小试X64 inline HOOK,hook explorer.exe--->CreateProcessInternalW监视进程创建

已于 2024-09-17 10:10:00 修改
阅读量1w 收藏 14
点赞数 4
分类专栏: C/C++ 文章标签: windows c++
于 2013-11-24 14:20:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zwfgdlc/article/details/16918565
版权

原始函数是这样的

kernel32!CreateProcessInternalW:
00000000`7738e750 4c8bdc          mov     r11,rsp
00000000`7738e753 53              push    rbx
00000000`7738e754 56              push    rsi
00000000`7738e755 57              push    rdi
00000000`7738e756 4154            push    r12
00000000`7738e758 4155            push    r13
00000000`7738e75a 4156            push    r14
00000000`7738e75c 4157            push    r15
00000000`7738e75e 4881ec400b0000  sub     rsp,0B40h
00000000`7738e765 488b0564cc0e00  mov     rax,qword ptr [kernel32!local_unwind+0x606b1 (00000000`7747b3d0)]


跟32位一样,在函数入口写入跳转指令,跟32不一样的是,不能再用之前的E9 xx xx xx xx这样的指令了,E9不支持64位地址跳转,最大只能支持到32位,

直接用E9大部分情况下会出错.所以我们换一种方法.

mov rax,0x1122334455667788
jmp rax


机器码是48 b8 8877665544332211 ffe0总共占了12个字节,不是我们之前用E9跳转的5字节了.

最前面的48叫REX Prefix,大家可以GOOGLE下,4是固定的,8表示使用64位寄存器.

如果没有前面的48就变成了mov eax, 0x1122334455667788了,使用32位寄存器.

我们需要把函数前面12字节改成跳转指令,正好

00000000`7738e750 4c8bdc          mov     r11,rsp
00000000`7738e753 53              push    rbx
00000000`7738e754 56              push    rsi
00000000`7738e755 57              push    rdi
00000000`7738e756 4154            push    r12
00000000`7738e758 4155            push    r13
00000000`7738e75a 4156            push    r14

这12个字节是完整的7条指令,写入12字节指令,不会破坏后面的指令.

写入跳转指令后

kernel32!CreateProcessInternalW:
00000000`7738e750 48b8001055fbfe070000 mov rax,offset x64dll!FakeCreateProcessInternal (000007fe`fb551000)
00000000`7738e75a ffe0            jmp     rax
00000000`7738e75c 4157            push    r15
00000000`7738e75e 4881ec400b0000  sub     rsp,0B40h
00000000`7738e765 488b0564cc0e00  mov     rax,qword ptr [kernel32!local_unwind+0x606b1 (00000000`7747b3d0)]
00000000`7738e76c 4833c4          xor     rax,rsp
00000000`7738e76f 48898424300b0000 mov     qword ptr [rsp+0B30h],rax
00000000`7738e777 4889a42438050000 mov     qword ptr [rsp+538h],rsp

完整代码如下.

少NTDLL.h的朋友可以去搜索下载,也可以把RtlAdjustPrivilege替换成AdjustTokenPrivileges,效果样的,只是代码多几行而已.

声明:本人很菜,水平有限,汇编功底也是相当的水,如发现有误人子弟之处,敬请指正.若您有更好的方法也请多多指教.

#include <stdio.h>
#include <tchar.h>
#include <windows.h>
#include <shlwapi.h>
#include <ntdll.h>

#pragma comment(lib, "shlwapi.lib")
#define CODE_LEN 12
TCHAR ModuleFile[MAX_PATH];  
DWORD dwOldProtect;
BYTE OldCode[CODE_LEN] = {0x90};

typedef HANDLE (WINAPI *__CreateProcessInternal)(HANDLE hToken,LPCTSTR lpApplicationName,LPTSTR lpCommandLine,LPSECURITY_ATTRIBUTES lpProcessAttributes,LPSECURITY_ATTRIBUTES lpThreadAttributes,BOOL bInheritHandles,DWORD dwCreationFlags,LPVOID lpEnvironment,LPCTSTR lpCurrentDirectory,LPSTARTUPINFOA lpStartupInfo,LPPROCESS_INFORMATION lpProcessInformation,PHANDLE hNewToken);
__CreateProcessInternal pfnCreateProcess = 0;

HANDLE WINAPI FakeCreateProcessInternal(HANDLE hToken,LPCTSTR lpApplicationName,LPTSTR lpCommandLine,LPSECURITY_ATTRIBUTES lpProcessAttributes,LPSECURITY_ATTRIBUTES lpThreadAttributes,BOOL bInheritHandles,DWORD dwCreationFlags,LPVOID lpEnvironment,LPCTSTR lpCurrentDirectory,LPSTARTUPINFOA lpStartupInfo,LPPROCESS_INFORMATION lpProcessInformation,PHANDLE hNewToken)
{
	MessageBox(NULL, lpCommandLine, lpApplicationName, MB_ICONASTERISK);
	return pfnCreateProcess(hToken, lpApplicationName, lpCommandLine, lpProcessAttributes, lpThreadAttributes, bInheritHandles, dwCreationFlags, lpEnvironment, lpCurrentDirectory, lpStartupInfo, lpProcessInformation, hNewToken);
}

BOOL WINAPI DllMain(HINSTANCE hinstDLL,  // handle to DLL module
		    DWORD fdwReason,     // reason for calling function
		    LPVOID lpReserved )  // reserved
{
	switch( fdwReason ) 
	{ 
	case DLL_PROCESS_ATTACH:
		::DisableThreadLibraryCalls(hinstDLL);
		GetModuleFileName(NULL, ModuleFile, _countof(ModuleFile));  

		if (StrRStrI(ModuleFile, 0, TEXT("explorer.exe")))
		{
			pfnCreateProcess = (__CreateProcessInternal)GetProcAddress(GetModuleHandle(TEXT("kernel32.dll")), "CreateProcessInternalW");
			::VirtualProtect(pfnCreateProcess, CODE_LEN, PAGE_EXECUTE_READWRITE, &dwOldProtect);
			memcpy(OldCode, pfnCreateProcess, CODE_LEN);
			memset(pfnCreateProcess, 0x90, CODE_LEN);
			/*
			mov rax, FakeCreateProcessInternal
			jmp rax
			*/
			*(LPWORD)pfnCreateProcess = 0xb848;
			*(INT64*)((INT64)pfnCreateProcess+2) = (INT64)FakeCreateProcessInternal;
			*(LPWORD)((INT64)pfnCreateProcess+10) = 0xe0ff;
			::VirtualProtect(pfnCreateProcess, CODE_LEN, dwOldProtect, NULL);

			pfnCreateProcess = (__CreateProcessInternal)VirtualAlloc(NULL, CODE_LEN+12, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
			memcpy(pfnCreateProcess, OldCode, CODE_LEN);
			/*
			mov rax, CreateProcessInternalW + CODE_LEN
			jmp rax
			*/
			*(LPWORD)((INT64)pfnCreateProcess+CODE_LEN) = 0xb848;
			*(INT64*)((INT64)pfnCreateProcess+CODE_LEN+2) = (INT64)GetProcAddress(GetModuleHandle(TEXT("kernel32.dll")), "CreateProcessInternalW")+CODE_LEN;
			*(LPWORD)((INT64)pfnCreateProcess+CODE_LEN+10) = 0xe0ff;
		}
		else if (StrRStrI(ModuleFile, 0, TEXT("Rundll32.exe")))  
		{  
			DWORD dwProcessId = 0;  
			HANDLE hProcess = 0;   
			HWND   hwndDeskTop;     

			hwndDeskTop = FindWindow(TEXT("ProgMan"), NULL);       

			GetModuleFileName(hinstDLL, ModuleFile, _countof(ModuleFile));  
			GetWindowThreadProcessId(hwndDeskTop, &dwProcessId);
			BOOLEAN bEnable;
			::RtlAdjustPrivilege(0x13, 1, 0, &bEnable);

			if (dwProcessId)  
			{  
				hProcess = OpenProcess(PROCESS_CREATE_THREAD|PROCESS_VM_OPERATION|PROCESS_VM_WRITE|PROCESS_VM_WRITE|PROCESS_QUERY_INFORMATION, NULL, dwProcessId);  
			}  

			LPVOID Param = VirtualAllocEx(hProcess, NULL, 256, MEM_COMMIT, PAGE_EXECUTE_READWRITE);  
			WriteProcessMemory(hProcess, Param, (LPVOID)ModuleFile, 256, NULL);  

			HANDLE hThread = CreateRemoteThread(hProcess,   
				NULL,   
				NULL,   
				(LPTHREAD_START_ROUTINE)LoadLibraryW,  
				Param,   
				NULL,   
				NULL);  

			if (hThread)  
			{  
				WaitForSingleObject(hThread, INFINITE);  
			}  

			VirtualFreeEx(hProcess, Param , 0, MEM_RELEASE);  
			CloseHandle(hThread);  
			CloseHandle(hProcess);  
		}  

		break;

	case DLL_THREAD_ATTACH:
	case DLL_THREAD_DETACH:
	case DLL_PROCESS_DETACH:
		break;
	}
	return TRUE;
}

int _stdcall Setup(void)  
{  
    return 1;  
}


编译成DLL后,在运行里执行rundll32.exe X64Dll.dll,Setup,DLL会自动注入到explorer.exe进程.

完全工程及编译好的文件点击打开链接

zwfgdlc
关注
专栏目录
软件安全之Hook 技术 Inline Hook技术应用 TraceMe.exe
SKPrimin的博客
12-12 3346
Hook 技术 实验须知 1实验说明 Hook 是在指令的关键位置插入特定代码,以干预程序原有的执行流程,实现拦截目标进程运行过程的关键信息改变目标进程原本执行流程等目的。 2实验目的 本实验使用 Inline Hook 技术,挂钩 [raceMe.exe百度网盘地址(提取码1111)中计算序列号的代码,获取正确的序列号,加深对 Hook 技术的理解。 3实验原理 Hook Hook∶中文译作"挂钩"或"钩子",在指令执行的关键位置插入特定代码,以干预程序原有的执行流程,实现拦截目标进程运行过程的关键信
注入Explorer.exeHook CreateProcessW (MinHook库)
Care
01-21 3327
记录下学习的经历.. win10系统 被某杀毒给挂钩了.. 直接用虚拟机来操作 // dllmain.cpp : 定义 DLL 应用程序的入口点。 #include "stdafx.h" #include #include "MinHook.h" #include #if defined _M_X64 #pragma comment(lib, "libMinHoo
X64 inline hook CreateProcessInternalW
11-24
X64 inline hook explorer.exe-->CreateProcessInternalW监视进程创建. vc2008+WIN7 64测试通过.
hook CreateProcessInternal
07-02
利用inline hook技术挂钩CreateProcessInternal,win7 32/64代码均有
And64InlineHook 开源项目教程
最新发布
gitblog_01144的博客
08-20 307
And64InlineHook 开源项目教程 And64InlineHook项目地址:https://gitcode.com/gh_mirrors/an/And64InlineHook 项目介绍 And64InlineHook 是一个轻量级的 ARMv8-A(ARM64 AArch64 Little-Endian)内联挂钩库,专为 Android C/C++ 开发设计。该项目允许开发者在 And...
Detours版HOOK 未导出的API函数CreateProcessInternalW
追逐光芒,追随内心
11-22 1683
#include <stdio.h> //#include <tchar.h> #include <windows.h> #include "detours.h" #pragma comment(lib,"detours.lib") //以下是HOOK需要的头文件 //#include <winsock2.h> //#include <MSWSock.h> //#pragma comment(lib,"ws2_32.lib") //.
全局 Hook CreateProcessInternalW 测试 VB版.rar
07-09
纯VB全局 Hook CreateProcessInternalW 测试——进程防火墙,可拦截进程,程序主要是安装一个消息钩子,然后和主程序通讯,可以拦截控制台程序(做了递归注入),搞这些东西好像现在也没什么实际意义,代码写的也乱糟糟的,主要就是闲得慌,纯娱乐一下。
挂接CreateProcessW实现对进程创建的完全控制
08-05 1420
SystEm32:这份文档演示了如何实现全局HOOK>+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++【前言】【概述】【copy-on-write】【三种可行的办法】【完整演示代码】【资源】++++++++++++++++++++++++++++++++++++++
Inline Hook_inlinehook_x86_x64_64位HOOK_
09-28
通过这个Inline Hook插件,你可以学习到如何在x86和x64环境下实现Inline Hook,理解其原理并掌握在实际项目中应用这一技术的方法。对于计算机科学和软件工程的学生,以及从事逆向工程和安全研究的专业人士来说,这是...
inline-hook:简单的内联挂钩框架适用于x86,x64,手臂和拇指
04-30
这是一个简单的inline-hook框架,目前仅适用于intel(32bit,64bit)和arm(仅适用于arm32和thumb),它基于c ++ 11的新功能。 如何构建:基于cmake 2.8的框架,您所要做的就是: cmake。 制作 使用方法: 该框架的...
Hook-CreateProcessInternalW.rar_VB hook_hook_vb拦截进程_拦截_拦截进程
09-19
本主题聚焦于VB(Visual Basic)编程环境中如何利用Hook来实现对`CreateProcessInternalW`函数的拦截,从而控制或监视进程创建。 `CreateProcessInternalW`是Windows操作系统中的一个核心API函数,它负责创建新的...
HookCreateProcess示例
08-30
Hook explorer.exe进程CreateProcess示例
Inlinehook PspCreateProcess
weixin_30783629的博客
05-16 156
InineHook通过修改函数指令实现,此次以内核层的PspCreateProcess()为例。 本来是想写NtCreateProcess()的Inlinehook,但是想到PCHunter对于SSDT和ShadowSSDT的检测,就想试一下PCHunter对于更底层函数的检测功能,虽然最后还是被检测出来了 /桑心。通过查看wrk的源代码,NtCreateprocess() 紧接着调用了NtC...
CreateProcess 内部实现
点点灵犀
02-19 2825
*ReactOS学习笔记* CreateProcess 内部实现 调用CreateProcessW    调用CreateProcessInternalW       参数检查       获取进程文件路径       调用BasepMapFile映射文件(内部调用NtCreateSection)       判断是否是一个DLL文件       判断子系统类型(只能是
CreateProcess进程创建的内核跟踪分析
zjw1989
09-12 1010
<br />*[标题]:CreateProcess进程创建的内核跟踪分析<br />*[作者]:gz1X [gz1x(at)tom(dot)com]<br />*[来自]:中国黑客联盟 [CHU]<br /><br />    <br />*[正文]:<br /><br /><br />[实现流程]<br />——————————————————————<br />1.打开需要执行的文件(.exe);<br />2.创建执行体进程对象; //<-------重点<br />3.创建初始线程; /
windows进程/线程创建过程 --- windows操作系统学习
weixin_33947521的博客
12-06 633
有了之前的对进程和线程对象的学习的铺垫后,我们现在可以开始学习windows下的进程创建过程了,我将尝试着从源代码的层次来分析在windows创建一个进程都要涉及到哪些步骤,都要涉及到哪些数据结构。   1. 相关阅读材料 《windows 内核原理与分析》 --- 潘爱民 《深入解析windows操作系统(第4版,中文版)》 http://bbs.pediy.com/showthre...
CreateProcess
weixin_30493401的博客
09-08 405
Windows 进程创建完整过程(除去细节) 当前流程是分析WinXP x86得到的,在最新版本Windows上不一定正确,但是可以做一个参考, 由于我这里符号并不全,所以导致我这里有些东西看到的可能是错误的,误导了我,然后我就做了个错误的记录, 有缘人如果看到的话,可以帮我指正一下,我会很高兴。 工作挺忙的,三天的业余时间,哎,个人水平问题吧,还是没有办法详细地分析出完整套路,算是个简要...
Windows内核--CreateProcess到内核NtCreateProcess(2.3)
编程语言技巧经验分享
11-19 1648
应用程序调用CreateProcess到内核执行NtCreateProcess究竟做了什么?
Hook Explorer Tool
03-31 1403
Hook Explorer------------------------------------------------------------------------SUMMARYDETAILSThis is a small application designed to scan a single process looking for IAT or detours style hooks.
[Vue warn]: Error in mounted hook: "TypeError: Assignment to constant variable." found in ---> <SceneOne> at src/components/SceneOne.vue <App> at src/App.vue <Root>
06-13
这个错误出现在Vue.js应用程序中的mounted钩子函数中,它指出了“Assignment to constant variable”(试图将值分配给常量变量)的错误。这意味着您在尝试更改一个已经被声明为常量的变量或对象。 在JavaScript中,常量变量是无法被重新分配的,因此,当您尝试分配新值时,会出现此错误。为了解决这个问题,您需要找到在mounted钩子函数中试图更改常量变量的代码,并将其更改为使用let或var声明的可变变量。或者,您可以考虑更改该变量的声明方式,以便它可以被重新分配。 请注意,由于我无法查看您的代码,所以无法提供更具体的帮助。如果您需要更多帮助,请提供更多细节和上下文。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值