结束进程的N种方法
结束进程的N种方法(RING0 AND RING3)释放驱动HOOK了SSDT表中的NtOpenProcess,但是对参数过滤不严密,只过滤PROCESS_TERMINATE, PROCESS_WRITE, XXXX(忘记了),,三种.然后比较的PID是放在全局变量中,可以通过发送 DeviceIoControl 改变这个值~
所以我们还是可以以其他的参数打开这个进程的(只要不含有那三个参数)~
不过大家似乎都不感兴趣这个题目,于是代码就不放了,想要可以直接给我消息.顺便要求刀客公开他的方法~~
页:
[1]