Win7/Vista Hook CreateProcess 的特别之处

最新推荐文章于 2024-08-07 18:36:39 发布
最新推荐文章于 2024-08-07 18:36:39 发布
阅读量4.5k 收藏 1
点赞数 1
分类专栏: Windows API Hook 文章标签: windows api API钩子 API Hook CreateProcess
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/myjisgreat/article/details/46478247
版权
在Win7/Vista系统中,单纯Hook进程内的CreateProcessInternalW无法有效截取创建管理员权限进程的情况。因为当非管理员进程尝试创建管理员进程时,实际创建操作是由系统服务进程完成,绕过了Hook。关键函数SHCreateProcess在尝试创建进程后,根据权限决定是否调用CreateProcess。SHCreateProcess是shell32.dll内的非导出函数,为解决此问题,需要找到并Hook SHCreateProcess的地址。
摘要由CSDN通过智能技术生成


Win7/Vista Hook CreateProcess 的特别之处

搬运自我的百度空间,写本文时主流系统为Win7,本文的方法没有在高版本的windows尝试

2016/10/3更新:Win10下 直接hook KERNELBASE!CreateProcessInternalW就可以了,不管创建UAC进程还是普通进程都是走这条路,注意是kernelbase.dll下的函数

2016/11/19更新:Win10下创建普通进程走的是CreateProcess->CreateProcessInternalW的路,而使用Runas创建管理员进程(会弹出UAC窗口)不再使用本文提到的SHCreateProcess函数,而是使用了AicLaunchAdminProcess这个函数。需要注意,win10似乎把shell32.dll的部分功能实现移到了windows.storage.dll,AicLaunchAdminProcess也是在这个dll之中。同样AicLaunchAdminProcess也没有被DLL导出,需要一些技巧来获取它的地址。详见http://blog.csdn.net/myjisgreat/article/details/53262932

    HookCreateProcess

    最低0.47元/天 解锁文章
    myjisgreat
    关注
    专栏目录
    Hook CreateProcess
    weixin_30616969的博客
    08-19 1112
    6种比较常用的运行(执行)程序的方法: 包括WinExec、ShellExecute、CreateProcessCreateProcessAsUser、CreateProcessWithLogonW、CreateProcessWithTokenW 要在r3层hook程序的运行,需要用到上述api CreateProcessAsUser win7用 CreatePr...
    hook CreateProcessInternal
    07-02
    利用inline hook技术挂钩CreateProcessInternal,win7 32/64代码均有
    Windows下创建进程CreateProcess
    最新发布
    X3241076453的博客
    08-07 356
    2、使用ShellExecute函数:这个函数可以打开一个文件、文件夹或URL,也可以创建一个新的进程来运行可执行文件。它接受多个参数,包括操作类型、文件名、参数等。3、使用system函数:这是C标准库提供的一个函数,可以执行系统命令。你可以通过system函数来执行任何可以在命令行中运行的命令,包括运行可执行文件。这些方法都可以在Windows下创建新的进程,具体选择哪种方法取决于你的需求和使用场景。
    Win8下HOOK explorer的CreateProcessW函数
    ★匆匆★的专栏
    03-09 2425
    // dllmain.cpp : Defines the entry point for the DLL application. #include "stdafx.h" ULONG dwOrigCreateProcessAddr; HINSTANCE hInstance; typedef BOOL (*LPCREATEPROCESS)( HANDLE HToken, LPCWSTR lp
    全局 Hook CreateProcessInternalW 测试 VB版.rar
    07-09
    纯VB全局 Hook CreateProcessInternalW 测试——进程防火墙,可拦截进程,程序主要是安装一个消息钩子,然后和主程序通讯,可以拦截控制台程序(做了递归注入),搞这些东西好像现在也没什么实际意义,代码写的也乱糟糟的,主要就是闲得慌,纯娱乐一下。
    挂接CreateProcessW实现对进程创建的完全控制
    08-05 1420
    SystEm32:这份文档演示了如何实现全局HOOK>+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++【前言】【概述】【copy-on-write】【三种可行的办法】【完整演示代码】【资源】++++++++++++++++++++++++++++++++++++++
    Win10 Hook 进程创建的研究
    myjisgreat的专栏
    11-21 8231
    Win7甚至在它之前开始,想要hook进程创建已经不能简单的HookCreateProcessInternalW这一个函数了,因为Vista开始引入了UAC机制。如果一个进程想要通过UAC弹窗创建管理员进程,hook这个进程的CreateProcessInternalW已经不起作用,我在几年前的博文《Win7/VistaHook CreateProcess特别之处》(http://blog
    nt6.x下的icesword
    02-04
    一个强大的手工杀毒工具,目前暂时只支持32位的2000、xp、2003、vista、2008和Win7操作系统,等忙完这阵,会购买微软的数字签名以开发支持64位和Windows8的XueTr,请大家拭目以待。 本工具目前实现如下功能: 1.进程...
    PCHunter_free类拟冰刃win64位
    03-30
    PCHunter free是一款安全类的系统信息查看软件,在它的帮助下您不但可以深入的查看系统各类信息,还可以很方便的揪出电脑中的病毒木马,目前它不仅适用于32位的2000、XP、2003、Vista、2008、Win7和Win8操作系统,还...
    PCHunter32/PCHunter64
    06-19
    PC Hunter 是在原 XueTr 的基础上重新开发而来,XueTr 只支持 32 位操作系统,而 PC Hunter 不仅支持 32 位的 2000、XP、2003、Vista、2008、Win7、Win8,还支持 64 位的 Win7、Win8 系统,那么针对64位的 Windows 7...
    X64 inline hook CreateProcessInternalW
    11-24
    X64 inline hook explorer.exe-->CreateProcessInternalW监视进程创建. vc2008+WIN7 64测试通过.
    HookCreateProcess示例
    08-30
    Hook explorer.exe进程CreateProcess示例
    易语言-Hook_CreateProcess阻止创建一个新的进程和它的主线程
    06-25
    通过HOOK CreateProcess 函数 来实现阻止创建一个新的进程和它的主线程
    Hook自己的程序
    04-03
    最基础的Hook小程序,高手就不用下了http://www.cnblogs.com/muchme/p/4388885.html
    win7CreateProcess error=87
    mht13895099346的专栏
    06-28 215
    引起这个问题的原因是classpath过长造成的,据说是jdk在windows下的bug 由于项目庞大,不能轻易变换路径,故采用映射文件夹的办法: mklink /j D:\dbsharding D:\project5\kumquat\dbsharding\root 如上所示:把后一个路径映射到前一个短路径上,然后重新导入下工程就好了。 希望对各位有所帮助。...
    注入Explorer.exe 并Hook CreateProcessW (MinHook库)
    Care
    01-21 3327
    记录下学习的经历.. win10系统 被某杀毒给挂钩了.. 直接用虚拟机来操作 // dllmain.cpp : 定义 DLL 应用程序的入口点。 #include "stdafx.h" #include #include "MinHook.h" #include #if defined _M_X64 #pragma comment(lib, "libMinHoo
    易语言api hook CreateProcessA 创建进程
    511遇见
    05-25 6155
    CreateProcessA我们非常熟悉,就是创建一个进程,这个API的函数hook非常实用,本课我们可以通过CreateProcessA来运行系统的计算器,或者记事本等等。 CreateProcessA .版本 2 .DLL命令 CreateProcessA, 整数型, "kernel32.dll", "CreateProcessA", , 创建进程。 .参数 lpApplicationName, 文本型 .参数 lpCommandLine, 文本型 .参数 lpPr
    Detours版HOOK 未导出的API函数CreateProcessInternalW
    追逐光芒,追随内心
    11-22 1681
    #include <stdio.h> //#include <tchar.h> #include <windows.h> #include "detours.h" #pragma comment(lib,"detours.lib") //以下是HOOK需要的头文件 //#include <winsock2.h> //#include <MSWSock.h> //#pragma comment(lib,"ws2_32.lib") //.
    Win32 HOOK机制探索:入门与键盘钩子实践
    需要注意的是,全局钩子会消耗系统资源,因此应谨慎使用,特别是在多线程环境中,可能会导致性能下降或稳定性问题。 理解并熟练运用Windows HOOK机制,可以帮助开发者实现许多高级功能,如键盘和鼠标监控、系统行为...
    评论
    添加红包

    请填写红包祝福语或标题

    红包个数最小为10个

    红包金额最低5元

    当前余额3.43前往充值 >
    需支付:10.00
    成就一亿技术人!
    领取后你会自动成为博主和红包主的粉丝 规则
    hope_wisdom
    发出的红包
    实付
    使用余额支付
    点击重新获取
    扫码支付
    钱包余额 0

    抵扣说明:

    1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
    2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

    余额充值