[原创]ZwTerminateProcess在WINDOWS 7 RC中改变-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 2 楼嗯，多谢提醒～ 2009-5-10 10:04 0
whilster 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	whilster 3 楼收下了～ if ( NT_SUCESS(stat) 少了个括号，大牛也会不小心 2009-5-10 12:26 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 4 楼多谢LS指正 2009-5-10 12:33 0
scm 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 53 粉丝 0 关注私信	scm 5 楼支持，顺路问问。为什么我SSDT HOOK ZwTerminateProcess，怎么会让部分程序非法退出？是不是跟我机器上装卡巴有关？函数如下： NTSTATUS MyZwTerminateProcess(IN HANDLE ProcessHandle OPTIONAL,IN NTSTATUS ExitStatus) { NTSTATUS nStatus = STATUS_SUCCESS; PEPROCESS EPROCESSPROTECT = NULL,EPROCESSKILL =NULL; PsLookupProcessByProcessId((ULONG)dwProtectPID,&EPROCESSPROTECT); if(ObReferenceObjectByHandle(ProcessHandle,GENERIC_READ,NULL,KernelMode,(PVOID*)&EPROCESSKILL,0)==STATUS_SUCCESS) { if(EPROCESSKILL==EPROCESSPROTECT) { if(EPROCESSPROTECT!=PsGetCurrentProcess()){ nStatus = STATUS_ACCESS_DENIED; } else{ KdPrint(("进程保护，程序自身退出请求！")); } } if(nStatus!=STATUS_SUCCESS){ KdPrint(("程序简单自我保护中...")); return nStatus; } } return(OldZwTerminateProcess(ProcessHandle,ExitStatus)); } 2009-5-10 15:42 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 6 楼你的代码欠考虑的太多，仔细看看万能的MSDN，打好基础，再来写程序 2009-5-10 15:52 0
scm 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 53 粉丝 0 关注私信	scm 7 楼大牛能不能指点一二？上面代码我是在黑防上COPY的。那知道，问题多多。 2009-5-10 16:12 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 8 楼黑防<-垃圾书还是别看比较好。不说内容如何，单说读者导向就不是一个负责任的刊物. 2009-5-11 12:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 2 楼嗯，多谢提醒～ 2009-5-10 10:04 0
whilster 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	whilster 3 楼收下了～ if ( NT_SUCESS(stat) 少了个括号，大牛也会不小心 2009-5-10 12:26 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 4 楼多谢LS指正 2009-5-10 12:33 0
scm 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 53 粉丝 0 关注私信	scm 5 楼支持，顺路问问。为什么我SSDT HOOK ZwTerminateProcess，怎么会让部分程序非法退出？是不是跟我机器上装卡巴有关？函数如下： NTSTATUS MyZwTerminateProcess(IN HANDLE ProcessHandle OPTIONAL,IN NTSTATUS ExitStatus) { NTSTATUS nStatus = STATUS_SUCCESS; PEPROCESS EPROCESSPROTECT = NULL,EPROCESSKILL =NULL; PsLookupProcessByProcessId((ULONG)dwProtectPID,&EPROCESSPROTECT); if(ObReferenceObjectByHandle(ProcessHandle,GENERIC_READ,NULL,KernelMode,(PVOID*)&EPROCESSKILL,0)==STATUS_SUCCESS) { if(EPROCESSKILL==EPROCESSPROTECT) { if(EPROCESSPROTECT!=PsGetCurrentProcess()){ nStatus = STATUS_ACCESS_DENIED; } else{ KdPrint(("进程保护，程序自身退出请求！")); } } if(nStatus!=STATUS_SUCCESS){ KdPrint(("程序简单自我保护中...")); return nStatus; } } return(OldZwTerminateProcess(ProcessHandle,ExitStatus)); } 2009-5-10 15:42 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 6 楼你的代码欠考虑的太多，仔细看看万能的MSDN，打好基础，再来写程序 2009-5-10 15:52 0
scm 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 53 粉丝 0 关注私信	scm 7 楼大牛能不能指点一二？上面代码我是在黑防上COPY的。那知道，问题多多。 2009-5-10 16:12 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 8 楼黑防<-垃圾书还是别看比较好。不说内容如何，单说读者导向就不是一个负责任的刊物. 2009-5-11 12:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复