Часть процессов операционной системы считаются «критичными» — если завершить один из них, Windows выпадет в синий экран смерти и перезагрузится. Этим активно пользуются вирусописатели: если сделать свой процесс критичным, то его нельзя будет завершить просто так. В этой статье я покажу, как создавать такие процессы и как прибивать их без падения системы.

Дело в том, что хорошо организовать защиту процесса от завершения, когда пользователь работает под учетной записью администратора, практически невозможно. Есть разные полумеры, но на полноценную защиту они не тянут. Например, можно использовать драйверы режима ядра, но в 64-битных операционных системах не так просто преодолеть механизм Kernel Patch Protection. Остается прибегать к трюкам вроде того, который мы разберем.

Давай посмотрим, как создать критичный процесс в Windows, как проверить, что процесс является критичным, и как его завершить без падения системы в BSOD. Строго говоря, создавать мы будем не процесс, а критичный поток. Ведь процесс в Windows — это что-то вроде контейнера для потоков, в которых и выполняется код.

WARNING

Весь код, который я привожу в статье, настоятельно рекомендую исполнять только в виртуальной машине, потому что завершение критического процесса вызовет общесистемный сбой и падение системы в BSOD с кодом CRITICAL_PROCESS_DIED и возможной потерей данных. Все тесты я проводил в VirtualBox на Windows 10 LTSB x64 в качестве хоста.

Зачем используется флаг critical?

Загрузка ... Загрузка ...

Есть несколько методов, которые помогут нам создать критичный процесс. Все они основаны на манипуляции вызовами NTAPI (Native Windows API), самыми «низкоуровневыми», которые можно выполнить в режиме пользователя. Эти функции экспортируются ntoskrnl.exe. Через обертку ntdll.dll мы сможем получить их адреса и вызвать их.

 

RtlSetProcessIsCritical

Первая функция Native API, которая поможет нам пометить процесс как критичный, — это RtlSetProcessIsCritical. Ее прототип выглядит так:

NTSYSAPI
NTSTATUS
STDAPIVCALLTYPE
RtlSetProcessIsCritical(
    IN  BOOLEAN  NewValue,
    OUT PBOOLEAN OldValue OPTIONAL,
    IN  BOOLEAN  CheckFlag
);

Чтобы эта функция сработала, перед ее вызовом нужно будет получить привилегию SeDebugPrivilege. Это можно сделать через «обычные» функции WinAPI.

BOOL setPrivileges(LPCTSTR szPrivName)
{
    TOKEN_PRIVILEGES tp = { 0 };
    HANDLE hToken = 0;

    tp.PrivilegeCount = 1;
    tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

    if (!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &hToken))
        std::cout << "OpenProcessToken failed\n";

    if (!LookupPrivilegeValue(NULL, szPrivName, &tp.Privileges[0].Luid))
        std::cout << "LookupPrivilegeValue failed\n";

    if (!AdjustTokenPrivileges(hToken, FALSE, &tp, sizeof(tp), NULL, NULL))
    {
        std::cout << "AdjustTokenPrivileges failed\n";
        CloseHandle(hToken);
        return TRUE;
    }

    return FALSE;
}

Вызов функции для получения SE_DEBUG_NAME будет таким:

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии