软件作者：zjjmj
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

听说江民杀软不错，连Icesword都结束不了进程，身披金钟罩，是黑客的克星。

由于俺也想在俺的U盘安全小助手中用上这一时髦技术，于是就看了一下，Hook了好几个Api函数，都是系统调用非常频繁的函数，
Hook后算法不优的话很拖速度，为了确保稳定性恐怕很花了些时间，商业宣传意义大于实际意义，不好不好，完全没有必要。

最后附上俺以前的一个简单进程管理器就可以结束掉江民的进程。

我是不是人品有问题拉？

你的机器Eprocess位于0xf7***********的位置，请重新换一台进程Eprocess位于0x8***********这些位置的机器。
因为0xf7*******太远了，俺懒得去搜。

太搞了
难道别人为了用你的软件还要换机器？
软件不能够满足机器反而让机器来满足你的软件。。。

说进程不会被终止都是吹的，只要放出来了就有办法针对性地绕过
HOOK来HOOK去没意思。。。

我也测试了下，同asm一样结果。。

还有准备测试的朋友如果进程列表也是空白的话不要点“终止”，否则会BSOD
楼主也应该判断下
当没有选中进程时点“终止”在Ring3处理下，就不要发IRP到内核了

此Bug已更正。

这个是我自己编出来杀毒用的，以前没打算发布的。
以前是个光驱动，界面是刚才用MFC赶制的。

遍历EPROCESS的地址还得用硬编码啊 ，汗。。。

直接PsGetCurrentProcess不就可以了吗，疑惑ing~


--------------------------------------------------------------------
偶这里到是能显示进程列表。不过都是乱码，而且以前运行过但已经不存在的进程，还能显示在这个列表里面。。。

是暴力搜索不是硬编码。

列表框中显示的进程名不是来自于ToolHelp函数么？
对于较长的进程名无法显示完整。。。

楼主是用EPROCESS 结构得来的进程名吧
EPROCESS 结构中process name字段只有16字节的长度 导致进程名显示不完整
感觉用PID进行通讯比较好。。

以前是暴力搜索，我已经说过了。

发现几个问题.1:用这个程序无聊的去关自己.结果关掉了.再开的话提示如下.

11.jpg (4 KB)

2007-11-24 21:23

             2:这个进程管理器用windows自带的管理器没法关哦. (这个就测试了一次.而且是在出错的情况下测试的.所以暂时还不确定.有测试过的说下.)
             PS:蛮不错的程序哦.asm RP不行.HOHO.

不晓得zijjmj大牛用的什么猥亵大法。程序运行出错后，不能加载驱动，接着就隐藏起来了。
IS，RKU都结束不掉它.


偶记得有的进程结束后,系统还保留其EPROCESS, 这样暴力搜索时,就出现已经死去的进程了...

要检测隐藏进程最简单有效的办法就是暴力搜索，它连棺材板板都要揭开看一下里面是不是有活人。

APT也不能结束江民的进程吗？

都很少用江民了
以前感觉不错
但是现在的江民怎么老是扫描网页
打开网页速度太慢

以前用的江民
现在都不用了，感觉江民现在都注重了网页扫描，登陆网页的速度太慢
还是换用卡巴和瑞星了，两杀软换用

我用楼主的任务管理器一关江民的进程，机器就重启了。