Ring3触发BSOD代码实现及内核逆向分析

最新推荐文章于 2024-04-24 22:20:10 发布
VIP文章 最新推荐文章于 2024-04-24 22:20:10 发布
阅读量406 收藏
点赞数
分类专栏: c++ 文章标签: microsoft 后端 服务器 c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1007063309/article/details/124782408
版权

0、引言

做过Windows内核开发或者驱动开发的朋友,必然常常会遇到BSoD,其全称为Blue Screen of Death;of作为介词,其缩写o则需要小写了;然而Windows NT内核当时推出时,想必微软也大势宣传其是进程安全的,不像DOS那样,一个进程挂了,整个系统就挂了;当然,如果对于系统启动过程非常熟悉的话,应该听说过一些系统的关键进程如csrss.exe挂了的话,则整个系统必然挂;这篇文章的目的就是揭露这后边的秘密,看看系统是如何选择性死亡了,这也牵扯到另一桩生意——一些恶意代码就喜欢鱼死网破。特别是一些服务万千用户的服务器,公司是承受不起这种损失的。

涉及到的知识点:

1、调用为公开的API实现Ring3的BSoD行为;
2、蓝屏dmp的分析与相关技巧的应用;
3、通过分析dmp来加快关键算法的定位,找关键逻辑;
4、借助IDA来逆向分析OS对Critical Process,Thread触发BSoD的实现原理;
5、安全厂商比较通用的解决方案;

1、背景

当关键进程诸如csrss.exe挂掉时,系统是根据什么来判断是否要触发BSoD的呢?一个最直观的想法就是根据进程名来识别,但很快这个想法就被否决了,因为进程名很容易伪造,随便写个程序命名为csrss.exe,然后手动杀掉,系统依旧如初;另一个想法便是OS做了签名检测,如果是微软的签名且EXE的名字还要满足,这个想法有点接近,但很快也被排除了,微软自带了那么多进程,随便找一个带有微软签名的,把进程名改一下,杀掉他,系统依旧运行的妥妥的。当然,这些想法有很多,最核心的方法不是去猜测这些,而是去逆向分析下TerminateProcess ()的内核实现,这个我们再下边会涉及到;接下来我们先用代码实现一下BSoD;

2、代码实现

2.1 关键的API介绍

NTSTATUS NTAPI NtSetInformationThread(IN HANDLE ThreadHandle,IN THREADINFOCLASS ThreadInformationClass,IN PVOID ThreadInformation,IN ULONG ThreadInformationLength);
NTSTATUS NTAPI NtSetInformationProcess(IN HANDLE ProcessHandle,IN PROCESSINFOCLASS ProcessInformationClass,IN PVOID ProcessInformation,IN ULONG ProcessInformationLength);

NTSTATUS NTAPI RtlSetThreadIsCritical(IN BOOLEAN NewValue,OUT PBOOLEAN OldValue OPTIONAL,IN BOOLEAN NeedBreaks)
NTSTATUS NTAPI RtlSetProcessIsCritical (IN BOOLEAN NewValue,OUT PBOOLEAN OldValue OPTIONAL,IN BOOLEAN NeedBreaks);

上边这几个API便是实现此目的的核心API,当然除了这些,还有其他的API,原理都是大同小异;简单介绍下,NtSetInformationThread和NtSetInformationProcess这两个API就是针对给定的进程或者线程做一些属性更新操作,大部分操作都是直接操作的进程或者线程对应的内核对象即EPROCESS、ETHREAD中相关的字段;与这两个API对应的则是NtQueryInformationThread()和NtQueryInformationProcess()这两个API,大家可自行查阅学习;

THREADINFOCLASS和PROCESSINFOCLASS这两个枚举常量,官方头文件公布出来的如下:

确实很小气,THREADINFOCLASS中几乎没给出有用的,PROCESSINFOCLASS中的ProcessBreakOnTermination倒是很显眼;根据网上公开的数据,整理如下:

typedef enum _PROCESSINFOCLASS
{
    ProcessBasicInformation,           //0
    ProcessQuotaLimits,                //1
    ProcessIoCounters,                 //2
    ProcessVmCounters,                 //3
    ProcessTimes,                      //4
    ProcessBasePriority,               //5
    ProcessRaisePriority,              //6
    ProcessDebugPort,                  //7 
    ProcessExceptionPort,              //8
    ProcessAccessToken,                //9
    ProcessLdtInformation,             //10
    ProcessLdtSize,                    //11
    ProcessDefaultHardErrorMode,       //12
    ProcessIoPortHandlers,             //13
    ProcessPooledUsageAndLimits,       //14
    ProcessWorkingSetWatch,            //15
    ProcessUserModeIOPL,               //16 
    ProcessEnableAlignmentFaultFixup,  //17
    ProcessPriorityClass,              //18
    ProcessWx86Information,            //19
    ProcessHandleCount,                //20
    ProcessAffinityMask,               //21
    ProcessPriorityBoost,
最低0.47元/天 解锁文章
a1007063309
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
如何对系统中的某个进程进行监控
愚翁专栏
03-21 7434
最近看到一篇文章,就是如何对系统某个进程进行监控,并且当这个进程触发某些事件的时候,能进行相应。而且发现有人问这方面的问题,我就大致在其原有的基础进行如下的修改。 首先说明的一点,方法是基于WMI的。以下是我扩展类的代码说明://------------------------ProcessInfo Class------------------------------------
BSODScreen:BSOD屏幕保护程序
02-04
BSODScreen:BSOD屏幕保护程序
反调试 - NtQueryInformationProcessProcessDebugPort,ProcessDebugFlags,ProcessDebugObjectHandle)
LYSM
09-16 3731
NtQueryInformationProcess 是微软 未公开 的一个 API,嗯,这个反调试的方法有一个特点就是 能过吾爱破解版OD! ,其他版本的OD没有尝试,但相信这种反调试手法可以检测大部分的第三方OD。 首先需要知道的几点: // NtQueryInformationProcess 函数原型 __kernel_entry NTSTATUS NtQueryInformationPro...
Win2K下关联进程/端口之代码初步分析
09-13 1068
作者:[email protected]    在西祠或者中绿的BBS中,经常见到网友问:如何才能关联我的进程和端口呀?没错,关联进程和端口是一个非常有用的功能,你可以清楚地知道哪些程序在使用哪些端口,对于查杀木马很有帮助。可是我们虽然可以使用任务管理器浏览进程列表,使用Netstat查看端口的使用状况,却没有一个命令可以直接关联进程和端口(WinXP上增加了新的NetStat功能,支持直接查看
解除游戏多开限制,关闭互斥体句柄
任鸟飞2217777779的博客
04-10 4396
(这里的防护建议是,增加多种多开限制的方法 以及 逻辑中增加多该互斥体的使用,这样可以避免直接被恶意关闭)比如说遍历窗口,遍历进程,配置文件,注册表,互斥体,mac地址,ip,公共文件,内存映射等等.方法很多.我们可以使用工具来查看互斥体,大家可以用XT,PCH等等工具。发现已经检测到我们开了一个窗口,只是没有进行限制。我们逐一关闭,看看关闭哪个之后就可以多开窗口了。出现了很多句柄, 找到Mutant类型的句柄。
《逆向工程核心原理》学习笔记(七):反调试技术
闵行小鱼塘
05-28 1941
继续学习《逆向工程核心原理》,本篇笔记是第七部分:反调试技术,包括一些静态反调试技术和动态反调试技术
遍历进程内存
qq_41490873的博客
11-30 961
// inject.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include<Windows.h> #include <stdio.h> #define STATUS_UNSUCCESSFUL (0xc0000001) #define STATUS_INFO_LENGTH_MISMATCH 0xc0000004 #define NT_SUCCESS(x) ((x) >= 0) typedef enum _PROCESSINFOCLAS
WindowsAPI ——NtQueryInformationProcess
qq_38933606的博客
08-23 1777
NtQueryInformationProcess 获取指定文件大小,in byte。 函数原型 DWORD GetFileSize(__kernel_entry NTSTATUS NtQueryInformationProcess( HANDLE ProcessHandle, PROCESSINFOCLASS ProcessInformationClass, PVOID ProcessInformation, ULONG ProcessInformationLength, PULONG ReturnL
NSProcessInfo类方法
weixin_30569153的博客
01-29 130
+(NSProcessInfo*)processInfo  //返回当前进程的信息 -(NSArray*)arguments  //以NSString对象数组的形式返回当前进程的参数 -(NSDictionary *)environment  //返回变量/值对词典,以描述当前的环境变量(比如PATH和HOME)及其值 -(int)processIdentifier  //返回进程标识符,它...
Windows 手动触发 BSOD
然光 不学无術 暗于大理
09-22 464
例如 需要查看一下 Dump 的配置是否正确 修改注册表,增加 CrashOnCtrlScroll DWORD 32 值为 1,kbdhid 是 USB 键盘 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kbdhid\Parameters CrashOnCtrlScroll HKEY_LOCAL_MACHINE\SYSTEM\Curren...
ProcessInfo
05-18
一个查看系统中进程详细信息的小工具,对于查看进程的详细信息很有帮助
Fake-BSod:死亡蓝屏(Win10版)
04-29
假蓝屏 假死蓝屏(Win10版)
电脑蓝屏代码大全
07-30
电脑蓝屏,又叫蓝屏死机(Blue Screen of Death,简称BSOD),是微软的 Windows 系列操作系统在无法从一个系统错误中恢复过来时,为保护电脑数据文件不被破坏而强制显示的屏幕图像。 Windows操作系统的蓝屏死机提示...
BSOD Mkr-开源
05-27
该软件的新下载地址已移至此处:http://www.bsodmkr.com/
Yet-Another-BSOD-Maker
05-26
Yet-Another-BSOD-Maker使用win10的一个小漏洞制造蓝屏这是真的蓝屏!不是界面模仿!
介绍Phi-3:微软重新定义小型语言模型(SLM)的可能性
最新发布
2301_79342058的博客
04-24 1135
点击订阅,与未来同行!微软持续提供在质量-成本曲线上最佳的模型,今天的Phi-3发布扩大了具有最先进小型模型的选择。例如,Phi-3-mini的表现优于其两倍大的模型,而Phi-3-small和Phi-3-medium则超越了包括GPT-3.5T在内的更大型号。Phi-3模型按照微软的负责任AI标准开发,该标准是一套公司范围内基于责任、透明度、公平性、可靠性与安全、隐私与安全以及包容性的六大原则的要求。在接下来的几周内,将向Phi-3家族添加更多模型,为客户在质量-成本曲线上提供更多灵活性。
AI大模型日报#0424:全球首个AI基因编辑器、出门问问上市、微软开源Phi-3 Mini、昆仑万维年收49亿
常政·视角
04-24 906
AI大模型日报,爬虫+LLM自动生成,一文览尽每日AI大模型要点资讯!
嵌入式开发学习--进程、线程
qq_52407428的博客
04-24 1220
嵌入式开发学习用到的进程、线程(重点)
ASP.NET教务平台—学籍管理模块开发与设计
大叔_爱编程 的博客
04-24 936
教务平台之学籍管理模块是根据高校教务管理的实际需求,采用微软的.NET Framework2.0作为开发平台,使用SQL Server 2005来设计数据库,以ASP.NET和C#作为前台的开发语言,来完成学生学籍的管理。该设计是基于B/S模式的信息管理系统,主要实现用户管理、学生注册、学籍异动,学生花名册查看和打印等主要功能。同时为了保证后台代码和数据的保护性、密封性,使用了一个中间层分离开前台页面和后台数据的交互操作,使该系统层次清晰,便于开发,维护。通过该系统的应用,可以满足高校教务学籍管理工作的高效
windows BSOD 1033
01-17
对于BSOD错误代码1033,它表示蓝屏错误的语言代码为1033,对应英文语言。要解决BSOD和Windows Stop错误,可以采取以下措施: 1. 更新驱动程序:驱动程序是最常见的蓝屏错误的原因之一。通过更新驱动程序,可以修复...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

a1007063309

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值