Windows:从内核终止进程的不同方法
[英]Windows: Different ways to terminate a process from kernel
问题描述
有一个特定的进程我无法直接使用ZwTerminateProcess终止,因为它的驱动程序为所述函数注册了一个回调来保护自己。
其他方法:
- 注入DLL并调用ExitProcess
- 使用KeAttachProcess附加到其地址空间,然后调用ZwTerminateProcess(导致BSOD IRQL_NOT_LESS_OR_EQUAL)
- MmUnmapViewOfSection(因为程序试图写入不可读的内存而导致BSOD)
进程黑客如何做到这一点?
1 个解决方案
解决方案1
0 2016-10-09 10:56:47
由于ExpandEnvironmentSettings位于kernel32.dll ,您应该可以使用未记录的内核例程KeUserModeCallback来调用它,如https://thisissecurity.net/2014/04/08/how-to-run-userland-code-from中所述-the-kernel-on-windows / 。
Windows内核驱动程序:ZwAllocateVirtualMemory导致线程终止
[英]Windows Kernel Driver: ZwAllocateVirtualMemory causing thread to terminate
如何将可变大小的数组从Windows内核驱动程序传递给用户模式进程?
[英]How to pass a variable-size array from Windows kernel driver to a user-mode process?
衡量从用户空间到内核空间的延迟的最佳方法是什么?
[英]What are the best to ways measure latencies from user space to kernel space?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.