Ring3内存清零杀进程

小磊

要想杀NB进程先得确保你是否有足够的权限OpenProcess

源码如下

API声明


[e].版本 2

.DLL命令 OpenProcess, 整数型, , "OpenProcess"
    .参数 dwDesiredAccess, 整数型
    .参数 bInheritHandle, 整数型
    .参数 dwProcessId, 整数型

.DLL命令 ZwWriteVirtualMemory, 整数型, "NTDLL.DLL", "ZwWriteVirtualMemory"
    .参数 ProcessHandle, 整数型
    .参数 BaseAddress, 整数型
    .参数 pBuffer, 字节集
    .参数 NumberOfBytesToWrite, 整数型
    .参数 NumberOfBytesWritten, 整数型, 传址

.DLL命令 ZwProtectVirtualMemory, 整数型, "NTDLL.DLL", "ZwProtectVirtualMemory"
    .参数 ProcessHandle, 整数型
    .参数 BaseAddress, 整数型
    .参数 RegionSize, 整数型
    .参数 NewProtect, 整数型
    .参数 OldProtect, 整数型

.DLL命令 ZwClose, 整数型, "NTDLL.DLL", "ZwClose"
    .参数 ObjectHandle, 整数型


常量声明

.版本 2

.常量 PAGE_EXECUTE_READWRITE, "64"
.常量 STANDARD_RIGHTS_REQUIRED, "983040"
.常量 SYNCHRONIZE, "1048576"
.常量 SPECIFIC_RIGHTS_ALL, "65535"
.常量 STANDARD_RIGHTS_ALL, "2031616"
.常量 PROCESS_ALL_ACCESS, "2035711"
具体代码



.版本 2

.局部变量 hprocess, 整数型
.局部变量 i, 整数型
.局部变量 内存填充物, 字节集

hprocess ＝ OpenProcess (#PROCESS_ALL_ACCESS, 0, 到数值 (编辑框1.内容))
内存填充物 ＝ 取空白字节集 (255)
.变量循环首 (0, 2147479551, 4096, i)
    ZwProtectVirtualMemory (hprocess, i, 4096, #PAGE_EXECUTE_READWRITE, 0)
    ZwWriteVirtualMemory (hprocess, i, 内存填充物, 4096, 0)
.变量循环尾 ()
ZwClose (hprocess)[/e]