//weibo: @少仲
一個應用程序想要結束另一個進程所要做的事:首先獲得目標的進程ID,接着利用OpenProcess獲取進程句柄(確保足夠權限),最後將句柄傳給TerminateProcess了結那個進程.
OpenProcess通過本機系統服務接口進入核心態,隨後調用ntoskrnl的NtOpenProcess.在服務函數裏,系統使用SeSinglePrivilegeCheck檢查調用者是否有DEBUG權限(SeDebugPrivilege),若有,則修改AccessState使得在後面的操作中獲取允許任意進程訪問操作的句柄.最後通過ObOpenObjectByName或 PsLookupProcessByProcessId +ObOpenObjectByPointer來打開進程(創建並返回進程句柄).TerminateProcess通過本機系統服務接口進入核心態,隨後調用ntoskrnl的NtTerminateProcess.系統首先調用ObReferenceObjectByHandle獲取進程執行體塊,執行體塊的DebugPort指出進程是否處於調試狀態,若處於調試狀態且傳入的ExitStatus爲DBG_TERMINATE_PROCESS則返回失敗禁止結束進程.隨後服務函數轉入正題:
系統利用ThreadListHead枚舉進程的每一個線程,使用PspTerminateThreadByPointer來結束它們.注意並不是對每個線程系統都會忠實地執行你的命令:若枚舉到的線程是系統線程則不會繼續執行而是返回STATUS_INVALID_PARAMETER.
線程是怎樣結束的呢.PspTerminateThreadByPointer並不是直接“殺掉”指定線程,實質上線程是“自殺”的.系統簡單的使用KeInitializeApc/KeInsertQueueApc插入了一個核心態的APC調用,若是用戶線程,會再插入用戶態的APC調用,最終線程在自己的執行環境中使用PspExitThread自行了斷.
我理解的過程是這樣的
TerminateProcess -> NtTerminateProcess-> PsTerminteProcess -> PspTerminateProcess ->PspTerminateThreadByPointer ->KeInitializeApc/KeInsertQueueApc(插入了一個核心態的APC調用,若是用戶線程,會再插入用戶態的APC調用,最終線程在自己的執行環境中) -> PspExitThread
那麼有了這樣清晰的思路,寫出了3種在強制結束進程的方法.
1.暴力搜索PspTerminateProcess/PspTerminateThreadByPointer ,來強制結束Eprocess/Ethread.
首先,爲什麼要暴力搜索?因爲這些函數都是未公開的函數.通過WinDbg來找到這些函數的名字.
kd> x nt!*Ps*terminate*
805c9eb6 nt!PsTerminateSystemThread =<no type information>
805c9ee4 nt!PsTerminateProcess = <notype information>
805c9b02 nt!PspTerminateThreadByPointer =<no type information>
805c9da4 nt!PspTerminateProcess = <notype information>
805cd84e nt!PspTerminateAllProcessesInJob =<no type information>那麼如何搜索到PspTerminateProcess的地址呢?再次反彙編PspTerminateProcess看看.
uf PspTerminateProcess:
805c9da4 8bff mov edi,edi
805c9da6 55 push ebp
805c9da7 8bec mov ebp,esp
805c9da9 56 push esi
805c9daa 64a124010000 mov eax,dword ptr fs:[00000124h]
805c9db0 8b7508 mov esi,dword ptr [ebp+8]
805c9db3 3b7044 cmp esi,dword ptr [eax+44h]
805c9db6 7507 jne nt!PspTerminateProcess+0x1b (805c9dbf)看到了地址805c9da4,現在通過特徵碼來定位它在系統中的位置.
kd> dd PspTerminateProcess L8
805c9da4 8b55ff8b a16456ec 00000124 3b08758b
805c9db4 07754470 00000db8 575aebc0 0248be8d通過校驗這32個字節.網上大部分校驗的是16字節.甚至還有更巧妙的算法..還有大牛給出了用kmp算法定位地址的方法.但是某貼中看了mj大牛說的話,暴搜特徵碼不是追求效率而是追求準確.所以就定位了32字節...(經測試,win xp 定位16字節可以準確無誤的找到函數地址,而win7 以上要定位更多字節)
typedef NTSTATUS (*PSPTERPROC)( PEPROCESS Process,NTSTATUSExitStatus);
PSPTERPROC MyPspTerminateProcess =NULL;
PVOID GetPspTerminateProcessAddr()
{
ULONG size,index;
PULONG buf;
ULONG i;
PSYSTEM_MODULE_INFORMATIONmodule;
PVOID driverAddress=0;
ULONG ntosknlBase;
ULONG ntosknlEndAddr;
ULONG curAddr;
NTSTATUS status;
PVOID retAddr;
ULONG code1=0x8b55ff8b,code2=0xa16456ec,code3=0x00000124,code4=0x3b08758b;
ULONG code5=0x07754470,code6=0x00000db8,code7=0x575aebc0,code8=0x0248be8d;
ZwQuerySystemInformation(SystemModuleInformation,&size, 0, &size);
if(NULL==(buf = (PULONG)ExAllocatePoolWithTag(PagedPool,size,'aaa')))
{
DbgPrint("failedalloc memory failed \n");
return 0;
}
status=ZwQuerySystemInformation(SystemModuleInformation,buf,size , 0);
if(!NT_SUCCESS(status ))
{
DbgPrint("failedquery\n");
return 0;
}
module = (PSYSTEM_MODULE_INFORMATION)((PULONG )buf+ 1);
ntosknlEndAddr=(ULONG)module->Base+(ULONG)module->Size;
ntosknlBase=(ULONG)module->Base;
curAddr=ntosknlBase;
ExFreePool(buf);
for (i=curAddr;i<=ntosknlEndAddr;i++)
{
if ((*((ULONG *)i)==code1)&&(*((ULONG *)(i+4))==code2)&&(*((ULONG*)(i+8))==code3)&&(*((ULONG*)(i+12))==code4)&&(*((ULONG*)(i+16))==code5)&&(*((ULONG*)(i+20))==code6)&&(*((ULONG*)(i+24))==code7)&&(*((ULONG*)(i+28))==code8) )
{
retAddr=(PVOID*)i;
DbgPrint("PspTerminateProcessadress is:%x\n",retAddr);
MyPspTerminateProcess = (PSPTERPROC)retAddr;
return retAddr;
}
}
DbgPrint("Can'tFind PspTerminateProcess Address:%x\n");
return 0;
}得到了地址,保存在MyPspTerminateProcess中,那麼現在就可以來結束進程了.通過PsLookupProcessByProcessId來找到Eprocess,然後MyPspTerminateProcess(Eprocess, 0)就ok了.
2.調用APC來結束進程.其實這個方法本質上來講和第一種是一樣的.因爲第一種方法就是通過PspTerminateProcess ->PspTerminateThreadByPointer ->KeInitializeApc/KeInsertQueueApc來結束進程的.但是不同的是第一種方法用PspTerminateProcess通過PEPROCESS的hreadListHead鏈表來獲取所有線程,然後PspTerminateThreadByPointer一個個的把線程幹掉.我這裏從新修改了它,不用PsGetNextProcessThread來遍歷線程.而是用一個我認爲足夠大的數字來枚舉並結束線程
過程爲PsLookupThreadByThreadId傳入線程ID獲取線程結構指針,再通過IoThreadToProcess傳入線程指針結構,返回線程所屬的進程指針,然後對比確定該線程屬於目標進程後,調用PspTerminateThreadBypointer傳入該線程結構指針,幹掉它
BOOLEAN My_PspTerminateProcess(PEPROCESSProcess)
{
ULONG i;
PETHREAD txtd;
PEPROCESS txps;
NTSTATUS st = STATUS_UNSUCCESSFUL;
for (i=8;i<=65536;i+=4)
{
st = PsLookupThreadByThreadId(i,&txtd);
if ( NT_SUCCESS(st) )
{
txps=IoThreadToProcess(txtd);
if ( txps == Process )
{
MyPspTerminatePsByPointer(txtd);
}
}
}
return TRUE;
}
NTSTATUS MyPspTerminatePsByPointer(PETHREADThread)
{
//系統線程常量標誌
ULONG Systerm_Thread_Sign= 0x10;
ULONG Size = 0;
ULONG i = 0;
PKAPC pApc = 0;
if ( MmIsAddressValid((PVOID)Thread))//首先要校驗地址,有效的話就DKOM
{
*(PULONG)((ULONG)Thread + 0x248) =Systerm_Thread_Sign;
pApc = ExAllocatePoolWithTag(NonPagedPool,sizeof(KAPC),'apc');
if (pApc)
{
//apcrt 是apc例程
KeInitializeApc(pApc,Thread,OriginalApcEnvironment,APCRT,0,0,KernelMode,0);
KeInsertQueueApc(pApc,pApc,0,2);
}
}
return STATUS_SUCCESS;
}
VOID APCRT(PKAPC Apc,PKNORMAL_ROUTINE*NormalRoutine,PVOID *NormalContext,PVOID *SystemArgument1,PVOID *SystemArgument2)
{
ExFreePool(Apc);
PsTerminateSystemThread(STATUS_SUCCESS);
}WindowsXP的硬編碼是0x248,Windows2003的硬編碼是0x240,WindowsVISTA和Windows2008的硬編碼是0x260,Windows7的硬編碼是0x280.
3.內存清零法.attach到進程,然後將數據填充爲0
BOOLEAN ZeroKill(ULONG PID)
{
NTSTATUS ntStatus=STATUS_SUCCESS;
int i = 0;
PVOID handle;
PEPROCESS Eprocess;
ntStatus = PsLookupProcessByProcessId(PID,&Eprocess);
if (NT_SUCCESS(ntStatus))
{
KeAttachProcess(Eprocess);//Attach進程虛擬空間
for(i = 0;i <= 0x7fffffff;i+= 0x1000)
{
if(MmIsAddressValid((PVOID)i))
{
_try
{
ProbeForWrite((PVOID)i,0x1000,sizeof(ULONG));
memset((PVOID)i,0xcc,0x1000);
}_except(1)
{
continue;
}
}
else
{
if(i>0x1000000) //填這麼多足夠破壞進程數據了
break;
}
}
KeDetachProcess();
if(ObOpenObjectByPointer((PVOID)Eprocess,0,NULL, 0, NULL,KernelMode, &handle)!=STATUS_SUCCESS)
return FALSE;
ZwTerminateProcess((HANDLE)handle,STATUS_SUCCESS);
ZwClose((HANDLE)handle );
return TRUE;
}
return FALSE;
}