驅動開發:內核強制結束進程運行

原創 yshark 2022-10-29 14:25

通常使用Windows系統自帶的任務管理器可以正常地結束掉一般進程,而某些特殊的進程在應用層很難被結束掉,例如某些系統核心進程其權限是在0環內核態,但有時我們不得不想辦法結束掉這些特殊的進程,當然某些正常進程在特殊狀態下也會無法被正常結束,此時使用驅動前行在內核態將其結束掉就變得很有用了,驅動結束進程有多種方法。

  • 1.標準方法就是使用ZwOpenProcess打開進程獲得句柄,然後使用ZwTerminateProcess這個內核API實現結束進程,最後使用ZwClose關閉句柄。
  • 2.第二種方法,通過動態定位的方式找到PspTerminateThreadByPointer這個內核函數地址,然後調用該函數結束掉進程中所有的線程,當線程爲空則進程也就消亡了。
  • 3.第三種方法,我將其稱作是內存清零法,其核心原理是通過打開進程,得到進程的基址,通過內存填充的方式將對端內存全部置0實現類似於結束的效果。

首先是第一種方法結束進程,封裝實現KillProcess函數,用戶傳入lyshark.exe進程名,進程內執行PsGetProcessImageFileName判斷是否是我們要結束的如果是則,調用ZwOpenProcess打開進程,併發送ZwTerminateProcess終止信號從而正常結束,其核心代碼如下所示。

// 署名權
// right to sign one's name on a piece of work
// PowerBy: LyShark
// Email: [email protected]
#include <ntifs.h>

NTKERNELAPI UCHAR* PsGetProcessImageFileName(IN PEPROCESS Process);

// 根據進程ID返回進程EPROCESS結構體,失敗返回NULL
PEPROCESS GetProcessNameByProcessId(HANDLE pid)
{
	PEPROCESS ProcessObj = NULL;
	NTSTATUS Status = STATUS_UNSUCCESSFUL;
	Status = PsLookupProcessByProcessId(pid, &ProcessObj);
	if (NT_SUCCESS(Status))
		return ProcessObj;
	return NULL;
}

// 根據ProcessName獲取到進程的PID號
HANDLE GetPidByProcessName(char *ProcessName)
{
	PEPROCESS pCurrentEprocess = NULL;
	HANDLE pid = 0;
	for (int i = 0; i < 1000000000; i += 4)
	{
		pCurrentEprocess = GetProcessNameByProcessId((HANDLE)i);
		if (pCurrentEprocess != NULL)
		{
			pid = PsGetProcessId(pCurrentEprocess);
			if (strstr(PsGetProcessImageFileName(pCurrentEprocess), ProcessName) != NULL)
			{
				ObDereferenceObject(pCurrentEprocess);
				return pid;
			}
			ObDereferenceObject(pCurrentEprocess);
		}
	}
	return (HANDLE)-1;
}

// 傳入進程名稱,終止掉該進程
BOOLEAN KillProcess(PCHAR ProcessName)
{
	PEPROCESS pCurrentEprocess = NULL;
	HANDLE pid = 0;
	HANDLE Handle = NULL;
	OBJECT_ATTRIBUTES obj;
	CLIENT_ID cid = { 0 };
	NTSTATUS Status = STATUS_UNSUCCESSFUL;

	for (int i = 0; i < 10000000; i += 4)
	{
		pCurrentEprocess = GetProcessNameByProcessId((HANDLE)i);
		if (pCurrentEprocess != NULL)
		{
			pid = PsGetProcessId(pCurrentEprocess);

			// 判斷當前鏡像名稱是否是需要結束的進程
			if (strstr(PsGetProcessImageFileName(pCurrentEprocess), ProcessName) != NULL)
			{
				ObDereferenceObject(pCurrentEprocess);

				// 找到後開始結束
				InitializeObjectAttributes(&obj, NULL, OBJ_KERNEL_HANDLE | OBJ_CASE_INSENSITIVE, NULL, NULL);
				cid.UniqueProcess = (HANDLE)pid;
				cid.UniqueThread = 0;

				// 打開進程
				Status = ZwOpenProcess(&Handle, GENERIC_ALL, &obj, &cid);
				if (NT_SUCCESS(Status))
				{
					// 發送終止信號
					ZwTerminateProcess(Handle, 0);
					ZwClose(Handle);
				}
				ZwClose(Handle);
				return TRUE;
			}
			ObDereferenceObject(pCurrentEprocess);
		}
	}
	return FALSE;
}

VOID UnDriver(PDRIVER_OBJECT driver)
{
	DbgPrint("驅動已卸載 \n");
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
	DbgPrint("hello lyshark.com \n");

	BOOLEAN Retn;
	Retn = KillProcess("lyshark.exe");
	DbgPrint("結束狀態: %d \n", Retn);

	Driver->DriverUnload = UnDriver;
	return STATUS_SUCCESS;
}

我們運行這個驅動,當進程lyshark.exe存在時則可以看到結束效果,當然這種方式只是在內核層面調用了結束進程函數,其本質上還是正常結束,只是這種方式權限要大一些僅此而已。

第二種方法,其原理就是將進程內的線程全部結束掉從而讓進程自動結束,由於PspTerminateThreadByPointer沒有被導出,所以我們需要動態的這個內存地址,然後動態調用即可,這個尋找方法可以總結爲以下步驟。

  • 1.尋找PsTerminateSystemThread函數地址,這個地址可以直接通過MmGetSystemRoutineAddress函數得到。
  • 2.在PsTerminateSystemThread函數地址內向下掃描特徵e80cb6f6ff得到call nt!PspTerminateThreadByPointer地址。

根據《驅動開發:內核枚舉LoadImage映像回調》中使用的SearchMemory函數實現搜索PspTerminateThreadByPointer內存地址。

// 署名權
// right to sign one's name on a piece of work
// PowerBy: LyShark
// Email: [email protected]
#include <ntifs.h>

// 得到PspTerminateThreadByPointer內存地址
PVOID PspTerminateThreadByPointer()
{
	UNICODE_STRING ustrFuncName;
	PVOID pAddress = NULL;
	LONG lOffset = 0;
	PVOID pPsTerminateSystemThread = NULL;
	PVOID pPspTerminateThreadByPointer = NULL;

	// 獲取 PsTerminateSystemThread 函數地址
	RtlInitUnicodeString(&ustrFuncName, L"PsTerminateSystemThread");
	pPsTerminateSystemThread = MmGetSystemRoutineAddress(&ustrFuncName);
	
	DbgPrint("pPsTerminateSystemThread = 0x%p \n", pPsTerminateSystemThread);
	if (NULL == pPsTerminateSystemThread)
	{
		return 0;
	}

	// 查找 PspTerminateThreadByPointer 函數地址

	/*
	1: kd> uf PsTerminateSystemThread
			nt!PsTerminateSystemThread:
			fffff802`254e6a90 4883ec28        sub     rsp,28h
			fffff802`254e6a94 8bd1            mov     edx,ecx
			fffff802`254e6a96 65488b0c2588010000 mov   rcx,qword ptr gs:[188h]
			fffff802`254e6a9f f7417400040000  test    dword ptr [rcx+74h],400h
			fffff802`254e6aa6 0f8444081100    je      nt!PsTerminateSystemThread+0x110860 (fffff802`255f72f0)  Branch

			nt!PsTerminateSystemThread+0x1c:
			fffff802`254e6aac 41b001          mov     r8b,1
			fffff802`254e6aaf e80cb6f6ff      call    nt!PspTerminateThreadByPointer (fffff802`254520c0)

			nt!PsTerminateSystemThread+0x24:
			fffff802`254e6ab4 4883c428        add     rsp,28h
			fffff802`254e6ab8 c3              ret

			nt!PsTerminateSystemThread+0x110860:
			fffff802`255f72f0 b80d0000c0      mov     eax,0C000000Dh
			fffff802`255f72f5 e9baf7eeff      jmp     nt!PsTerminateSystemThread+0x24 (fffff802`254e6ab4)  Branch
	*/

	UCHAR pSpecialData[50] = { 0 };
	ULONG ulSpecialDataSize = 0;

	// fffff802`254e6aaf e80cb6f6ff      call    nt!PspTerminateThreadByPointer (fffff802`254520c0)
	pSpecialData[0] = 0xE8;
	ulSpecialDataSize = 1;

	// 搜索地址 PsTerminateSystemThread --> PsTerminateSystemThread + 0xff 查找 e80cb6f6ff
	pAddress = SearchMemory(pPsTerminateSystemThread, (PVOID)((PUCHAR)pPsTerminateSystemThread + 0xFF), pSpecialData, ulSpecialDataSize);
	if (NULL == pAddress)
	{
		return 0;
	}

	// 先獲取偏移,再計算地址
	lOffset = *(PLONG)pAddress;
	pPspTerminateThreadByPointer = (PVOID)((PUCHAR)pAddress + sizeof(LONG) + lOffset);
	if (NULL == pPspTerminateThreadByPointer)
	{
		return 0;
	}

	return pPspTerminateThreadByPointer;
}

VOID UnDriver(PDRIVER_OBJECT driver)
{
	DbgPrint("驅動已卸載 \n");
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
	DbgPrint("hello lyshark.com \n");

	PVOID address = PspTerminateThreadByPointer();

	DbgPrint("PspTerminateThreadByPointer = 0x%p \n", address);

	Driver->DriverUnload = UnDriver;
	return STATUS_SUCCESS;
}

運行驅動程序,首先得到PspTerminateThreadByPointer的內存地址,效果如下。

得到內存地址以後直接將地址typedef轉爲指針函數,調用並批量結束進程內的線程即可。

// 署名權
// right to sign one's name on a piece of work
// PowerBy: LyShark
// Email: [email protected]
#include <ntifs.h>

typedef NTSTATUS(__fastcall *PSPTERMINATETHREADBYPOINTER) (PETHREAD pEThread, NTSTATUS ntExitCode, BOOLEAN bDirectTerminate);

VOID UnDriver(PDRIVER_OBJECT driver)
{
	DbgPrint("驅動已卸載 \n");
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
	DbgPrint("hello lyshark.com \n");

	PVOID pPspTerminateThreadByPointerAddress = 0xFFFFF802254520C0;
	HANDLE hProcessId = 6956;

	PEPROCESS pEProcess = NULL;
	PETHREAD pEThread = NULL;
	PEPROCESS pThreadEProcess = NULL;
	NTSTATUS status = STATUS_SUCCESS;
	ULONG i = 0;

	// 獲取結束進程的進程結構對象EPROCESS
	status = PsLookupProcessByProcessId(hProcessId, &pEProcess);
	if (!NT_SUCCESS(status))
	{
		return status;
	}
	// 遍歷所有線程, 並結束所有指定進程的線程
	for (i = 4; i < 0x80000; i = i + 4)
	{
		status = PsLookupThreadByThreadId((HANDLE)i, &pEThread);
		if (NT_SUCCESS(status))
		{
			// 獲取線程對應的進程結構對象
			pThreadEProcess = PsGetThreadProcess(pEThread);

			// 結束進程中的線程
			if (pEProcess == pThreadEProcess)
			{
				((PSPTERMINATETHREADBYPOINTER)pPspTerminateThreadByPointerAddress)(pEThread, 0, 1);
				DbgPrint("結束線程: %d \n", i);
			}
			ObDereferenceObject(pEThread);
		}
	}
	ObDereferenceObject(pEProcess);

	Driver->DriverUnload = UnDriver;
	return STATUS_SUCCESS;
}

循環結束進程6956內的所有線程信息,效果如下;

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

async/await 貼臉輸出,這次你總該明白了

出來混總是要還的 最近在準備記錄一個.NET Go核心能力的深度對比, 關於.NET/Go的異步實現總感覺沒敲到點上。 async/await是.NET界老生常談的話題,每至於此,狀態機又是必聊的話題,但是狀態機又是比較晦澀難懂的話題。 [

dotnet 2024-04-16 13:10:37

系統架構基礎知識入門指南-上

接上一篇文章《爲什麼測試要了解系統架構》的內容,這篇聊聊如何掌握基礎的系統架構知識。 從我個人的角度來說,所謂的系統架構,就是對軟件系統整體結構的抽象設計。如何理解這句話呢?舉個生活中常見的例子:如何蓋一座房子? 正常的做法是先勘探地質,

老_張 2024-04-16 13:09:47

ETL工具-nifi乾貨系列 第十二講 nifi處理器UpdateRecord使用教程

1、上一節課我們講解了nifi處理器UpdateAttribute,專門用來更新flowFile的屬性字段。本節課我們一起來學習UpdateRecord,該處理器用來更新flowFile的流文件內容數據,如下圖所示  本節教程比較簡單,涉

慕容塵軒 2024-04-16 13:07:47

ORPO偏好優化:性能和DPO一樣好並且更簡單的對齊方法

現在有許多方法可以使大型語言模型(LLM)與人類偏好保持一致。以人類反饋爲基礎的強化學習(RLHF)是最早的方法之一,並促成了ChatGPT的誕生,但RLHF的成本非常高。與RLHF相比,DPO、IPO和KTO的成本明顯更低,因爲它們不需要

deephub 2024-04-16 13:04:46

aop 階段性概況

前言 對aop進行一個階段性的總結。 正文 首先什麼是aop呢? 那麼首先看aop的解決什麼樣的問題。 public class Program { public static void Main(string[] args)

族語 2024-04-16 12:59:36

Python調用微信OCR識別文字和座標

原理 在看雪看到一篇文章:逆向調用QQ截圖NT與WeChatOCR-軟件逆向。裏面說了怎麼調用微信和QQ本地的OCR模型,還有很詳細的分析過程。 我稍微看了下文章,多的也看不懂。大概流程是使用mmmojo.dll這個dll來與WeChatO

qwertyuiop1822 2024-04-16 12:58:36

教你解決CCE集羣中容器出網

本文分享自華爲雲社區《CCE集羣中容器出網總結》,作者:可以交個朋友。 一 背景 針對CCE集羣和CCE turbo集羣中的容器訪問外部網絡進行總結   二 容器出網簡介 使用EIP服務綁定特定節點、容器IP地址 或者使用SNAT網關對特定

華爲雲開發者社區 2024-04-16 12:58:26

【2024-04-15】降維壓力

20:00 人只因承擔責任纔是自由的。這是生活的真諦。                                                                                            

wc的一些事一些情 2024-04-16 12:57:56

.NET Core 8 部署在 IIS 的簡單三步

.NET 部署 IIS 的簡單步驟一: 下載 dotnet-hosting-x.y.z-win.exe ,下載地址:.NET Downloads (Linux, macOS, and Windows) (microsoft.com)  

路過秋天 2024-04-16 12:57:25

Python這個代碼裏面x=self是什麼意思啊

大家好,我是Python進階者。 一、前言 前幾天在Python白銀交流羣【無敵劈叉小狗】問了一個Python基礎的問題,問題如下:這個代碼裏面x=self是什麼意思啊?self到底是個什麼存在呢?感覺把類本身賦值給x這個點有點抽象。 二

dcpeng 2024-04-16 12:55:25

如何增強Java Excel API 的導入和導出性能

前言 GrapeCity Documents for Excel (以下簡稱GcExcel) 是葡萄城公司的一款服務端表格組件,它提供了一組全面的 API 以編程方式生成 Excel (XLSX) 電子表格文檔的功能,支持爲多個平臺創建、操

葡萄城技術團隊 2024-04-15 14:35:54

LangChain輕鬆入門和開發實踐

LangChain是一個開發語言模型應用的框架。 LangChain能夠簡化開發與語言模型工作流中的複雜部分,幫助開發人員能夠更輕鬆地進行開發,並定製滿足需求的應用。 LangChain有兩大優點,一是它能將外部數據,如文件、其他應用、A

Rickie 2024-04-15 14:34:44

【內部項目預研】對信息分類進行探索

分析輸入信息的類別,目前是一個閉集、但是要按照開集的方式來進行分析;名稱越亂越好,讓系統自己來進行劃分。必須首先考慮傳統的方法;優先考慮數據結構的構建;強化監控機制的構建、首先進行認知和技術積累。一、數據情況找到了清華大學整理的關於體育的新

jsxyhelu 2024-04-15 14:26:53

技術週刊的轉變:如何平衡熱愛與現實?

大家好,我是那個自己打臉自己的貓哥,本來說週刊不做訂閱制的,現在卻推出了訂閱專欄。今天想爲自己辯護一下,同時聊聊技術週刊今後的發展計劃。 首先回顧一下我過去的想法吧,然後再解釋爲什麼會突然出現轉變。 出於對 Python 的熱愛以及對國外幾

豌豆花下貓 2024-04-15 14:22:53

Pytorch DistributedDataParallel(DDP)教程一:快速入門理論篇

一、 寫在前面 隨着深度學習技術的不斷髮展,模型的訓練成本也越來越高。訓練一個高效的通用模型,需要大量的訓練數據和算力。在很多非大模型相關的常規任務上,往往也需要使用多卡來進行並行訓練。在多卡訓練中,最爲常用的就是分佈式數據並行(Distr

李一二 2024-04-15 14:16:12