WINDOWS内核终止进程原理
答案:1 悬赏:40 手机版
解决时间 2021-07-16 07:14
- 提问者网友:寂寞撕碎了回忆
- 2021-07-16 01:59
WINDOWS内核终止进程原理?
最佳答案
- 五星知识达人网友:長槍戰八方
- 2021-07-16 02:38
一般的进程管理器使用WIN32 API的OpenProcess和TerminateProcess或NATIVE API 的ZwOpenProcess和ZwTerminateProcess 函数来打开和终止进程[4],木马病毒可能通过拦截API来实现进程保护,这种工具对拦截API的木马病毒的管理是无效的,在内核态,可使用系统内核未导出的内核函数PspTerminateThreadByPointer来终止进程,越过木马病毒的应用态或内核态的API拦截,直接终止进程,在Windows 2000在下,可通过内核例程PsTerminateSystemThread找到PspExitThread,然后通过插入内核级远程APC调用来实现PspTerminateThreadByPointer,在Windows XP、2003可直接找到PspTerminateThreadByPointer。该方法可终止绝大部分进程保护程序。
我要举报
如以上问答信息为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
大家都在看
推荐资讯