Windows：从内核终止进程的不同方法

Question

有一个特殊的进程我无法直接使用ZwTerminateProcess终止，因为它的驱动程序为所述函数注册了一个回调来保护自己。

其他方法：

• 注入DLL并调用ExitProcess
• 使用KeAttachProcess附加到其地址空间，然后调用ZwTerminateProcess（导致BSOD IRQL_NOT_LESS_OR_EQUAL）
• MmUnmapViewOfSection（由于程序试图写入无法读取的内存而导致BSOD）

进程黑客是如何做到的？

Answer 1

由于ExpandEnvironmentSettings位于kernel32.dll，您应该可以使用未记录的内核例程KeUserModeCallback来调用它，如https://thisissecurity.net/2014/04/08/how-to-run-userland-code-from-the-kernel-on-windows/中所述。