首页>编程与逆向>PC安全编程>反流氓、反木马和rootkit>怎样编程结束卡巴斯基进程咯
回复
« 返回列表
1 2 3 4 下一页 »
tohide
tohide
驱动牛犊
驱动牛犊
  • 注册日期2006-08-29
  • 最后登录2007-06-21
  • 粉丝0
  • 关注0
  • 积分250分
  • 威望26点
  • 贡献值0点
  • 好评度25点
  • 原创分0分
  • 专家分0分
写私信
阅读:13510回复:62

怎样编程结束卡巴斯基进程咯

楼主#
更多 发布于:2007-01-06 22:24
  用icesword可以结束这个进程,但我想弄清楚原理哦,哪位高人指教一下。
提升权限为debug 也只能结束system用户的部分进程,但拿卡巴斯基没办法。
喜欢4

最新喜欢:

always586always... lpheartlphear... yunfengyunfen...
回复
wowocock
wowocock
VIP专家组
VIP专家组
  • 注册日期2002-04-08
  • 最后登录2016-01-09
  • 粉丝16
  • 关注2
  • 积分601分
  • 威望1651点
  • 贡献值1点
  • 好评度1227点
  • 原创分1分
  • 专家分0分
写私信
沙发#
发布于:2007-01-07 10:18
APC
花开了,然后又会凋零,星星是璀璨的,可那光芒也会消失。在这样 一瞬间,人降生了,笑者,哭着,战斗,伤害,喜悦,悲伤憎恶,爱。一切都只是刹那间的邂逅,而最后都要归入死亡的永眠
回复(0) 喜欢(0)
WQXNETQIQI
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
写私信
板凳#
发布于:2007-01-07 10:20
PspTerminateProcess也许可以?
驱动开发者 呵呵
回复(0) 喜欢(0)
tohide
tohide
驱动牛犊
驱动牛犊
  • 注册日期2006-08-29
  • 最后登录2007-06-21
  • 粉丝0
  • 关注0
  • 积分250分
  • 威望26点
  • 贡献值0点
  • 好评度25点
  • 原创分0分
  • 专家分0分
写私信
地板#
发布于:2007-01-07 12:17
正在实验中........
谢了先!
回复(0) 喜欢(0)
tohide
tohide
驱动牛犊
驱动牛犊
  • 注册日期2006-08-29
  • 最后登录2007-06-21
  • 粉丝0
  • 关注0
  • 积分250分
  • 威望26点
  • 贡献值0点
  • 好评度25点
  • 原创分0分
  • 专家分0分
写私信
地下室#
发布于:2007-01-07 12:59
异步过程调用 ? 去看看
回复(0) 喜欢(0)
yaoyu
yaoyu
驱动中牛
驱动中牛
  • 注册日期2002-08-14
  • 最后登录2009-11-28
  • 粉丝0
  • 关注0
  • 积分1005分
  • 威望350点
  • 贡献值2点
  • 好评度295点
  • 原创分0分
  • 专家分0分
写私信
5楼#
发布于:2007-01-07 14:18
PspTerminateProcess ,APC 对于卡巴都是可以的了。
回复(0) 喜欢(0)
xyzreg
xyzreg
驱动小牛
驱动小牛
  • 注册日期2005-06-20
  • 最后登录2009-12-06
  • 粉丝0
  • 关注0
  • 积分294分
  • 威望173点
  • 贡献值0点
  • 好评度164点
  • 原创分0分
  • 专家分0分
写私信
6楼#
发布于:2007-01-07 15:09
引用第5楼yaoyu2007-01-07 14:18发表的“”:
PspTerminateProcess ,APC 对于卡巴都是可以的了。

记得APC对喀吧无效的吧,PspTerminateProcess 可以的。或者恢复卡巴相关的hook,恢复SSDT的代码网上有,恢复Inline hook的可看我之前的那篇文章:http://www.xyzreg.net/blog/read.php?24
回复(0) 喜欢(0)
tohide
tohide
驱动牛犊
驱动牛犊
  • 注册日期2006-08-29
  • 最后登录2007-06-21
  • 粉丝0
  • 关注0
  • 积分250分
  • 威望26点
  • 贡献值0点
  • 好评度25点
  • 原创分0分
  • 专家分0分
写私信
7楼#
发布于:2007-01-07 18:29
好人真多呢  哈哈
回复(0) 喜欢(0)
yunfeng
yunfeng
驱动牛犊
驱动牛犊
  • 注册日期2006-05-01
  • 最后登录2011-08-16
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望13点
  • 贡献值0点
  • 好评度12点
  • 原创分0分
  • 专家分0分
写私信
8楼#
发布于:2007-01-07 19:27
引用第6楼xyzreg2007-01-07 15:09发表的“”:

记得APC对喀吧无效的吧,PspTerminateProcess 可以的。或者恢复卡巴相关的hook,恢复SSDT的代码网上有,恢复Inline hook的可看我之前的那篇文章:http://www.xyzreg.net/blog/read.php?24

哪里有恢复SSDT的代码,怎么找不到
回复(0) 喜欢(0)
lyj790503
lyj790503
驱动牛犊
驱动牛犊
  • 注册日期2005-06-08
  • 最后登录2009-09-02
  • 粉丝0
  • 关注0
  • 积分7分
  • 威望55点
  • 贡献值0点
  • 好评度52点
  • 原创分0分
  • 专家分0分
写私信
9楼#
发布于:2007-01-10 16:42
www.rootkit.com上面有个应用层恢复ssdt,名字是sdtrestore,可能海底光缆还没有修好,不能访问。驱动层需要自己分析ntoskrnl.exe,现成的源码好象没有,但网上有方法,分析pe文件,找到原始ssdt
回复(0) 喜欢(0)
wangjianfeng
wangjianfeng
驱动小牛
驱动小牛
  • 注册日期2004-05-28
  • 最后登录2013-10-02
  • 粉丝0
  • 关注0
  • 积分1002分
  • 威望263点
  • 贡献值0点
  • 好评度260点
  • 原创分0分
  • 专家分0分
写私信
10楼#
发布于:2007-01-10 19:23
在卡巴下恢复SDT是被认为是病毒行为,把你杀了!
回复(0) 喜欢(0)
tohide
tohide
驱动牛犊
驱动牛犊
  • 注册日期2006-08-29
  • 最后登录2007-06-21
  • 粉丝0
  • 关注0
  • 积分250分
  • 威望26点
  • 贡献值0点
  • 好评度25点
  • 原创分0分
  • 专家分0分
写私信
11楼#
发布于:2007-01-10 23:03
http://www.xyzreg.net/blog/read.php?24上的文章 一加载就蓝屏,难道要加载过后马上结束is,然后再inline回去 ?刚刚在2k中试的 ,马上换到xp试.马上softice 具体问题具体分析去
回复(0) 喜欢(0)
xyzreg
xyzreg
驱动小牛
驱动小牛
  • 注册日期2005-06-20
  • 最后登录2009-12-06
  • 粉丝0
  • 关注0
  • 积分294分
  • 威望173点
  • 贡献值0点
  • 好评度164点
  • 原创分0分
  • 专家分0分
写私信
12楼#
发布于:2007-01-11 23:45
引用第11楼tohide2007-01-10 23:03发表的“”:
http://www.xyzreg.net/blog/read.php?24上的文章 一加载就蓝屏,难道要加载过后马上结束is,然后再inline回去 ?刚刚在2k中试的 ,马上换到xp试.马上softice 具体问题具体分析去

汗,那是教学科普用的,只对XP。你用于实战的话你自己修改一下。授渔非授鱼~
回复(0) 喜欢(0)
tohide
tohide
驱动牛犊
驱动牛犊
  • 注册日期2006-08-29
  • 最后登录2007-06-21
  • 粉丝0
  • 关注0
  • 积分250分
  • 威望26点
  • 贡献值0点
  • 好评度25点
  • 原创分0分
  • 专家分0分
写私信
13楼#
发布于:2007-01-12 08:09
呵呵 收到了
回复(0) 喜欢(0)
xyzreg
xyzreg
驱动小牛
驱动小牛
  • 注册日期2005-06-20
  • 最后登录2009-12-06
  • 粉丝0
  • 关注0
  • 积分294分
  • 威望173点
  • 贡献值0点
  • 好评度164点
  • 原创分0分
  • 专家分0分
写私信
14楼#
发布于:2007-01-12 19:36
PspTerminateProcess的各种Win平台下的硬编码已在 http://bbs.driverdevelop.com/read.php?tid-98217.html  的回帖中给出~
回复(0) 喜欢(0)
tohide
tohide
驱动牛犊
驱动牛犊
  • 注册日期2006-08-29
  • 最后登录2007-06-21
  • 粉丝0
  • 关注0
  • 积分250分
  • 威望26点
  • 贡献值0点
  • 好评度25点
  • 原创分0分
  • 专家分0分
写私信
15楼#
发布于:2007-01-13 14:29
引用第14楼xyzreg2007-01-12 19:36发表的“”:
PspTerminateProcess的各种Win平台下的硬编码已在 http://bbs.driverdevelop.com/read.php?tid-98217.html  的回帖中给出~

 感动中.......感谢xyzreg无私的奉献!!!!!!
回复(0) 喜欢(0)
xikug
xikug
驱动小牛
驱动小牛
  • 注册日期2001-09-25
  • 最后登录2013-09-27
  • 粉丝1
  • 关注0
  • 积分1001分
  • 威望169点
  • 贡献值0点
  • 好评度168点
  • 原创分1分
  • 专家分0分
写私信
16楼#
发布于:2007-01-13 22:11
不写驱动的方法:
先结束卡巴的进程ID+1的进程,再结束卡巴的进程

例如:卡台的进程id是1234,那你先结束1235的进程,再结束巴的1234进程
http://www.debugman.com
回复(0) 喜欢(0)
tohide
tohide
驱动牛犊
驱动牛犊
  • 注册日期2006-08-29
  • 最后登录2007-06-21
  • 粉丝0
  • 关注0
  • 积分250分
  • 威望26点
  • 贡献值0点
  • 好评度25点
  • 原创分0分
  • 专家分0分
写私信
17楼#
发布于:2007-01-13 22:20
引用第16楼xikug2007-01-13 22:11发表的“”:
不写驱动的方法:
先结束卡巴的进程ID+1的进程,再结束卡巴的进程

例如:卡台的进程id是1234,那你先结束1235的进程,再结束巴的1234进程

哥哥你这个是什么原理噢
回复(0) 喜欢(0)
xikug
xikug
驱动小牛
驱动小牛
  • 注册日期2001-09-25
  • 最后登录2013-09-27
  • 粉丝1
  • 关注0
  • 积分1001分
  • 威望169点
  • 贡献值0点
  • 好评度168点
  • 原创分1分
  • 专家分0分
写私信
18楼#
发布于:2007-01-13 22:23
呵呵...你试试就知道了...
http://www.debugman.com
回复(0) 喜欢(0)
killvxk
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
写私信
19楼#
发布于:2007-01-14 17:44
这个其实是利用了Windows Handle表的一个小小的特性~~
没有战争就没有进步 X3工作组 为您提供最好的军火
回复(0) 喜欢(0)
上一页
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部