tohide
驱动牛犊
驱动牛犊
  • 注册日期2006-08-29
  • 最后登录2007-06-21
  • 粉丝0
  • 关注0
  • 积分250分
  • 威望26点
  • 贡献值0点
  • 好评度25点
  • 原创分0分
  • 专家分0分
阅读:13506回复:62

怎样编程结束卡巴斯基进程咯

楼主#
更多 发布于:2007-01-06 22:24
  用icesword可以结束这个进程,但我想弄清楚原理哦,哪位高人指教一下。
提升权限为debug 也只能结束system用户的部分进程,但拿卡巴斯基没办法。

最新喜欢:

always586always... lpheartlphear... yunfengyunfen...
wowocock
VIP专家组
VIP专家组
  • 注册日期2002-04-08
  • 最后登录2016-01-09
  • 粉丝16
  • 关注2
  • 积分601分
  • 威望1651点
  • 贡献值1点
  • 好评度1227点
  • 原创分1分
  • 专家分0分
沙发#
发布于:2007-01-07 10:18
APC
花开了,然后又会凋零,星星是璀璨的,可那光芒也会消失。在这样 一瞬间,人降生了,笑者,哭着,战斗,伤害,喜悦,悲伤憎恶,爱。一切都只是刹那间的邂逅,而最后都要归入死亡的永眠
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
板凳#
发布于:2007-01-07 10:20
PspTerminateProcess也许可以?
驱动开发者 呵呵
tohide
驱动牛犊
驱动牛犊
  • 注册日期2006-08-29
  • 最后登录2007-06-21
  • 粉丝0
  • 关注0
  • 积分250分
  • 威望26点
  • 贡献值0点
  • 好评度25点
  • 原创分0分
  • 专家分0分
地板#
发布于:2007-01-07 12:17
正在实验中........
谢了先!
tohide
驱动牛犊
驱动牛犊
  • 注册日期2006-08-29
  • 最后登录2007-06-21
  • 粉丝0
  • 关注0
  • 积分250分
  • 威望26点
  • 贡献值0点
  • 好评度25点
  • 原创分0分
  • 专家分0分
地下室#
发布于:2007-01-07 12:59
异步过程调用 ? 去看看
yaoyu
驱动中牛
驱动中牛
  • 注册日期2002-08-14
  • 最后登录2009-11-28
  • 粉丝0
  • 关注0
  • 积分1005分
  • 威望350点
  • 贡献值2点
  • 好评度295点
  • 原创分0分
  • 专家分0分
5楼#
发布于:2007-01-07 14:18
PspTerminateProcess ,APC 对于卡巴都是可以的了。
xyzreg
驱动小牛
驱动小牛
  • 注册日期2005-06-20
  • 最后登录2009-12-06
  • 粉丝0
  • 关注0
  • 积分294分
  • 威望173点
  • 贡献值0点
  • 好评度164点
  • 原创分0分
  • 专家分0分
6楼#
发布于:2007-01-07 15:09
引用第5楼yaoyu2007-01-07 14:18发表的“”:
PspTerminateProcess ,APC 对于卡巴都是可以的了。

记得APC对喀吧无效的吧,PspTerminateProcess 可以的。或者恢复卡巴相关的hook,恢复SSDT的代码网上有,恢复Inline hook的可看我之前的那篇文章:http://www.xyzreg.net/blog/read.php?24
tohide
驱动牛犊
驱动牛犊
  • 注册日期2006-08-29
  • 最后登录2007-06-21
  • 粉丝0
  • 关注0
  • 积分250分
  • 威望26点
  • 贡献值0点
  • 好评度25点
  • 原创分0分
  • 专家分0分
7楼#
发布于:2007-01-07 18:29
好人真多呢  哈哈
yunfeng
驱动牛犊
驱动牛犊
  • 注册日期2006-05-01
  • 最后登录2011-08-16
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望13点
  • 贡献值0点
  • 好评度12点
  • 原创分0分
  • 专家分0分
8楼#
发布于:2007-01-07 19:27
引用第6楼xyzreg2007-01-07 15:09发表的“”:

记得APC对喀吧无效的吧,PspTerminateProcess 可以的。或者恢复卡巴相关的hook,恢复SSDT的代码网上有,恢复Inline hook的可看我之前的那篇文章:http://www.xyzreg.net/blog/read.php?24

哪里有恢复SSDT的代码,怎么找不到
lyj790503
驱动牛犊
驱动牛犊
  • 注册日期2005-06-08
  • 最后登录2009-09-02
  • 粉丝0
  • 关注0
  • 积分7分
  • 威望55点
  • 贡献值0点
  • 好评度52点
  • 原创分0分
  • 专家分0分
9楼#
发布于:2007-01-10 16:42
www.rootkit.com上面有个应用层恢复ssdt,名字是sdtrestore,可能海底光缆还没有修好,不能访问。驱动层需要自己分析ntoskrnl.exe,现成的源码好象没有,但网上有方法,分析pe文件,找到原始ssdt
wangjianfeng
驱动小牛
驱动小牛
  • 注册日期2004-05-28
  • 最后登录2013-10-02
  • 粉丝0
  • 关注0
  • 积分1002分
  • 威望263点
  • 贡献值0点
  • 好评度260点
  • 原创分0分
  • 专家分0分
10楼#
发布于:2007-01-10 19:23
在卡巴下恢复SDT是被认为是病毒行为,把你杀了!
tohide
驱动牛犊
驱动牛犊
  • 注册日期2006-08-29
  • 最后登录2007-06-21
  • 粉丝0
  • 关注0
  • 积分250分
  • 威望26点
  • 贡献值0点
  • 好评度25点
  • 原创分0分
  • 专家分0分
11楼#
发布于:2007-01-10 23:03
http://www.xyzreg.net/blog/read.php?24上的文章 一加载就蓝屏,难道要加载过后马上结束is,然后再inline回去 ?刚刚在2k中试的 ,马上换到xp试.马上softice 具体问题具体分析去
xyzreg
驱动小牛
驱动小牛
  • 注册日期2005-06-20
  • 最后登录2009-12-06
  • 粉丝0
  • 关注0
  • 积分294分
  • 威望173点
  • 贡献值0点
  • 好评度164点
  • 原创分0分
  • 专家分0分
12楼#
发布于:2007-01-11 23:45
引用第11楼tohide2007-01-10 23:03发表的“”:
http://www.xyzreg.net/blog/read.php?24上的文章 一加载就蓝屏,难道要加载过后马上结束is,然后再inline回去 ?刚刚在2k中试的 ,马上换到xp试.马上softice 具体问题具体分析去

汗,那是教学科普用的,只对XP。你用于实战的话你自己修改一下。授渔非授鱼~
tohide
驱动牛犊
驱动牛犊
  • 注册日期2006-08-29
  • 最后登录2007-06-21
  • 粉丝0
  • 关注0
  • 积分250分
  • 威望26点
  • 贡献值0点
  • 好评度25点
  • 原创分0分
  • 专家分0分
13楼#
发布于:2007-01-12 08:09
呵呵 收到了
xyzreg
驱动小牛
驱动小牛
  • 注册日期2005-06-20
  • 最后登录2009-12-06
  • 粉丝0
  • 关注0
  • 积分294分
  • 威望173点
  • 贡献值0点
  • 好评度164点
  • 原创分0分
  • 专家分0分
14楼#
发布于:2007-01-12 19:36
PspTerminateProcess的各种Win平台下的硬编码已在 http://bbs.driverdevelop.com/read.php?tid-98217.html  的回帖中给出~
tohide
驱动牛犊
驱动牛犊
  • 注册日期2006-08-29
  • 最后登录2007-06-21
  • 粉丝0
  • 关注0
  • 积分250分
  • 威望26点
  • 贡献值0点
  • 好评度25点
  • 原创分0分
  • 专家分0分
15楼#
发布于:2007-01-13 14:29
引用第14楼xyzreg2007-01-12 19:36发表的“”:
PspTerminateProcess的各种Win平台下的硬编码已在 http://bbs.driverdevelop.com/read.php?tid-98217.html  的回帖中给出~

 感动中.......感谢xyzreg无私的奉献!!!!!!
xikug
驱动小牛
驱动小牛
  • 注册日期2001-09-25
  • 最后登录2013-09-27
  • 粉丝1
  • 关注0
  • 积分1001分
  • 威望169点
  • 贡献值0点
  • 好评度168点
  • 原创分1分
  • 专家分0分
16楼#
发布于:2007-01-13 22:11
不写驱动的方法:
先结束卡巴的进程ID+1的进程,再结束卡巴的进程

例如:卡台的进程id是1234,那你先结束1235的进程,再结束巴的1234进程
http://www.debugman.com
tohide
驱动牛犊
驱动牛犊
  • 注册日期2006-08-29
  • 最后登录2007-06-21
  • 粉丝0
  • 关注0
  • 积分250分
  • 威望26点
  • 贡献值0点
  • 好评度25点
  • 原创分0分
  • 专家分0分
17楼#
发布于:2007-01-13 22:20
引用第16楼xikug2007-01-13 22:11发表的“”:
不写驱动的方法:
先结束卡巴的进程ID+1的进程,再结束卡巴的进程

例如:卡台的进程id是1234,那你先结束1235的进程,再结束巴的1234进程

哥哥你这个是什么原理噢
xikug
驱动小牛
驱动小牛
  • 注册日期2001-09-25
  • 最后登录2013-09-27
  • 粉丝1
  • 关注0
  • 积分1001分
  • 威望169点
  • 贡献值0点
  • 好评度168点
  • 原创分1分
  • 专家分0分
18楼#
发布于:2007-01-13 22:23
呵呵...你试试就知道了...
http://www.debugman.com
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
19楼#
发布于:2007-01-14 17:44
这个其实是利用了Windows Handle表的一个小小的特性~~
没有战争就没有进步 X3工作组 为您提供最好的军火
上一页
游客

返回顶部