用户模式蓝屏之临界进程

最新推荐文章于 2023-08-21 14:09:23 发布
最新推荐文章于 2023-08-21 14:09:23 发布
阅读量172 收藏
点赞数
原文链接:http://www.cnblogs.com/jujian/p/3661446.html
版权 
 1 BOOL ProtectProcess() 
 2 {
 3   HANDLE hDLL;
 4   RtlSetProcessIsCritical fSetCritical;
 5 
 6   hDLL = LoadLibraryA("ntdll.dll");
 7   if ( hDLL != NULL )
 8   {
 9     EnablePriv(SE_DEBUG_NAME);
10     (fSetCritical) = (RtlSetProcessIsCritical) GetProcAddress( (HINSTANCE)hDLL, "RtlSetProcessIsCritical" );
11     if(!fSetCritical) return 0;
12     fSetCritical(1,0,0);
13     return 1;
14   } else
15   return 0;
16 }

 

在程序中加上这两行代码,可以把当前进程设为临界进程。结束该进程则会系统蓝屏。

看一下RtlSetProcessIsCritical的实现

 1 if ( ARGUMENT_PRESENT(OldValue) ) {
 2         NtQueryInformationProcess(NtCurrentProcess(),
 3                                   ProcessBreakOnTermination,
 4                                   &Enable,
 5                                   sizeof(Enable),
 6                                   NULL);
 7 
 8         *OldValue = (BOOLEAN) Enable;
 9     }
10 
11     Enable = NewValue;
12 
13     Status = NtSetInformationProcess(NtCurrentProcess(),
14                                      ProcessBreakOnTermination,
15                                      &Enable,
16                                      sizeof(Enable));

 

调用NtSetInformationProcess对EPROCESS->Flags位设ProcessBreakOnTermination标志

那么在NtTerminateProcess函数中 会检查Process->Flags

1 if (Process->Flags & PS_PROCESS_FLAGS_BREAK_ON_TERMINATION) {
2         PspCatchCriticalBreak ("Terminating critical process 0x%p (%s)\n",
3                                Process,
4                                Process->ImageFileName);
5     }


PspCatchCriticalBreak 调用KeBugCheckEx触发蓝屏

 1 if (!Handled) {
 2 //
 3 // No debugger -- bugcheck immediately
 4 //
 5         KeBugCheckEx(CRITICAL_OBJECT_TERMINATION,
 6                      (ULONG_PTR) ((DISPATCHER_HEADER *)Object)->Type,
 7                      (ULONG_PTR) Object,
 8                      (ULONG_PTR) ImageFileName,
 9                 (ULONG_PTR) Msg);
10 }

 

RtlSetThreadIsCritical 也是类似。在PspTerminateThreadByPointer函数中检查Thread->CrossThreadFlags

转载于:https://www.cnblogs.com/jujian/p/3661446.html

weixin_30689307
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
《格蠹汇编》读书笔记—windbg的使用
u012138730的专栏
05-25 5358
1.注册表设置 注册表设置 要调试的exe的 debugger 为 x86的windbg 打开注册表,在[运行] (win+ R)中输入 regedit,找到下面这个路径: 比如想要调试test.exe, 就新建一个test.exe 文件夹,并新建 一个 字符串值的键,名称为 Debugger,值为 windbg所在的路径 2.打开windbg,需要设置这三个路径,但是这个...
剖析虚幻渲染体系(16)- 图形驱动的秘密
xuhss_com的博客
06-26 1953
目录* 16.1 本篇概述 + 16.1.1 本篇内容 + 16.1.2 设备驱动概述 + 16.1.3 图形驱动概述迄今为止,博主在博客中阐述的内容包含图形API、GPU、游戏引擎、Shader、渲染技术、性能优化等等技术范畴内容,但似乎还未涉及图形驱动的内幕。本篇将站在应用层开发者的视角,去阐述图形驱动的相关技术内幕(如果是驱动开发者,则博主不认为是目标读者),主要包含但不限于以下内容:要给“驱动”一词下一个准确的定义是一个挑战。从最基本的意义上讲,驱动程序是一个软件组件,它允许操作系统和设备相互通信。
PsTerminateProcess结束进程
weixin_30781433的博客
08-11 289
PsTerminateProcess函数用于结束一个进程,其声明如下 NTSTATUS NTAPI PsTerminateProcess(IN PEPROCESS Process, IN NTSTATUS ExitStatus) 其中第一个参数是PEPROCESS的指针,如果你只知道pid,可以通过PsLookupProcessByProcessId 获得,而第二个参数指定退出状...
三次蓝屏对内核崩溃日志的分析记录
无情的搬砖人的Blog
10-30 8846
下面的所有内容都是WinDBG的输出内容 //后跟的所有内容都是针对下一行具体项的具体解释 Microsoft ® Windows Debugger Version 6.12.0002.633 AMD64 Copyright © Microsoft Corporation. All rights reserved. Loading Dump File [C:\Windows\Minidump\103021-8359-01.dmp] Mini Kernel Dump File: Only register
不用驱动一行代码让自己蓝屏
KD的疯狂实验室
06-23 2717
蓝屏的钙好喝的钙
蓝屏总结(一) ——基本分析方法
热门推荐
VinWqx的博客
07-20 1万+
目录 一、蓝屏造成原因 二、通常的排查步骤 三、Debug步骤 四、使用Driver Verifier进行排查 五、Debug示例 1、分析示例 1 2、分析示例 2 一、蓝屏造成原因 关于停止错误(蓝屏或者错误检查)没有简单的解释,包含很多因素,目前大量研究表明停止错误通常不是由微软Windows组件导致的,而是厂商的硬件驱动或者三方软件的驱动,包括声卡、无线网卡、安全程序等等。 crash的根因一般都是由三方驱动代码引起的,另外一小部分是硬件问...
蓝屏重启后oracle,新装的电脑只要重启就蓝屏
weixin_39688870的博客
04-15 400
新组装的机子,WIN7企业版-X64重启后运行一般都正常!但一般关机再开机问题签名:问题事件名称:BlueScreenOS 版本:6.1.7600.2.0.0.256.4区域设置 ID:2052有关该问题的其他信息:BCCode:f4BCP1:0000000000000003BCP2:FFFFFA8005B082E0BCP3:FFFFFA8005B085C0BCP4:FFFFF80...
Windows驱动编程视频教程-内核模式下的字符串操作
08-19
1. **内核模式**:内核模式是操作系统中的最高权限级别,它允许执行对系统至关重要的任务,如管理硬件资源、调度进程以及处理中断。在内核模式下运行的代码有完全的访问权限,可以操作任何系统资源。 2. **驱动程序...
Windows驱动开发详解
11-26
这包括进程上下文切换、同步机制如事件对象、信号量和临界区等,以及如何避免死锁和提高系统效率。 注册表在Windows中扮演着配置数据库的角色,驱动程序往往需要通过注册表来存储配置信息或者与其他组件通信。书中...
Windows内核驱动编程--寒江独钓随书源码
06-14
6. **线程与进程**:内核驱动可以创建和管理线程,源码会介绍如何使用KeCreateThread等函数,以及如何与用户模式进程交互。 7. **同步机制**:在多线程环境下,同步至关重要。源码将涵盖各种同步原语,如事件、互斥...
使用RtlSetProcessIsCritical“保护”您的过程
04-08
使用Win32内核功能将进程升级为系统关键状态
RtlSetProcessIsCritical将进程设置为系统严重状态(防止进程被结束)
125096
12-11 3790
#include #include bool EnableDebugPrivilege(); typedef NTSTATUS(__cdecl *fnRtlSetProcessIsCritical)(IN BOOLEAN NewValue, OUT PBOOLEAN OldValue OPTIONAL, IN BOOLEAN CheckFlag); fnRtlSetProcessI
恶意代码分析_RtlSetProcessIsCritical函数
weixin_46143580的博客
08-21 218
在网络安全事件发生后,取证人员会对目标机器进行调查,包括对受害机器上的可疑进程和服务进行排查和处理。攻击者可能会采取一种迷惑性的方式,试图让排查人员误认为这些进程是Windows系统进程,以阻碍调查。一种常见的手法是在相关人员试图关闭恶意软件所在的进程时,故意引发Windows蓝屏异常,从而误导排查人员。
RtlSetProcessIsCritical 介绍
nokianasty的专栏
12-03 3499
Introduction <br />RtlSetProcessIsCritical is yet another undocumented function hidden in the Windows kernel. It is one of the few which do not have a kernel32 equivalent. However, Microsoft has a good reason to not document this function - it should not b
隐藏技术之进程伪装
weixin_42071117的博客
10-16 1623
// 简单的进程伪装就是修改进程名称,比如svchost.exe、services.exe等系统进程。 // 高级的进程伪装就是修改进程的PEB数据,也就是在任务管理器中看到的进程的名称、启动路径等信息。 // NtQueryInformationProcess函数 // 作用:获取指定进程的信息。 // 原型:NSTATUS WINAPI NtQueryInformationProcess( // _In_ HANLDE hProcess; // _In_ PROCESSIN
还原NtTerminateProcess
埋vizee的墓
12-04 3322
在上课吃饱了没事干的情况下,花了点功夫还原了我电脑上的NtTerminateProcess的代码 我的系统是Windows XP Kernel Version 2600 (Service Pack 3) MP (2 procs) Free x86 compatible(来自windbg) nt!NtTerminateProcess: mov edi,edi push ebp mo
Windows操作系统管理进程和线程:内核模式用户模式
人邮异步社区
11-21 4014
根据前面的介绍,NT内核会把操作系统的代码和数据映射到系统中所有进程的内核空间中。这样,每个进程内的应用程序代码便可以很方便地调用内核空间中的系统服务。这里的“很方便”有多层含义,一方面是内核代码和用户代码在一个地址空间中,应用程序调用系统服务时不需要切换地址空间,另一方面是整个系统中内核空间的地址是统一的,编写内核空间的代码时会简单很多。但是,如此设计也带来一个很大的问题,那就是用户空间中的程序指针可以指向内核空间中的数据和代码,因此必须防止用户代码破坏内核空间中的操作系统。怎么做呢?答案是利用权限控制来
三两行代码实现进程防杀,免驱动,IceSword,WSysCheck等无效.
KeSummer的专栏
05-18 1万+
其实这个已经是一个很老的技巧了,今天挖出来写到blog上。windows在强制结束进程的时候会先结束掉所有的线程,而结束线程调用的是:PspTerminateThreadByPointer,这个函数很有意思。看看就知道了。 它判断ETHREAD里面的CrossThreadFlags;的值,如果这个值等于PS_CROSS_THREAD_FLAGS_SYSTEM ,即是一个系统线程,那么直接返回拒
系统蓝屏的几种姿势,确定不了解下么?
02-28 599
前言 在 蓝屏(BSOD)转储设置,看本文就够了! 这篇文章里比较详细的介绍了蓝屏转储设置。做好设置后,我们就可以在需要的时候使系统蓝屏了。这样我们就可以拿到一份系统转储,供我们分析问题了。本文介绍几种可以使系统蓝屏的办法。当然肯定还有其它办法,如果哪位小伙伴儿知道比较实用的方法,欢迎留言分享。 几种蓝屏方法 1、通过驱动 思路是:在内核执行有问题的代码(比如,在驱动的入口处加上简单的 int*...
安全模式卡在disk.sy蓝屏
最新发布
11-23
安全模式卡在disk.sys蓝屏通常是由于系统文件损坏或硬件驱动问题造成的。首先,我们可以尝试进入安全模式,并在那里进行一些故障排除步骤。 首先,我们可以尝试使用Windows系统自带的系统恢复功能来修复损坏的系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值