公司也是做DLP数据防泄漏的,客户机器上装了免费的火绒安全软件就能杀死我们的进程了,这怎么能行那?客户还不允许火绒剑不好使,那没有办法就大概看一下火绒剑是怎么杀死进程的。
使用上我们的PCHUNTER工具,卸载掉火绒的驱动,试一下。结果火绒剑弹出了错误的弹窗。
看到了ZwTerminateProcess函数,这还用想嘛,肯定是调用了这个函数的哇。直接按X查看交叉引用,一共有3个驱动函数调用这个API了,这不简单了吗,直接上WINDBG双机调试,看看它们能不能断下来!哇!我的天哇,果然没有那么简单这3个函数都没有调用,难道它写一个这个结束进程一点用没有?
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
逆向爱好者 驱动怎么返回程序句柄给R3程序?