Win7/Vista Hook CreateProcess 的特别之处

最新推荐文章于 2025-09-15 06:00:49 发布
原创 最新推荐文章于 2025-09-15 06:00:49 发布 · 4.7k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #api #API钩子 #API Hook #CreateProcess

在Win7/Vista系统中,单纯Hook进程内的CreateProcessInternalW无法有效截取创建管理员权限进程的情况。因为当非管理员进程尝试创建管理员进程时,实际创建操作是由系统服务进程完成,绕过了Hook。关键函数SHCreateProcess在尝试创建进程后,根据权限决定是否调用CreateProcess。SHCreateProcess是shell32.dll内的非导出函数,为解决此问题,需要找到并Hook SHCreateProcess的地址。


Win7/Vista Hook CreateProcess 的特别之处

搬运自我的百度空间,写本文时主流系统为Win7,本文的方法没有在高版本的windows尝试

2016/10/3更新:Win10下 直接hook KERNELBASE!CreateProcessInternalW就可以了,不管创建UAC进程还是普通进程都是走这条路,注意是kernelbase.dll下的函数

2016/11/19更新:Win10下创建普通进程走的是CreateProcess->CreateProcessInternalW的路,而使用Runas创建管理员进程(会弹出UAC窗口)不再使用本文提到的SHCreateProcess函数,而是使用了AicLaunchAdminProcess这个函数。需要注意,win10似乎把shell32.dll的部分功能实现移到了windows.storage.dll,AicLaunchAdminProcess也是在这个dll之中。同样AicLaunchAdminProcess也没有被DLL导出,需要一些技巧来获取它的地址。详见http://blog.csdn.net/myjisgreat/article/details/53262932

    HookCreateProcess

    最低0.47元/天 解锁文章
    Win10 Hook 进程创建的研究
    myjisgreat的专栏
    11-21 8548
    Win7甚至在它之前开始,想要hook进程创建已经不能简单的HookCreateProcessInternalW这一个函数了,因为Vista开始引入了UAC机制。如果一个进程想要通过UAC弹窗创建管理员进程,hook这个进程的CreateProcessInternalW已经不起作用,我在几年前的博文《Win7/VistaHook CreateProcess特别之处》(http://blog
    Hook CreateProcess
    weixin_30616969的博客
    08-19 1209
    6种比较常用的运行(执行)程序的方法: 包括WinExec、ShellExecute、CreateProcessCreateProcessAsUser、CreateProcessWithLogonW、CreateProcessWithTokenW 要在r3层hook程序的运行,需要用到上述api CreateProcessAsUser win7用 CreatePr...
    hook CreateProcessInternal
    07-02
    利用inline hook技术挂钩CreateProcessInternal,win7 32/64代码均有
    全局 Hook CreateProcessInternalW 测试 VB版.rar
    07-09
    纯VB全局 Hook CreateProcessInternalW 测试——进程防火墙,可拦截进程,程序主要是安装一个消息钩子,然后和主程序通讯,可以拦截控制台程序(做了递归注入),搞这些东西好像现在也没什么实际意义,代码写的也乱糟糟的,主要就是闲得慌,纯娱乐一下。
    Windows 系统编程——进程篇之进程创建
    最新发布
    charlie114514191的博客
    09-15 1174
    本文详细解析了Windows系统API CreateProcess的使用方法及注意事项。从函数签名入手,重点讲解了lpApplicationName和lpCommandLine参数的差异与使用建议、命令行引号处理规则、dwCreationFlags常用标志、STARTUPINFO和STARTUPINFOEX结构体的配置方法。文章还深入探讨了进程创建中的句柄继承机制、环境块格式、权限与Token管理等关键问题,并提供了使用CreateProcessWithLogonW和CreateProcessAsUser创
    Win8下HOOK explorer的CreateProcessW函数
    ★匆匆★的专栏
    03-09 2530
    // dllmain.cpp : Defines the entry point for the DLL application. #include "stdafx.h" ULONG dwOrigCreateProcessAddr; HINSTANCE hInstance; typedef BOOL (*LPCREATEPROCESS)( HANDLE HToken, LPCWSTR lp
    nt6.x下的icesword
    02-04
    一个强大的手工杀毒工具,目前暂时只支持32位的2000、xp、2003、vista、2008和Win7操作系统,等忙完这阵,会购买微软的数字签名以开发支持64位和Windows8的XueTr,请大家拭目以待。 本工具目前实现如下功能: 1.进程...
    PCHunter_free类拟冰刃win64位
    03-30
    PCHunter free是一款安全类的系统信息查看软件,在它的帮助下您不但可以深入的查看系统各类信息,还可以很方便的揪出电脑中的病毒木马,目前它不仅适用于32位的2000、XP、2003、Vista、2008、Win7Win8操作系统,还...
    PCHunter32/PCHunter64
    06-19
    PC Hunter 是在原 XueTr 的基础上重新开发而来,XueTr 只支持 32 位操作系统,而 PC Hunter 不仅支持 32 位的 2000、XP、2003、Vista、2008、Win7Win8,还支持 64 位的 Win7Win8 系统,那么针对64位的 Windows 7...
    X64 inline hook CreateProcessInternalW
    11-24
    X64 inline hook explorer.exe-->CreateProcessInternalW监视进程创建. vc2008+WIN7 64测试通过.
    挂接CreateProcessW实现对进程创建的完全控制
    08-05 1480
    SystEm32:这份文档演示了如何实现全局HOOK>+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++【前言】【概述】【copy-on-write】【三种可行的办法】【完整演示代码】【资源】++++++++++++++++++++++++++++++++++++++
    HookCreateProcess示例
    08-30
    Hook explorer.exe进程CreateProcess示例
    易语言-Hook_CreateProcess阻止创建一个新的进程和它的主线程
    06-25
    通过HOOK CreateProcess 函数 来实现阻止创建一个新的进程和它的主线程
    Hook自己的程序
    04-03
    最基础的Hook小程序,高手就不用下了http://www.cnblogs.com/muchme/p/4388885.html
    小试X64 inline HOOK,hook explorer.exe--->CreateProcessInternalW监视进程创建
    热门推荐
    zwfgdlc的专栏
    11-24 1万+
    原始函数是这样的 kernel32!CreateProcessInternalW: 00000000`7738e750 4c8bdc mov r11,rsp 00000000`7738e753 53 push rbx 00000000`7738e754 56 push rsi 00000000`7738e7
    Detours版HOOK 未导出的API函数CreateProcessInternalW
    追逐光芒,追随内心
    11-22 1944
    #include <stdio.h> //#include <tchar.h> #include <windows.h> #include "detours.h" #pragma comment(lib,"detours.lib") //以下是HOOK需要的头文件 //#include <winsock2.h> //#include <MSWSock.h> //#pragma comment(lib,"ws2_32.lib") //.
    win7CreateProcess error=87
    mht13895099346的专栏
    06-28 281
    引起这个问题的原因是classpath过长造成的,据说是jdk在windows下的bug 由于项目庞大,不能轻易变换路径,故采用映射文件夹的办法: mklink /j D:\dbsharding D:\project5\kumquat\dbsharding\root 如上所示:把后一个路径映射到前一个短路径上,然后重新导入下工程就好了。 希望对各位有所帮助。...
    注入Explorer.exe 并Hook CreateProcessW (MinHook库)
    Care
    01-21 3533
    记录下学习的经历.. win10系统 被某杀毒给挂钩了.. 直接用虚拟机来操作 // dllmain.cpp : 定义 DLL 应用程序的入口点。 #include "stdafx.h" #include #include "MinHook.h" #include #if defined _M_X64 #pragma comment(lib, "libMinHoo
    易语言api hook CreateProcessA 创建进程
    511遇见
    05-25 6557
    CreateProcessA我们非常熟悉,就是创建一个进程,这个API的函数hook非常实用,本课我们可以通过CreateProcessA来运行系统的计算器,或者记事本等等。 CreateProcessA .版本 2 .DLL命令 CreateProcessA, 整数型, "kernel32.dll", "CreateProcessA", , 创建进程。 .参数 lpApplicationName, 文本型 .参数 lpCommandLine, 文本型 .参数 lpPr
    评论
    添加红包

    请填写红包祝福语或标题

    红包个数最小为10个

    红包金额最低5元

    当前余额3.43前往充值 >
    需支付:10.00
    成就一亿技术人!
    领取后你会自动成为博主和红包主的粉丝 规则
    hope_wisdom
    发出的红包
    实付
    使用余额支付
    点击重新获取
    扫码支付
    钱包余额 0

    抵扣说明:

    1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
    2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

    余额充值