[转贴From DFW]远程爆破,另类结束进程的方式(插入线程式)
来源:互联网 发布:python mmap 编辑:程序博客网 时间:2024/05/27 06:11
标题: [原创]远程爆破,另类结束进程的方式(插入线程式)
关键字: 结束进程 爆破
分类: 个人专区
密级: 公开
老套结束进程方式是OpenProcess,然后TerminateProcess。但是遇到那些Hook过TerminateProcess的程序,以及内核模式的程序(比如很多杀毒软件),这招就无能为力了。TerminateProcess的最终结果是没有任何变化或者你的程序直接死掉...
老早就想过用其他方式来结束进程了,比如让自己也工作在内核模式...这里给出一种很简单的办法,远程爆破目标程序。说白了,就是插入一个线程到目标程序,执行一段崩溃代码,让目标从内部自己死掉。就好像扔一个炸弹道目标内部,所以叫远程爆破。
实现原理:
1.首先是怎么让目标程序崩溃。平时有遇到程序崩溃吧,还记得那段代码怎么写吗?(谁去记这种会死机的代码啊)不知道怎么写,那告诉你一个最简单的方式吧,CreateRemoteThread的开始地址,直接用0代替,自己试试读写0处的物理内存吧,是不是直接"0x00000000" 指令引用的 "0x00000000" 内存。该内存不能为 "read"。,出现这个就达到目的了。但是保险起见,还是自行写一段必然会引起崩溃的代码好些,毕竟这样稳妥些。
其实不用那么暴力,也能让目标程序结束掉的。还记得ExitProcess()吗?就是那个只能用在自己程序里的退出API,注射 $7C81CAA2 这个的地址就好了(具体怎么获得见后面)。这样就好比扔把刀子给别人,让他去自杀...汗
2.注射线程的例子就很多了,这里略过。主要要注意,对于那些内核模式的进程,不在同级下运行是不能CreateRemoteThread的。而且最好是提升到Debug权限,不然别想远程注射。
程序实现: (全部代码在2楼)
1.EnabledDebugPrivilege(True); //提升到Debug权限。抄Delphi下深入Windows核心编程里的
2.然后弄到进程ID,放到sc_pID里
hRemoteProcess := OpenProcess(PROCESS_CREATE_THREAD + {允许远程创建线程}
PROCESS_VM_OPERATION + PROCESS_VM_WRITE, {允许远程VM操作 + 允许远程VM写}
FALSE, sc_pID);
3.获取ExitProcess的地址:(XP下是 $7C81CAA2 )
pfnStartAddr := GetProcAddress(GetModuleHandle('kernel32'), 'ExitProcess');
4.老方法,从 $7C81CAA2 处远程线程
hThread:=CreateRemoteThread(hRemoteProcess, nil, 0, pfnStartAddr, nil, 0, TempVar);
这里也能直接把第三四步和到一块,更简洁。第二个nil是指ExitProcess的参数,反正我们要调用ExitProcess(0),所以传nil了。
好了,执行看看,该死的QQ不声不响的关掉了,Word也是,但是lsass.exe不行,ExitProcess根本就没响应。既然这样,就直接爆破吧。
5.修改CreateRemoteThread
hThread:=CreateRemoteThread(hRemoteProcess, nil, 0, Pointer($0), Pointer($10000), 0, TempVar);
目标lsass.exe!然后“lsass.exe - 应用程序错误”
"0x00000000" 指令引用的 "0x00000000" 内存。该内存不能为 "read"。然后OpenProcess失效,因为lsass已经被干掉了。
但是要注意了,像smss.exe这种内核模式的进程,直接用CreateRemoteThread是新建不了线程的。要想hThread不是0,先让你的程序也运行在内核模式吧。
为看看效果,于是顺手把winlogin.exe spoolsv.exe services.exe也爆破掉了。然后是久违的蓝屏...
注意:千万别去动系统进程,这是我十几次重启换来的血的教训!
Pointer($0)这招,当然也有失效的时候,csrss.exe就能读0地址,不会直接死掉。所以尽量自己实现崩溃代码,让Windows告诉我们“XXX 遇到问题需要关闭。我们对此引起的不便表示抱歉。”吧!其他常见的方法,还有用VirtualAllocEx开一块超大空间,WriteProcessMemory在目标程序里乱写等,不过前提是你的权限足够大。
下面给出完整的程序代码。随便建个控制台程序,粘贴2楼代码,运行!
program InsertThreads;
{如果您还未看懂整个程序,请保留以下信息
进程远程爆破 By 木桩
原贴地址:http://www.delphibbs.com/keylife/iblog_show.asp?xid=23375
}
{$APPTYPE CONSOLE}
uses
SysUtils, Windows;
var inputs:String;
sc_pID:integer;
TempVar:Cardinal;
hRemoteProcess, hThread : THandle;
d_Proc_Addr, pfnStartAddr: Pointer;
//需要注射的远程进程执行代码,运行就崩溃
procedure kemThreads();
asm
push 0
pop eax //eax清零
mov esi,eax //si,di 归零
mov edi,eax
@@Loop:
mov [eax],dword ptr eax //开始乱写内存,然后出错退出
add eax,4
jmp @@Loop
end;
//提升权限的函数,抄书的
function EnabledDebugPrivilege(const bEnabled: Boolean): Boolean;
var
hToken: THandle;
tp: TOKEN_PRIVILEGES;
a: DWORD;
const
SE_DEBUG_NAME = 'SeDebugPrivilege';
begin
Result := False;
if (OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, hToken)) then
begin
tp.PrivilegeCount := 1;
LookupPrivilegeValue(nil, SE_DEBUG_NAME, tp.Privileges[0].Luid);
if bEnabled then
tp.Privileges[0].Attributes := SE_PRIVILEGE_ENABLED
else
tp.Privileges[0].Attributes := 0;
a := 0;
AdjustTokenPrivileges(hToken, False, tp, SizeOf(tp), nil, a);
Result := GetLastError = ERROR_SUCCESS;
CloseHandle(hToken);
end;
end;
begin
EnabledDebugPrivilege(True); //提升权限
Write('请输入目标进程pID: '); Readln(inputs);
sc_pID:=strtoint(inputs);
hRemoteProcess := OpenProcess(PROCESS_CREATE_THREAD + {允许远程创建线程}
PROCESS_VM_OPERATION + PROCESS_VM_WRITE, {允许远程VM操作 + 允许远程VM写}
FALSE, sc_pID);
//这里还要检查hRemoteProcess,是否OpenProcess成功..
//随便开一块 $1000 的内存空间
d_Proc_Addr := VirtualAllocEx(hRemoteProcess, nil, $1000, MEM_COMMIT, PAGE_READWRITE);
//把 kemThreads() 函数写过去
if Not(WriteProcessMemory(hRemoteProcess, d_proc_addr, @kemThreads, $800, TempVar)) then
Writeln('WriteProcessMemory 写目标进程失败。')
else
begin
{ 这里注释掉了,演示了如何查找'ExitProcess'的地址
//查找函数的地址
//ExitProcess(kernel32) $7C81CAA2
//MessageBoxA(User32) $77D504EA
pfnStartAddr := GetProcAddress(GetModuleHandle('kernel32'), 'ExitProcess');
Write(format('函数地址: $%0.8x',[integer(pfnStartAddr)]));
}
Writeln(''); TempVar := 0;
//Writeln(format('写入数据位于: %0.8x',[integer(d_Proc_Addr)]));
//写入完成,执行
//hThread:=CreateRemoteThread(hRemoteProcess, nil, 0, Pointer($0), Pointer($10000), 0, TempVar); //这行就是第五条所说的 0地址爆破
hThread:=CreateRemoteThread(hRemoteProcess, nil, 0, d_Proc_Addr, nil, 0, TempVar); //执行写入的 kemThreads() 函数
if hThread<=0 then begin Writeln('CreateRemoteThread 执行远程线程失败。'); end;
end;
Write('执行完毕'); readln(inputs); //按回车结束
//VirtualFreeEx(hRemoteProcess, d_Proc_Addr, $1000, MEM_DECOMMIT);
CloseHandle(hRemoteProcess);
end.
var inputs:String;
sc_pID:integer;
TempVar:Cardinal;
hRemoteProcess, hThread : THandle;
begin
EnabledDebugPrivilege(True); //提升权限
sc_pID:= {目标进程ID} ;
hRemoteProcess := OpenProcess(PROCESS_CREATE_THREAD+PROCESS_VM_OPERATION+PROCESS_VM_WRITE, FALSE, sc_pID);
hThread:=CreateRemoteThread(hRemoteProcess, nil, 0, Pointer($7C81CAA2), nil, 0, TempVar);
Writeln('线程插入完毕,ThreadID为 '+inttostr(TempVar));
//CloseHandle(hRemoteProcess);
end;
上面那个ExitProcess方式,就是最简单的API调用。随便放在某个按钮里就行,注意修改sc_pID:= {目标进程ID} ;!
上面那段
procedure kemThreads();
asm
push 0
pop eax //eax清零
mov esi,eax //si,di 归零
mov edi,eax
@@Loop:
mov [eax],dword ptr eax //开始乱写内存,然后出错退出
add eax,4
jmp @@Loop
end;
并不是最好的,也许你能找出更有效的崩溃代码。有什么更好想法的记得回复啊!
现在研究《编写安全的代码(第2版)》,如发现更狠的代码,我会第一时间贴出来...破坏无罪!
(以上这段崩溃代码,VMware虚拟机里测试过,注射smss.exe后,直接蓝屏
对付winlogin.exe后惊奇的发现,关机按钮消失了,开始菜单里只剩下注销,任务管理器里选项全灰
插入lsass.exe就没什么危害了,弹出个即将关机对话框,shutdown /a 取消半分钟后,蓝屏 unknow hard error...)
- [转贴From DFW]远程爆破,另类结束进程的方式(插入线程式)
- 远程爆破,另类结束进程的方式(插入线程式)
- 线程结束的方式
- 线程结束的方式
- 结束进程的常见方式
- 检测计算机的 Internet 连接状态 from:DFW
- 线程的正确结束方式
- java结束线程的方式
- VC++另类实现进程插入
- 转贴DFW的 - 先人的DELPHI基础开发技巧(OLD篇)
- vc结束进程的几种方式
- 进程结束的五种方式
- windows中结束线程的方式
- Linux线程的几种结束方式
- dfw
- Java 结束线程方式
- linux中结束进程的两种方式:正常结束,异常结束
- delphi远程线程插入(DLL注入)
- 京华烟云
- 解析VC++6中的指针
- 超强警句
- 一则笑话(滥用成语)
- OpenLDAP Installation and Configuration Guide
- [转贴From DFW]远程爆破,另类结束进程的方式(插入线程式)
- 存储过程,把查询结果赋给变量
- 今天看到的一篇js屏蔽键盘的代码,经典!
- ASP.NET2.0学习5--N层代码示例
- Servlet内两种重定向方式
- 网页键盘
- 程序人生:做技术,切不可沉湎于技术
- 060727
- 字母链接事件