-
PspTerminateProcess怎么用
◆
◆
-
dnybz:引用第2楼yangtengfei于2007-07-18 14:17发表的 : PspTerminateProcess 函数 NTOSKRNL 没导出,得到它可以用查找特征码的方法或直接使用硬编码(要加版本检测). 这个函数的实现比较简单,在实际应用中可以模拟NT 源码自己写...(2009-03-22 00:44)
-
zjjmj2002:如函数所示,ExAcquirePushLockShared这两个函数是必须的。 不过俺闲着没事反了一下这两个函数,居然只有几十行代码,就自己比着写了一个,不过反正没有头文件也编译不了,就给个OBJ自己连接吧,使用前自己声明一下就可以了,ONLY FOR WINXP:) 本来想一鼓...(2007-07-27 09:07)
-
WQXNETQIQI:引用第12楼zjjmj2002于2007-07-24 15:39发表的 : 对乐,自己列举的话还得记得先用ExfAcquirePushLockShared()函数先Lock Process,然后ExfReleasePushLock()函数ReleaseLock,这两个该死的函数...(2007-07-25 17:23)
-
galihoo:引用第13楼galihoo于2007-07-24 18:05发表的 : 你的意思就是进程从PsActiveProcessList上摘除后,不能找到对应的EPROCESS,就没有办法进一步获取线程ID,因此就不能调用PspTerminateThreadByPointer来结束...(2007-07-24 18:09)
-
galihoo:引用第11楼WQXNETQIQI于2007-07-23 18:17发表的 : PspTerminateThreadByPointer也很不够强,随便kdom一下就能让其失效 所以还是自己XX了 你的意思就是进程从PsActiveProcessList上摘除后,不能找到对应的E...(2007-07-24 18:05)
-
zjjmj2002:对乐,自己列举的话还得记得先用ExfAcquirePushLockShared()函数先Lock Process,然后ExfReleasePushLock()函数ReleaseLock,这两个该死的函数在IDA中能看见名字,却没有被导出,真是见鬼,又自己编吧,祝你们编得开心。(2007-07-24 15:39)
-
WQXNETQIQI:PspTerminateThreadByPointer也很不够强,随便kdom一下就能让其失效 所以还是自己XX了(2007-07-23 18:17)
-
zjjmj2002:PspTerminateProcess的函数实现看上去比较简单,从 EPROCESS结构里的ThreadListEntry列举进程的ETHREAD,然后调用PspTerminateThreadByPointer结束之。 但自己实现起来还是不容易,因为该死的EPROCESS结构2k...(2007-07-23 17:41)
-
yangtengfei:windbg(2007-07-21 14:11)
-
KernelSword:怎么得到硬编码啊(2007-07-19 12:31)
