恶意代码分析_RtlSetProcessIsCritical函数

最新推荐文章于 2024-09-27 17:05:31 发布
最新推荐文章于 2024-09-27 17:05:31 发布
阅读量259 收藏
点赞数
文章标签: 威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46143580/article/details/132405620
版权
本文介绍了一种网络安全策略,通过RtlSetProcessIsCritical函数使恶意进程在被尝试关闭时引发蓝屏,误导取证人员。代码展示了如何获取该函数地址并调整进程状态以实现伪装。
摘要由CSDN通过智能技术生成

RtlSetProcessIsCritical函数

1. 概述

在网络安全事件发生后,取证人员会对目标机器进行调查,包括对受害机器上的可疑进程和服务进行排查和处理。攻击者可能会采取一种迷惑性的方式,试图让排查人员误认为这些进程是Windows系统进程,以阻碍调查。一种常见的手法是在相关人员试图关闭恶意软件所在的进程时,故意引发Windows蓝屏异常,从而误导排查人员。

2.相关代码及效果

2.1 代码

#include <Windows.h>
#include <iostream>

typedef NTSTATUS(__cdecl *fnRtlSetProcessIsCritical)(IN  BOOLEAN  NewValue, OUT PBOOLEAN OldValue OPTIONAL, IN  BOOLEAN  CheckFlag);

void enablePrivalige();
void* getFuncAddress();
bool setProcessStatus(void* proc_RtlSetProcesslsCritical);

int main()
{
	//确保高权限
	enablePrivalige();
	//获取函数
	void* proc_RtlSetProcesslsCritical = getFuncAddress();
	//设置程序状态
	setProcessStatus(proc_RtlSetProcesslsCritical);

	printf("测试效果!!!");
	system("pause");
	return 0;
}


void enablePrivalige()
{
	HANDLE token_handle = NULL;
	LUID se_debugname;
	TOKEN_PRIVILEGES token_privieges;
	bool status = OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &token_handle);
	if (status == false)
	{
		printf("OpenProcessToken error");
		return;
	}

	status = LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &se_debugname);
	if (status == false)
	{
		printf("LookupPrivilegeValue error");
		return;
	}

	token_privieges.PrivilegeCount = 1;
	token_privieges.Privileges[0].Luid = se_debugname;
	token_privieges.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
	status = AdjustTokenPrivileges(token_handle, false, &token_privieges,sizeof(token_privieges),NULL,NULL);
	if (status == false)
	{
		printf("AdjustTokenPrivileges error");
		return;
	}
	
}


void* getFuncAddress()
{
	HMODULE h_ntdll = LoadLibraryA("ntdll.dll");
	if (h_ntdll == NULL)
	{
		printf("LoadLibraryA error");
		return NULL;
	}
	
	void* proc_RtlSetProcesslsCritical = GetProcAddress(h_ntdll, "RtlSetProcessIsCritical");
	if (proc_RtlSetProcesslsCritical == NULL)
	{

		printf("GetProcAddress error");
		return NULL;
	}

	return proc_RtlSetProcesslsCritical;
}

bool setProcessStatus(void* proc_RtlSetProcesslsCritical)
{
	fnRtlSetProcessIsCritical l_proc_RtlSetProcesslsCritical = (fnRtlSetProcessIsCritical)proc_RtlSetProcesslsCritical;
	l_proc_RtlSetProcesslsCritical(TRUE, NULL, FALSE);
	return true;
}

2.2 效果展示

1.程序启动

在这里插入图片描述

2.当任务管理器中的程序被结束后,如果恶意代码能够直接导致系统蓝屏,攻击者就可以将自身的名称伪装成Windows更新程序或其他系统进程,以迷惑分析人员。这种方式可以让分析人员误以为他们关闭了一个正常的系统进程,而不是恶意代码。

在这里插入图片描述

球童0206
关注
使用RtlSetProcessIsCritical“保护”您的过程
04-08
使用Win32内核功能将进程升级为系统关键状态
RtlSetProcessIsCritical 介绍
nokianasty的专栏
12-03 3533
Introduction <br />RtlSetProcessIsCritical is yet another undocumented function hidden in the Windows kernel. It is one of the few which do not have a kernel32 equivalent. However, Microsoft has a good reason to not document this function - it should not b
RtlSetProcessIsCritical将进程设置为系统严重状态(防止进程被结束)
125096
12-11 3863
#include #include bool EnableDebugPrivilege(); typedef NTSTATUS(__cdecl *fnRtlSetProcessIsCritical)(IN BOOLEAN NewValue, OUT PBOOLEAN OldValue OPTIONAL, IN BOOLEAN CheckFlag); fnRtlSetProcessI
C语言蓝屏代码,简单就是高级
weixin_56334307的博客
02-11 676
对运行中的进程进行权限提升和临界进程状态设置。此工具主要用于系统级开发、调试或特定场景下的系统行为研究,但使用不当可能会导致系统不稳定或崩溃。库,并获取上述两个函数的地址,然后直接调用这些函数实现功能。由于这两个函数是未公开的,因此通常不建议在生产环境中使用,仅供学习和研究之用。本工具是一个Windows平台下的命令行应用程序,它利用Windows内核库。本工具使用C语言编写,通过加载。
系统蓝屏的几种姿势,确定不了解下么?
02-28 620
前言 在 蓝屏(BSOD)转储设置,看本文就够了! 这篇文章里比较详细的介绍了蓝屏转储设置。做好设置后,我们就可以在需要的时候使系统蓝屏了。这样我们就可以拿到一份系统转储,供我们分析问题了。本文介绍几种可以使系统蓝屏的办法。当然肯定还有其它办法,如果哪位小伙伴儿知道比较实用的方法,欢迎留言分享。 几种蓝屏方法 1、通过驱动 思路是:在内核执行有问题的代码(比如,在驱动的入口处加上简单的 int*...
不生效 键盘_系统蓝屏的几种姿势,确定不了解下么?
weixin_39762075的博客
01-04 318
前言在 蓝屏(BSOD)转储设置,看本文就够了! 这篇文章里比较详细的介绍了蓝屏转储设置。做好设置后,我们就可以在需要的时候使系统蓝屏了。这样我们就可以拿到一份系统转储,供我们分析问题了。本文介绍几种可以使系统蓝屏的办法。当然肯定还有其它办法,如果哪位小伙伴儿知道比较实用的方法,欢迎留言分享。几种蓝屏方法1. 通过驱动思路是:在内核执行有问题的代码(比如,在驱动的入口处加上简单的 int* p =...
数值分析代码_插值函数_数值分析_
10-02
本资源包含的是数值分析中的插值函数相关的代码实现,通过实际编程来理解和应用这些理论。 1. **线性插值**:是最简单的插值方法,当只有两个数据点时,可以通过连接这两个点形成一条直线来完成插值。线性插值公式...
恶意代码分析实战课后练习题
11-04
恶意代码分析领域,实战经验至关重要。"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员...
regress_regres回归分析源代码_shopfyj_曲面_曲面函数拟合_
10-03
在给定的"regress_regres回归分析源代码_shopfyj_曲面_曲面函数拟合_"项目中,重点在于利用MATLAB平台进行曲面函数的拟合。这个程序`regress.m`旨在帮助用户对三维数据进行建模,找出表面的最佳拟合方程,从而揭示...
NSGA2代码分析_NSGA2代码分析_distance_
10-03
该源文件中就包含一个函数assign_rank_and_crowding_distance (population *new_pop), 主要功能是对种群new_pop里的个体进行Pareto分级排序,同时计算出每个个体的拥挤距离。
Matlab代码.zip_Bohachevsky matlab_Matlab代码_测试函数_测试函数MATLAB_约束 测试函数
07-14
有约束和无约束的测试函数代码,可以在优化算法测试时使用
用户模式蓝屏之临界进程
weixin_30689307的博客
04-12 182
1 BOOL ProtectProcess() 2 { 3   HANDLE hDLL; 4   RtlSetProcessIsCritical fSetCritical; 5 6   hDLL = LoadLibraryA("ntdll.dll"); 7   if ( hDLL != NULL ) 8   { 9     EnablePriv(...
Ring3下蓝屏的代码demo
Mikasys的博客
10-20 536
0x00 前言 蓝屏死机(英语:Blue Screen of Death,缩写:BSoD)指的是微软Windows操作系统在无法从一个系统错误中恢复过来时所显示的屏幕图像。 如下图所示经典的XP蓝屏 早在XP时代,大家应该经常能够看见蓝屏。处在Win10时代,Win11即将面世的今天,由于PG、各种验证机制的保护,以及MS各种漏洞补丁的修补,虽然不像之前那样漏洞百出,仍人宰割,但是还是存在着各种各样的问题,从我们今天讲的内容就可见一斑。 0x01 Ring3蓝屏的方式 简单的可以分成2类,实际上全是一类,
应用层蓝屏
125096
10-24 2126
#include #include typedef enum _HARDERROR_RESPONSE_OPTION { OptionAbortRetryIgnore, OptionOk, OptionOkCancel, OptionRetryCancel, OptionYesNo, OptionYesNoCancel, OptionShutdownSystem } HARD
关于win7下r3窗口进程保护的一些方式
被遗弃的庸才博客
08-06 2231
背景 随着Windows PG保护的出现,过去内核挂钩inline hook的时代逐渐远去,hook OpenProcess的日子也一去不复返了。那么,如果想在Windows操作系统上不那么轻易的被结束掉(这里主要考虑不在r3被结束,都在内核还干不掉你),有没有什么方法? 常见方式 通常情况下如果是在r0,注册一个ObRegisterCallbacks回调,对PROCESS_TERMINATE权限进行限制,就能解决别人调用TerminateProcess结束进程的情况。 if (pOperatio
解读 GetCurrentTransaction
心想事成
10-20 1150
解读 GetCurrentTransaction 每一个从接口派生的类,+0 的值即接口中定义的虚函数的地址表的地址; 可能在类的其他位置还有另外的虚函数的地址表。是不是就能这样确定的说,那也还看更多的构造函数。从 IRtlSystemIsolationLayer 中找一个最简单的函数GetCurrentTransaction,解读一下:Windows::Rtl::SystemImplementat
TARA分析方法论——威胁分析和风险评估方法
最新发布
Suresoft China的博客
09-27 576
威胁分析和风险评估(Threat Analysis and Risk Assessment)通过识别整车/项目的网络安全资产,分析其中的潜在的安全威胁,综合考虑威胁攻击可行性、危害影响等因素,识别出整车/项目可能存在的风险,并确定其风险等级,为网络安全正向开发、安全漏洞修复提供依据。TARA可在车辆的全生命周期的各个阶段进行,例如在概念识别整车的网络安全风险,作为整车网络安全概念的输入,或者在后开发阶段对漏洞进行分析,确定漏洞的风险等级,指导后续的漏洞处置。
MySQL GROUP_CONCAT函数实现字符串拼接
GROUP_CONCAT函数在数据分析和报表生成中非常有用,它可以帮助我们快速生成汇总信息,例如列出每个组的所有成员、展示不同类别的商品销售组合等。注意,由于结果是一个字符串,无法直接用于计算,如果需要进一步处理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值