玩玩360——ExitWindowsEx大法-编程技术-看雪-安全社区|安全招聘|kanxue.com

玩玩360——ExitWindowsEx大法

发表于: 2009-9-10 13:54 33320

玩玩360——ExitWindowsEx大法

dplayer

2009-9-10 13:54

33320

现在流行R3，对R0里的东西大伙都不太感兴趣了，俺来放个R3暴力结束进程的代码，看雪里貌似有个类似的bin，不管它，玩玩而已-_-
   先来看下Windows XP的关机流程：　　
   1、当Windows XP用户发起关机指令以后，发起关机指令的执行程序会调用系统函数库 user32.dll中的 ExitWindowsEx 函数，此函数向XP系统进程 Csrss.exe 发出关机信息，Csrss.exe立即再把信息传递给隐含的Winlogon.exe窗口。　　　　
   2、Winlogon.exe接到前面Csrss.exe传来的信息后，Winlogon.exe开始检查请求者的权限，预先做好准备，并给ExitWindowsEx发回准备就绪信号。Csrss.exe收到Winlogon.EXE的通知以后，会依次查询拥有顶层窗口的用户进程，让这些用户退出进程。如果某一个用户进程在一个默认的延时时间5000毫秒内没有退出的话，Windows XP会显示一个结束任务的对话框用于询问用户是否结束这个任务。默认情况下将显示这个对话框并一直保持而不会自动关闭。
　　3、此时Winlogon.exe将再次调用ExitWindowsEx函数来关闭系统进程。（这些系统进程包括SMSS.EXE、Winlogon.EXE、Lsass.EXE等）。Windows在终止系统进程的时候并不像终止用户进程那样：进程无法在规定时间内终止，则提示用户。而是跳过这个进程，去执行下一个系统进程的终止操作。在这个时间段里面，Windows XP会执行子系统来完成最后的关机操作。
　  4、当准备工作全部完成后，Smss.exe命令释放所有系统资源，最后Smss.exe调用NtShutdownSystem函数，等除了电源管理以后的全部子系统完成退出以后，电源管理完成最后的操作:重启或关机。
了解了Windows XP的关机流程以后，偶们很容易利用Windows窗口消息机制，实现ExitWindowsEx伪关机操作，结束顽固窗口进程。代码完成后，初略试验了一下，V5.2版360和保险箱是无声无息的消失了^-^..微点、卡巴、金山、瑞星之类的杀软窗口进程也可以结束掉，主防成了睁眼瞎，加载驱动，不再有摭拦，很好玩啊。呵呵。。。。
关于WM_QUERYENDSESSION，MSDN上有明确的讲解，摘录如下，
The WM_QUERYENDSESSION message is sent when the user chooses to end the session or when an application calls the ExitWindows function. If any application returns zero, the session is not ended. The system stops sending    WM_QUERYENDSESSION messages as soon as one application returns zero.
After processing this message, the system sends the WM_ENDSESSION message with the wParam parameter set to the results of the WM_QUERYENDSESSION message.
WM_QUERYENDSESSION
nSource = (UINT) wParam; // source of end-session request
fLogOff = lParam          // logoff flag

Parameters
nSource
Reserved for future use.
fLogOff
Value of lParam. Indicates whether the user is logging off or shutting down the system. Supported values include: ENDSESSION_LOGOFF.
Return Values
If an application can terminate conveniently, it should return TRUE; otherwise, it should return FALSE.
Remarks
By default, the DefWindowProc function returns TRUE for this message

代码放后面了，大家共同交流学习。祝大家节日快乐，每天都有毒杀-_-

[课程]Android-CTF解题方法汇总！

上传的附件：

Kill360 Bin.rar （28.02kb，342次下载）
kill360 Src.rar （218.17kb，578次下载）

收藏・16

免费・7

支持

最新回复 (54) 1 2 3 ▶
hmilywen 雪币： 1432 活跃值： (823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 5 关注私信	hmilywen 2 楼这种方法在新版360中失效了吧~ 2009-9-10 14:03 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 3 楼楼主的方法很****~用这种方法，只需要对方做一下防护，楼主的程序就自杀了另外这个N久之前就有人发过了做防护也很简单，只需要一行代码： SetProcessShutdownParameters(0 , 0 ); 2009-9-10 14:10 0
dplayer 雪币： 306 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 81 粉丝 0 关注私信	dplayer 1 4 楼最新版依然有效。。自已玩玩吧……--_- 2009-9-10 14:11 0
liangdong 雪币： 1407 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 228 粉丝 0 关注私信	liangdong 5 楼在Windows7下直接自杀的说 ExitWindows前几天刚试过可以对付微点、瑞星学习下楼主的 2009-9-10 14:13 0
hmilywen 雪币： 1432 活跃值： (823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 5 关注私信	hmilywen 6 楼明天新版失效... 2009-9-10 14:13 0
sndosej 雪币： 253 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 171 粉丝 0 关注私信	sndosej 7 楼恩有想到过这样玩支持一下 2009-9-10 14:15 0
frozenrain 雪币： 107 活跃值： (1623) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 509 粉丝 1 关注私信	frozenrain 8 楼 http://bbs.pediy.com/showthread.php?t=88267 是这个东西？ 2009-9-10 14:18 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 9 楼拍照一下7777 上传的附件： xxx1.jpg （9.01kb，1649次下载） 2009-9-10 14:21 0
sndosej 雪币： 253 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 171 粉丝 0 关注私信	sndosej 10 楼 LS干什么哦好像多了一7是加一个精华7吗？ 2009-9-10 14:24 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 11 楼你要上下看下嘛, 2009-9-10 15:15 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 12 楼也不能说人家的方法脑残吧,关键是现在没有防护 2009-9-10 15:17 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 13 楼明白了 !!可能标题取得不太好吧!! 2009-9-10 15:18 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 14 楼 mj这么多大777，777发财了。。 360已经更新，感谢楼主提供。 2009-9-10 22:35 0
cqyxyxyx 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 141 粉丝 0 关注私信	cqyxyxyx 15 楼可以学习下！喜欢"经典"的东西！ 2009-9-10 22:56 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 16 楼确实有点NC。发到像卡饭,Vbgood那样的论坛比较合适高人现身.. 改成拼音欢迎大家联想。^@^ 2009-9-11 01:55 0
scm 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 53 粉丝 0 关注私信	scm 17 楼一运行，360和我的正常程序一起退出了....... 2009-9-11 07:39 0
panti 雪币： 1602 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 254 粉丝 0 关注私信	panti 18 楼比360还大的牛现身了 2009-9-11 09:25 0
feierin 雪币： 474 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 314 粉丝 0 关注私信	feierin 19 楼果然强大 360被关闭了瑞星的的托盘图标是消失了但RavMonD.exe进程没有被关闭 2009-9-11 09:43 0
kuang110 雪币： 89 活跃值： (185) 能力值： ( LV9，RANK：270 ) 在线值：发帖 18 回帖 338 粉丝 0 关注私信	kuang110 6 20 楼呵呵，这个有点意思 2009-9-11 10:49 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 21 楼技术很重要，同时人品也很重要。 2009-9-11 10:54 0
dplayer 雪币： 306 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 81 粉丝 0 关注私信	dplayer 1 22 楼感谢看雪对本贴的关注，感谢雪友们的支持，感谢CCTV。 2009-9-11 11:27 0
dplayer 雪币： 306 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 81 粉丝 0 关注私信	dplayer 1 23 楼看你签名就知道是个菜J 。。不懂不要乱说话 2009-9-11 11:28 0
非虫雪币： 2307 活跃值： (983) 能力值： (RANK：350 ) 在线值：发帖 31 回帖 412 粉丝 128 关注私信	非虫 7 24 楼在VISTA下直接SHUTDOWN了。 2009-9-11 12:33 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 25 楼呵呵，挺好玩的，适合在木马记录密码时被杀毒软件拦截下使。。。。关了杀毒想怎么玩就怎么玩。 2009-9-11 13:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

dplayer

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (54) 1 2 3 ▶
hmilywen 雪币： 1432 活跃值： (823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 5 关注私信	hmilywen 2 楼这种方法在新版360中失效了吧~ 2009-9-10 14:03 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 3 楼楼主的方法很****~用这种方法，只需要对方做一下防护，楼主的程序就自杀了另外这个N久之前就有人发过了做防护也很简单，只需要一行代码： SetProcessShutdownParameters(0 , 0 ); 2009-9-10 14:10 0
dplayer 雪币： 306 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 81 粉丝 0 关注私信	dplayer 1 4 楼最新版依然有效。。自已玩玩吧……--_- 2009-9-10 14:11 0
liangdong 雪币： 1407 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 228 粉丝 0 关注私信	liangdong 5 楼在Windows7下直接自杀的说 ExitWindows前几天刚试过可以对付微点、瑞星学习下楼主的 2009-9-10 14:13 0
hmilywen 雪币： 1432 活跃值： (823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 5 关注私信	hmilywen 6 楼明天新版失效... 2009-9-10 14:13 0
sndosej 雪币： 253 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 171 粉丝 0 关注私信	sndosej 7 楼恩有想到过这样玩支持一下 2009-9-10 14:15 0
frozenrain 雪币： 107 活跃值： (1623) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 509 粉丝 1 关注私信	frozenrain 8 楼 http://bbs.pediy.com/showthread.php?t=88267 是这个东西？ 2009-9-10 14:18 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 9 楼拍照一下7777 上传的附件： xxx1.jpg （9.01kb，1649次下载） 2009-9-10 14:21 0
sndosej 雪币： 253 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 171 粉丝 0 关注私信	sndosej 10 楼 LS干什么哦好像多了一7是加一个精华7吗？ 2009-9-10 14:24 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 11 楼你要上下看下嘛, 2009-9-10 15:15 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 12 楼也不能说人家的方法脑残吧,关键是现在没有防护 2009-9-10 15:17 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 13 楼明白了 !!可能标题取得不太好吧!! 2009-9-10 15:18 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 14 楼 mj这么多大777，777发财了。。 360已经更新，感谢楼主提供。 2009-9-10 22:35 0
cqyxyxyx 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 141 粉丝 0 关注私信	cqyxyxyx 15 楼可以学习下！喜欢"经典"的东西！ 2009-9-10 22:56 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 16 楼确实有点NC。发到像卡饭,Vbgood那样的论坛比较合适高人现身.. 改成拼音欢迎大家联想。^@^ 2009-9-11 01:55 0
scm 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 53 粉丝 0 关注私信	scm 17 楼一运行，360和我的正常程序一起退出了....... 2009-9-11 07:39 0
panti 雪币： 1602 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 254 粉丝 0 关注私信	panti 18 楼比360还大的牛现身了 2009-9-11 09:25 0
feierin 雪币： 474 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 314 粉丝 0 关注私信	feierin 19 楼果然强大 360被关闭了瑞星的的托盘图标是消失了但RavMonD.exe进程没有被关闭 2009-9-11 09:43 0
kuang110 雪币： 89 活跃值： (185) 能力值： ( LV9，RANK：270 ) 在线值：发帖 18 回帖 338 粉丝 0 关注私信	kuang110 6 20 楼呵呵，这个有点意思 2009-9-11 10:49 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 21 楼技术很重要，同时人品也很重要。 2009-9-11 10:54 0
dplayer 雪币： 306 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 81 粉丝 0 关注私信	dplayer 1 22 楼感谢看雪对本贴的关注，感谢雪友们的支持，感谢CCTV。 2009-9-11 11:27 0
dplayer 雪币： 306 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 81 粉丝 0 关注私信	dplayer 1 23 楼看你签名就知道是个菜J 。。不懂不要乱说话 2009-9-11 11:28 0
非虫雪币： 2307 活跃值： (983) 能力值： (RANK：350 ) 在线值：发帖 31 回帖 412 粉丝 128 关注私信	非虫 7 24 楼在VISTA下直接SHUTDOWN了。 2009-9-11 12:33 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 25 楼呵呵，挺好玩的，适合在木马记录密码时被杀毒软件拦截下使。。。。关了杀毒想怎么玩就怎么玩。 2009-9-11 13:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复