Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
我正在编写一个将终止任何给定进程的程序。链接到我的代码:链接
我希望它终止任何进程,绕过任何钩子。但是安全软件仍然可以阻止终止(到目前为止我已经用沙盒和 processguard 进行了测试)?
我不明白他们怎么能做到这一点。我的程序重写了函数,我希望以这种方式删除钩子。
我怎样才能绕过钩子?我在这段代码中错过了什么?
PS:这个程序在第三次 ZwTerminateProcess 调用中崩溃。有人可以帮忙吗?
提前致谢。
有时,反病毒软件和沙盒软件最终会修改内核中的函数指针表。如果不编写驱动程序,就没有简单的方法来解决这个问题,因为该功能可能会在系统范围内被禁用(AV 的功能)或特定应用程序(沙盒会做什么)。
如果你真的能够打开进程的句柄,你仍然可以做很多事情。也许您可以尝试间接杀死它。我会尝试直接写入进程的内存并用垃圾(或调用 ExitProcess)覆盖它。