Windows x64内核中修改进程入口点

最新推荐文章于 2022-05-26 20:23:16 发布
最新推荐文章于 2022-05-26 20:23:16 发布
阅读量2.6k 收藏 6
点赞数 1
分类专栏: 逆向 Windows内核 文章标签: windows 7 内核 调试 逆向 线程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/muy/article/details/74451407
版权

  现如今Windows x64已经很普遍了。基于内核驱动,监视进程创建,在进程主线程启动之前修改其入口点以便执行一段自己的代码是十分有用的。本文以Windows 7 x64为基础,对这个问题进行了尝试。

 

0x1 修改的时机

  Windows x64提供了注册回调的方法,PsSetCreateProcessNotifyRoutine/ PsSetCreateProcessNotifyRoutineEx,以使得安全产品开发者可以在进程创建时得到通知。在回调函数中得到新建进程的主线程对象是修改入口点的第一步。

PsSetCreateProcessNotifyRoutineEx回调函数的原型是:

VOID
CreateProcessNotifyEx(
__inout PEPROCESS  Process,
__in HANDLE  ProcessId,
__in_opt PPS_CREATE_NOTIFY_INFO  CreateInfo
);

第一个参数是一个指向新创建的进程对象。通过 _EPROCESS 可以得到该进程目前唯一的一个线程:

0:kd> dt _EPROCESS ThreadListHead
ntdll!_EPROCESS
   +0x300 ThreadListHead : _LIST_ENTRY

  ThreadListHead的Flink指向主线程 _ETHREAD 结构中的 ThreadListEntry的地址:

0:kd> dt _ETHREAD ThreadListEntry
ntdll!_ETHREAD
   +0x420 ThreadListEntry: _LIST_ENTRY

  得到ThreadListEntry地址后即可反推出线程对象的地址,本例中即为

 

ethread = poi(eprocess+0x300) - 0x420

 

  PsSetCreateProcessNotifyRoutine回调函数的原型是:

VOID
(*PCREATE_PROCESS_NOTIFY_ROUTINE)(
    IN HANDLE ParentId,
    IN HANDLE ProcessId,
    IN BOOLEAN Create
    );

  第二个参数是新创建进程ID。可以采用PsLookupProcessByProcessId可以得到进程对象,从而再进一步采用上面的方面获得新进程的主线程对象:

NTSTATUS PsLookupProcessByProcessId(
  _In_  HANDLE ProcessId,
  _Out_ PEPROCESS *Process
);

Windows还提供了通过PsSe

最低0.47元/天 解锁文章
RookieRoll
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
如何进行加花和修改入口
weixin_33841722的博客
01-16 204
因为,杀毒公司知道鸽子的一些特征玛,在内存里找有没有对应的特征玛。来识别对鸽子进行查杀。我们可以找出来它的特征玛来进行修改。使得杀毒工具无法判断这个软件。所以也就对我们的鸽子不报警了。 但是,得知道特征码是个很麻烦的事情。谁都讨厌去弄他们的特征玛。如果大家有兴趣。可以到网上搜索CCL判断特征玛的方法。来进行学习。为什么改特征玛很麻烦呢?是因为每个杀毒软件。对一个病毒的特征玛...
改程序入口地址
Donald_Duck的专栏
11-12 547
#include   using namespace std; #pragma comment(linker, "/entry:/"foo/"")  //设置新的入口地址   int foo() {     cout "hello world!"     return 0; } 
修改pe程序入口
qq_44657899的博客
05-26 1439
固定基址-便于调试 修改入口 程序使用x64dbg打开,可以看到程序基址为140000000 程序的入口为11023,那么在内存,程序入口=基址+偏移量=140000000+11023=140011023 ctrl+G定位到140011023,然后找一个空白处,这里选择1400113B3,修改汇编代码为jmp 0x140011023 右键→补丁→修补文件,保存文件为project2.exe,然后将程序入口修改为00113B3 现在运行project2.exe,可以发现入口已经到了140.
内核入口地址在哪修改_Bypas Apple内核PPL
weixin_39629876的博客
12-06 156
在研究单字节利用技术时,我认为有几种方法在获取内核读/写或攻破PAC之前仅使用一个物理地址映射原语就可能绕过Apple的PPL(Page Protection Layer),考虑到PPL比XNU内核的其他部分拥有更高的权限,在XNU“之前”泄露PPL的想法很有吸引力。但最后,我还是无法想出仅使用物理映射原语来突破PPL的方法。PPL的目标是防止攻击者修改进程的可执行代码或页表,即使是在获取内核读/...
win32 - 线程环境修改
qq726232111的博客
01-06 173
0x00 代码 #include <Windows.h> #include <tchar.h> #include <stdio.h> DWORD WINAPI ThreadProc(_In_ LPVOID lpParameter) { int i = 0; while (1) i++; i--; printf("ThreadProc end : %d\n",i); retu...
C++x64内核保护进程源码_保护进程_x64内核保护进程_进程保护_进程保护c++
08-09
内核 X64保护指定进程源码
Windows内核驱动EPROCESS遍历进程模块
12-14
windows驱动 遍历进程模块
Windows x64内核模块-HelloWorld
07-25
Windows内核安全与驱动开发书的第一个示例程序,在新版本开发环境调试通过,使用Visual Studio 2017加上WDK 1803环境编译。在调试过程,由于x64驱动程序禁止使用嵌入汇编,采用Shellcode方式进行软件断调用,...
Linux内核私闯进程地址空间并修改进程内存的方法
09-14
在Linux系统,每个进程都拥有自己的独立地址空间,这是现代操作系统为了确保数据安全和系统稳定性而采取的重要机制。...在实际应用,我们应该尽量避免直接在内核修改进程内存,除非有严格的控制和必要性。
Linux内核进程
01-09
多任务系统可以分为:非抢占式和抢占式。Linux提供抢占式多任务模式。进程在被抢占之前能够运行的时间叫进程的时间片,Linux的公平调度程序...调度策略通常在两个矛盾寻找平衡:进程响应迅速和大系统利用率。Linux更
【笔记】单步跟踪法与UPX的脱壳理解
weixin_30344995的博客
05-31 296
用PEiD查壳 UPX v0.89.6 - v1.02 / v1.05 - v1.22 这个是入门的壳,只是一个简单的压缩壳用Stud_PE查看PE文件头信息 主要是看一下ImageBase的值 00400000,这是一个16进制数。在后面OD载入后,可以用这个值在内存映像查看PE文件加载到内存后的情况。还有EntryPoint的值: 0000E8C0 程序...
C/C++ 获取线程入口地址模块等
CSDN
07-16 8284
今天检测的特征是向 YY语音 里插入了一段自己的代码(创建了新的线程),而这个新的线程不在原有的模块内,所以思路就是遍历 YY.exe 这个进程的所有线程,如果这个线程没有对应的模块,那么就说明这个线程是可疑的。大多数恶意代码为了隐藏自己的行踪都会附加到某个进程,在这个进程内申请一块内存区域来存放它的代码,毕竟隐藏的再好,代码也要有的,不然你让 CPU 运行什么 …
详解内核list_head结构
happy_6678的专栏
11-01 1093
struct list_head { struct list_head *prev; struct list_head *next; }; 链表的定义与初始化,宏的参数用小括号括起来防止出现扩展异常 #define LIST_HEAD_INIT(name) { &(name), &(name) } #define LIST_HEAD(name) / struct list_head name = LIST_HEAD_INIT(name) #define
_ETHREAD断链 —— 实现线程隐藏
walker的博客
03-08 2232
简介 线程所属的父进程 _EPROCESS 结构体的 ThreadListHead 成员是当前进程所有线程的双向链表头,该成员有两个,分别在 0x50 和 0x190 处。我们可以通过该线程链表头进行线程遍历,也可以通过直接遍历 _ETHREAD 结构体的 ThreadListEntry 成员实现遍历进程的所有线程,ThreadListEntry 分别位于 0x1b0 和 0x22c 处。 我们可以通过 _ETHREAD 的 ThreadListEntry 断链实现线程隐藏。需要注意的是,Threa
Dll注入:x86/X64 SetThreadContext 注入
aijuzhou1959的博客
02-24 472
在《Windows核心编程》第七章说到了线程优先级等知识,其谈到了ThreadContext线程上下背景文。 其介绍了GetThreadContext函数来查看线程内核对象的内部,并获取当前CPU寄存器状态的集合。 BOOL GetThreadContext ( HANDLE hThread, PCONTEXT pContext); 若要调用该函数,只需指...
驱动开发:监控进程线程对象操作
热门推荐
CSDN
06-14 1万+
监控进程对象和线程对象操作,可以使用ObRegisterCallbacks这个内核回调函数,通过回调我们可以实现保护calc.exe进程不被关闭,具体操作从OperationInformation->Object获得进程线程的对象,然后再回调判断是否是计算器,如果是就直接去掉TERMINATE_PROCESS或TERMINATE_THREAD权限即可。 监控进程对象 附上进程监控回调的...
某超级注入程序的驱动逆向
被遗弃的庸才博客
11-05 2421
1、起因 从哥们儿那找到了一个超级注入的工具,打开一看加了vmp,然后还有驱动的驱动,于是这里把驱动提取出来,简单分析一下。 1.1运行 让程序先把驱动释放出来,可以看到这里需要买卡,然后才会释放驱动加载(简单破解一下就行,不是重) 1.2破解之后 下一个CreateServiceA断,让它在加载驱动之前断下,接着将驱动拷贝出来。从下图可以看到虽然驱动有签名,但是个过期签名,高版本windows10上是加载不上的。 2、驱动分析 好消息是驱动没有加壳,可以f5分析一下 2.1W.
vc++ hook 拦截自己进程指定的api函数_自己动手制作一个过保护调试
weixin_39908263的博客
11-26 1018
一、起因第一次接触驱动开发的小白,事情是这样的,一个星期前突发奇想想做一个腻o调试器保护程序用于调试游戏,既然要调试驱动保护的程序,自然也要深入驱动底层做调试器必须要hook api去隐藏调试器的参数 所以就有了今天这篇文章。二、准备的东西第一个版本的调试器保护程序就是今天要说的用到ETW(Event Tracing for Windows)hook 去Hook api 实现隐藏参数...
Windows C语言内核获取进程进程参数
最新发布
05-30
Windows内核获取进程参数可以使用PsGetProcessWow64Process和PsLookupProcessByProcessId函数来实现。 首先,使用PsLookupProcessByProcessId函数获取进程句柄,例如: ``` PEPROCESS process; if (NT_SUCCESS(PsLookupProcessByProcessId(ProcessId, &process))) { // 进程句柄获取成功,可以进行后续操作 } ``` 然后,使用PsGetProcessWow64Process函数获取进程参数,例如: ``` PVOID processParams = PsGetProcessWow64Process(process); ``` 其,processParams指针指向了进程参数的起始地址。可以根据具体需要,进一步解析这些参数。 需要注意的是,PsGetProcessWow64Process只对32位进程有效。对于64位进程,可以使用PsGetProcessPeb函数获取进程环境块(PEB),然后从PEB获取进程参数。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值