shulun743 - 2011-11-17 14:01:00
ObOpenObjectByName或 PsLookupProcess*** + ObOpenObjectByPointer来打开进程(创建并返回进程句柄)。
ZwQueryVirtualMemory 来枚举进程模块
ObReferenceObjectByHandle获取进程执行体块
RtlImageNtHeader 防止别人打开指定的PE模块
使用ZwQuerySystemInformation的SystemHandleInformation号调用得到系统中的所有句柄
通过ZwQueryInformationProcess来查询句柄对应的进程Id
PsGetNextProcessThread (8057b3b9) 遍历线程中的进程
PsLookupProcessByProcessId (80573e8d) 根据输入的 PID 查询进程内核对象体的指针
PspTerminateThreadByPointer来结束它们
KeInitializeApc / KeInsertQueueApc插入了一个核心态的APC调用
PspExitThread(...=>KeTerminateThread=> KiSwapThread)悲壮的自行了断
PsSetCreateProcessNotifyRoutine 进程监控
PsSetCreateThreadNotifyRoutine 线程监控
PspTerminateProcess 、PsTerminateSystemThread
用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0
shulun743 - 2011-11-17 14:03:00
为了 稳定性 ,瑞星可以少量 挂钩 inline 也!!!
KeInitializeApc / KeInsertQueueApc插入了一个核心态的APC调用
PspExitThread(...=>KeTerminateThread=> KiSwapThread)悲壮的自行了断
PsSetCreateThreadNotifyRoutine 线程监控
这几个 你需要挂 啊!!!
瑞星工程师12 - 2011-11-17 14:04:00
建议已经收集反馈。感谢您的支持与关注!
© 2000 - 2024 Rising Corp. Ltd.