|
[C] Ядерный вызов ZwTerminateProcess
|
|
| Neo | Дата: Воскресенье, 06.01.2013, 14:21 | Сообщение # 1 |
Модератор
Зарегистрирован: 04.05.2010
Группа: Модераторы
Сообщений: 317
Статус: Offline
| Всем привет!Вот написал кодец для вызова функции завершения процессов из драйвера.Зачем это нужно?
Ну,если кто-то подцепит троян,который будет сплайсить из 3 кольца функцию OpenProcess или TermonateProcess,защищая себя этим от завершения,то завершить его можно будет вызовом соответствующей функцией из ядра.
Как это работает.Запускаете приложение на Delphi,открывается консолька.Туда пишете pid процесса,который надо завершить и эта инфа передаётся в драйвер,а он уже прибивает процесс.
Доступно только для пользователей
|
| |
| |
| ms301 | Дата: Воскресенье, 06.01.2013, 14:36 | Сообщение # 2 |
Постоянный
Зарегистрирован: 28.11.2012
Группа: Пользователи
Сообщений: 101
Статус: Offline
| Жрайвер )))
|
| |
| |
| xXxSh@dowxXx | Дата: Воскресенье, 06.01.2013, 15:06 | Сообщение # 3 |
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| Превосходно! Огромный + Вам за проделанную работу.
Возник сразу такой вопрос, можно ли таким методом прибить процесс АВ или они сейчас поголовно все через ring0 ?
|
| |
| |
