挂接CreateProcessW实现对进程创建的完全控制

最新推荐文章于 2022-10-30 23:16:12 发布
最新推荐文章于 2022-10-30 23:16:12 发布
阅读量1.4k 收藏 2
点赞数
文章标签: hook winapi api null windows 文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/446360
版权
SystEm32:这份文档演示了如何实现全局HOOK


<< 挂接CreateProcessW实现对进程创建的完全控制 >>
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
【前言】
【概述】
【copy-on-write】
【三种可行的办法】
<查询CreateProcessW的基址及属性>
<枚举系统中所有进程>
<修改CreateProcessW页属性>
<在进程中分配一块可用空间>
<将代码写入远程进程空间>
<编译器的魔术>
<解决麻烦的定位问题>
【完整演示代码】
【资源】
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
【前言】
写这篇文档的时候由于我足够菜,碰到了不少问题,多谢bkbll,a1rsupply和SobeIt的指点,还有TCH的辛勤劳动,才有这篇文档的诞生,本文中可能存在一些错误,这些错误都是由于我的失误造成的,如果您有什么意见和看法,欢迎来http://www.itaq.org指出,或者E-mail:zf35@citiz.net
【概述】
在服务器上实现对进程创建的控制有很大的意义,通过监控进程的创建,我们可以让被允许运行的进程正确创建,而未被允许的程序则会创建失败,这样就可以防止未知木马,病毒和蠕虫对服务器的威胁。要实现上述目的,必须hook windows创建进程相关的API,根据《inside the windows NT》和《Native API Reference》中记载,加上softIce的实际跟踪,windows创建进程的API调用流程如下:
代码
CreateProcessA-> CreateProcessW-> CreateProcessInternalW->…->最终调用ZwCreateProcess

本文档中我们选用CreateProcessW来实现我们的目的,当然你也可以使用其它几个API。本文档的演示代码稍做改动可应用于任意Ring3函数。
对于hook一个API而言,可使用的办法有很多,本文选用改写函数入口点的办法来实现挂接CreateProcessW,更多的详细资料请参阅SobeIt写的《windows下hook API的几种办法》。

【copy-on-write】
最初试验时,我使用softice的 a CreateProcessW改写函数入口点的代码,F5切换回windows之后发现一切如愿以偿,但是当我编写程序修改CreateProcessW入口点代码时,发现所做的改动仅对本进程有效,而对于系统的其他进程没有产生任何影响。用softice跟踪后发现本进程中CreateProcessW的虚拟地址被映射到了一个新的,与其它进程不同的物理地址上,如果你读过Webcrazy的《copy-on-write机制》一文,就不难看出这是copy-on-write机制产生的影响。对于系统的dll,每个dll都被映射在不同进程的相同的虚拟地址上,而这些虚拟地址又指向相同的物理地址,通过这种机制,系统实现最低的资源消耗.当某个进程试图改写物理内存中的数据时,为了不对其它进程产生影响,系统自动新分配一块物理内存,把原物理内存中的数据复制过去,改写,然后把改写内存的那个进程的虚拟地址重新映射到新的物理内存上去,而其它进程则还是映射在原来的物理内存上,这就是“写时复制技术”(copy-on-write),那么系统是如何判断何时应该使用copy-on-write呢?这是以虚拟地址的PTE来决定的,当PTE中copy-on-write标志被置位时,任何对该虚拟地址的写操作都将导致一个copy-on-write.


【三种可行的办法】
为了实现全局hook,我们不能被copy-on-write机制所限制住,目前我想到了三种办法来达到我们的目的。
1. 通过驱动来修改页表项(PTE)的属性,使CreateProcessW对应的虚拟地址失去copy-on-write的属性,这样在本身进程中对CreateProcessW入口点代码的修改会对系统中所有进程生效,从而实现全局hook。

2. 通过windows本身提供的一个对象//phymem来对物理内存进行直接读写,先定位本身进程的Eprocess(KTEB)(PS:如何在Ring3下定位任意进程的Eprocess请参考我之前写的《获取进程的Eprocess》一文),获得Eprocess之后,可以得到进程的页目录,然后利用//phymem读取存放页目录的物理内存的内容,再模拟操作系统进行虚拟地址->物理内存地址的转换,最终得到CreateProcessW所对应的物理地址,利用//phymem我们避开copy-on-write机制,直接改写CreateProcessW。

3. 通过最常规的手段来达到目的,先枚举系统中所有进程,然后通过VirtualQueryEx,VirtualAllocEx,VirtualProtectEx等函数修改每个进程的页面属性,分配新的空间等。最后将我们的代码用WriteProcessMemory写到各进程的空间中,利用改写CreateProcessW入口为Jmp *******来跳到我们的代码中,改变函数的执行流程。

以上三个办法中,方法1只是一个构想,还没成为现实,有空的话我回去试试看的,当然页欢迎各位高手去实现,然后mail一份代码给我:P方法2我写了一份完整的代码来实现它,但是在本文档中不进行讨论,否则文档会变的很长,我将在另一份文档中专门说明这种办法的具体实现。方法3使本文讨论的重点,下面就方法3进行详细说明。
<查询CreateProcessW的基址及属性>
这里我们使用VirtualQueryEx这个函数,其原型如下:
SIZE_T
VirtualQueryEx
(
HANDLE hProcess,
LPCVOID lpAddress,
PMEMORY_BASIC_INFORMATION lpBuffer,
SIZE_T dwLength
);
参数说明:
HANDLE hProcess 想要查询内存信息的进程句柄
LPCVOID lpAddress 指向想要查询内存区域的指针
PMEMORY_BASIC_INFORMATION lpBuffer 指向MEMORY_BASIC_INFORMATION结构的指针
SIZE_T dwLength lpBuffer的大小

调用这个函数之后,相关的信息存放在lpBuffer指向的结构中


<修改CreateProcessW的页属性>
对于一个页来说,有如下几种属性:
PAGE_EXECUTE
PAGE_EXECUTE_READ
PAGE_EXECUTE_READWRITE
PAGE_EXECUTE_WRITECOPY
PAGE_NOACCESS
PAGE_READONLY
PAGE_READWRITE
PAGE_WRITECOPY


我们通过VirtualProtectEx来修改页的属性:
BOOL
VirtualProtectEx
(
HANDLE hProcess,
LPVOID lpAddress,
SIZE_T dwSize,
DWORD flNewProtect,
PDWORD lpflOldProtect
);
参数说明:
HANDLE hProcess 进程句柄
LPVOID lpAddress 指向想要修改的内存区域的指针
SIZE_T dwSize 修改的内存区域的大小
DWORD flNewProtect 新的页属性
PDWORD lpflOldProtect 指向保存老的页属性的内存的指针

从后面的代码中我们可以看到,为了改写函数入口点代码,我们必须赋予它PAGE_EXECUTE_READWRITE属性。


<在进程中分配可用空间>
光修改函数入口点代码是不够的。我们必须自己编写一段code来接管CreateProcessW的工作,由于进程空间是相互隔离的,为了达到全局hook的目标,我们必须向每个进程索要一块空间来存放我们的代码,这就要用到VirtualAllocEx这个函数了,VirtualAllocEx原型如下:
LPVOID
VirtualAllocEx
(
HANDLE hProcess,
LPVOID lpAddress,
SIZE_T dwSize,
DWORD flAllocationType,
DWORD flProtect
);
参数说明:
HANDLE hProcess 进程句柄
LPVOID lpAddress 指向分配内存区域的指针
SIZE_T dwSize 分配的区域的大小
DWORD flAllocationType 内存类型
DWORD flProtect 新内存的属性

<将代码写入远程进程空间>
我们使用WriteProcessMemory这个函数来向远程进程写入我们的代码和数据,其原型如下:
BOOL
WriteProcessMemory(
HANDLE hProcess,
LPVOID lpBaseAddress,
LPCVOID lpBuffer,
SIZE_T nSize,
SIZE_T* lpNumberOfBytesWritten
);
参数说明:
HANDLE hProcess 进程句柄
LPVOID lpBaseAddress 指向写入地址的指针
LPCVOID lpBuffer 指向写入数据的指针
SIZE_T nSize lpBuffer的大小
SIZE_T* lpNumberOfBytesWritten 实际写入的字节数


<编译器的魔术>
我在使用WriteProcessMemory把我自己写的一个函数JmpToAddress的内容写入远程进程空间时,发现无论我的JmpToAddress的内容是什么,写入空间的都是E9****这几个字节,这令我非常困惑,从机器码来看,这是一条相对跳转指令。那么它又是从何而来呢,为了搞清楚这个问题,我用VC调试了一下,在watch窗口中输入JmpToAddress,显示出JmpToAddress的虚拟地址0x00410XXX,然后打开memory窗口,查看这段内存中存放的内容,发现确实是JmpToAddress的代码,这就奇怪了,那神秘的E9****是从何而来呢,于是我请教了a1rsupply,他告诉我VC的调试版本会生成跳转表,这下真相大白,原来是编译器玩的魔术。

为了向远程进程正确写入代码,我们必须自己计算真正的函数地址,下面我写了一段代码来计算真正的函数地址:
__asm
{
pushad
lea eax,JmpToAddress
mov ecx,JmpToAddress
shr ecx,8
add eax,ecx
add eax,5
mov JmpAfterCalc,eax
popad
}

<解决麻烦的定位问题>
在编写代码的过程中,我遇到的另一个较大的问题就是如何定位地址。我编写的JmpToAddress()函数如下:
void __declspec(naked) JmpToAddress(void)
{
__asm jmp [HookedAddr]
}
在本地进程中这句代码没什么问题,但是当它被写入远端进程后便会产生种种问题,我们来看看它的汇编代码,如下
jmp [00401Cxxx]
我们注意到本进程中这个虚拟地址里存放的是HookedAddr的地址,但是在远程进程中,这个地址指向的是别的什么东西,jmp过去会产生不可预料的结果,为了实现正确的行为,我们先用WriteProcessMemory向远程进程写入HookedAddr的内容,然后用一个相对地址引用它
void __declspec(naked) JmpAddress(void)
{
__asm call flag
flag:
__asm pop eax
__asm add eax,0x0e
__asm mov ebx,[eax]
__asm jmp ebx
}
pop eax后,eax里面存放的就是本条指令的虚拟的地址,加上一个固定值后,[eax]就是我们通过WriteProcessMemory写入的数据。
代码
【完整演示代码】
/******************************************************************
*Author:                                                         *
*  [I.T.S]SystEm32                                   *
*Module Name                                                     *
*  Hook_Api_1.cpp                                    *
*Abstract:                                                       *
*  This Code Show the Method of Hooking Win32 API    *
*Environment:                                                    *
*  User Mode - Win32                                 *
*Revision History:                                               *
*  2004-9-20                                         *
*express My thanks to:                                           *
*  Bkbll,A1rsupp1y,SoBeIt and TCH                    *
*Our HomePage:                                                   *
*  http://www.itaq.org                           *
******************************************************************/

#include <windows.h>
#include <stdio.h>
#include "psapi.h"

#pragma comment(lib,"psapi.lib")

#define NTAPIADDR FARPROC
#define K_MODULE "kernel32.dll"
#define HOOK_API "CreateProcessW"

HMODULE  hKernel32  = GetModuleHandle(K_MODULE);
NTAPIADDR pCreateProcessW = GetProcAddress(hKernel32,HOOK_API);
LPVOID  HookedAddr  = NULL;


void __declspec(naked) RealExecute(void)
{
/*You can add your own Hooked CreateProcessW function here*/
__asm ret 0x28
}

void __declspec(naked) JmpToAddress(void)
{
__asm call flag
flag:
__asm pop  eax
__asm add  eax,0x0e
__asm   mov  ebx,[eax]
__asm jmp  ebx
}

BOOL WINAPI GetDebugPrivilege(void);
BOOL WINAPI InsertHook(DWORD ProcessID);

void main(void)
{
DWORD ProcessList[80],ProcessNUM;

EnumProcesses(ProcessList,sizeof(ProcessList),&ProcessNUM);

ProcessNUM/=sizeof(DWORD);

printf("Current process num is %d/n/r",ProcessNUM);
//printf("%08x/n/r",(LPVOID)RealExecute);

GetDebugPrivilege();

//step over the 0 process
for(DWORD Count=1;Count<ProcessNUM;Count++)
{
 InsertHook(ProcessList[Count]);
}

Sleep(2000);
return;
}

BOOL WINAPI GetDebugPrivilege(void)
{
HANDLE    hToken,hProcess;
TOKEN_PRIVILEGES tp;
char *pSEDEBUG = "SeDebugPrivilege";

hProcess = GetCurrentProcess();
OpenProcessToken(hProcess,TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY,&hToken);
LookupPrivilegeValue(NULL,pSEDEBUG,&tp.Privileges[0].Luid);
tp.PrivilegeCount   = 1;
tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
AdjustTokenPrivileges(hToken,FALSE,&tp,NULL,NULL,NULL);
return 0;
}

BOOL WINAPI InsertHook(DWORD ProcessID)
{
MEMORY_BASIC_INFORMATION MBI;
HANDLE      hProcess;
LPVOID      RealAfterCalc,JmpAfterCalc;

int cb=sizeof(TCHAR)*4*1024;

//only for test
//if(1860 != ProcessID) goto end;

printf("PID is %d/n/r",ProcessID);

hProcess = OpenProcess(PROCESS_ALL_ACCESS,FALSE,ProcessID);

if(NULL == hProcess)
{
 printf("failed!/n/r");
 goto end;
}
//calculate the real address of RealExecute
__asm
{
 pushad
 lea eax,RealExecute
 mov ecx,RealExecute
 shr ecx,8
 add eax,ecx
 add eax,5
 mov RealAfterCalc,eax
 popad
}
//calculate the real address of JmpToAddress
__asm
{
 pushad
 lea eax,JmpToAddress
 mov ecx,JmpToAddress
 shr ecx,8
 add eax,ecx
 add eax,5
 mov JmpAfterCalc,eax
 popad
}

//Alloc some memory in the process
HookedAddr = VirtualAllocEx(hProcess,NULL,cb,MEM_COMMIT,PAGE_EXECUTE_READWRITE);

if(0 == WriteProcessMemory(hProcess,HookedAddr,RealAfterCalc,5,NULL))
 printf("WriteProcessMemory failed!/n/r");

VirtualQueryEx(hProcess,(LPVOID*)pCreateProcessW,&MBI,sizeof(MBI));
VirtualProtectEx(hProcess,MBI.BaseAddress,MBI.RegionSize,PAGE_EXECUTE_READWRITE,&MBI.Protect);

printf("HookedAddr is 0x%08x/n/r",HookedAddr);
WriteProcessMemory(hProcess,pCreateProcessW,JmpAfterCalc,0x0e,NULL);
WriteProcessMemory(hProcess,(char*)pCreateProcessW+0x13,&HookedAddr,4,NULL);

end:
return 0;
}
iiprogram
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
hook CreateProcessInternal
07-02
利用inline hook技术钩CreateProcessInternal,win7 32/64代码均有
Win10 Hook 进程创建的研究
myjisgreat的专栏
11-21 8143
Win7甚至在它之前开始,想要hook进程创建已经不能简单的HookCreateProcessInternalW这一个函数了,因为Vista开始引入了UAC机制。如果一个进程想要通过UAC弹窗创建管理员进程,hook这个进程的CreateProcessInternalW已经不起作用,我在几年前的博文《Win7/VistaHook CreateProcess 的特别之处》(http://blog
注意CreateProcessW函数
ITLionWoo的专栏
04-11 6307
看下面这个代码有什么问题:  #define PROCESS_NAME _T(“C://Windows/NotePad.ext”)      if (!CreateProcessW(NULL, PROCESS_NAME, NULL, NULL, FALSE, 0, NULL, NULL, &startupInfo, &processInformation))  这里的问
通过Hook ZwCreateProcess获取进程全路径(缓存问题解决方案)
博客模版
06-01 2543
环境:WinXP 我们在拦截进程启动时,会去拦截ZwCreateProcess函数,然后在中间获取启动进程的了全路径,判断进程是否合法。 首先看下ZwCreateProcess函数的原型如下: 其中我们主要是利用SectionHandle参数,通过ObReferenceObjectByHandle获取文件对象,然后再利用ObQueryNameString函数进行刷新文件名缓存
MS的detours库 API hook
ClassFree(自由魔方)的Blog
04-01 2889
#include "stdafx.h"#include "detours.h"#include stdio.h>#pragma comment(lib, "detours.lib")WCHAR    s_wzDllPath[256];char    s_szDllPath[256];    extern "C"...{DETOUR_TRAMPOLINE(BOOL WINAPI Real_Cre
易语言-APIHOOK拦截指定进程创建进程
06-25
在易语言编程环境中,我们可以利用APIHOOK技术来实现对指定进程创建进程的拦截。易语言,作为一款中国本土开发的编程语言,以其简单易学的语法特性,使得即使是初学者也能快速掌握API Hook的基本原理和应用。 API...
APIHOOK拦截指定进程创建进程-易语言
06-12
在易语言这个中文编程环境中,APIHOOK的实现能够帮助开发者深入理解系统调用的工作原理,并实现对特定进程控制。本文将详细讲解如何使用易语言实现APIHOOK拦截指定进程创建进程的功能。 首先,我们需要了解API ...
易语言-易语言隐藏进程模块
06-29
这些API函数包括但不限于`CreateProcessA`或`CreateProcessW`用于创建新的进程,`GetModuleHandle`获取模块句柄,`WriteProcessMemory`向目标进程的内存写入数据,以及`SetProcessWindowStyle`改变进程窗口样式使其...
IATHookTest.zip
01-08
本实例是关于如何利用IAT Hook在程序启动时进行拦截,具体针对`CreateProcessW`函数,以实现对`explorer.exe`进程控制。`IATHookTest.zip`包含了一个示例程序,它演示了这个过程。 首先,我们需要了解IAT Hook的...
易语言源码隐藏进程模块(1).7z
04-08
易语言不包含直隐藏进程的功能,所以需要通过导入操作系统API,如Windows API中的`CreateProcessA`或`CreateProcessW`函数来创建进程,并使用`SetProcessWindowStation`和`SetProcessDesktop`来控制进程的窗口属性...
CreateProcess中文详解.txt
02-29
CreateProcess 说明: WIN32API函数CreateProcess用来创建一个新的进程和它的主线程,这个新进程运行指定的可执行文件。
【并发编程二】c++创建进程CreateProcess()
junxuezheng的博客
10-30 7775
CreatProcess()需要若干参数来指定新进程的运行方式,但实际使用中多半参数都是用不到的,可以设置为NULL。int main(int argc, char*argv[])_argc 是整型变量,argv 是指向字符串的指针数组。进程相关的API
进程创建
qq_36314864的博客
11-10 9367
进程(Process)和线程(Thread) 进程通常被定义为一个正在运行的程序的实例。简单来说,磁盘上的可执行文件被载入内存执行之后,就变成“进程”了。在 SDK 文档中有关于进程的更精确的描述: 进程是一个正在运行的程序,它拥有自己的虚拟地址空间,拥有自己的代码、数据和其 他系统资源,如进程创建的文件、管道、同步对象等。一个进程也包含了一个或者多个运行在 此进程内的线程。 虽然程序和进程在表面上很相似,但是它们有着根本的区别。程序是一连串静态的指令,而进程是一个容器,它包含了一系列运行在这个程序实例上下
Hook CreateProcess
weixin_30616969的博客
08-19 1089
6种比较常用的运行(执行)程序的方法: 包括WinExec、ShellExecute、CreateProcess、CreateProcessAsUser、CreateProcessWithLogonW、CreateProcessWithTokenW 要在r3层hook程序的运行,需要用到上述api CreateProcessAsUser win7用 CreatePr...
CreateProcess函数详解
weixin_30689307的博客
02-22 1154
CreateProcess说明:WIN32API函数CreateProcess用来创建一个新的进程和它的主线程,这个新进程运行指定的可执行文件。 函数原型:BOOL CreateProcess( LPCTSTR lpApplicationName, LPTSTR lpCommandLine, LPSECURITY_ATTRIBUTES lpP...
CreateProcess()函数
weixin_45918830的博客
08-09 5928
调用原理 当调用CreateProcess()函数时,系统所做的工作: 系统创建一个进程内核对象,初始使用计数为1;(进程内核对象并不代表进程本身,而是操作系统用来管理这个进程的一个数据结构) 系统为新进程创建一个虚拟地址空间,并且将可执行文件的代码及数据加载到进程的地址空间; 系统为新进程创建一个主线程内核对象,使用计数为1;(线程内核对象是操作系统用来管理线程的数据结构) 注释:内核对象 头文件 #include <windows> CreateProcess()函数原型 BOOL C
整理CreateProcessW
weixin_30455067的博客
01-21 378
前言: 经过好几次对CreateProcess的学习,之前总是学到一半就放弃,学一半就放弃,这次总算坚持了下来 -、-。 这次学习主要参考三个资料: 1.Windows2000源代码 2.毛德操老师的《Windows内核情景分析》 3.一个大佬的博客:https://bbs.pediy.com/thread-114611.htm 三个资料讲的大体相同,但是有些许差别,有不同我主要都是按...
注入Explorer.exe 并Hook CreateProcessW (MinHook库)
Care
01-21 3260
记录下学习的经历.. win10系统 被某杀毒给钩了.. 直用虚拟机来操作 // dllmain.cpp : 定义 DLL 应用程序的入口点。 #include "stdafx.h" #include #include "MinHook.h" #include #if defined _M_X64 #pragma comment(lib, "libMinHoo
C:\Users\Administrator>scrcpy scrcpy 2.4 <https://github.com/Genymobile/scrcpy> ERROR: CreateProcessW() error 5
最新发布
06-23
当你在命令行中尝试运行`scrcpy`命令,但是收到了错误提示"ERROR: CreateProcessW() error 5",这通常表示Windows系统无法成功启动`scrcpy`程序。这个错误代码5(0x5)对应于`Access is denied`(访问被拒绝),这...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值