不通过OpenProcess以及枚举进程函数杀除远程进程有哪些方法？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

不通过OpenProcess以及枚举进程函数杀除远程进程有哪些方法？

发表于: 2006-9-21 08:45 6372

不通过OpenProcess以及枚举进程函数杀除远程进程有哪些方法？

鸡蛋壳

活跃值

2006-9-21 08:45

6372

RING0 HOOK了 OP以及QS函数进程处于隐藏自我防杀状态，WIN任务管理器可以用窗口那一栏的结束任务可以结束此进程。只是问RING3还有哪些方法可以结束这类进程，RINGO的话那就完全没什么好说的了。

[课程]FART 脱壳王！加量不加价！FART作者讲授！

收藏・1

免费・0

支持

分享

最新回复 (18)
thinkSJ 雪币： 196 活跃值： (135) 能力值： ( LV10，RANK：170 ) 在线值：发帖 9 回帖 611 粉丝 1 关注私信	thinkSJ 4 2 楼应该可以注入一个DLL，然后在DLL中执行类似下面的代码，便可以结束进程： char szFileName[512] = {"0"}; char *szName = NULL; ::GetModuleFileName (NULL,szFileName,512); szName = strrchr(szFileName,(int)'\\'); if(strcmp(szName+1,"notepad.exe") ==0) { ::ExitProcess (0); } break; 2006-9-21 11:20 0
morning 雪币： 367 活跃值： (20) 能力值： ( LV5，RANK：70 ) 在线值：发帖 36 回帖 494 粉丝 3 关注私信	morning 1 3 楼如果"WIN任务管理器可以用窗口那一栏的结束任务可以结束此进程",那么肯定可以枚举到对应窗体,发送WM_CLOSE等窗口操作消息即可. 虽然他hook了对应对应API,但是消息钩子还是能够进入的,dll进入后,从进程内调用exitprocess等关闭所在进程,亦可. 2006-9-21 11:28 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 4 楼可以把自己注册为shellexecutehook的com组件，然后注入到每个进程，想杀就杀掉当前进程就可以了貌似 2006-9-21 11:40 0
DW_DLL 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 111 粉丝 0 关注私信	DW_DLL 5 楼做系统DLL,在进程内判断是否是要杀掉的进程，退出进程 2006-9-21 13:44 0
riijj 雪币： 2319 活跃值： (565) 能力值： (RANK：300 ) 在线值：发帖 150 回帖 1307 粉丝 9 关注私信	riijj 7 6 楼如果它隐藏，为甚幺任务管理器可以发现它 ? 2006-9-21 21:31 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 7 楼 RING3 直接用Phisical Memory恢复服务表~~~~然后想怎么杀就怎么杀 2006-9-21 21:56 0
riijj 雪币： 2319 活跃值： (565) 能力值： (RANK：300 ) 在线值：发帖 150 回帖 1307 粉丝 9 关注私信	riijj 7 8 楼最初由 foxabu* 发布* RING3 直接用Phisical Memory恢复服务表~~~~然后想怎么杀就怎么杀 Ring 3 存取 physical memory ? 2006-9-21 22:10 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 9 楼据说这个源代码网上面不在少数 2006-9-21 23:24 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 10 楼最初由 riijj* 发布* 如果它隐藏，为甚幺任务管理器可以发现它 ? 进程隐藏不等于窗口隐藏 2006-9-22 13:37 0
云重雪币： 213 活跃值： (96) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 258 粉丝 1 关注私信	云重 1 11 楼 RING0 HOOK了 OP以及QS函数进程处于隐藏自我防杀状态，WIN任务管理器可以用窗口那一栏的结束任务可以结束此进程。只是问RING3还有哪些方法可以结束这类进程，RINGO的话那就完全没什么好说的了邋锗了吧。QS函数　?有被R0 ＨＯＯＫ告灾?主???的方法，去晷檩咣?窗口，你有真晷檩不了的?，我可以告灾你被ＮＰ保罪的是可以晷檩主窗口的。多???次就可以了在晷檩不了我告灾你方法 2006-9-22 21:49 0
云重雪币： 213 活跃值： (96) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 258 粉丝 1 关注私信	云重 1 12 楼 thinkSJ ?铨如果他能那注入就好了， 2006-9-22 21:53 0
starluck 雪币： 212 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	starluck 1 13 楼最初由 thinkSJ* 发布* 应该可以注入一个DLL，然后在DLL中执行类似下面的代码，便可以结束进程： char szFileName[512] = {"0"}; char *szName = NULL; ::GetModuleFileName (NULL,szFileName,512); szName = strrchr(szFileName,(int)'\\'); ........ 没明白 2006-9-22 22:06 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 14 楼最初由 riijj* 发布* Ring 3 存取 physical memory ? http://www.security.org.sg/code/sdtrestore.html 有源码 2006-9-23 10:52 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 15 楼最初由 foxabu* 发布* RING3 直接用Phisical Memory恢复服务表~~~~然后想怎么杀就怎么杀测试过了，这个东西对于那个外挂隐藏没有任何作用，没有让进程显示出来。SDT没有被恢复？ 2006-9-23 12:35 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 16 楼最初由 softworm* 发布* http://www.security.org.sg/code/sdtrestore.html 有源码这个也没用，居然检测不出被HOOK的函数。 KeServiceDecriptorTable.ServiceTable 0 KeServiceDescriptorTable.ServiceLimit 0 提示居然是零，应该做过什么其它手脚。 2006-9-23 12:40 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 17 楼那你怎么肯定就是RING0 保护？这种情况有可能是RING0+RING3 2006-9-23 20:12 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 18 楼最初由 foxabu* 发布* 那你怎么肯定就是RING0 保护？这种情况有可能是RING0+RING3 因为ICEWORD能看到他被HOOK的RING0函数 2006-9-25 09:09 0
９５２１雪币： 1695 活跃值： (993) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 69 粉丝 2 关注私信	９５２１ 19 楼鸡蛋壳，貌似是很强的人呀，np恢复sdt会让你重起的，还是直接分析np的好 2006-9-25 09:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

鸡蛋壳

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//