有一个特定的进程我不能直接用 ZwTerminateProcess 终止,因为它的驱动程序为所述函数注册了一个回调来保护自己。
其他方法:
- 注入 DLL 并调用 ExitProcess
- 使用 KeAttachProcess 附加到其地址空间,然后调用 ZwTerminateProcess(导致 BSOD IRQL_NOT_LESS_OR_EQUAL)
- MmUnmapViewOfSection(导致 BSOD,因为程序试图写入不可读的内存)
进程黑客是如何做到的?
问问题
366 次
1 回答
0
如ExpandEnvironmentSettings中所示kernel32.dll,您应该能够使用未记录的内核例程调用它KeUserModeCallback,如https://thisissecurity.net/2014/04/08/how-to-run-userland-code-from-the-kernel-中所述在 Windows/。
于 2016-10-09T10:56:47.207 回答