关注我们
QRcode 邮件联系 新浪微博
首页 > 系统安全 » 正文

基于TaskKill命令防杀的进程保护

     条点评
后台-系统设置-扩展变量-手机广告位-内容正文顶部

*本文原创作者:Satan Spenser,本文属FreeBuf原创奖励计划,未经许可禁止转载

大家都知道任务管理器杀死进程的方法是TerminateProcess,对此类方法的进程保护可以采用全局hook TerminateProcess 以及 OpenProcess函数来实现,这里不多做介绍在以后的文章中会详细说明。

今天讨论的是对于系统命令taskkill杀死进程的保护方法。使用taskkill命令关闭计算器进程我们可以看到如下返回结果:

显然这不是调用OpenProcess后使用TerminateProcess关闭进程。对于这类的方法一般而言只能用过SSDT HOOK的方式在R0中进行拦截,而进入R0的正规方法基本只有写驱动,从WIN7开始驱动需要签名过的才能安装,所以这里给大家提供一个R3层拦截taskkill关闭受保护进程的方法。

首先我们知道taskkill在执行的时候也会产生一个进程,理论上说只需要不让这个进程启动,就可以实现拦截,最简单粗暴的方法就是检测taskkill.exe进程是否存在,只要存在马上使用TerminateProcess杀死该进程,但是这种方法用户体验非常不好,影响了正常使用,所以需要对taskkill命令参数进行过滤,从而实现指定进程的保护。

接下来介绍具体步骤。

1.检测taskkill进程是否存在如果存在注入dll。

int bufPid = 0;
int nowPid = (int)GetProcessIDByName("taskkill.exe");
if (nowPid != 0 && bufPid != nowPid)
{
    //此处注入dll
    bufPid = nowPid;
}

2.在dll中读取taskkill的commandline检测被保护进程关键字(进程名,pid)是否存在,如果存在强制干掉taskkill进程,代码中只实现了基于进程名的检测,基于pid的,可获取被保护进程名对pid进行匹配。

LPWSTR *szArglist;
int nArgs;
szArglist = CommandLineToArgvW(GetCommandLineW(), &nArgs);
for (int i = 0; i

对于GetProcessIDByName函数的实现如下:

DWORD GetProcessIDByName(const char* pName)
{
    HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
    if (INVALID_HANDLE_VALUE == hSnapshot) {
        return NULL;
    }
    PROCESSENTRY32 pe = { sizeof(pe) };
    for (BOOL ret = Process32First(hSnapshot, &pe); ret; ret = Process32Next(hSnapshot, &pe)) {
        if (strcmp(pe.szExeFile, pName) == 0) {
            CloseHandle(hSnapshot);
            return pe.th32ProcessID;
        }
    }
    CloseHandle(hSnapshot);
    return 0;
}

最终效果如下:

可以看到计算器进程是没有受保护的可以直接关闭,而notepad.exe则无响应。

*本文原创作者:Satan Spenser,本文属FreeBuf原创奖励计划,未经许可禁止转载

后台-系统设置-扩展变量-手机广告位-内容正文底部
本文标签:
DELPHI黑客编程(三):简单远控原理实现
制作iOS内核调试线与调试内核
  DELPHI黑客编程(三):简单远控原理实现 DELPHI黑客编程(三):简单远控原理实现  AVCrypt:一款尝试卸载反病毒软件的勒索病毒 AVCrypt:一款尝试卸载反病毒软件的勒索病  利用.MF后缀文件猥琐绕过火绒杀毒测试 利用.MF后缀文件猥琐绕过火绒杀毒测试  Windows漏洞利用开发教程Part 1 Windows漏洞利用开发教程Part 1  间谍软件Agent Tesla变种再现:通过特制Word文档诱导安装 间谍软件Agent Tesla变种再现:通过特制Wor  勒索病毒“GPGQwerty”的分析与复现 勒索病毒“GPGQwerty”的分析与复现  利用文本编辑器的插件在Unix机器上的实现提权 利用文本编辑器的插件在Unix机器上的实现  基于SYLK文件传播Orcus远控木马样本分析 基于SYLK文件传播Orcus远控木马样本分析

已有条评论,欢迎点评!