1

有一个特定的进程我不能直接用 ZwTerminateProcess 终止,因为它的驱动程序为所述函数注册了一个回调来保护自己。

其他方法:

  • 注入 DLL 并调用 ExitProcess
  • 使用 KeAttachProcess 附加到其地址空间,然后调用 ZwTerminateProcess(导致 BSOD IRQL_NOT_LESS_OR_EQUAL)
  • MmUnmapViewOfSection(导致 BSOD,因为程序试图写入不可读的内存)

进程黑客是如何做到的?

4

1 回答 1

0

ExpandEnvironmentSettings中所示kernel32.dll,您应该能够使用未记录的内核例程调用它KeUserModeCallback,如https://thisissecurity.net/2014/04/08/how-to-run-userland-code-from-the-kernel-中所述在 Windows/

于 2016-10-09T10:56:47.207 回答