怎样编程结束卡巴斯基进程咯

wangjianfeng 驱动小牛注册日期2004-05-28 最后登录2013-10-02 粉丝0 关注0 积分1002分威望263点贡献值0点好评度260点原创分0分专家分0分加关注写私信	20楼^# 发布于：2007-01-15 11:38 弱弱的问一句,如果没有1235怎么办?
	回复(0) 喜欢(0)

xikug

驱动小牛

注册日期2001-09-25
最后登录2013-09-27
粉丝1
关注0
积分1001分
威望169点
贡献值0点
好评度168点
原创分1分
专家分0分

加关注写私信

21楼^#

发布于：2007-01-15 12:12

每个进程都有的，1235,1235,1237

http://www.debugman.com

回复喜欢

wangjianfeng 驱动小牛注册日期2004-05-28 最后登录2013-10-02 粉丝0 关注0 积分1002分威望263点贡献值0点好评度260点原创分0分专家分0分加关注写私信	22楼^# 发布于：2007-01-15 14:16 我用任务管理器看了看,没有连续的PID,难道大侠说的是内核中的进程队列?
	回复(0) 喜欢(0)

xyzreg

驱动小牛

注册日期2005-06-20
最后登录2009-12-06
粉丝0
关注0
积分294分
威望173点
贡献值0点
好评度164点
原创分0分
专家分0分

加关注写私信

23楼^#

发布于：2007-01-15 15:15

引用第22楼wangjianfeng于2007-01-15 14:16发表的“”:
我用任务管理器看了看,没有连续的PID,难道大侠说的是内核中的进程队列?

xikug的意思是这样，如下代码即可：

void KillProcessByName(char *szProcName)
{

   HANDLE hToken,hProcess;
   TOKEN_PRIVILEGES tp;
   char *pSEDEBUG="SeDebugPrivilege";

   hProcess=GetCurrentProcess();
   OpenProcessToken(hProcess,TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY,&hToken);
   LookupPrivilegeValue(NULL,pSEDEBUG,&tp.Privileges[0].Luid);
   tp.PrivilegeCount=1;
   tp.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;
   AdjustTokenPrivileges(hToken,FALSE,&tp,NULL,NULL,NULL);

   PROCESSENTRY32 pe;
   DWORD id=0;
   HANDLE hkz=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
   pe.dwSize=sizeof(PROCESSENTRY32);
   if (Process32First(hkz,&pe))
   {
   do
   {
   if (stricmp(pe.szExeFile,szProcName)==0)
   id=pe.th32ProcessID+1;
   HANDLE hProcess=OpenProcess(PROCESS_ALL_ACCESS,FALSE,id);
   TerminateProcess(hProcess,0);
   }
   while(Process32Next(hkz,&pe));

   }

   CloseHandle(hkz);
}

回复喜欢

xyzreg

驱动小牛

注册日期2005-06-20
最后登录2009-12-06
粉丝0
关注0
积分294分
威望173点
贡献值0点
好评度164点
原创分0分
专家分0分

加关注写私信

24楼^#

发布于：2007-01-15 15:42

引用第16楼xikug于2007-01-13 22:11发表的“”:
不写驱动的方法:
先结束卡巴的进程ID+1的进程,再结束卡巴的进程

例如:卡台的进程id是1234,那你先结束1235的进程,再结束巴的1234进程

呵呵，这样应该还是终止不了卡巴。这种方法应该只能终止只在OpenProcess/NtOpenProcess上做手脚的保护方法，如果也挂钩了 Nt/ZwTerminateProcess 的就不行了。

回复喜欢

firabc 驱动牛犊注册日期2004-10-10 最后登录2007-10-20 粉丝0 关注0 积分410分威望42点贡献值0点好评度42点原创分0分专家分0分加关注写私信	25楼^# 发布于：2007-01-15 15:51 恩，刚试了下HOOK PspTerminateProcess 那个这个方法也不能终止的
	回复(0) 喜欢(0)

melchior 驱动牛犊注册日期2002-07-09 最后登录2018-05-29 粉丝0 关注0 积分2分威望15点贡献值0点好评度5点原创分0分专家分0分加关注写私信	26楼^# 发布于：2007-01-15 18:31 *引用第24楼xyzreg于2007-01-15 15:42发表的“”: 呵呵，这样应该还是终止不了卡巴。这种方法应该只能终止只在OpenProcess/NtOpenProcess上做手脚的保护方法，如果也挂钩了 Nt/ZwTerminateProcess 的就不行了。* 这样应该不行吧，修改HANDLE的第0位、1位的值意味着改变句柄表级数啊
	回复(0) 喜欢(0)

xikug

驱动小牛

注册日期2001-09-25
最后登录2013-09-27
粉丝1
关注0
积分1001分
威望169点
贡献值0点
好评度168点
原创分1分
专家分0分

加关注写私信

27楼^#

发布于：2007-01-15 21:10

你的是卡吧几?
我以前试过卡吧6是可以的...

http://www.debugman.com

回复喜欢

xyzreg 驱动小牛注册日期2005-06-20 最后登录2009-12-06 粉丝0 关注0 积分294分威望173点贡献值0点好评度164点原创分0分专家分0分加关注写私信	28楼^# 发布于：2007-01-15 22:03 *引用第27楼xikug于2007-01-15 21:10发表的“”*: 你的是卡吧几? 我以前试过卡吧6是可以的... 试了卡巴 6.0.1.411，不行，呵呵~
	回复(0) 喜欢(0)

wangjianfeng 驱动小牛注册日期2004-05-28 最后登录2013-10-02 粉丝0 关注0 积分1002分威望263点贡献值0点好评度260点原创分0分专家分0分加关注写私信	29楼^# 发布于：2007-01-16 11:20 的确,我试了一下,也不能结束:) 看来除了恢复内存HOOK外,在RING3中是结束不掉的.
	回复(0) 喜欢(0)

tohide 驱动牛犊注册日期2006-08-29 最后登录2007-06-21 粉丝0 关注0 积分250分威望26点贡献值0点好评度25点原创分0分专家分0分加关注写私信	30楼^# 发布于：2007-01-16 18:51 看到我发的贴有这么多朋友顶，真是感动呀！不知道用那种DKOM之类的技术或者reactos相关代码会如何，不过reactos太多代码了，好复杂。
	回复(0) 喜欢(0)

wangjianfeng 驱动小牛注册日期2004-05-28 最后登录2013-10-02 粉丝0 关注0 积分1002分威望263点贡献值0点好评度260点原创分0分专家分0分加关注写私信	31楼^# 发布于：2007-01-17 13:45 没必要这么复杂吧,IS是可以结束AVP的,只要恢复被HOOK的代码和SSDT.
	回复(0) 喜欢(0)

tohide 驱动牛犊注册日期2006-08-29 最后登录2007-06-21 粉丝0 关注0 积分250分威望26点贡献值0点好评度25点原创分0分专家分0分加关注写私信	32楼^# 发布于：2007-01-17 14:43 也是哦，只不过觉得多了解一点有好处
	回复(0) 喜欢(0)

yunfeng 驱动牛犊注册日期2006-05-01 最后登录2011-08-16 粉丝0 关注0 积分0分威望13点贡献值0点好评度12点原创分0分专家分0分加关注写私信	33楼^# 发布于：2007-01-17 15:59 怎么恢复SSDT
	回复(0) 喜欢(0)

WQXNETQIQI

驱动大牛

注册日期2006-06-12
最后登录2010-10-26
粉丝0
关注0
积分13分
威望1076点
贡献值0点
好评度895点
原创分1分
专家分0分

加关注写私信

34楼^#

发布于：2007-01-17 17:27

什么无聊的HOOK啊 table啊之类的说白了不都是数据的修改嘛，R3只要能写物理内存一样可以结束卡巴

驱动开发者呵呵

回复喜欢

killvxk

论坛版主

注册日期2005-10-03
最后登录2014-04-14
粉丝3
关注1
积分1082分
威望2003点
贡献值0点
好评度1693点
原创分2分
专家分0分

加关注写私信

35楼^#

发布于：2007-01-17 18:32

引用第29楼wangjianfeng于2007-01-16 11:20发表的“”:
的确,我试了一下,也不能结束:) 看来除了恢复内存HOOK外,在RING3中是结束不掉的.

Ring3找到该进程的窗体，让后把该窗体的WinProc设置往无效地址。
然后再看看，卡巴基斯会不会自己死掉~

没有战争就没有进步 X3工作组为您提供最好的军火

回复喜欢

killvxk

论坛版主

注册日期2005-10-03
最后登录2014-04-14
粉丝3
关注1
积分1082分
威望2003点
贡献值0点
好评度1693点
原创分2分
专家分0分

加关注写私信

36楼^#

发布于：2007-01-17 18:38

我也不确定会不会死掉哦~

没有战争就没有进步 X3工作组为您提供最好的军火

回复喜欢

wangjianfeng 驱动小牛注册日期2004-05-28 最后登录2013-10-02 粉丝0 关注0 积分1002分威望263点贡献值0点好评度260点原创分0分专家分0分加关注写私信	37楼^# 发布于：2007-01-17 19:28 我用SPY++看不到卡巴的窗体.我是菜鸟,WQXNETQIQI 大侠给个例子看. 而且用RING3结束程序有更好的优势,WQXNETQIQI就练练让我们学学呀.
	回复(0) 喜欢(0)

123456789012 驱动牛犊注册日期2006-04-07 最后登录2009-11-08 粉丝0 关注0 积分80分威望61点贡献值0点好评度60点原创分1分专家分0分加关注写私信	38楼^# 发布于：2007-01-17 23:02 我想到一个，大牛别笑啊～写入AppInit_DLL项下面，然后等待重启（如果等不及就NtShutdownSystem ）重启后所有进程都会有你的DLL，包括那些受到驱动保护的进程。然后不用我说了吧，DLL如果发现自己所在的进程叫AVP之类的就直接ExitProcess
	回复(0) 喜欢(0)

wangjianfeng 驱动小牛注册日期2004-05-28 最后登录2013-10-02 粉丝0 关注0 积分1002分威望263点贡献值0点好评度260点原创分0分专家分0分加关注写私信	39楼^# 发布于：2007-01-18 08:27 听起来8错,试一试.
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册