首页
论坛
专栏
课程

[原创]强制结束进程的一点尝试

2010-4-24 16:56 20518

[原创]强制结束进程的一点尝试

2010-4-24 16:56
20518
没有技术含量高手飘过。


[公告]安全服务和外包项目请将项目需求发到看雪企服平台:https://qifu.kanxue.com

上传的附件:
最新回复 (49)
liangdong 2010-4-24 16:59
2
0
小天狼星 2010-4-24 17:19
3
0
360不是说会检测安装驱动的?没检测到你加载驱动?lz的程序能在360未提示检测到加载驱动的情况下安装驱动?
youstar 2 2010-4-24 17:30
4
0
LZ又来了,膜拜
skypismire 1 2010-4-24 17:39
5
0
,貌似 360安全卫士没有inlinehook NtTerminateProcess函数
LintChD 2010-4-24 17:51
6
0
都加驱动了。主动防御干吗用的
搜的还是NtTerminateProcess。。
chenchuai 2010-4-24 17:51
7
0
楼主牛啊!顶了.............................
sssccc 2010-4-24 17:55
8
0
Delphi俺最爱
天易love 18 2010-4-24 18:13
9
0
本文仅演示驱动结束进程的方法。会的人很多,我只是放个代码,如果你觉得自己驱动学得好,请给出你的代码大家共享。
yanxizhen 2010-4-24 18:23
10
0
mj是认为,既然你都可以加载驱动了,进入内核了,那还防你干啥

这个程序,毫无意义.

再强大的保护,也抵挡不了来自堡垒内部的攻击.
你猜 2010-4-24 18:34
11
0
自然界是没有平衡点的
chenchuai 2010-4-24 18:36
12
0
怀念以前的360,现在的360好象变质了,资源占用太多,整天不停的向外发送数据,把俺的电脑当服务器了!!!!!!!!!!
Mx¢Xgt 7 2010-4-24 18:47
13
0
顶大牛~~~~~
gxwtk 2010-4-24 18:50
14
0
我的360天天升级,现在好了,什么都不提示。在别人电脑里就提示了。郁闷
好恨 2010-4-24 18:55
15
0
不懂、、、、、、、、、、、、、、、
dplayer 1 2010-4-24 19:19
16
0
。。俺也喜欢wsyscheck。。
xianni 2010-4-24 21:19
17
0
你强
achillis 15 2010-4-24 21:22
18
0
都驱了还搞个什么劲嘛……
你猜 2010-4-24 21:29
19
0
我用驱动 我也能啊...
任天广 2010-4-24 22:00
20
0
驱 动
dayang 2010-4-24 22:12
21
0
我也怀念以前的360,干净不占系统资源,现在的太卡,提示太多,拦截太多,网络占用太厉害,更新无数版本,一般都是用他的打补丁功能,就这点比较不错
ImHolly 1 2010-4-24 22:54
22
0
都驱动了,搞个什么劲啊
天易love 18 2010-4-24 22:54
23
0
只允许你杀毒软件用驱动?规则是你制定的?其实这是wsyscheck强制结束进程的方法,你水平这么高怎么没看出来?怎么不编个更好的,在用户层就搞定一且,那样大家都会膜拜你的!我发贴是面向中低层次的坛友,高手让你飘过,没看到这几个字?
垃圾一个 2010-4-24 23:21
24
0
那个过主动有点意思吧
zapline 2010-4-24 23:31
25
0
LZ大牛教我怎么过监控加载驱动
上传的附件:
MiSHE 2010-4-25 00:14
26
0
LZ还是先研究怎么过360的驱动加载监控吧~
aliwy 2010-4-25 00:25
27
0
既然依靠驱动了,那就不是在ring3了。360能监控驱动加载啊。
天易love 18 2010-4-25 00:57
28
0
此文主要是模拟安全检测工具强制结束进程的方法,并不是告诉你如何绕过检测。我不懂驱动,随便写写的,驱动高手见笑了!不对的地方或有更好的方法恳请告知。
贾宝玉 2010-4-25 01:31
29
0
天易是不是在瑞星或者金山工作啊

以前一个taskkill /f /im 就可以把360干掉了,现在不太好干了啊
贾宝玉 2010-4-25 01:41
30
0
虚拟机下没有反应,在我电脑上直接蓝屏,360版本7.0.0.1013
fhurricane 1 2010-4-25 09:55
31
0
进来向大牛学习了~~~
fhurricane 1 2010-4-25 10:24
32
0
就是搜索PspTerminateProcess 然后调用,
MyTerminateProcess 叫做MyPspTerminateProcess 更加好,呵呵~~~
einyboy 2010-4-25 10:50
33
0
支持共享,学习学习!
cvcvxk 10 2010-4-25 16:15
34
0
驱动能加载还说什么~
ximo 2010-4-25 18:37
35
0
都加载驱动了,还搞个鸟劲啊。如果都让你加驱动了还干不掉,只能说你的驱动太挫了。
zzage 1 2010-4-25 18:44
36
0
写个“烂”程序给大家研究研究
我觉得烂字不必用双引号来对其修饰的...
天易love 18 2010-4-25 19:35
37
0
高手说烂我就删了,我无所谓。其实你是在说Wsyscheck作者烂,因为这是逆了他的代码写的,不相信你可以去逆一下,不会的话,愿意无偿指导。最后说一句,不要口气很大,拿点东西出来给大家共享一下才是真的。
kpeace 2010-4-25 20:24
38
0
这个帖子让我想起读书时候的一篇文言文《闻子卖药记》
小黑冰 2010-4-25 21:03
39
0
向楼主大牛学习····~~~ 看看你有多厉害!!!
xiewei谢 2010-4-25 23:36
40
0
测了下360有提示驱动加载好像可以阻止
dnybz 2010-4-26 00:30
41
0
同感打补丁还行。方便。别的到不怎么好用。
loveqqc 2010-4-26 08:21
42
0
mj怎么还没出现?
等待中...
tatep 2010-5-25 23:44
43
0
支持楼主的共享精神,那些仅说大话的、技术封闭的人,请走开。
achillis 15 2010-5-26 13:42
44
0
看过楼主一些帖子,对楼主的探索精神还是比较支持的,但是这个问题,真的不敢苟同。
大家的争议在于你是用驱动把360干掉的,驱动也是你自己写的,至于杀进程的方法是跟谁学的并不重要,大家关心的重点在于你是不是绕过了360的驱动加载监控然后杀掉了进程?
如果在360的正常监控设置下,加载这个驱动时360并没有提示阻止,然后在这种情况下把360干掉了,这还有一点意义。不过想来你这个驱动肯定不会出现在360的白名单里吧?
又或者说,你有某种未公开的驱动加载方法可以绕过360的监控来加载驱动,那也很牛X啊!可是代码里显然不是吧,CreateService、OpenService、StartService这样的常规方法加载驱动,360不拦吗?
大家都玩驱动的,如果能随意加载驱动的话,废掉主防那是很轻松的事情,别说搞搞360没什么难度,再NB的杀软也得躺下。要不然,监控驱动加载干啥?大家都驱了,都平起平坐了,who怕who呀?这个想必不用贴什么代码了吧~~

还有,能分享当然是好事,但这取决于个人意愿,不愿分享的人家也没有错,因为并没有这个义务。难道愿分享的人就是高手,不愿分享的就一定是菜鸟吗?
“高手飘过”这话不是挡箭牌。菜鸟可能不会写驱动,但是这些道理还能不明白吗?
天易love 18 2010-5-26 18:40
45
0
阿基里斯前辈值得尊敬!前面发过一篇贴子就是给什么卫士启动时弹个网页,这次只是娱乐一下没有实战意义,大家的期望值太高了,抱歉。还是感谢楼上前辈的鼓励!
yespgg 2010-5-26 23:53
46
0
现在好像干部掉360,下了楼主的工具不行呀
bithaha 5 2010-5-27 00:15
47
0
白名单是王道,跟技术没关系的.
比着做一个
估计就是:文件名/SIZE/路径/hash/签名/时间戳.
这种过滤性的保护没有没有bug的.
tecstar 2010-5-27 10:01
48
0
支持楼主。学习一下360,这东西最大的缺点是越来越占内存的,当然越来越厉害的。。不过我不用的
dplayer 1 2010-5-27 10:18
49
0
不敢用360。  我怕辛苦收藏的蹩脚代码被他们O拉。。。。。。。。。。。那个啥。上传下载的东西让我恐惧。。
loveqqc 2010-5-29 08:39
50
0
顶这句。说得不错。
游客
登录 | 注册 方可回帖
返回