强制任何正在运行的进程崩溃

Question

出于软件测试目的，我想使我选择的正在运行的程序（例如 notepad++、becrypt、word）崩溃。

我知道如何蓝屏，我知道如何导致我编写的程序崩溃，我知道如何结束进程 - 但我不知道如何使现有进程崩溃！

有什么帮助吗？

Answer 1

好吧，在远程进程上使用 CreateRemoteThread 并调用 something [1] 使进程可靠地崩溃。我不确定CreateRemoteThread 是否可以防止空指针，但您可以将空页面中的地址传递给它并让远程进程执行。

[1] 空指针或空页访问，除以零，调用特权指令，int3 ...

---

例子：

#include <stdio.h>
#include <tchar.h>
#include <Windows.h>

BOOL setCurrentPrivilege(BOOL bEnable, LPCTSTR lpszPrivilege)
{
    HANDLE hToken = 0;
    if(::OpenThreadToken(::GetCurrentThread(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, FALSE, &hToken)
        || ::OpenProcessToken(::GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))
    {
        TOKEN_PRIVILEGES tp;
        LUID luid;

        if(!::LookupPrivilegeValue(
            NULL,            // lookup privilege on local system
            lpszPrivilege,   // privilege to lookup 
            &luid ) )        // receives LUID of privilege
        {
            ::CloseHandle(hToken);
            return FALSE; 
        }
        tp.PrivilegeCount = 1;
        tp.Privileges[0].Luid = luid;
        tp.Privileges[0].Attributes = (bEnable) ?  SE_PRIVILEGE_ENABLED : 0;

        // Enable the privilege or disable all privileges.
        if(!::AdjustTokenPrivileges(
            hToken,
            FALSE,
            &tp,
            sizeof(TOKEN_PRIVILEGES),
            (PTOKEN_PRIVILEGES) NULL,
            (PDWORD) NULL)
            )
        {
            CloseHandle(hToken);
            return FALSE; 
        }
        ::CloseHandle(hToken);
    }
    return TRUE;
}

int killProcess(DWORD processID)
{
    HANDLE hProcess = ::OpenProcess(PROCESS_ALL_ACCESS, FALSE, processID);
    if(hProcess)
    {
        if(!setCurrentPrivilege(TRUE, SE_DEBUG_NAME))
        {
            _tprintf(TEXT("Could not enable debug privilege\n"));
        }
        HANDLE hThread = ::CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)1, NULL, 0, NULL);
        if(hThread)
        {
            ::CloseHandle(hThread);
        }
        else
        {
            _tprintf(TEXT("Error: %d\n"), GetLastError());
            ::CloseHandle(hProcess);
            return 1;
        }
        ::CloseHandle(hProcess);
    }
    return 0;
}

int __cdecl _tmain(int argc, _TCHAR *argv[])
{
    killProcess(3016);
}

当然，您需要将调用中的 PID 调整为 killProcess。使用 WNET DDK 编译并在 2003 Server R2 上测试。

这里的要点是，我们告诉远程进程在地址 0x1 ((LPTHREAD_START_ROUTINE)1) 处执行代码，该地址位于空页面内，但不是空指针（以防有针对它的检查）。函数周围的垃圾，特别是 setCurrentPrivilege 用于获得完整的调试权限，这样我们就可以做坏事了。

Answer 2

您可以使用DLL injection technique 将您的代码注入另一个进程。然后在您注入的代码中执行一些简单的操作，例如 abort() 或除以零。

Answer 3

需要一个两步机制：

1. 注入进程崩溃（使用注入库，使用Detours，使用Hook安装等）。您的选择取决于您拥有的时间和知识以及其他先决条件（例如凭证、防注入保护、您想要留下的足迹大小......）
2. 在注入进程中执行无效操作（如int 2Eh、除以null等）

Answer 4

以下是使用winapiexec 工具的方法：

winapiexec64.exe CreateRemoteThread ( OpenProcess 0x1F0FFF 0 1234 ) 0 0 0xDEAD 0 0 0

将1234替换为进程id并运行命令，进程会崩溃。