首页
社区
课程
招聘
[原创]firefly<>第二阶段<>第二题
发表于: 2007-9-1 18:06 6788

[原创]firefly<>第二阶段<>第二题

2007-9-1 18:06
6788
在Kill.exe通过DeviceIoControl向驱动传递CrackMeApp.exe的PID。
在驱动中通过PsLookupProcessByProcessId获取进程程的PEPROCESS;
之后通过ObOpenObjectByPointer获取进程句柄;然后通过ZwTerminateProcess终止进程。
由于CrackMeApp.exe使用驱动修改了SSDT的NtOpenProcess,所以只能通过ObOpenObjectByPointer
间接的获取hProcess。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 260
活跃值: (102)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
2
最先想到的就是这个方法,很简单,找到窗口,向其发送WM_CLOSE命令。
ring3的方法,简单,方便,有效。
上传的附件:
2007-9-1 18:51
0
游客
登录 | 注册 方可回帖
返回
//