附件描述,摘自Hovi.Delphic的帖子。 |
评分
-
查看全部评分
|
发表于 2015-8-1 18:34:33
发表于 2015-8-3 08:35:14
