程序员经验分享-hwhale

进程防结束之PS_CROSS_THREAD_FLAGS_SYSTEM

2023-05-16
有人投到黑防去了,不过黑防不厚道,竟然没给完整的代码,自己整理一份备用吧,驱网、DebugMan、邪八的那群人直接飘过吧。
这种方法的关键在于给线程的ETHREAD.CrossThreadFlags设置PS_CROSS_THREAD_FLAGS_SYSTEM值,这样其它进程就无法结束它了,包括IceSword、RkU。至于原理,那就先看看wrk里结束进程的那几个内核函数源码,NtTerminateProcess、PsTerminateProcess、PspTerminateProcess最终都是调用PspTerminateThreadByPointer来将每个线程杀死,而在PspTerminateThreadByPointer里,如果线程是被其它进程强x结束的,就会有个这样的判断:
 
  1. if (IS_SYSTEM_THREAD (Thread ) ) {
  2.     return STATUS_ACCESS_DENIED;
  3. }

Thread类型是PETHREAD,IS_SYSTEM_THREAD是个宏,如下:

  1. #define IS_SYSTEM_THREAD (Thread )   ( ( (Thread ) - >CrossThreadFlags &PS_CROSS_THREAD_FLAGS_SYSTEM ) ! = 0 )

也就是说当线程的ETHREAD.CrossThreadFlags包含PS_CROSS_THREAD_FLAGS_SYSTEM位时,就直接返回拒绝访问,这样线程就不会被结束了。具体参考代码请看wrk 1.2里的文件base\ntos\ps\psdelete.c。
好,现在只要给我们的进程里的每个线程都设置PS_CROSS_THREAD_FLAGS_SYSTEM,进程就不会被结束掉了。但是ETHREAD的结构没有文档化,所以还得自己找到CrossThreadFlags成员在ETHREAD结构里的偏移。可以通过在已导出的相关函数中找一些特征来定位CrossThreadFlags,黑防中是在PsIsSystemThread里找,但是这个函数在Windows 2000里没有,所以我们换个,换成PsTerminateSystemThread,先看下PsTerminateSystemThread的源码:

  1. NTSTATUS
  2. PsTerminateSystemThread (
  3.     __in NTSTATUS ExitStatus
  4.     )
  5. {
  6.     PETHREAD Thread = PsGetCurrentThread ( );
  7.  
  8.     if ( !IS_SYSTEM_THREAD (Thread ) ) {
  9.         return STATUS_INVALID_PARAMETER;
  10.     }
  11.  
  12.     return PspTerminateThreadByPointer (Thread, ExitStatus, TRUE );
  13. }

这里也用到了IS_SYSTEM_THREAD,那么也一定会有定位CrossThreadFlags的代码,如下:

  1. kd> u PsTerminateSystemThread
  2. nt!PsTerminateSystemThread :
  3. 805c89f8 8bff             mov     edi , edi
  4. 805c89fa 55               push     ebp
  5. 805c89fb 8bec             mov     ebp , esp
  6. 805c89fd 64a124010000     mov     eax , dword ptr fs : [ 00000124h ]
  7. 805c8a03 f6804802000010   test     byte ptr [ eax + 248h ] , 10h
  8. 805c8a0a 7507             jne     nt!PsTerminateSystemThread + 0x1b (805c8a13 )
  9. 805c8a0c b80d0000c0       mov     eax , 0C000000Dh
  10. 805c8a11 eb09             jmp     nt!PsTerminateSystemThread + 0x24 (805c8a1c )
  11. 805c8a13 ff7508           push     dword ptr [ ebp + 8 ]
  12. 805c8a16 50               push     eax
  13. 805c8a17 e828fcffff       call    nt!PspTerminateThreadByPointer (805c8644 )
  14. 805c8a1c 5d               pop     ebp
  15. 805c8a1d c20400           ret     4
很明显test    byte ptr [eax+248h],10h中的248h就是CrossThreadFlags在ETHREAD里的偏移了,test    byte ptr [eax+xxxxxxxx],10h的16进制是f680xxxxxxxx10,现在只要先获得PsTerminateSystemThread的地址,然后向后搜索0x80f6,搜索到后再后面的4个字节就是CrossThreadFlags在ETHREAD里的偏移了。

得到了偏移,下面就是写代码了,驱动部分:

  1. #include <ntifs. h >
  2. #include <ntddk. h >
  3.  
  4. #define PS_CROSS_THREAD_FLAGS_SYSTEM 0x00000010UL   //form wrk 1.2 base\ntos\inc\ps.h
  5. #define IOCTL_THREAD_PROTECT CTL_CODE (FILE_DEVICE_UNKNOWN, 0x800, METHOD_BUFFERED, FILE_ANY_ACCESS )
  6.  
  7. VOID DriverUnload (PDRIVER_OBJECT pDriverObject )
  8. {
  9.   UNICODE_STRING usSymLink;
  10.   RtlInitUnicodeString ( &usSymLink, L "\\??\\ThreadProtect" );
  11.   IoDeleteSymbolicLink ( &usSymLink );
  12.   IoDeleteDevice (pDriverObject - >DeviceObject );
  13. }
  14.  
  15. NTSTATUS DispatchCreateClose (PDEVICE_OBJECT pDeviceObject, PIRP pIrp )
  16. {
  17.   pIrp - >IoStatus. Status = STATUS_SUCCESS;
  18.   pIrp - >IoStatus. Information = 0;
  19.   IoCompleteRequest (pIrp, IO_NO_INCREMENT );
  20.  
  21.   return STATUS_SUCCESS;
  22. }
  23.  
  24. NTSTATUS DispatchControl (PDEVICE_OBJECT pDeviceObject, PIRP pIrp )
  25. {
  26.   NTSTATUS nRet = STATUS_UNSUCCESSFUL;
  27.   ULONG_PTR uInf = 0;
  28.   PIO_STACK_LOCATION pIoStack = IoGetCurrentIrpStackLocation (pIrp );
  29.   PVOID pSysBuff = pIrp - >AssociatedIrp. SystemBuffer;
  30.  
  31.   switch (pIoStack - >Parameters. DeviceIoControl. IoControlCode )
  32.   {
  33.   case IOCTL_THREAD_PROTECT :
  34.     PETHREAD pEThread;
  35.     PsLookupThreadByThreadId (HANDLE ( * (PULONG )pSysBuff ), &pEThread );
  36.     UNICODE_STRING usName;
  37.     RtlInitUnicodeString ( &usName, L "PsTerminateSystemThread" );
  38.     PUSHORT pOffset = (PUSHORT )MmGetSystemRoutineAddress ( &usName );
  39.  
  40.     //search "test byte ptr [eax+xxxxxxxx],10h",hex:f680xxxxxxxx10
  41.     while ( *pOffset ! = 0x80f6 )
  42.       pOffset = PUSHORT ( (PUCHAR )pOffset + 1 );
  43.     PULONG pFlags = PULONG ( (PUCHAR )pEThread + * (PULONG ) (pOffset + 1 ) );
  44.     DbgPrint ( "pOffset:%08x, CrossFlagOffset:%08x\r\n", pOffset, * (PULONG ) (pOffset + 1 ) );
  45.     *pFlags |= PS_CROSS_THREAD_FLAGS_SYSTEM;   //set PS_CROSS_THREAD_FLAGS_SYSTEM bit
  46.     nRet = STATUS_SUCCESS;
  47.     uInf = 0;
  48.     break;
  49.   }
  50.  
  51.   pIrp - >IoStatus. Status = nRet;
  52.   pIrp - >IoStatus. Information = uInf;
  53.   IoCompleteRequest (pIrp, IO_NO_INCREMENT );
  54.   return nRet;
  55. }
  56.  
  57. extern "C" NTSTATUS DriverEntry (PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegPath )
  58. {
  59.   pDriverObject - >DriverUnload = DriverUnload;
  60.   pDriverObject - >MajorFunction [IRP_MJ_CREATE ] = DispatchCreateClose;
  61.   pDriverObject - >MajorFunction [IRP_MJ_CLOSE ] = DispatchCreateClose;
  62.   pDriverObject - >MajorFunction [IRP_MJ_DEVICE_CONTROL ] = DispatchControl;
  63.  
  64.   UNICODE_STRING usDeviceName;
  65.   RtlInitUnicodeString ( &usDeviceName, L "\\Device\\ThreadProtect" );
  66.  
  67.   NTSTATUS nRet;
  68.   PDEVICE_OBJECT pDeviceObject;
  69.   nRet = IoCreateDevice (pDriverObject, 0, &usDeviceName, FILE_DEVICE_UNKNOWN,
  70.     FILE_DEVICE_SECURE_OPEN, FALSE, &pDeviceObject );
  71.   if ( !NT_SUCCESS (nRet ) )
  72.     return nRet;
  73.  
  74.   UNICODE_STRING usSymLink;
  75.   RtlInitUnicodeString ( &usSymLink, L "\\??\\ThreadProtect" );
  76.   nRet = IoCreateSymbolicLink ( &usSymLink, &usDeviceName );
  77.   if ( !NT_SUCCESS (nRet ) )
  78.   {
  79.     IoDeleteDevice (pDeviceObject );
  80.     return nRet;
  81.   }
  82.   return STATUS_SUCCESS;
  83. }

这段代码要解释的都在上面了。EXE部分的代码就不用帖了,只要将每个线程的ID通过DeviceIoControl传入驱动即可:
 

  1. #define IOCTL_THREAD_PROTECT CTL_CODE (FILE_DEVICE_UNKNOWN, 0x800, METHOD_BUFFERED, FILE_ANY_ACCESS )
  2.  
  3. DeviceIoControl (hDevice, IOCTL_THREAD_PROTECT, &nThreadId, sizeof (nThreadId ), 0, 0, &nByteRet, 0 );

 


点击这里下载文件: ThreadProtect.rar
运行后果自行负责,运行不了自行想办法到注册表里删除先前的ThreadProtect键值。

最后,怎么结束用这种方法保护的进程?方法大大的有,插入APC,然后PspExitThread就不会经过PspTerminateThreadByPointer了。


加粗 (Ctrl+B)斜体 (Ctrl+I)下划线 (Ctrl+U)字体颜色超链接 (Ctrl+L)取消超链接表情关于 xhEditor
 


本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

cross

thread

flags

system

进程防结束之

进程防结束之PS_CROSS_THREAD_FLAGS_SYSTEM 的相关文章

  • 如何防止用户更改系统日期/时间(在 Android 中)?

    我用谷歌搜索过 但我找不到任何建议来阻止用户更改 android 中的系统日期 时间 我们正在开发一个企业应用程序 我们希望阻止设备的用户能够设置时间设置 换句话说 我们想要设置一个策略来定义用户不能更改 Android 设备中的日期和时间

  • Java系统属性和环境变量

    系统属性有什么区别系统 getProperties http download oracle com javase 6 docs api java lang System html getProperties 28 29和环境变量系统 ge

  • Android 中如何检查应用程序是否为非系统应用程序?

    我收到一份清单ApplicationInfo对象与packageManager getInstalledApplications 0 http developer android com reference android content

  • 在 Java 中在屏幕上绘图

    我想用 Java 创建一个帮助应用程序 其行为如下 每当通过全局快捷方式调用时 它都可以在屏幕上绘制一些文本 不是在其自己的应用程序窗口上 而是在屏幕顶部 类似的帖子是here https stackoverflow com questio

  • 获取所有系统壁纸

    有没有办法以编程方式获取所有android系统壁纸 我知道如何通过WallpaperManager 然后将其保存到磁盘 但我想知道是否有一种方法可以访问操作系统中包含的所有用作系统壁纸的图片 所有壁纸都位于启动器应用程序中 由于启动器的名称

  • 在 ruby​​ 中隐藏系统命令结果

    在 ruby 中隐藏系统命令的结果有多容易 例如 我的一些脚本运行 system curl 我不想看到下载的结果 为了让它继续工作system无需修改您的命令 system curl err gt File NULL Source http

  • 在 C++ 中查看 system() 调用的输出

    如何查看系统命令的输出 前任 int tmain int argc TCHAR argv system set PATH PATH C Program Files x86 myFolder bin system cd C thisfolde

  • 获取唯一的机器ID

    我想获得唯一的不可更改的机器 ID 例如计算机的处理器序列号 以便分发软件而无需复制 我尝试了处理器序列号和硬盘序列号 这些序列号在格式化并重新安装 Windows 后都发生了变化 知道如何获得计算机的不可更改的序列号吗 也许最简单的方法是

  • “C 系统调用”和“C 库例程”有什么区别?

    联机帮助页中有多个部分 其中两个是 2 Unix and C system calls 3 C Library routines for C programs 例如有getmntinfo 3 http developer apple com

  • [Flags] Enum 属性在 C# 中意味着什么?

    我有时会看到如下的枚举 Flags public enum Options None 0 Option1 1 Option2 2 Option3 4 Option4 8 我不明白到底是什么 Flags 属性确实如此 有人可以发布一个很好的解

  • 打开 Internet 属性并等待用户将其关闭 C#

    是否有可能打开 Internet 属性窗口 Code System Diagnostics Process p p System Diagnostics Process Start InetCpl Cpl 4 并等到用户关闭它 然后检查互联

  • 如何检查命令是否可用或存在?

    我正在 Linux 上用 C 语言开发一个控制台应用程序 现在 它的可选部分 不是必需的 取决于可用的命令 二进制文件 如果我检查system 我越来越sh command not found作为不需要的输出 并将其检测为存在 那么我该如何

  • 如何在 Visual Studio 2010 中添加 SIMD 相关编译器标志

    我找到了这个标志列表 http www ncsa illinois edu UserInfo Resources Software Intel Compilers 10 0 main for mergedProjects optaps fo

  • C#:GPS跟踪系统[关闭]

    Closed 这个问题需要多问focused help closed questions 目前不接受答案 如何在 C net 中构建带有移动设备 带 GPS 的 GPS 跟踪系统 场景是 通过支持 GPS 的手机跟踪用户 服务工程师 这里没

  • 在 system() 函数中使用变量 C++

    string line ifstream myfile aaa txt getline myfile line system curl exe b cookie txt d test line http example com http e

  • 为什么“System.out.println”在 Android 中不起作用?

    我想在控制台中打印一些内容 以便我可以调试它 但由于某种原因 我的 Android 应用程序中没有打印任何内容 那我该如何调试呢 public class HelloWebview extends Activity WebView webv

  • POSIX 风格的操作系统中的命令行选项应该是下划线风格吗? [关闭]

    Closed 这个问题是基于意见的 help closed questions 目前不接受答案 POSIX 风格操作系统中程序的命令行选项名称是否应该是下划线风格 例如 cure world hunger 或者也许是其他风格 curewor

  • qt 读取就绪信号

    我正在尝试与运行 1996 年处理器的设备建立串行连接 这意味着数据传输回我可能需要几秒钟的时间 我知道readyRead每次有新数据可用时都会生成信号 但我的问题是生成多长时间 这也是我可以测试就绪读取是否较低的一种方法 因为如果当它们不

  • Haskell 类型系统的细微差别

    我一直在深入了解 haskell 类型系统的本质 并试图了解类型类的要点 我已经学到了很多东西 但我在下面的代码片段上遇到了困难 使用这些类和实例定义 class Show a gt C a where f Int gt a instanc

  • 无法获取 android.permission.CLEAR_APP_USER_DATA

    我正在开发需要特殊权限的系统应用程序 由于某种原因 我无法获得 CLEAR APP USER DATA 权限 但我可以使用 INSTALL PACKAGES DELETE PACKAGES 等 什么可能导致这种情况 显现 uses perm

随机推荐

  • 图像配准代码(包含matlab/opencv C++)

    1 论文链接 https ieeexplore ieee org abstract document 7769090 2 gitHub源代码链接 https github com wenzelian Image Registration

  • SLAM-ch3-实践Eigen

    1 eigenMatrix cpp include lt iostream gt include lt ctime gt include lt eigen3 Eigen Core gt include lt eigen3 Eigen Den

  • ubuntu中使用VsCode+Eigen创建Eiegn应用程序

    Visual studio code是微软发布的一个运行于 Mac OS X Windows和 Linux 之上的 xff0c 针对于编写现代 Web 和云应用的跨平台源代码编辑器 1 VsCode安装 VScode官网下载 deb文件 网

  • ubuntu+VsCode+Cmake+eigen 开发eigen应用

    以下内容参见官方文档 xff1a https code visualstudio com docs cpp cmake linux 1 安装Cmake工具 点击左侧的Extensions 搜索Cmake tools 这里已经安装 2 安装C

  • 树莓派 Ubuntu mate 18.04 下开启vncserver

    1 安装 vncserver sudo apt get y install vnc4server 2 启动 vncserver xff08 首次启动需要设置密码 xff09 vncserver Ubuntu mate里面是 mate des

  • 树莓派 Ubuntu mate 18.04 修改为清华源

    1 备份源 cp etc apt sources list etc apt sources list bck 2 root身份打开 etc apt sources list 将每个 http ports ubuntu com 都替换为 ht

  • 动手学深度深度学习-pycharm中配置mxnet开发环境

    1 文件准备 1 下载包含本书全部代码的压缩包 我们可以在浏览器的地址栏中输https zh d2l ai d2l zh 1 0 zip 下载后解压 2 由于近来 2019 05 05 国内conda源被迫关闭 xff0c 因此通过cond

  • dbm和db的关系与区别

    db是无量纲单位 xff0c 它表示两个信号之间的幅度差 dbm是有量纲单位 xff0c 它表示以1毫瓦为基准时的计量单位 1 dbm dbm是一个考征功率绝对值的值 xff0c 计算公式为 xff1a 10lg10 xff08 P 1mw

  • linux.和stm32驱动的区别

    linux下的驱动和stm32驱动的区别 xff1f stm32的驱动分为2部分 xff0c 初始化和发送接收数据 xff0c 这个理论概括了spi xff0c iic xff0c uart xff0c sdio xff0c usb 在li

  • SUMO入门(四) - 需求建模 车辆和路线的定义

    SUMO入门 四 需求建模 车辆和路线的定义 Demand Introduction to demand modelling in SUMO 在生成网络之后 xff0c 可以使用SUMO GUI来查看它 xff0c 但是没有汽车可以行驶 人

  • 图像处理特征可视化方法总结(特征图、卷积核、类可视化CAM)(附代码)

    一 前言 众所周知 xff0c 深度学习是一个 34 黑盒 34 系统 它通过 end to end 的方式来工作 xff0c 输入数据例如RGB图像 xff0c 输出目标例如类别标签 回归值等 xff0c 中间过程不可得知 如何才能打开

  • deian10 安装aptitude

    debian10系统不会默认安装aptitude xff0c 导致需要处理大量依赖关系的软件安装变得很麻烦 常规的apt源可以安装aptitude xff0c 但是需要手动处理大量的依赖包安装 可以通过如下apt源使用apt get来安装a

  • DJI OSDK开发笔记(N3飞控)(1)——开发工作流程

    DJI OSDK开发笔记 xff08 N3飞控 xff09 xff08 1 xff09 开发工作流程 API层次结构硬件设置一般设置数据串口 连接器引脚排列连接到记载计算机 软件环境设置所有平台下载SDK和所需工具更新固件启用OSDK AP

  • Windows Vista 交互式服务编程

    Windows Vista 对快速用户切换 xff0c 用户账户权限 xff0c 以及服务程序所运行的会话空间都作了很大的改动 xff0c 致使一些原本可以工作的程序不再能够正常工作了 xff0c 我们不得不进行一些改进以跟上 Vista

  • Windows2000 服务器端应用程序开发设计指南-信任成员的管理

    Microsoft的开发者已经完成Microsoft Windows 2000安全性特色的设计工作 xff0c 这些安全性特色比大多数人所习惯的环境更复杂且更有弹性 事实上 xff0c 若加上适当的管理和软件开发 xff0c Windows

  • NoDriveTypeAutoRun键值的作用

    常见的Autorun inf文件格式大致如下 xff1a AutoRun 表示AutoRun部分开始 xff0c 必须输入 icon 61 C ixigua ico 指定给C盘一个个性化的盘符图标C ico open 61 C ixigua

  • Windows系统调用架构分析—也谈KiFastCallEntry函数地址的获取 .

    为什么要写这篇文章 1 因为最近在学习 软件调试 这本书 xff0c 看到书中的某个调试历程中讲了Windows 的系统调用的实现机制 xff0c 其中讲到了从Ring3 跳转到Ring0 之后直接进入了KiFastCallEntry 这个

  • ubuntu rc.local不能正常运行

    查了下rc local有时不能正常运行的原因 xff1a Ubuntu默认将 bin sh链接到 bin dash xff0c 而 etc rc local脚本中用的正是 bin sh xff0c 导致出错 将默认的shell改成bash的

  • 关于建设symbol store的建议

    xfeff xfeff 一 symbol store的需求分析 xff1a 1 我们现在的调试环境严重依赖开发人员自己使用的开发环境 xff0c 缺点在于其他人要进行调试要么搭建一个同样的环境 xff0c 严重地占去大家不必要花费的工作时间

  • 进程防结束之PS_CROSS_THREAD_FLAGS_SYSTEM

    有人投到黑防去了 xff0c 不过黑防不厚道 xff0c 竟然没给完整的代码 xff0c 自己整理一份备用吧 xff0c 驱网 DebugMan 邪八的那群人直接飘过吧 这种方法的关键在于给线程的ETHREAD CrossThreadFla

热门标签