Ring3下另一种结束卡巴斯基进程的新技术
2008-06-14 14:26
267 查看
卡巴斯基启动的时候,两个进程内部都会创建一个事件用于同步退出,当显示关闭这个事件时,AVP进程会退出。这个事件内核对象名字是一个 GUID,一开始我以为是动态生成的,但据我逆向及在其他机器观察,这个事件是硬编 码,”6953EA60-8D5F-4529-8710-42F8ED3E8CDA”(为了方便,在本文,我把这个事件写成A事件,我猜想卡巴斯基开发 人员肯定读过windows核心编程,Jeffrey Richter 建议用GUID来命名事件^_^)。打开procexp.exe查找两个 avp.exe进程内核对象,关闭A事件,这时AVP进程就会退出,各位看官可以在自己机器上测试^_^,AVP进程守护功能在此不起作 用。Procexp.exe是如何做到关闭其他进程内核对象的呢?逆向之后发现procexp.exe是在ring0下完成的,偶不用ring0,直接 ring3。 卡巴斯基有Hook NtOpenProcess,不过当我们以PROCESS_QUERY_INFORMATION打开AVP时,仍然可以成功,同样卡巴斯基也有Hook NtDuplicateObject,一开始我以为如果调用DuplicateHandle来改变desire access会失效,据牛人张翼的话:很多HIPS挂了NtDuplicateObject也是白挂。于是我尝试用Duplicate(…. PROCESS_DUP_HANDLE….)改变进程的desire access,卡巴斯基有两个进程,其中一个以SYSTEM账号运行的AVP进程 不能打开,只能打开另一个以当前用户运行的进程,足够了。当我们终止以当前用户运行的AVP进程时,卡巴就失效了。 成功打开了句柄后,采用NtQuerySystemInformation SystemHandleInformation 功能号枚举句 柄,当枚举到的句柄是A事件时,我们用刚才打开的进程句柄,用 DuplicateHandle(..DUPLICATE_CLOSE_SOURCE),DUPLICATE_CLOSE_SOURCE标志位关闭 source进程内的句柄,AVP进程感应到退出事件,退出。 代码详见附件,如果发现有BUGS,请mail me : wangyongxina@gmail.com
注:我开发用的版本如下: kis8.0.0.402en.exe,kav8.0.0.402en.exe,kis7_0_1_325sch.exe。其他版本可能会运行失败。早 期的KIS7.0.2(我忘记版本号了),这种方法无效。
注:卡巴斯基在启动的时候,可能会启动三个进程,其中有一个用于升级,本文不考虑这种情况。
注:卡巴斯基有进程守护功能,当结束其中的一个时,如果是以当前用户运行的AVP进程,会被另一个AVP重启;如果是以SYSTEM账号运行的进 程,会被services.exe启动
注:我在测试KIS7.0版本时,发现以PROCESS_DUP_HANDLE | PROCESS_QUERY_INFORMATION | PROCESS_VM_READ可以打开句柄,而KIS8.0进程只能以PROCESS_QUERY_INFORMATION打开。
注:我开发用的版本如下: kis8.0.0.402en.exe,kav8.0.0.402en.exe,kis7_0_1_325sch.exe。其他版本可能会运行失败。早 期的KIS7.0.2(我忘记版本号了),这种方法无效。
注:卡巴斯基在启动的时候,可能会启动三个进程,其中有一个用于升级,本文不考虑这种情况。
注:卡巴斯基有进程守护功能,当结束其中的一个时,如果是以当前用户运行的AVP进程,会被另一个AVP重启;如果是以SYSTEM账号运行的进 程,会被services.exe启动
注:我在测试KIS7.0版本时,发现以PROCESS_DUP_HANDLE | PROCESS_QUERY_INFORMATION | PROCESS_VM_READ可以打开句柄,而KIS8.0进程只能以PROCESS_QUERY_INFORMATION打开。
相关文章推荐
- Ring3下另一种结束卡巴斯基进程的新技术
- Ring3内存清0结束进程2
- RING3内存清零结束进程
- RING3内存清零结束进程
- 学习RING3 内存清零结束进程
- Ring3下结束进程的方法汇总
- VB.net结束进程
- 查找并结束进程(改进了一下)
- VC中如何结束进程和启动新进程
- 结束oracle监听进程
- C#,结束进程树
- Windows使用Java调用taskkill命令结束进程
- 最简单的方式防止被任务管理结束的进程
- Android下结束进程的方法
- windows结束进程命令
- Android退出APP时如何同时结束APP进程
- C/C++结束系统进程
- 类名 窗口句柄 结束进程
- Ring3下的DLL注入工具 x86&x64(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)
- NotePad++死了结束进程之后整个文档清空了