本工具是一个Windows平台下的命令行应用程序,它利用Windows内核库ntdll.dll
中的两个未公开函数RtlSetProcessIsCritical
和RtlAdjustPrivilege
,对运行中的进程进行权限提升和临界进程状态设置。此工具主要用于系统级开发、调试或特定场景下的系统行为研究,但使用不当可能会导致系统不稳定或崩溃。
主要功能:
- 权限提升: 通过调用
RtlAdjustPrivilege
函数,将当前进程权限提升至Debug级别。这需要管理员权限,并且会触发UAC(用户帐户控制)提示。 - 临界进程设置: 通过调用
RtlSetProcessIsCritical
函数,将当前进程设置为临界进程(Critical Process)。临界进程是Windows内核用来保护关键系统组件不被意外终止的一种机制。设置为临界进程后,如果进程意外终止,会触发一个名为"CRITICAL_PROCESS_DIED"的蓝屏错误。
技术实现:
本工具使用C语言编写,通过加载ntdll.dll
库,并获取上述两个函数的地址,然后直接调用这些函数实现功能。由于这两个函数是未公开的,因此通常不建议在生产环境中使用,仅供学习和研究之用。
使用场景:
- 系统级开发: 在开发需要更高权限或特殊行为的系统级应用程序时,可能需要使用该工具进行权限提升或进程状态设置。
- 调试与测试: 在调试或测试需要模拟特定进程状态的场景时,该工具可以作为一个辅助工具使用。
- 安全研究: 在安全研究或渗透测试中,该工具可以用于模拟特定攻击场景,评估系统安全性。
注意事项:
- 使用本工具需要谨慎,不当使用可能导致系统不稳定或崩溃。
- 由于涉及系统底层操作,本工具需要管理员权限才能运行。
- 临界进程设置后,如果进程意外终止,会触发蓝屏错误,可能导致数据丢失或系统不可用。
- 本工具仅供学习和研究之用,不建议在生产环境中使用。
完整代码:
#include<Windows.h>
#include<stdbool.h>
int main() {
typedef NTSTATUS(WINAPI* RtlSetProcessIsCritical) (BOOLEAN, PBOOLEAN, BOOLEAN);
typedef BOOL(WINAPI* RtlAdjustPrivilege) (ULONG, BOOL, BOOL, PBOOLEAN);
RtlAdjustPrivilege AdjustPrivilege;
RtlSetProcessIsCritical SetCriticalProcess;
// 加载 ntdll 以及相关 API
HANDLE ntdll = LoadLibrary(TEXT("ntdll.dll"));
AdjustPrivilege = (RtlAdjustPrivilege)GetProcAddress((HINSTANCE)ntdll, "RtlAdjustPrivilege");
SetCriticalProcess = (RtlSetProcessIsCritical)GetProcAddress((HINSTANCE)ntdll, "RtlSetProcessIsCritical");
BOOLEAN b;
// 进程提升至 Debug 权限,需要 UAC 管理员许可
AdjustPrivilege(20UL, TRUE, FALSE, &b);
// 设置为 Critical Process
SetCriticalProcess(TRUE, NULL, FALSE);
// 退出,触发 CRITICAL_PROCESS_DIED 蓝屏
return 0;
}