首页
论坛
课程
招聘
雪    币: 292
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝

玩玩360——ExitWindowsEx大法

2009-9-10 13:54 30356

玩玩360——ExitWindowsEx大法

2009-9-10 13:54
30356
现在流行R3,对R0里的东西大伙都不太感兴趣了,俺来放个R3暴力结束进程的代码,看雪里貌似有个类似的bin,不管它,玩玩而已-_-
     先来看下Windows XP的关机流程:  
     1、当Windows XP用户发起关机指令以后,发起关机指令的执行程序会调用系统函数库 user32.dll中的 ExitWindowsEx 函数,此函数向XP系统进程 Csrss.exe 发出关机信息,Csrss.exe立即再把信息传递给隐含的Winlogon.exe窗口。    
     2、Winlogon.exe接到前面Csrss.exe传来的信息后,Winlogon.exe开始检查请求者的权限,预先做好准备,并给ExitWindowsEx发回准备就绪信号。Csrss.exe收到Winlogon.EXE的通知以后,会依次查询拥有顶层窗口的用户进程,让这些用户退出进程。如果某一个用户进程在一个默认的延时时间5000毫秒内没有退出的话,Windows XP会显示一个结束任务的对话框用于询问用户是否结束这个任务。默认情况下将显示这个对话框并一直保持而不会自动关闭。
  3、此时Winlogon.exe将再次调用ExitWindowsEx函数来关闭系统进程。(这些系统进程包括SMSS.EXE、Winlogon.EXE、Lsass.EXE等)。Windows在终止系统进程的时候并不像终止用户进程那样:进程无法在规定时间内终止,则提示用户。而是跳过这个进程,去执行下一个系统进程的终止操作。在这个时间段里面,Windows XP会执行子系统来完成最后的关机操作。
   4、 当准备工作全部完成后,Smss.exe命令释放所有系统资源,最后Smss.exe调用NtShutdownSystem函数,等除了电源管理以后的全部子系统完成退出以后,电源管理完成最后的操作:重启或关机。
    了解了Windows XP的关机流程以后,偶们很容易利用Windows窗口消息机制,实现ExitWindowsEx伪关机操作,结束顽固窗口进程。代码完成后,初略试验了一下,V5.2版360和保险箱是无声无息的消失了^-^..微点、卡巴、金山、瑞星之类的杀软窗口进程也可以结束掉,主防成了睁眼瞎,加载驱动,不再有摭拦,很好玩啊。呵呵。。。。
   关于WM_QUERYENDSESSION,MSDN上有明确的讲解,摘录如下,
The WM_QUERYENDSESSION message is sent when the user chooses to end the session or when an application calls the ExitWindows function. If any application returns zero, the session is not ended. The system stops sending      WM_QUERYENDSESSION messages as soon as one application returns zero.
After processing this message, the system sends the WM_ENDSESSION message with the wParam parameter set to the results of the WM_QUERYENDSESSION message.
WM_QUERYENDSESSION
nSource = (UINT) wParam;    // source of end-session request
fLogOff = lParam            // logoff flag

Parameters
nSource
Reserved for future use.
fLogOff
Value of lParam. Indicates whether the user is logging off or shutting down the system. Supported values include: ENDSESSION_LOGOFF.
Return Values
If an application can terminate conveniently, it should return TRUE; otherwise, it should return FALSE.
Remarks
By default, the DefWindowProc function returns TRUE for this message

代码放后面了,大家共同交流学习。祝大家节日快乐,每天都有毒杀-_-

[公告]看雪论坛2020激励机制上线了!多多参与讨论可以获得积分快速升级?

上传的附件:
最新回复 (54)
雪    币: 324
活跃值: 活跃值 (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
hmilywen 活跃值 2009-9-10 14:03
2
0
这种方法在新版360中失效了吧~
雪    币: 459
活跃值: 活跃值 (11)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
qihoocom 活跃值 9 2009-9-10 14:10
3
0
楼主的方法很****~用这种方法,只需要对方做一下防护,楼主的程序就自杀了

另外这个N久之前就有人发过了

做防护也很简单,只需要一行代码:
SetProcessShutdownParameters(0 , 0 );
雪    币: 292
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
dplayer 活跃值 1 2009-9-10 14:11
4
0
最新版依然有效。。自已玩玩吧……--_-
雪    币: 1407
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
liangdong 活跃值 2009-9-10 14:13
5
0
在Windows7下直接自杀的说
ExitWindows前几天刚试过 可以对付微点、瑞星 学习下楼主的
雪    币: 324
活跃值: 活跃值 (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
hmilywen 活跃值 2009-9-10 14:13
6
0
明天新版失效...
雪    币: 253
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
sndosej 活跃值 2009-9-10 14:15
7
0
恩 有想到过这样玩
支持一下
雪    币: 79
活跃值: 活跃值 (27)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
frozenrain 活跃值 2009-9-10 14:18
8
0
http://bbs.pediy.com/showthread.php?t=88267 是这个东西?
雪    币: 459
活跃值: 活跃值 (11)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
qihoocom 活跃值 9 2009-9-10 14:21
9
0
拍照一下7777
上传的附件:
雪    币: 253
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
sndosej 活跃值 2009-9-10 14:24
10
0
LS干什么哦
好像多了一7是加一个精华7吗?
雪    币: 33
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
PEBOSS 活跃值 2009-9-10 15:15
11
0
你要上下看下嘛,
雪    币: 33
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
PEBOSS 活跃值 2009-9-10 15:17
12
0
也不能说人家的方法脑 残吧,关键是现在没有防护
雪    币: 33
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
PEBOSS 活跃值 2009-9-10 15:18
13
0
明白了 !!可能标题 取得不太好吧!!
雪    币: 284
活跃值: 活跃值 (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
jerrynpc 活跃值 2009-9-10 22:35
14
0
mj这么多大777,777发财了。。
360已经更新,感谢楼主提供。
雪    币: 220
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
cqyxyxyx 活跃值 2009-9-10 22:56
15
0
可以学习下!喜欢"经典"的东西!
雪    币: 514
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
xacker 活跃值 1 2009-9-11 01:55
16
0
确实有点NC。
发到像 卡饭,Vbgood那样的论坛比较合适

高人现身..
改成拼音 欢迎大家联想。^@^
雪    币: 243
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
scm 活跃值 2009-9-11 07:39
17
0
一运行,360和我的正常程序一起退出了.......
雪    币: 1602
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
panti 活跃值 2009-9-11 09:25
18
0
比360还大的牛现身了
雪    币: 474
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
feierin 活跃值 2009-9-11 09:43
19
0
果然强大
360被关闭了
瑞星的的托盘图标是消失了但RavMonD.exe进程没有被关闭
雪    币: 53
活跃值: 活跃值 (28)
能力值: ( LV9,RANK:270 )
在线值:
发帖
回帖
粉丝
kuang110 活跃值 6 2009-9-11 10:49
20
0
呵呵,这个有点意思
雪    币: 276
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
loveqqc 活跃值 2009-9-11 10:54
21
0
技术很重要,同时人品也很重要。
雪    币: 292
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
dplayer 活跃值 1 2009-9-11 11:27
22
0
感谢看雪对本贴的关注,感谢雪友们的支持,感谢CCTV
雪    币: 292
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
dplayer 活跃值 1 2009-9-11 11:28
23
0
看你签名就知道是个菜J 。。不懂不要乱说话
雪    币: 1284
活跃值: 活跃值 (86)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
非虫 活跃值 7 2009-9-11 12:33
24
0
在VISTA下直接SHUTDOWN了。
雪    币: 83
活跃值: 活跃值 (10)
能力值: ( LV13,RANK:220 )
在线值:
发帖
回帖
粉丝
instruder 活跃值 4 2009-9-11 13:25
25
0
呵呵,挺好玩的,适合在木马记录密码时被杀毒软件拦截下使。。。。关了杀毒想怎么玩就怎么玩。
雪    币: 321
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
haras 活跃值 2009-9-11 14:46
26
0
我来支持LZ的,R3 KILL还有好几种吧,还没爆出来,只是为了好玩。
雪    币: 2648
活跃值: 活跃值 (105)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
cvcvxk 活跃值 10 2009-9-11 16:36
27
0
07年的时候用过一段时间,现在不用了~
雪    币: 292
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
dplayer 活跃值 1 2009-9-11 17:18
28
0
那您还下俺滴程序干啥咧
雪    币: 514
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
xacker 活跃值 1 2009-9-11 17:37
29
0
    此帖被某高人和谐 本是不打算再回的
无意中 却发现了一条商机  
LZ既然有从签名中就可以看出别人菜不菜这手功夫   我们可以一起合作一个赚钱项目阿
去市中心街边摆个地摊 立半仙旗号  
LZ你提供技术支持 我提供地皮和桌子 专看过往人群
赚钱了55分  怎样?
雪    币: 216
活跃值: 活跃值 (24)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dayang 活跃值 2009-9-11 22:57
30
0
支持发代码的任何人!
卡巴依然不退,呵呵
雪    币: 413
活跃值: 活跃值 (21)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
大头和尚 活跃值 2009-9-12 00:04
31
0
好像探讨的不仅仅是技术了,火药味挺重的。夏天过了,秋高气爽该进补了。
雪    币: 2648
活跃值: 活跃值 (105)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
cvcvxk 活跃值 10 2009-9-12 13:55
32
0
收藏一下,也不用看,就那么扔到硬盘里~哈哈~
雪    币: 292
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
dplayer 活跃值 1 2009-9-12 14:02
33
0
老V有收藏癖。。
雪    币: 198
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
echale 活跃值 2009-9-13 01:37
34
0
偷偷告诉我就好了..去写病毒..
雪    币: 2076
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
exile 活跃值 1 2009-9-15 02:48
35
0
又在弄这个东西。。。
雪    币: 450
活跃值: 活跃值 (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
cnnets 活跃值 2009-9-15 22:38
36
0
呵呵,对360的5.2.01021继续有效,卡巴2009、天网、QQ等能关。
雪    币: 1675
活跃值: 活跃值 (11)
能力值: ( LV15,RANK:670 )
在线值:
发帖
回帖
粉丝
cntrump 活跃值 13 2009-9-15 22:47
37
0
不知道为什么,我用的时候就真的关机了
雪    币: 225
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
longway 活跃值 2009-9-16 06:36
38
0
资源用手机下不了!!!
雪    币: 204
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
望花煮 活跃值 2009-9-16 16:49
39
0
非常棒,学习下!
雪    币: 155
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yaofande 活跃值 2009-9-16 22:35
40
0
没有最经典只有更经典
雪    币: 238
活跃值: 活跃值 (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
anticode 活跃值 2009-9-17 09:00
41
0
这个是相当的强啊。
雪    币: 40
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
DONET 活跃值 2009-9-17 09:50
42
0
有个问题不懂,貌似原理是调用关机的API,然后当碰到自己的时候,就停止关机操作,可是如何指定进程呢?这样操作会干掉很多程序,不仅仅是360,不懂。
雪    币: 211
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
woodhead 活跃值 2009-9-18 10:56
43
0
下下来研究一下,谢谢分享
雪    币: 1
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
bkywh 活跃值 2009-9-22 20:24
44
0
比较喜欢360的
雪    币: 10
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
CoolSnow 活跃值 2009-9-22 21:50
45
0
没有发现if语句
雪    币: 203
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ckzz 活跃值 2009-9-23 17:13
46
0
  360不会是因为你的代码更新的吧
雪    币: 1494
活跃值: 活跃值 (16)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
cmdxhz 活跃值 1 2009-9-25 01:14
47
0
呵呵`~
          360  貌似有点脆弱~~
   上次偶做掉他的服务~~~
做一个驱动就把服务给扫出去了``
      嘿嘿```
没想到R3也可以~~做掉360~!
雪    币: 1
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
雪人 活跃值 2009-9-26 10:40
48
0
这个方法 不错 但是弊端也很多 所有的非系统进行全被干掉了
雪    币: 225
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
longway 活跃值 2009-10-11 22:21
49
0
看了源码,有个不解之处,请高手解答:MSDN上说处理wm_queryendsession消息是return 0阻止关机,但是作者源码却是return true阻止关机(我试了return true是对的,而return faulse就直接关机了),不知道问题出在哪,还请高手解答?
雪    币: 53
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
codey 活跃值 2009-10-11 22:38
50
0
这么下去,就会成为WINXP一个洞了,木马就可以关闭所有杀软了吧!
游客
登录 | 注册 方可回帖
返回