有一个特定的进程我不能直接用 ZwTerminateProcess 终止,因为它的驱动程序为所述函数注册了一个回调来保护自己。
其他方法:
- 注入 DLL 并调用 ExitProcess
- 使用 KeAttachProcess 附加到其地址空间,然后调用 ZwTerminateProcess(导致 BSOD IRQL_NOT_LESS_OR_EQUAL)
- MmUnmapViewOfSection(导致 BSOD,因为程序试图写入不可读的内存)
进程黑客是如何做到的?
有一个特定的进程我不能直接用 ZwTerminateProcess 终止,因为它的驱动程序为所述函数注册了一个回调来保护自己。
其他方法:
进程黑客是如何做到的?
如ExpandEnvironmentSettings
中所示kernel32.dll
,您应该能够使用未记录的内核例程调用它KeUserModeCallback
,如https://thisissecurity.net/2014/04/08/how-to-run-userland-code-from-the-kernel-中所述在 Windows/。