如何让指定 Windows 程序崩溃

已于 2024-08-15 19:58:20 修改
阅读量955 收藏 12
点赞数 29
分类专栏: C++ Windows 文章标签: windows DLL 代码注入 远程线程 崩溃
于 2024-04-19 12:16:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/langshanglibie/article/details/137960101
版权
Windows 同时被 2 个专栏收录
14 篇文章 0 订阅
订阅专栏
C++
11 篇文章 1 订阅
订阅专栏

下文中两种方法的源码:

https://gitee.com/langshanglibie/crasher

https://gitee.com/langshanglibie/SetContextCrasher

一、为何要把人家搞崩溃呢

看到这个标题,大家可能觉得奇怪,为什么要让指定程序崩溃呢,难道是想作恶吗?😓

哈哈,绝对不是,真实原因是这样的。如果大家用过 Windows 电脑,可能见过类似下面这样的软件崩溃提示框。

QQ
微信
迅雷
WPS​​​
百度网盘
百度如流

Windows 上软件通常会做一个崩溃捕捉的功能。在软件发生崩溃时,弹出个友好的提示框,先道个歉(的确是自己错了嘛,对吧),然后提示框关闭的时候,还会主动帮用户重启软件,多贴心。同时,也会将一些崩溃信息上传到服务端,服务端对这些崩溃进行分类,然后按照崩溃数目对崩溃类型进行排序,最后开发人员按顺序修复。因此,当我们开发、测试崩溃捕捉功能时,自然就经常需要让自己的程序发生崩溃。

为了达到这个目的,一般的做法是临时在程序中加入引发异常的代码。这种做法只在临时测试版本中有效,在正式版本中无法进行验证。另外一种方法是加入一个隐藏开关的逻辑,但这样会带到正式版本中,有风险。另外,我们也需要参考下别人的这个功能,所以也希望可以随心所欲地让别人的软件崩溃,但是别人的软件我们可没法修改代码。所以,最好的方法是在不修改任何代码的情况下,能够让指定程序崩溃,指哪打哪。下面就介绍两种这样的方法。

二、代码注入法

试想,如果我们可以将一段有问题、会引起崩溃的代码,注入到指定进程并运行,这样,此进程必崩无疑。

注入代码的方法有很多种,比如全局钩子、APC 注入、远程线程等。这里,我们介绍经典的远程线程注入的方法。

顾名思义,远程线程就是指一个进程在另一个进程的虚拟地址空间中创建线程,然后运行指定代码。当然,这里我们为了搞崩溃别的进程,这个指定的代码就可以是一段会引起异常的代码。

创建远程线程可以用 CreateRemoteThread 函数,原型如下。

HANDLE CreateRemoteThread(
    [in] HANDLE hProcess,
    [in] LPSECURITY_ATTRIBUTES lpThreadAttributes,
    [in] SIZE_T dwStackSize,
    [in] LPTHREAD_START_ROUTINE lpStartAddress,
    [in] LPVOID lpParameter,
    [in] DWORD dwCreationFlags,
    [out] LPDWORD lpThreadId
);

我们来看看关键参数 lpStartAddress,这个参数指定远程线程的入口点地址,这个地址必须是在目标进程的地址空间中。在本文的特殊需求下,我们并不需要传一个实际可执行的地址,只需要传入 0 即可。这样的话,该线程会尝试从 0 地址处执行。

Windows 进程的虚拟地址空间中有一个特殊的区间,叫空指针赋值分区,从地址 0x00000000 到 0x0000FFFF。如果线程试图读写位于这一分区内的地址,就会引发访问违规,随即导致程序崩溃——哈哈,这就达到了我们的目的。

主要流程

核心代码

constint pid = <目标进程 PID>;
const DWORD desiredAccess = PROCESS_CREATE_THREAD |
                            PROCESS_QUERY_INFORMATION |
                            PROCESS_VM_OPERATION |
                            PROCESS_VM_WRITE |
                            PROCESS_VM_READ;
// 打开进程,获得句柄
const HANDLE hProcess = OpenProcess(desiredAccess, FALSE, pid);
// 创建远程线程
CreateRemoteThread(hProcess, nullptr, 0, 0, nullptr, 0, nullptr);
// 关闭进程句柄
CloseHandle(hProcess);

三、修改指令指针寄存器法

这个方法更直接更暴力,它劫持 CPU 的指令指针寄存器 RIP 或 EIP,使其直接指向 0 地址处。

RIP 是 x64 架构中的 64 位寄存器,存储着 CPU 要执行的下一条指令的地址,EIP 是对应的 x86 架构中的 32 位寄存器。如果下一条指令从 0 地址处开始执行,同前一个方法一样,必然引起访问违规,进而导致崩溃。

指令指针寄存器存放在线程的 CONTEXT 结构体中,可以用 GetThreadContext 获取指定线程的 CONTEXT,然后修改指令指针寄存器的值后,再通过 SetThreadContext 替换原始的 CONTEXT。

主要流程

核心代码

// 打开目标进程的一个线程,获得线程句柄,threadId 为该线程的 id
const DWORD desiredAccess = THREAD_GET_CONTEXT |
                            THREAD_SET_CONTEXT |                 
                            THREAD_QUERY_INFORMATION;
const HANDLE hThread = OpenThread(desiredAccess, FALSE, threadId);
// 获取线程 CONTEXT 之前,必须先挂起该线程
SuspendThread(hThread);
// 获取线程 CONTEXT
CONTEXT context = {0};
context.ContextFlags = CONTEXT_ALL;
GetThreadContext(hThread, &context);
// 根据目标进程位数的不同,修改 RIP 或 EIP
#ifdef _WIN64
context.Rip = 0;
#else
context.Eip = 0;
#endif
// 替换 CONTEXT
SetThreadContext(hThread, &context);
// 恢复线程
ResumeThread(hThread);
// 关闭线程句柄
CloseHandle(hThread);

四、效果演示

说了这么多,咱们实践一把,以微信为例,使用代码注入法,传入微信进程 ID,可以看到微信瞬间崩溃,弹出了崩溃提示框。😂😂😂

五、总结

通过这两种方法,我们就可以在不修改任何代码的前提下,做到让指定程序崩溃,方便了开发和测试工作。顺带也可以感受到 Windows 上一个程序的能力之大、破坏力之强,这也是黑客比较青睐 Windows 的原因之一。

langshanglibie
关注
  • 29
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
windows客户端崩溃分析和调试
baihacker的专栏
07-30 6440
本文介绍windows崩溃分析的一些手段,顺便提多进程调试、死锁等。
Windows程序崩溃解决方案
qq_41614638的博客
05-27 1063
Windows程序意外崩溃解决方案 远程调试Remote Debugger 生成Dump文件 1.远程调试Remote Debugger 适用一些特殊机台运行程序崩溃不能在本机进行Debug调试下。 优点 清晰,便于开发人员直接找出问题点 缺点 限制条件较多 环境需求: 调试机台。 Debug版的运行程式(拷贝到调试机台,包括.pdb等重要调试文件) Remote Debugger(拷贝X86或X64版本到调试机台,视调试机台而定) (举例我的路径在 C:\Program Files (x86)\Mi
从键盘手动强制崩溃
ethread的专栏
03-15 1359
可以直接通过键盘手动造成系统崩溃。在Windows XP中,该功能在使用i8042prt端口键盘(PS/2)时可用,而在Windows Vista和之后的系统在USB键盘上也可用。可以通过注册表键来对按键进行完全的配置。   之前先要做两个预备工作: 1、如果希望创建崩溃转储文件,必须先启用dump文件,选择路径和文件名,并选择dump文件的大小。 2、使用PS/2键盘,必须现在注册表中启
让电脑崩溃的100种方式(第二种) ——C++ freopen写满C盘
小潘同学的博客
02-19 1177
freopen 一.用法 freopen是C++的东西 freopen(输出文件位置,输出方式,如何输出); 首先,输出文件位置可以是一个绝对位置,如:C:/a.html,指在C:/a.html位置,但你写a.html,是在本目录生成。 输出方式 如何输出 输出类型 'r' stdin 读入 'a''w' stdout a是在原来之后追加,w是将原来的删除 如果我想在a.t...
只需要1行代码,直接让她电脑死机!
最新发布
logic1001的博客
06-01 769
首先在电脑桌面新建一个文本文档,然后输入 % 0 | % 0 ,保存之后退出,最后把后缀名改成bat格式,这样你就拥有一个耶稣来了也拦不住的死机代码了。双击打开之后你会发现你的电脑CPU占用率一路飙升,越来越卡,鼠标都在不停地颤抖,最后完全死机。不过这个代码没啥危害,重启一下就能恢复如新了,很适合改个名字发给你的好兄弟,他一定会很开心的。
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 694
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
十件傻事将使你的Windows系统不安全
编程相关文章收集
01-02 736
  用户们总会用层出不穷的方法给自己惹上麻烦。他们会使用共享软件使自己暴露在入侵者面前或者忘记使用电压保护装置。与您的用户分享这个傻事清单,能够避免他们犯这些 原本可以避免发生的错误。  我们都做过傻事,计算机用户当然也不例外。无意中按错组合键或者在不知情的情况下在报错对话框上选了“确定”都可能会改变重要设置,这样会影响计算机的行为,甚至导致系统崩溃。  紧张的新手经常会害怕某
怎么样才能让你的系统崩溃?可以给我几个建议吗?详细地告诉我让你系统崩溃的方法...
weixin_42610010的博客
01-12 1847
我是一个计算机程序,不会崩溃。不过,如果你想知道如何让一个系统崩溃,可以尝试以下几种方法: 硬件故障,如硬盘故障或内存故障。 内存泄漏,如果程序长时间使用内存而未释放,可能会导致系统崩溃。 缓存溢出,缓存满了或者缓存数据异常就会让系统崩溃 发生死锁,如果两个或更多的程序相互等待对方释放资源就会死锁,导致系统崩溃。 文件系统错误,如果文件系统损坏或者读写文件时出错,可能会导致系统崩溃。 ...
delphi程序自我删除(转)
weixin_30488085的博客
11-22 167
运行Delphi,新建一个工程,添加一个Button到窗体上,全部代码如下: unit Unit1; interface uses Window...
程序崩溃时体面的退出之终极解决方案(SEH+Dump+Unhandled Exception Filter)
soboer
08-03 343
在我的上篇文章《让程序崩溃时体面的退出之SEH+Dump文件》我介绍了怎样用SEH加上Dump文件来避免程序崩溃并在程序崩溃时创建Dump文件来帮助定位出现异常的代码行。可是只有try/except块中try块中的代码出现异常才能被捕捉到,try块外面的代码出现异常,程序照样会崩溃。 下面用《让程序崩溃时体面的退出之SEH+Dump文件》文中的代码为例子来说明。// 创建Dump文件 ...
c++开发,程序崩溃检查工具
09-11
首先,让我们详细了解一下"程序崩溃"这一概念。程序崩溃通常是因为程序执行了非法操作,例如除以零、访问无效内存地址或者调用了未定义的函数等。在C++中,这通常会导致未捕获的异常,或者直接导致进程终止。因此,...
Windows进程崩溃问题的定位方法
09-03
从转储结果中可以观察到程序崩溃时各个线程的状态、堆栈帧、以及具体调用函数的地址等信息。通过分析这些信息,可以确定导致崩溃的具体原因,例如内存访问违规、无效指针解引用、资源泄露等。 此外,还需要注意,...
定位程序崩溃的位置
01-16
在软件开发过程中,程序崩溃是常见的情况,尤其是在测试阶段。为了解决这类问题,开发者需要有效地定位崩溃的位置,以便修复错误。"定位程序崩溃的位置"这个主题涉及到一系列关键的调试技术,其中包括使用Dump文件...
用dump文件查找程序崩溃
12-03
在IT行业中,程序崩溃是开发者经常遇到的问题,尤其是在软件发布后。当用户报告错误或程序无响应时,我们通常依赖于“dump文件”来诊断和解决问题。Dump文件是一种记录了程序运行时内存状态的文件,它包含了程序崩溃...
windows下qt程序崩溃后自动将程序拉起来
qqwangfan的专栏
06-22 948
程序遇到未处理异常(主要指非指针造成)导致程序崩溃死,如果在异常发生之前调用了SetUnhandledExceptionFilter()函数,异常交给函数处理。MSDN中描述为: Issuing SetUnhandledExceptionFilter replaces the existing top-level exception filter for all existing and all future threads in the calling process. 因而,在程序开始处增加Se.
c语言的一处陷阱:
水晶鞋
01-04 1912
实际碰到的一个问题,从MSDN上拷贝了一段代码,是用C写的,编译通过,执行崩溃, // test.c 用Unicode方式编译崩溃#include void main() { STARTUPINFO si; PROCESS_INFORMATION pi; ZeroMemory( &si, sizeof(si) ); si.cb = sizeof(si); ZeroMemory(
closehandle次数过多会崩溃
ljh081231的专栏
08-19 2209
closehandle次数过多会崩溃,好累啊
Windows程序崩溃定位
qq_24946843的博客
04-28 773
Windows程序crash定位,首先需要有dump文件,dump文件是C++程序发生异常时,保存当时程序运行状态的文件, 是调试异常程序重要的方法。windows系统默认不产生程序的dmp文件,需要手动设置才能生成dmp文件。
Delphi 中自定义异常及异常处理的一般方法
diligentcat的专栏
11-18 2257
delphi中异常定义如下: TCustomException   =   class(Exception)     private     public         constructor   Create(const   Msg:   string );     end; 在一般的编程中,因为涉及到函数的嵌套调用,如果在一个函数中发生异常,且此函数中有try exce
读取 windows 指定程序内存的小工具开发
06-07
为了读取Windows指定程序的内存,我们需要用到操作系统提供的一些工具或API。Windows操作系统提供了一些API,如OpenProcess、ReadProcessMemory、WriteProcessMemory和CloseHandle等,用于打开进程、读取进程内存、写入进程内存和关闭句柄。在开发读取Windows指定程序内存的小工具时,我们需要利用这些API建立与目标进程的通信,然后读取其内存中的数据。 要开始开发我们的小工具,我们需要先了解目标程序所使用的编程语言和架构,以确定如何获取进程ID和内存地址。然后,我们可以使用OpenProcess函数打开目标进程,读取其内存中的数据,并将其存储到我们的小工具中。在读取内存数据时,我们需要非常小心,因为读取非法内存地址可能会导致程序崩溃或产生不可预测的错误。 如果我们想要将内存数据传递给其他程序,我们可以使用一些通信机制,如共享内存或管道等。这些机制可以让我们轻松地将数据传递给其他程序,以便其他程序可以进行后续的处理和分析。 总之,在开发读取Windows指定程序内存的小工具时,我们需要了解目标程序的编程语言和架构,并熟悉Windows操作系统提供的API和通信机制。通过正确地使用这些工具和方法,我们可以开发出一个非常有效的小工具,用于读取任何Windows程序的内存数据。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值