在内核中阻止进程创建的正确方法

于 2023-12-06 22:29:21 发布
阅读量499 收藏 6
点赞数 7
分类专栏: 内核开发 文章标签: 进程创建通知 阻止进程创建 Terminate 内核开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cssxn/article/details/134842495
版权

最近遇到一个BUG,通过Word在打开hyperlink时,在进程通知回调中结束了Chrome浏览器进程,目标进程虽然被杀了,但是Word还会再尝试用另一种方法再打开浏览器,这种情况只出现在Win7上,百思不得其解。。。最终定位到根本原因,原来是调用ZwTerminateProcess时传错了ExitStatus参数导致,修改为STATUS_ACCESS_DENIED后问题解决;

微软提供了3个进程创建通知回调,参数和NT内核支持不同,分别是

  • PsSetCreateProcessNotifyRoutine Windows 2000
  • PsSetCreateProcessNotifyRoutineEx VistaSP1 or WinServer2008
  • PsSetCreateProcessNotifyRoutineEx2 Win10 1703

其中Ex、Ex2版本的进程通知回调中结束进程,可以直接设置参数的CreateInfo.ExitStatus = STATUS_ACCESS_DENIED

PsSetCreateProcessNotifyRoutine,常规做法是,在回调中再创建一个内核线程,在新线程中通过ZwTerminateProcess去结束想要阻止创建的进程;

ZwTerminateProcess第二个参数是ExitStatus,如果传入NULL,表示进程正常退出,某些场景会影响父进程的处理逻辑,正确做法应该也跟Ex版本一样,传入STATUS_ACCESS_DENIED

FFE4
关注
  • 7
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
在Windows 2003HOOK ZwCreateProcessEx
07-10
- 当ZwCreateProcessEx被调用时,你的钩子函数会被先执行,可以在这里进行自定义逻辑,比如记录进程创建信息、修改参数或者阻止进程创建。 **4. 应用场景** - **安全防护**:安全软件可能会HOOK ZwCreateProcessEx...
内核空间和用户空间的保护
07-29
在Linux初始化进程时,会创建两组段描述符:`__KERNEL_CS` 和 `__KERNEL_DS` 用于内核代码,以及 `__USER_CS` 和 `__USER_DS` 用于用户代码。内核代码可以自由地访问用户空间,但用户代码却不能直接访问内核空间,这...
x64内核HOOK技术之拦截进程.拦截线程.拦截模块
weixin_30399155的博客
02-01 673
            x64内核HOOK技术之拦截进程.拦截线程.拦截模块 一丶为什么讲解HOOK技术. 在32系统下,例如我们要HOOK SSDT表,那么直接讲CR0的内存保护属性去掉.直接讲表的地址修改即可. 但是在64位系统下,不可以这样操作了. 第一是因为 SSDT表加密了. 第二是 SSDT表你就算解密了.那么你的API的地址也会很远. SSDT表放不下4G以...
Windows 驱动阻止进程创建
a907763895的专栏
10-19 5328
windows Vista及以后版本可以使用PsSetCreateProcessNotifyRoutineEx函数检测到进程创建和退出,当进程创建时什么回调函数的参数的成员CreateStatus为不成功的值即可阻止进程创建,但是一般会弹出一个对话框,这个不太友好,解决的办法是 设置CreateStatus为STATUS_ACCESS_DISABLED_NO_SAFER_UI_BY_POLICY
进程在内存的样子!以及进程的一生
一口Linux的专栏
10-12 870
1. 什么是进程 简单来讲,进程就是运行的程序。 进一步讲,进程是在用户空间,加载器根据程序头提供的信息,将程序加载到内存并运行的实体。 1.1 进程的虚拟空间 ELF 文件头指定的程序入口地址,以及各个节区在程序运行时的内存排布地址等,指的都是在进程虚拟空间的地址。 虚拟空间可以认为是操作系统给每个进程准备的沙盒,每个进程只存活在自己的虚拟世界里,却感觉自己独占了所有的系统资源(内存)。 当一个进程要使用某块内存时,它会将自己世界里的一个内存地址告诉操作系统,剩下的事情
《深入理解Linux内核》-3.2. 进程描述符
ybxuwei的专栏
11-22 2115
3.2. 进程描述符为了管理进程内核必须对每个进程正在做什么有一个清晰的画面。比如,它必须知道进程的优先级、它是正在运行还是被某个事件阻塞、它的地址空间是多少、它被允许访问哪些地址等等。进程描述符发挥了这些作用,它是一个task_struct类型的结构,包含与单个进程有关的所有信息。正因为存放了这么多信息,进程描述符是非常复杂的。除了大量的包含进程属性的字段,文件描述符还包含若干个指向其他数据结构
WFP驱动--进程规则拦截
03-20
在此阶段,驱动可以执行如阻止进程启动、修改进程权限、记录日志等操作。 **四、安全与性能考虑** 虽然WFP提供了强大的功能,但误用或恶意使用可能会导致系统不稳定甚至安全风险。因此,在编写WFP驱动时,必须遵循...
易语言-防止进程被关闭易语言
06-29
因此,除非有特殊需求,一般不建议无理由地阻止进程关闭,因为这是系统自我管理和维护的重要机制。 在易语言,理解并正确使用API是非常关键的技能。开发者需要了解每个API的功能、参数、返回值以及可能的错误处理...
Windows内核安全与驱动开发(随书光盘)
06-03
4. **文件系统过滤驱动**:文件过滤驱动可以在文件系统栈插入,拦截并处理文件系统的操作,如读写、创建、删除等,常用于实现安全审计或数据保护功能。 5. **调试驱动**:调试驱动程序是开发过程的重要环节,...
windbg调试符号下载不了
Sven的忘却日记
02-04 8215
微软符号服务器已经很久没ping通了,挂上全局代理可以下载符号,但是又不想总是开着全局代理。 后来找到一种替代方案,可以通过设置系统环境变量,来让下载符号的流量走代理服务器 _NT_SYMBOL_PROXY 设置好代理后,再下载符号,已经有提示下载进度了! ...
PsSetCreateProcessNotifyRoutine监控进程创建
Sven的忘却日记
09-25 5358
PsSetCreateProcessNotifyRoutine函数用来注册一个进程创建的回调函数,当有新从进程创建时,就把父进程的ID,和子进程(被创建进程)ID传给回调函数,通过回调函数,可以监控新创建进程 NTSTATUS PsSetCreateProcessNotifyRoutine( _In_ PCREATE_PROCESS_NOTIFY_ROUTINE NotifyRouti...
手动加载PDB符号文件
Sven的忘却日记
09-27 3465
事件起因 平时需要用到web环境来测试东西时,我会在服务器上用python -m SimpleHTTPServer来启动一个小型web服务,有时为了方便,就没停止服务,一直在服务器上挂着。。 今天登陆服务器,发现几条可疑的访问请求记录,如下图 分析Payload 这个很明显是有人在批量扫描漏洞,并植入木马 103.131.9.85 - - [25/Sep/2019 00:58:05] "GET ...
Wdm.h、Ntddk.h 和 Ntifs.h 的组织结构
Sven的忘却日记
10-13 3098
在 Windows Vista 版本的 WDK 之前,用于驱动程序开发的主要头文件为 Wdm.h、Ntddk.h 和 Ntifs.h,它们包含很多重复声明。 从 Windows Vista 版本的 WDK 开始,Wdm.h、Ntddk.h 和 Ntifs.h 将按层次结构来组织并且不包含重复信息。上层的文件将包含下层的文件。每个函数和结构声明仅出现一次。 Ntifs.h 包含 Ntddk.h,而 ...
WinDbg手动修复堆栈
Sven的忘却日记
09-29 2558
栈被破坏了可一点都不好玩儿!尤其是当你在分析crash dump或者程序发生异常的时候,我猜首先要做的事,可能就是先查看一下儿堆栈调用。 但是发现当前线程的栈被破坏了,你的主要分析工具也无法显示堆栈,这可咋办哩? 尽管如此,有时候也可以修复被破坏的堆栈。我已经出了一些关于.NET和C++调试的教程,但是大家的要求,我也会再展示一个例子 .net 调试:http://sela.co.il/syl/s...
error MSB4057: 该项目不存在目标“Deploy”
Sven的忘却日记
01-13 2392
使用vs2013创建一个驱动项目时,自动创建对应的解决方案。 然后在驱动的解决方案下面再创建一个控制台项目,调试控制台项目时,弹出窗口 error MSB4057: 该项目不存在目标“Deploy”。 解决办法: 首先把当前项目切换到控制台项目,然后打开配置管理器 把控制台项目,部署下面的对勾取消 再点调试的时候,虽然还是弹一次,直接点第二个按钮就可以调试了 ...
sxe ld 命令
Sven的忘却日记
01-14 2380
有些场景需要使用windbg调试某个dll模块,而这个模块加载时机不是很确定。 通常需要使用sxe ld <dll名称> 来设置一个模块加载异常。当被调试进程加载指定名称的dll时,调试器就会断,后续就可以对该模块的设置一些符号断点了。 那么如何看到我设置的所有sxe断点呢? 在windbg的event filter可以管理设置过的sx系列断点 ...
进程挂靠后使用PsGetCurrentProcessId获取的进程ID不准
Sven的忘却日记
06-01 1796
如题,在使用KeStackAttachProcess挂靠到目标进程后,又调用了一系列子函数,此时并没有把EPROCESS传进去。 PEPROCESS pProcess = NULL; KAPC_STATE apc; NTSTATUS status = PsLookupProcessByProcessId((HANDLE)pid, &pProcess); if (NT_SUCCESS(status)) { KeStackAttachProcess(pProcess, &apc);
RemoveHeadList、RemoveEntryList、RemoveTailList用法
Sven的忘却日记
09-11 1744
Android系统进程管理:进程创建
02-25
对于操作系统来说,进程管理是其最重要的职责之一。考虑到这部分的内容较多,因此会拆分成几篇文章来讲解。本文是进程管理系统文章的第一篇,会讲解Android系统进程创建。本文适合Android平台的应用程序开发者,也适合对于Android系统内部实现感兴趣的读者。Android系统以Linux内核为基础,所以对于进程的管理自然离不开Linux本身提供的机制。例如:1.通过fork来创建进行2.通过信号量来管理进程3.通过proc文件系统来查询和调整进程状态等对于Android来说,进程管理的主要内容包括以下几个部分内容:1.进程创建2.进程的优先级管理3.进程的内存管理4.进程的回收和死亡处

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值