code:内存清零-软件逆向-看雪-安全社区|安全招聘|kanxue.com

code:内存清零

发表于: 2009-8-5 02:16 13074

code:内存清零

竹君

2009-8-5 02:16

13074

//====================================内存填零杀进程=====================================================
//4个函数声明
void KeAttachProcess(PEPROCESS Process);
 
void KeDetachProcess();
 
NTSTATUS
ObOpenObjectByPointer(
                      IN PVOID Object,
                      IN ULONG HandleAttributes,
                      IN PACCESS_STATE PassedAccessState OPTIONAL,
                      IN ACCESS_MASK DesiredAccess,
                      IN POBJECT_TYPE ObjectType OPTIONAL,
                      IN KPROCESSOR_MODE AccessMode,
                      OUT PHANDLE Handle
                      );
 
 
NTSTATUS 
ZwTerminateProcess(
                   IN HANDLE ProcessHandle OPTIONAL,
                   IN NTSTATUS ExitStatus
                   );
 
//进程虚拟空间填0
void DestoryProcessWithZero(ULONG eprocess)
{
    ULONG virtualAddr;
    PVOID handle;
    KeAttachProcess((PEPROCESS)eprocess);  //Attach进程虚拟空间
    for(virtualAddr=0;virtualAddr<=0x7fffffff;virtualAddr+=0x1000)
    {  
        //蓝屏原因：用户内存是否可写要进行验证。用ProbeForWrite函数
        if(MmIsAddressValid((PVOID)virtualAddr))
        {
            _try
            {
                ProbeForWrite((PVOID)virtualAddr,0x1000,sizeof(ULONG));
                //RtlZeroMemory((PVOID)virtualAddr, 0x1000);
                memset((PVOID)virtualAddr,0xcc,0x1000);
            }_except(1)
            { 
                continue;   
            }
        }
        else
        {
            if(virtualAddr>0x1000000)  //填这么多足够破坏进程数据了
                break;
        }
    }
    KeDetachProcess();
    if(ObOpenObjectByPointer((PVOID)eprocess, 0, NULL, 0, NULL, KernelMode, &handle)!=STATUS_SUCCESS)
        return;
    ZwTerminateProcess((HANDLE)handle, STATUS_SUCCESS);
    ZwClose((HANDLE)handle );
}

登录后可查看完整内容

[注意]看雪招聘，专注安全领域的专业人才平台！

#系统底层

收藏・6

免费・7

支持

赞赏记录

参与人

雪币

留言

时间

Youlor

为你点赞~

2024-2-25 00:18

伟叔叔

为你点赞~

2024-1-4 04:32

QinBeast

为你点赞~

2023-12-9 00:03

shinratensei

为你点赞~

2023-10-11 04:05

PLEBFE

为你点赞~

2023-10-10 00:00

心游尘世外

为你点赞~

2023-9-27 00:21

飘零丶

为你点赞~

2023-9-20 00:19

最新回复 (15)
leivn 雪币： 227 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 67 粉丝 1 关注私信	leivn 2 楼顶下， 2009-8-5 12:44 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 3 楼始终觉得太危险。没什么用。 2009-8-5 19:29 0
Yukit 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	Yukit 4 楼看下， 2009-8-6 13:56 0
talezy 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 22 粉丝 0 关注私信	talezy 5 楼不知道360能不能被干掉 2009-8-6 13:58 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 6 楼 360我没安装理论上可以干掉吧 2009-8-7 13:01 0
Thomasyzh 雪币： 152 活跃值： (106) 能力值： ( LV7，RANK：100 ) 在线值：发帖 31 回帖 189 粉丝 8 关注私信	Thomasyzh 2 7 楼太牛B了..膜拜..大哥 2009-8-7 13:22 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 8 楼这段代码会蓝屏的，但： if(virtualAddr>0x1000000) //填这么多足够破坏进程数据了 break; 这个判断极大降低了蓝屏的概率，但填这么多其实是不够的。大部分程序默认加载地址是0x00400000，所以对大部分程序有效，但是有些别有用心的一小撮程序改掉加载地址后就无效了。正确的清0代码如下：（出自DebugMan） VOID ZeroIt(PEPROCESS pProcess){ ULONG start,tmp; KAPC_STATE kapc; PHYSICAL_ADDRESS physicalAddr; KeStackAttachProcess(pProcess,&kapc); for(start=0x00010000;start< 0x60000000;start+=0x1000){ physicalAddr = MmGetPhysicalAddress((PVOID)start); if( physicalAddr.HighPart > g_PhysicalPage.HighPart ) continue; if( physicalAddr.HighPart == g_PhysicalPage.HighPart && physicalAddr.LowPart >= g_PhysicalPage.LowPart ) continue; if ( !(physicalAddr.HighPart \| physicalAddr.LowPart) ) continue; if(start!=(ULONG)MmGetVirtualForPhysical(physicalAddr)) continue; __asm { cli; mov eax,cr0; and eax,not 10000h; mov cr0,eax; } __try{ RtlZeroMemory( (PVOID)start, 0x1000); }__except(1){ } __asm { mov eax,cr0 or eax,10000h mov cr0,eax sti } } KeUnstackDetachProcess (&kapc); } 2009-8-7 13:26 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 9 楼那是RKU的我没遇到蓝屏 2009-8-8 19:28 0
cqyxyxyx 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 141 粉丝 0 关注私信	cqyxyxyx 10 楼 wow! It's unsafe. 2009-8-8 21:43 0
chenjun 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 113 粉丝 0 关注私信	chenjun 11 楼感谢啊~~顶啊 2009-8-9 20:45 0
化学魔人雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	化学魔人 12 楼这么清内存太暴力了吧！有部分内存是不能清的，相当不安全！ 2009-8-13 17:59 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 13 楼本来就是暴力的，本来就是想让目标进程挂掉，本来就是只有在其他方法不起作用时才不得已而为之的。 2009-8-13 18:05 0
mattdamon 雪币： 230 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	mattdamon 14 楼看来看去都不实用 2009-8-13 20:11 0
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 15 楼有同步问题，在检测完成，关中断之前，用户的虚拟地址空间随时可以发生变化，关中断时发生Page Fault 就直接BugCheck。补充一下，即使地址空间不发生变化，地址存在也不表示地址可写关中断后由于在单CPU内核上不会收到时钟中断，因而不会调度其他线程；在SMP上收不到IPI，也不会调度调度其他线程和改变虚拟地址空间，应该问题不大 2009-8-16 10:35 0
charme 雪币： 112 活跃值： (48) 能力值： ( LV9，RANK：320 ) 在线值：发帖 17 回帖 143 粉丝 2 关注私信	charme 7 16 楼这个早有了。。。。。。。。。。。。。。。。。 2009-8-16 11:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

竹君

发帖

911

回帖

210

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (15)
leivn 雪币： 227 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 67 粉丝 1 关注私信	leivn 2 楼顶下， 2009-8-5 12:44 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 3 楼始终觉得太危险。没什么用。 2009-8-5 19:29 0
Yukit 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	Yukit 4 楼看下， 2009-8-6 13:56 0
talezy 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 22 粉丝 0 关注私信	talezy 5 楼不知道360能不能被干掉 2009-8-6 13:58 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 6 楼 360我没安装理论上可以干掉吧 2009-8-7 13:01 0
Thomasyzh 雪币： 152 活跃值： (106) 能力值： ( LV7，RANK：100 ) 在线值：发帖 31 回帖 189 粉丝 8 关注私信	Thomasyzh 2 7 楼太牛B了..膜拜..大哥 2009-8-7 13:22 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 8 楼这段代码会蓝屏的，但： if(virtualAddr>0x1000000) //填这么多足够破坏进程数据了 break; 这个判断极大降低了蓝屏的概率，但填这么多其实是不够的。大部分程序默认加载地址是0x00400000，所以对大部分程序有效，但是有些别有用心的一小撮程序改掉加载地址后就无效了。正确的清0代码如下：（出自DebugMan） VOID ZeroIt(PEPROCESS pProcess){ ULONG start,tmp; KAPC_STATE kapc; PHYSICAL_ADDRESS physicalAddr; KeStackAttachProcess(pProcess,&kapc); for(start=0x00010000;start< 0x60000000;start+=0x1000){ physicalAddr = MmGetPhysicalAddress((PVOID)start); if( physicalAddr.HighPart > g_PhysicalPage.HighPart ) continue; if( physicalAddr.HighPart == g_PhysicalPage.HighPart && physicalAddr.LowPart >= g_PhysicalPage.LowPart ) continue; if ( !(physicalAddr.HighPart \| physicalAddr.LowPart) ) continue; if(start!=(ULONG)MmGetVirtualForPhysical(physicalAddr)) continue; __asm { cli; mov eax,cr0; and eax,not 10000h; mov cr0,eax; } __try{ RtlZeroMemory( (PVOID)start, 0x1000); }__except(1){ } __asm { mov eax,cr0 or eax,10000h mov cr0,eax sti } } KeUnstackDetachProcess (&kapc); } 2009-8-7 13:26 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 9 楼那是RKU的我没遇到蓝屏 2009-8-8 19:28 0
cqyxyxyx 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 141 粉丝 0 关注私信	cqyxyxyx 10 楼 wow! It's unsafe. 2009-8-8 21:43 0
chenjun 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 113 粉丝 0 关注私信	chenjun 11 楼感谢啊~~顶啊 2009-8-9 20:45 0
化学魔人雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	化学魔人 12 楼这么清内存太暴力了吧！有部分内存是不能清的，相当不安全！ 2009-8-13 17:59 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 13 楼本来就是暴力的，本来就是想让目标进程挂掉，本来就是只有在其他方法不起作用时才不得已而为之的。 2009-8-13 18:05 0
mattdamon 雪币： 230 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	mattdamon 14 楼看来看去都不实用 2009-8-13 20:11 0
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 15 楼有同步问题，在检测完成，关中断之前，用户的虚拟地址空间随时可以发生变化，关中断时发生Page Fault 就直接BugCheck。补充一下，即使地址空间不发生变化，地址存在也不表示地址可写关中断后由于在单CPU内核上不会收到时钟中断，因而不会调度其他线程；在SMP上收不到IPI，也不会调度调度其他线程和改变虚拟地址空间，应该问题不大 2009-8-16 10:35 0
charme 雪币： 112 活跃值： (48) 能力值： ( LV9，RANK：320 ) 在线值：发帖 17 回帖 143 粉丝 2 关注私信	charme 7 16 楼这个早有了。。。。。。。。。。。。。。。。。 2009-8-16 11:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

code:内存清零

账号登录 验证码登录

账号登录

验证码登录