[分享]taskmgr.exe 结束任务-编程技术-看雪-安全社区|安全招聘|kanxue.com

[分享]taskmgr.exe 结束任务

发表于: 2012-9-5 11:19 21639

[分享]taskmgr.exe 结束任务

guxinyi

2012-9-5 11:19

21639

查看主题内容

收藏・14

免费・6

支持

最新回复 (51) ◀ 1 2 3 ▶
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 26 楼我是说12楼那个 2012-9-5 16:40 0
guxinyi 雪币： 585 活跃值： (573) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 27 楼我在想，驱动是通过判断进程eprocess和路径来实现的，如果吧杀进程的路径改了，驱动也会判断失效的。只要我自己的程序在退出的时候搞点东西，这样就没什么问题了。 2012-9-5 16:41 0
guxinyi 雪币： 585 活跃值： (573) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 28 楼 12楼那个是可以关，你是通过关主线程来实现的。我没有hook TerminateThread，还得再改改。。上传的附件： 121212.PNG （11.47kb，194次下载） 2012-9-5 16:46 0
靴子雪币： 22 活跃值： (453) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 525 粉丝 1 关注私信	靴子 29 楼关于结束进程的种种请看这里应该是最全的了 - - http://bbs.pediy.com/forumdisplay.php?f=76&prefixid=phpforce_54 2012-9-5 17:26 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 30 楼那都是多少年的老黄历了。 2012-9-5 17:40 0
靴子雪币： 22 活跃值： (453) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 525 粉丝 1 关注私信	靴子 31 楼可笑。。 http://bbs.pediy.com/showthread.php?t=50780&prefixid=phpforce_54 看1楼 OpenThread ---> TerminateThread 难道你用的方法是新黄历的？ 2012-9-5 17:56 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 32 楼我没说是新黄历啊，我只是说你的那些也是老的而已，这个帖子里，当然是能干掉楼主的保护就行，如果楼主的保护老黄历搞不了，自然能有新的再说，14楼那个你的黄历里没有吧，因为是针对楼主的写法的缺陷来打的，这就叫随机应变，千变万化，飞花摘叶，亦可杀人。楼主新版这么一改倒也挺搞笑的，随便什么文件打不开就保护了，我机器上IE什么的全被保护了～ 2012-9-5 18:22 0
hatling 雪币： 229 活跃值： (508) 能力值： ( LV10，RANK：170 ) 在线值：发帖 44 回帖 218 粉丝 5 关注私信	hatling 3 33 楼 SetWindowsHookEx(WH_GETMESSAGE,(HOOKPROC)ExitProcess,GetModuleHandle(L"KERNEL32"),YouThreadId); getchar(); //////////////////////// SetWindowsHookEx(WH_GETMESSAGE,(HOOKPROC)ExitProcess,GetModuleHandle(L"KERNEL32"),YouThreadId); PostMessage(HWND_BROADCAST,RegisterWindowMessage(L"XXXXXXXXXXXX"),0,0); 2012-9-5 20:40 0
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 34 楼你们开始玩复古了? 2012-9-5 20:57 0
ycmint 雪币： 1149 活跃值： (888) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 35 楼枚举xx 表直接结束... 2012-9-5 23:50 0
天涯一鸿雪币： 1040 活跃值： (1293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 36 楼有意思么……我记得MJ几百年前的那个DEMO就没人能结束掉 2012-9-5 23:53 0
guxinyi 雪币： 585 活跃值： (573) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 37 楼进程防杀我没搞过，它是不是很老的东西，跟我无关。对我来说，没搞过的东西就是新东西。会的鸟赶紧飞开就是了。更新了程序，增加了对terminatethread的hook ，并修复了一些漏洞。现在不管oooshit.exe，还是oooshit2.exe都杀不了了。顺便说1下， oooshit.exe是通过枚举进程信息，然后用terminatethread来杀主线程；而oooshit2.exe就有点的猥琐了，我估计kman看了下我的驱动，才这样搞的。在驱动里，我是把内核路径转换为dos路径进行比较，转的过程中会打开需要保护的进程文件。而oooshit2.exe就是先把要保护的进程文件打开了，然后我在驱动中打开文件时就会报错，所以无法将内核路径转换为dos路径，就无法比较了。呵呵，kman的思路很好，非常感谢。我现在的比较函数如下，kman继续搞搞看。 BOOL IsNeedProtectEx( IN PEPROCESS pEProcess ) { BOOL bRet = FALSE; UNICODE_STRING uniDosPath; PUNICODE_STRING pImageFileName = NULL; if( wcslen( g_wszDestPath ) > 0 && GetProcessImagePath( pEProcess, &pImageFileName ) ) { if( ConvertKernelPathToDosPath( pImageFileName, &uniDosPath ) ) // 比较dos路径 { if( _wcsicmp( uniDosPath.Buffer, g_wszDestPath ) == 0 ) { bRet = TRUE; DbgOutput( "\r\nIn IsNeedProtectEx(), Process{%wZ} is being protected.", pImageFileName ); } } else // 无法得到dos路径，则比较内核路径 { WCHAR szKrnlPath[ MAX_PATH + 20 ] = { 0 }; if( ConvertDosPathToKrnlPath( g_wszDestPath, szKrnlPath ) ) { if( _wcsicmp( pImageFileName->Buffer, szKrnlPath ) == 0 ) { bRet = TRUE; DbgOutput( "\r\nIn IsNeedProtectEx(), Process{%wZ} is being protected.", pImageFileName ); } } } ExFreePool( pImageFileName ); } return bRet; } 2012-9-6 02:14 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 38 楼保护个process有这么复杂么？对于高版本的Windows直接 PsAcquireProcessExitSynchronization(Process) 然后就各种打不开了，结束不掉了~ 2012-9-6 07:06 0
guxinyi 雪币： 585 活跃值： (573) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 39 楼这里只是在xp下， 2012-9-6 08:59 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 40 楼我喜欢 guxinyi 支持 guxinyi 2012-9-6 09:23 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 41 楼我不搞了，他们都笑话我玩复古。 2012-9-6 11:07 0
guxinyi 雪币： 585 活跃值： (573) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 42 楼淡定，等我把win7的搞出来你再搞， 2012-9-6 11:32 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 43 楼个人觉得研究这种东西意思不大 2012-9-6 19:50 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 44 楼 XP也一样把rundown 加一下，瞬间各种不能结束~ 2012-9-7 14:11 0
yjd 雪币： 2882 活跃值： (1279) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 778 粉丝 1 关注私信	yjd 45 楼 XP也一样把rundown 加一下，瞬间各种不能结束~ 老v貌似啥都知道xxx 2012-9-7 17:47 0
张振江雪币： 122 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 226 粉丝 0 关注私信	张振江 46 楼这种东西值得研究，研究研究研究着，各种纰漏各种新招就浮生水面了，研究XP的稍微有点 …… 2012-9-7 19:14 0
comeon 雪币： 326 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 208 粉丝 0 关注私信	comeon 47 楼 TerminateProcess pid + 1 +2 +3 可有过滤？ 2012-9-13 17:36 0
guxinyi 雪币： 585 活跃值： (573) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 48 楼我在xp下试了一下，加了ExAcquireRundownProtection后，杀进程后其进程信息还在，但是却把程序界面关掉了。无意义。 { PEPROCESS pProcess = NULL; HANDLE ProcessHandle = NULL; CLIENT_ID ClientId; OBJECT_ATTRIBUTES ObjectAttributes; ClientId.UniqueProcess = (HANDLE)1540; ClientId.UniqueThread = NULL; InitializeObjectAttributes( &ObjectAttributes, NULL, 0, NULL, NULL ); ntStatus = ZwOpenProcess( &ProcessHandle, PROCESS_ALL_ACCESS, &ObjectAttributes, &ClientId ); if( NT_SUCCESS( ntStatus ) ) { ntStatus = ObReferenceObjectByHandle( ProcessHandle, PROCESS_ALL_ACCESS, NULL, KernelMode, (PVOID*)&pProcess, NULL ); if( NT_SUCCESS( ntStatus ) ) { PEX_RUNDOWN_REF pRef = (PEX_RUNDOWN_REF)( (PBYTE)pProcess + 0x080 ); // pProcess->RundownProtect if( ExAcquireRundownProtection( pRef ) ) DbgOutput( "\r\nExAcquireRundownProtection() success." ); else DbgBreakPoint(); ObDereferenceObject( pProcess ); } else DbgBreakPoint(); ZwClose( ProcessHandle ); } else DbgBreakPoint(); } 上传的附件： 1213.PNG （37.72kb，21次下载） 2012-9-26 15:29 0
guxinyi 雪币： 585 活跃值： (573) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 49 楼 “保护个process有这么复杂么？对于高版本的Windows直接 PsAcquireProcessExitSynchronization(Process) 然后就各种打不开了，结束不掉了~ ” win7下也跟xp下一样， { PEPROCESS pProcess = NULL; HANDLE ProcessHandle = NULL; CLIENT_ID ClientId; OBJECT_ATTRIBUTES ObjectAttributes; ClientId.UniqueProcess = (HANDLE)2580; ClientId.UniqueThread = NULL; InitializeObjectAttributes( &ObjectAttributes, NULL, 0, NULL, NULL ); ntStatus = ZwOpenProcess( &ProcessHandle, PROCESS_ALL_ACCESS, &ObjectAttributes, &ClientId ); if( NT_SUCCESS( ntStatus ) ) { ntStatus = ObReferenceObjectByHandle( ProcessHandle, PROCESS_ALL_ACCESS, NULL, KernelMode, (PVOID*)&pProcess, NULL ); if( NT_SUCCESS( ntStatus ) ) { ntStatus = PsAcquireProcessExitSynchronization( pProcess ); if( NT_SUCCESS( ntStatus ) ) DbgOutput( "\r\nPsAcquireProcessExitSynchronization() success." ); else DbgBreakPoint(); ObDereferenceObject( pProcess ); } else DbgBreakPoint(); ZwClose( ProcessHandle ); } else DbgBreakPoint(); } 上传的附件： 222.PNG （19.47kb，21次下载） 2012-9-26 15:52 0
ruoko 雪币： 122 活跃值： (72) 能力值： ( LV3，RANK：30 ) 在线值：发帖 35 回帖 226 粉丝 0 关注私信	ruoko 50 楼楼主，我和你有源啊。速速看看源码。 2012-9-26 15:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

guxinyi

发帖

681

回帖

290

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (51) ◀ 1 2 3 ▶
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 26 楼我是说12楼那个 2012-9-5 16:40 0
guxinyi 雪币： 585 活跃值： (573) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 27 楼我在想，驱动是通过判断进程eprocess和路径来实现的，如果吧杀进程的路径改了，驱动也会判断失效的。只要我自己的程序在退出的时候搞点东西，这样就没什么问题了。 2012-9-5 16:41 0
guxinyi 雪币： 585 活跃值： (573) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 28 楼 12楼那个是可以关，你是通过关主线程来实现的。我没有hook TerminateThread，还得再改改。。上传的附件： 121212.PNG （11.47kb，194次下载） 2012-9-5 16:46 0
靴子雪币： 22 活跃值： (453) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 525 粉丝 1 关注私信	靴子 29 楼关于结束进程的种种请看这里应该是最全的了 - - http://bbs.pediy.com/forumdisplay.php?f=76&prefixid=phpforce_54 2012-9-5 17:26 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 30 楼那都是多少年的老黄历了。 2012-9-5 17:40 0
靴子雪币： 22 活跃值： (453) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 525 粉丝 1 关注私信	靴子 31 楼可笑。。 http://bbs.pediy.com/showthread.php?t=50780&prefixid=phpforce_54 看1楼 OpenThread ---> TerminateThread 难道你用的方法是新黄历的？ 2012-9-5 17:56 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 32 楼我没说是新黄历啊，我只是说你的那些也是老的而已，这个帖子里，当然是能干掉楼主的保护就行，如果楼主的保护老黄历搞不了，自然能有新的再说，14楼那个你的黄历里没有吧，因为是针对楼主的写法的缺陷来打的，这就叫随机应变，千变万化，飞花摘叶，亦可杀人。楼主新版这么一改倒也挺搞笑的，随便什么文件打不开就保护了，我机器上IE什么的全被保护了～ 2012-9-5 18:22 0
hatling 雪币： 229 活跃值： (508) 能力值： ( LV10，RANK：170 ) 在线值：发帖 44 回帖 218 粉丝 5 关注私信	hatling 3 33 楼 SetWindowsHookEx(WH_GETMESSAGE,(HOOKPROC)ExitProcess,GetModuleHandle(L"KERNEL32"),YouThreadId); getchar(); //////////////////////// SetWindowsHookEx(WH_GETMESSAGE,(HOOKPROC)ExitProcess,GetModuleHandle(L"KERNEL32"),YouThreadId); PostMessage(HWND_BROADCAST,RegisterWindowMessage(L"XXXXXXXXXXXX"),0,0); 2012-9-5 20:40 0
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 34 楼你们开始玩复古了? 2012-9-5 20:57 0
ycmint 雪币： 1149 活跃值： (888) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 35 楼枚举xx 表直接结束... 2012-9-5 23:50 0
天涯一鸿雪币： 1040 活跃值： (1293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 36 楼有意思么……我记得MJ几百年前的那个DEMO就没人能结束掉 2012-9-5 23:53 0
guxinyi 雪币： 585 活跃值： (573) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 37 楼进程防杀我没搞过，它是不是很老的东西，跟我无关。对我来说，没搞过的东西就是新东西。会的鸟赶紧飞开就是了。更新了程序，增加了对terminatethread的hook ，并修复了一些漏洞。现在不管oooshit.exe，还是oooshit2.exe都杀不了了。顺便说1下， oooshit.exe是通过枚举进程信息，然后用terminatethread来杀主线程；而oooshit2.exe就有点的猥琐了，我估计kman看了下我的驱动，才这样搞的。在驱动里，我是把内核路径转换为dos路径进行比较，转的过程中会打开需要保护的进程文件。而oooshit2.exe就是先把要保护的进程文件打开了，然后我在驱动中打开文件时就会报错，所以无法将内核路径转换为dos路径，就无法比较了。呵呵，kman的思路很好，非常感谢。我现在的比较函数如下，kman继续搞搞看。 BOOL IsNeedProtectEx( IN PEPROCESS pEProcess ) { BOOL bRet = FALSE; UNICODE_STRING uniDosPath; PUNICODE_STRING pImageFileName = NULL; if( wcslen( g_wszDestPath ) > 0 && GetProcessImagePath( pEProcess, &pImageFileName ) ) { if( ConvertKernelPathToDosPath( pImageFileName, &uniDosPath ) ) // 比较dos路径 { if( _wcsicmp( uniDosPath.Buffer, g_wszDestPath ) == 0 ) { bRet = TRUE; DbgOutput( "\r\nIn IsNeedProtectEx(), Process{%wZ} is being protected.", pImageFileName ); } } else // 无法得到dos路径，则比较内核路径 { WCHAR szKrnlPath[ MAX_PATH + 20 ] = { 0 }; if( ConvertDosPathToKrnlPath( g_wszDestPath, szKrnlPath ) ) { if( _wcsicmp( pImageFileName->Buffer, szKrnlPath ) == 0 ) { bRet = TRUE; DbgOutput( "\r\nIn IsNeedProtectEx(), Process{%wZ} is being protected.", pImageFileName ); } } } ExFreePool( pImageFileName ); } return bRet; } 2012-9-6 02:14 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 38 楼保护个process有这么复杂么？对于高版本的Windows直接 PsAcquireProcessExitSynchronization(Process) 然后就各种打不开了，结束不掉了~ 2012-9-6 07:06 0
guxinyi 雪币： 585 活跃值： (573) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 39 楼这里只是在xp下， 2012-9-6 08:59 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 40 楼我喜欢 guxinyi 支持 guxinyi 2012-9-6 09:23 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 41 楼我不搞了，他们都笑话我玩复古。 2012-9-6 11:07 0
guxinyi 雪币： 585 活跃值： (573) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 42 楼淡定，等我把win7的搞出来你再搞， 2012-9-6 11:32 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 43 楼个人觉得研究这种东西意思不大 2012-9-6 19:50 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 44 楼 XP也一样把rundown 加一下，瞬间各种不能结束~ 2012-9-7 14:11 0
yjd 雪币： 2882 活跃值： (1279) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 778 粉丝 1 关注私信	yjd 45 楼 XP也一样把rundown 加一下，瞬间各种不能结束~ 老v貌似啥都知道xxx 2012-9-7 17:47 0
张振江雪币： 122 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 226 粉丝 0 关注私信	张振江 46 楼这种东西值得研究，研究研究研究着，各种纰漏各种新招就浮生水面了，研究XP的稍微有点 …… 2012-9-7 19:14 0
comeon 雪币： 326 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 208 粉丝 0 关注私信	comeon 47 楼 TerminateProcess pid + 1 +2 +3 可有过滤？ 2012-9-13 17:36 0
guxinyi 雪币： 585 活跃值： (573) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 48 楼我在xp下试了一下，加了ExAcquireRundownProtection后，杀进程后其进程信息还在，但是却把程序界面关掉了。无意义。 { PEPROCESS pProcess = NULL; HANDLE ProcessHandle = NULL; CLIENT_ID ClientId; OBJECT_ATTRIBUTES ObjectAttributes; ClientId.UniqueProcess = (HANDLE)1540; ClientId.UniqueThread = NULL; InitializeObjectAttributes( &ObjectAttributes, NULL, 0, NULL, NULL ); ntStatus = ZwOpenProcess( &ProcessHandle, PROCESS_ALL_ACCESS, &ObjectAttributes, &ClientId ); if( NT_SUCCESS( ntStatus ) ) { ntStatus = ObReferenceObjectByHandle( ProcessHandle, PROCESS_ALL_ACCESS, NULL, KernelMode, (PVOID*)&pProcess, NULL ); if( NT_SUCCESS( ntStatus ) ) { PEX_RUNDOWN_REF pRef = (PEX_RUNDOWN_REF)( (PBYTE)pProcess + 0x080 ); // pProcess->RundownProtect if( ExAcquireRundownProtection( pRef ) ) DbgOutput( "\r\nExAcquireRundownProtection() success." ); else DbgBreakPoint(); ObDereferenceObject( pProcess ); } else DbgBreakPoint(); ZwClose( ProcessHandle ); } else DbgBreakPoint(); } 上传的附件： 1213.PNG （37.72kb，21次下载） 2012-9-26 15:29 0
guxinyi 雪币： 585 活跃值： (573) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 49 楼 “保护个process有这么复杂么？对于高版本的Windows直接 PsAcquireProcessExitSynchronization(Process) 然后就各种打不开了，结束不掉了~ ” win7下也跟xp下一样， { PEPROCESS pProcess = NULL; HANDLE ProcessHandle = NULL; CLIENT_ID ClientId; OBJECT_ATTRIBUTES ObjectAttributes; ClientId.UniqueProcess = (HANDLE)2580; ClientId.UniqueThread = NULL; InitializeObjectAttributes( &ObjectAttributes, NULL, 0, NULL, NULL ); ntStatus = ZwOpenProcess( &ProcessHandle, PROCESS_ALL_ACCESS, &ObjectAttributes, &ClientId ); if( NT_SUCCESS( ntStatus ) ) { ntStatus = ObReferenceObjectByHandle( ProcessHandle, PROCESS_ALL_ACCESS, NULL, KernelMode, (PVOID*)&pProcess, NULL ); if( NT_SUCCESS( ntStatus ) ) { ntStatus = PsAcquireProcessExitSynchronization( pProcess ); if( NT_SUCCESS( ntStatus ) ) DbgOutput( "\r\nPsAcquireProcessExitSynchronization() success." ); else DbgBreakPoint(); ObDereferenceObject( pProcess ); } else DbgBreakPoint(); ZwClose( ProcessHandle ); } else DbgBreakPoint(); } 上传的附件： 222.PNG （19.47kb，21次下载） 2012-9-26 15:52 0
ruoko 雪币： 122 活跃值： (72) 能力值： ( LV3，RANK：30 ) 在线值：发帖 35 回帖 226 粉丝 0 关注私信	ruoko 50 楼楼主，我和你有源啊。速速看看源码。 2012-9-26 15:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复