[发明专利]一种杀死受保护的恶意计算机进程的系统及方法

权利要求书

1.一种杀死受保护的恶意计算机进程的系统，其特征在于，该系统是通过Win32应用程序和驱动程序两个模块来实现的，

Win32应用程序模块包括：

向进程窗口发WM_CLOSE消息—向目标进程窗口发送WM_CLOSE消息使其终止运行；

注入代码调用ExitProcess函数—向目标进程注入代码并调用ExitProcess函数使其终止运行；

调用TerminateProcess函数—调用Windows系统提供的API函数TerminateProcess来使目标进程退出；

与内核驱动程序通信—向内核驱动程序发送目标进程信息并接收驱动程序的反馈信息；

运行日志及报告—记录程序的运行日志并生成报告以供用户阅读；

内核驱动程序模块包括：

与Win32应用程序通信-负责接收Win32应用程序传入的目标进程的ID，并且在操作结束后再将结果反馈给Win32应用程序；

调用NtTerminateProcess函数-使用NtTerminateProcess函数来杀死进程；

调用PspTerminateProcess函数-使用更底层的内核函数PspTerminateProcess来杀死进程；

将进程代码的内存页面清0使用将存放有目标进程运行代码的内存页面清0的方法来杀死进程。

2.如权利要求1所述的系统，其特征在于，完成了对目标进程的杀死操作，就立刻反馈给日志及报告模块，不必再往下执行了。

3.如权利要求1所述的系统，其特征在于，如果是在驱动中完成的杀进程操作，那么还需要通过通信模块将信息反馈到Win32应用层。

4.一种杀死受保护的恶意计算机进程的方法，其特征在于，该方法的具体流程为：首先取得恶意进程的ID，然后查找该进程是否存在主窗口，如果目标进程有主窗口的话，向进程主窗口发送WM_CLOSE消息使其主窗口关闭并终止运行；如果目标进程没有主窗口，目标进程已经注册成为系统服务进程，那么向目标进程注入代码并调用ExitProcess函数，也能达到杀死目标进程的目的；

如果上面两种方法都无法杀死目标进程，或者不适用于该目标进程，那么使用调用TerminateProcess函数的方法来杀死目标进程，这是在Win32应用层杀死目标进程的终极方法。

5.如权利要求4所述的方法，其特征在于，如果通过上述方法都无法杀死目标进程，那么该进程很可能已经受到内核驱动程序的保护，对于这种进程，也只能在内核驱动程序中去杀死它；与内核驱动程序通信这项功能将目标进程的ID传到内核驱动程序中，由内核驱动程序来完成杀进程操作；

当内核驱动程序获得进程ID后，可以通过调用PsLookupProcessByProcessId函数得到进程的EPROCESS对象，然后同通过调用ObOpenObjectByPointer函数得到进程的内核句柄，最后调用NtTerminateProcess函数杀死进程；如果保护目标进程的驱动对NtTerminateProcess函数进行了修改挂钩，那么用上述的方法也无法杀死目标进程，这时采用调用PspTerminateProcess函数的方法来杀死目标进程，得到进程的EPROCESS对象后就能调用此函数，这是一种比调用NtTerminateProcess函数更底层的方法；

但是如果保护目标进程的驱动连PspTerminateProcess函数也做了修改挂钩，则用将存放有目标进程代码的内存页面清0的方法来杀死目标进程。

6.如权利要求5所述的方法，其特征在于，将存放有目标进程代码的内存页面清0的方法是通过PsLookupProcessByProcessId函数得到目标进程的EPROCESS对象，然后调用KeStackAttachProcess函数切换到进程目标进程的地址空间，再修改CR0寄存器去掉存放有目标进程代码的内存页面的写保护，最后调用RtlZeroMemory函数将目标进程代码存放的内存页面清0来达到杀死目标进程的目的。

7.如权利要求6所述的方法，其特征在于，将存放有目标进程代码的内存页面清0的方法没有调用到系统中任何结束进程或线程的函数，因此即使保护目标进程的驱动程序在PspTerminateProcess函数做了手脚来保护目标进程，也无法阻挡这种杀进程的方法。

8.如权利要求4-7所述的方法，其特征在于，在驱动程序中，还能够通过恢复钩子后再杀死受保护的进程。