释放驱动HOOK了SSDT表中的NtOpenProcess,然则对参数过滤不严密,只过滤 PROCESS_TERMINATE, PROCESS_WRITE, XXXX(忘记了),,三种.然后对照的PID是放在全局变量中,可以通过发送 DeviceIoControl 改变这个值~ 以是我们照样可以以其他的参数打开这个历程的(只要不含有那三个参数)~ 不外人人似乎都不感兴趣这个问题,于是代码就不放了,想要可以直接给我新闻.顺便要求刀客公然他的方式~~ 1.使用 FindWindow 的方式,然后想窗口发送 WM_CLOSE 的新闻 2.找到历程的线程, PostThreadMessage 发送 WM_QUIT 新闻竣事主线程 3.OpenThread ---gt; TerminateThread 4.RemoteExitProcess,以 PROCESS_CREATE_THREAD|VM_OPERATION方式打开历程,然后建立个远程线程,线程最先地址是 ExitProcess 参数0 ,程序自行了断. 5.首先确保历程能被打开(8和9先容),然后建立一个线程去 DebugActiveProcess 他,然后什么也不做退出线程,程序无人接受,于是挂掉~ 6.以 VM_OPERATION方式打开历程, 然后挪用 NtUnmapViewOfSection 卸载掉他的ntdll.dll 这个时刻程序还未溃逃,然后再随意发送个新闻给它,它的程序一经挪用直接就会异常,然则ntdll已经挂掉,无法用户空间异常处置,自行了断~(我以为这个方式应和往历程空间写垃圾数据属于统一方式) 7.发送键盘 ESC 单击的新闻(这个和发送窗口新闻不能算统一个的). 8.下面是重点要先容的:-----------------------------由于CrackMeApp打开了驱动的文件句柄,以是直接不能卸载驱动的.因此需要把这个句柄给关闭.于是怎么去获取远程的文件句柄呢?首先想到的是 DuplicateHandle ,BOOL DuplicateHandle( HANDLE hSourceProcessHandle, // handle to source process HANDLE hSourceHandle, // handle to duplicate HANDLE hTargetProcessHandle, // handle to target process LPHANDLE lpTargetHandle, // duplicate handle DWORD dwDesiredAccess, // requested access BOOL bInheritHandle, // handle inheritance option DWORD dwOptions // optional actions); 先看最后一个参数:DUPLICATE_CLOSE_SOURCE Closes the source handle. This occurs regardless of any error status returned. DUPLICATE_SAME_ACCESS Ignores the dwDesiredAccess parameter. The duplicate handle has the same access as the source handle. 也就是说当我们选择DUPLICATE_CLOSE_SOURCE时,远程的句柄就会自动关闭了 第一个参数,我们可以直接OpenProcess(PROCESS_DUP_HANDLE ,XXX)获得,第二个参数对照难找,就是CrackMeApp历程里打开驱动的句柄,要想获得这个我们得借助个ntdll.dll中的一个 API, ZwQuerySystemInformation 这个可以获得整个系统中所有的句柄信息,我们可以所有找出来,然后判断哪些句柄是属于 CrackMeApp历程的,而且ObjectTypeNumber类型为文件类型的