在ntdll.dll中找到NtCreateProcess(***)

已于 2022-01-21 13:46:51 修改
阅读量792 收藏 2
点赞数 2
分类专栏: windows inners 文章标签: pe windows
于 2019-03-17 21:09:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pureman_mega/article/details/88626705
版权 
const WCHAR SourceString[]=L"\\SystemRoot\\system32\\ntdll.dll";
char  aNtCreateProcess[]="NtCreateProcess";
void op_ntdll()
{
	NTSTATUS                status=STATUS_SUCCESS;
	IMAGE_NT_HEADERS32      nt_headers;      //var_1e4
	char                    name[0x32];
	IMAGE_SECTION_HEADER    section_header;  //var_b8
	IMAGE_EXPORT_DIRECTORY  image_export;    //var_90
	UNICODE_STRING          DestinationString;
	OBJECT_ATTRIBUTES       ObjectAttributes;
	ULONG                   AddressOfName;
	ULONG                   file_AddressOfFunctions;
	ULONG                   file_AddressOfNameOrdinals;
	ULONG                   file_AddressOfNames;
	IO_STATUS_BLOCK         IoStatusBlock;
	ULONG                   Buffer=0;//initialize before use
        HANDLE                  FileHandle;
	LARGE_INTEGER           ByteOffset;
	ULONG                   i;
	
	RtlInitUnicodeString(&DestinationString,SourceString);
	ObjectAttributes.ObjectName=&DestinationString;
	ObjectAttributes.Length=0x18;
	ObjectAttributes.RootDirectory=NULL;
	ObjectAttributes.Attributes=0x240;
	ObjectAttributes.SecurityDescriptor=NULL;
	ObjectAttributes.SecurityQualityOfService=NULL;
    status=ZwOpenFile(&FileHandle,GENERIC_READ,&ObjectAttributes,&IoStatusBlock,FILE_SHARE_READ,0x20);
	if(status==STATUS_SUCCESS)
	{
		KdPrint(("open file %wZ successfully!e\n",&DestinationString));
		ByteOffset.LowPart=0x3c;
		ByteOffset.HighPart=0;
		ZwReadFile(FileHandle,NULL,NULL,NULL,&IoStatusBlock,&Buffer,2,&ByteOffset,0);
		KdPrint(("file_3c is 0x%08x\n",Buffer));
		ByteOffset.LowPart=Buffer;
        ZwReadFile(FileHandle,NULL,NULL,NULL,&IoStatusBlock,&nt_headers,0xf8,&ByteOffset,0);
		KdPrint(("PE mark--->0x%08x\n",nt_headers.Signature));
		if(nt_headers.Signature==IMAGE_NT_SIGNATURE)
		{
			Buffer+=0xf8;
			if(nt_headers.FileHeader.NumberOfSections)
			{
				KdPrint(("ntdll.dll has 0x%x sections.\n",nt_headers.FileHeader.NumberOfSections));
				do
				{
					ByteOffset.LowPart=Buffer;
					ByteOffset.HighPart=0;
					ZwReadFile(FileHandle,NULL,NULL,NULL,&IoStatusBlock,&section_header,IMAGE_SIZEOF_SECTION_HEADER,&ByteOffset,0);
					KdPrint(("VirtualAddress of image export is 0x%08x\n",nt_headers.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress));
                    if(nt_headers.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress>=section_header.VirtualAddress)
					{
						if(nt_headers.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress<section_header.VirtualAddress+section_header.Misc.VirtualSize)
						{
							KdPrint(("the export table is located in %s.\n",section_header.Name));
                            ByteOffset.LowPart=nt_headers.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress-section_header.VirtualAddress+section_header.PointerToRawData;
                            ZwReadFile(FileHandle,NULL,NULL,NULL,&IoStatusBlock,&image_export,IMAGE_EXPORT_DIRECTORY_SIZE,&ByteOffset,0);
                            KdPrint(("image_export.NumberOfFunctions is 0x%x\n",image_export.NumberOfFunctions));
							file_AddressOfNames=image_export.AddressOfNames-section_header.VirtualAddress+section_header.PointerToRawData;
							file_AddressOfFunctions=image_export.AddressOfFunctions-section_header.VirtualAddress+section_header.PointerToRawData;
							file_AddressOfNameOrdinals=image_export.AddressOfNameOrdinals-section_header.VirtualAddress+section_header.PointerToRawData;
							if(image_export.NumberOfNames)
							{
								i=image_export.NumberOfNames;
								do
								{
							    	ByteOffset.LowPart=file_AddressOfNames;
							    	ZwReadFile(FileHandle,NULL,NULL,NULL,&IoStatusBlock,&AddressOfName,4,&ByteOffset,0);
							    	AddressOfName=AddressOfName-section_header.VirtualAddress+section_header.PointerToRawData;
							    	ByteOffset.LowPart=AddressOfName;
							    	ZwReadFile(FileHandle,NULL,NULL,NULL,&IoStatusBlock,name,0x32,&ByteOffset,0);
						         	//	KdPrint(("func name is %s\n",name));
							    	if(0==ansi_string_compare(aNtCreateProcess,name,ansi_string_length(aNtCreateProcess)))
									KdPrint(("NtCreateProcess is found!\n"));
							    	file_AddressOfNames+=0x4;
								}while(--i);
							}
							break;
						}
					}
					else
					{
						Buffer+=IMAGE_SIZEOF_SECTION_HEADER;
					}
				}while(--nt_headers.FileHeader.NumberOfSections);
			}
		}
		ZwClose(FileHandle);
	}
	else
	{
		KdPrint(("error:0x%08x\n",status));
	}

}

ULONG ansi_string_compare(char *stra,char *strb,ULONG Length)
{
	if(strb!=NULL&&Length)
	{
		if(Length==ansi_string_length(strb))
		{
	    	do
			{
		    	if(*stra!=*strb)
			    	break;
		    	stra++;
		    	strb++;
		    	Length--;
			}while(Length);
		}
	}
	return Length;
}

ULONG ansi_string_length(char *str)
{
	int length=0;
	if(str!=NULL)
	{
		while(*str&&length<0x100)

		{
			length++;
			str++;
		}
	}
	return length;
}

pe练习本

//从文件解析导入表,支持32/64pe

void op_ntdll()
{
	NTSTATUS                status = STATUS_SUCCESS;
	IMAGE_NT_HEADERS64      NtHeaders64;      //var_1e4
	IMAGE_NT_HEADERS32      NtHeaders32;
	DWORD              Signature = 0;//image_nt_headers Signature
	IMAGE_FILE_HEADER  FileHeader = { 0 };
	DWORD              NtHeadersSize = 0;
	DWORD              ExportDirVA = 0;
	char                    name[0x32];
	IMAGE_SECTION_HEADER    section_header;  //var_b8
	IMAGE_EXPORT_DIRECTORY  image_export;    //var_90
	UNICODE_STRING          DestinationString;
	OBJECT_ATTRIBUTES       ObjectAttributes;
	ULONG                   AddressOfName;
	ULONG                   file_AddressOfFunctions;
	ULONG                   file_AddressOfNameOrdinals;
	ULONG                   file_AddressOfNames;
	IO_STATUS_BLOCK         IoStatusBlock;
	ULONG                   AddressOfNewExe = 0;//initialize before use
	HANDLE                  FileHandle;
	LARGE_INTEGER           ByteOffset;
	ULONG                   i;

	RtlInitUnicodeString(&DestinationString, SourceString);
	ObjectAttributes.ObjectName = &DestinationString;
	ObjectAttributes.Length = sizeof(OBJECT_ATTRIBUTES);
	ObjectAttributes.RootDirectory = NULL;
	ObjectAttributes.Attributes = 0x240;
	ObjectAttributes.SecurityDescriptor = NULL;
	ObjectAttributes.SecurityQualityOfService = NULL;

	FileHandle=CreateFileW(SourceString, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
	if (FileHandle)
	{
		printf("open file %wZ successfully!e\n", &DestinationString);
		ByteOffset.LowPart = 0x3c;//get e_lfanew
		ByteOffset.HighPart = 0;
		NtReadFile(FileHandle, NULL, NULL, NULL, &IoStatusBlock, &AddressOfNewExe, 2, &ByteOffset, 0);
		printf("file_3c is 0x%08x\n", AddressOfNewExe);

		ByteOffset.LowPart = AddressOfNewExe;
		NtReadFile(FileHandle, NULL, NULL, NULL, &IoStatusBlock, &Signature, 0x4, &ByteOffset, 0);
		printf("PE mark--->0x%08x\n", Signature);
		if (Signature != IMAGE_NT_SIGNATURE)
			return;

		ByteOffset.LowPart = AddressOfNewExe+4;
		NtReadFile(FileHandle, NULL, NULL, NULL, &IoStatusBlock, &FileHeader, sizeof(IMAGE_FILE_HEADER), &ByteOffset, 0);
		if (FileHeader.NumberOfSections)
		{
			printf("ntdll.dll has 0x%x sections.\n", FileHeader.NumberOfSections);
		}
		else
		{
			return;
		}
		//the difference between pe32 and pe64 is the optional header
		//
		//under pe32,address length is 4
		//
		//under pe64,address length is 8
		//
		if (FileHeader.Machine == IMAGE_FILE_MACHINE_I386)
		{
			printf("FileHeader.Machine:0x%x,it is a pe32.\n",FileHeader.Machine);
			NtHeadersSize = sizeof(IMAGE_NT_HEADERS32);

			ByteOffset.LowPart = AddressOfNewExe;
			NtReadFile(FileHandle, NULL, NULL, NULL, &IoStatusBlock, &NtHeaders32, NtHeadersSize, &ByteOffset, 0);

			ExportDirVA = NtHeaders32.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress;
		}
		else if (FileHeader.Machine == IMAGE_FILE_MACHINE_AMD64)
		{
			printf("FileHeader.Machine:0x%x,it is a pe64.\n", FileHeader.Machine);
			NtHeadersSize = sizeof(IMAGE_NT_HEADERS64);
			ByteOffset.LowPart = AddressOfNewExe;
			NtReadFile(FileHandle, NULL, NULL, NULL, &IoStatusBlock,&NtHeaders64, NtHeadersSize, &ByteOffset, 0);


			ExportDirVA = NtHeaders64.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress;
		}
		else
		{
			printf("unknown file format!\n");
			return;
		}

		printf("VirtualAddress of image export is 0x%08x\n", ExportDirVA);
		do
		{
			ByteOffset.LowPart = AddressOfNewExe+NtHeadersSize;
			ByteOffset.HighPart = 0;
			//read section header
			NtReadFile(FileHandle, NULL, NULL, NULL, &IoStatusBlock, &section_header, IMAGE_SIZEOF_SECTION_HEADER, &ByteOffset, 0);
			printf("section name:%s\n", section_header.Name);
				    
			if (ExportDirVA >= section_header.VirtualAddress)
			{
				if (ExportDirVA < section_header.VirtualAddress + section_header.Misc.VirtualSize)
				{
				    printf("the export table is located in %s.\n", section_header.Name);
					ByteOffset.LowPart = ExportDirVA - section_header.VirtualAddress + section_header.PointerToRawData;
					//read export dir
					NtReadFile(FileHandle, NULL, NULL, NULL, &IoStatusBlock, &image_export, sizeof(IMAGE_EXPORT_DIRECTORY), &ByteOffset, 0);
                    printf("image_export.NumberOfFunctions is 0x%x\n", image_export.NumberOfFunctions);

					//here it reads the raw data from the file not in the memory
					//
					//first get the names's offset in the raw data
					//
					//second read the raw data from file
					//
					//
					file_AddressOfNames = image_export.AddressOfNames - section_header.VirtualAddress + section_header.PointerToRawData;
					file_AddressOfFunctions = image_export.AddressOfFunctions - section_header.VirtualAddress + section_header.PointerToRawData;
					file_AddressOfNameOrdinals = image_export.AddressOfNameOrdinals - section_header.VirtualAddress + section_header.PointerToRawData;
					if (image_export.NumberOfNames)
					{
						i = image_export.NumberOfNames;
						do
						{
							ByteOffset.LowPart = file_AddressOfNames;
							NtReadFile(FileHandle, NULL, NULL, NULL, &IoStatusBlock, &AddressOfName, 4, &ByteOffset, 0);
							AddressOfName = AddressOfName - section_header.VirtualAddress + section_header.PointerToRawData;
							ByteOffset.LowPart = AddressOfName;
							NtReadFile(FileHandle, NULL, NULL, NULL, &IoStatusBlock, name, 0x32, &ByteOffset, 0);
							//printf("func name is %s\n",name);
							if (0 == ansi_string_compare(aNtCreateProcess, name, ansi_string_length(aNtCreateProcess)))
									printf("%s is found!\n",name);
							if (0x3B1B637B == loop_right_move((byte*)name, 0xd))
							{
								printf("name:%s\n", name);
							}
							file_AddressOfNames += 0x4;
						} while (--i);
					}
					break;
				}
			}
			AddressOfNewExe += IMAGE_SIZEOF_SECTION_HEADER;
		} while (--FileHeader.NumberOfSections);
		NtClose(FileHandle);
	}
	else
	{
		printf("CreateFileW fails,error:0x%08x\n", GetLastError());
	}
}

pureman_mega
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ntdll.dll学习总结
bcbobo21cn的专栏
10-16 1万+
ntdll.dll ntdll.dll描述了windows本地NTAPI的接口。是重要的Windows NT内核级文件。当Windows启动时,ntdll.dll就 驻留在内存特定的写保护区域,使别的程序无法占用这个内存区域。[1]  文名 ntdll.dll 外文名 NT Layer DLL 版    本 6.3.9600.17736 系统DLL文件 是 属    于 Wind
思路:如何跳过CreateProcess调用底层创建进程函数
享受开发,颠倒银河
10-28 6088
论坛近日有人在问如何跳过CreateProcess调用底层的NtCreateProcess。 我想说的是不能单纯看这个问题,首先不同NT内核版本CreateProcess进入 底层的路径是不同的: 2k ->NtCreateProcess xp ->NtCreateProcessEx vista/win7/2008 ->NtCreateUserProcess 拿wi
NT.dll
锄禾日当午
11-29 1722
打开NTDLL.dll,惊奇的发现原来CRT的许多基本函数居然都是在这里实现的!甚至包括qsort,ceil这样的函数,还有臭名昭著的 strcpy(严格来讲,这只能怪使用者不当心)。堆的释放,进城管理,似乎都是在这。于是,我决定,仔细察看以下它,这1410个函数是做什么的.   用户模式的代码在调用系统内核函数的时候,首先把一个叫做system call number的数放在EAX,把参数放
Windows内核--CreateProcess到内核NtCreateProcess(2.3)
编程语言技巧经验分享
11-19 1563
应用程序调用CreateProcess到内核执行NtCreateProcess究竟做了什么?
进程创建过程分析NtCreateProcess-NtCreateProcessEx-PspCreateProcess
xrzh8989的专栏
04-04 3504
转自 http://www.blogfshare.com/createprocess-analyse.html  进程创建过程分析NtCreateProcess-NtCreateProcessEx-PspCreateProcess AloneMonkey 2014年7月26日 0 在内核windows创建一个进程的过程是从NtCreateProce
关于Windows创建进程的过程
aijuzhou1959的博客
03-11 673
之前有听到别人的面试题是问系统创建进程的具体过程是什么,首先想到的是CreateProcess,但是对于具体过程却不是很清楚,今天整理一下。 从操作系统的角度来说 创建进程步骤: 1.申请进程块 2.为进程分配内存资源 3.初始化进程块 4.将进程块链入就绪队列 课本上的知识。。。 从CreateProce...
解决VS2019 ntdll.dll下载符号失败的问题
09-28
VS2019运行UWP时,出现ntdll.dll下载符号失败问题,通过本文操作,可以解决这个问题,并且加速了调试程序速度。
20201130__NTDLL.DLL.v1.zip
12-01
Windows XP和2003 Server操作系统NTDLL.DLL扮演着至关重要的角色,它是用户模式和内核模式之间通信的桥梁。然而,在特定版本的源代码,20201130__NTDLL.DLL.v1.zip文件的缺失,可能对开发者和系统维护者的...
Delphi出现与ntdll.dll错误
04-28
使用Delphi编译到最后Linking时,总是出现与ntdll.dll有关的错误,还有[Fatal Error] Out of memory错误.txt
Call_Ntdll_API.rar如何才能调用Native API即ntdll.dll
08-06
本篇文章将详细讲解如何在VC++环境调用ntdll.dll的Native API。 首先,我们需要理解VC++如何导入动态链接库(DLL)。在Windows下,通常有两种方式来调用DLL的函数:隐式链接和显式链接。对于ntdll.dll这样的...
Windows系统如何获取系统的启动时间.NTDLL.DLL有很多鲜为人知的API函数,这些函数非常有用
03-20
本文将详细介绍如何利用NTDLL.DLL的API来获取系统启动时间。 首先,我们要了解NTDLL.DLL的关键API之一——`ZwQuerySystemInformation`。这个函数允许我们查询各种关于系统的信息,包括启动时间。它的原型如下:...
NtCreateUserProcess 初探与玩法
最新发布
stopys6的博客
09-13 255
/要注意的是我们每添加一个新属性,都需要将PS_ATTRIBUTE增大,因为调用RtlAllocateHeap要为PS_ATTRIBUTE分配足够的内存空间最后NtCreateUserProcess其实很多CreateProcess的项目,就比如ppid也有用CreateProcess写的,都可以加以改变改成用NtCreateUserProcess操作的,就可以把一个很简单的被查杀CreateProcess进行一个免杀保护了。(当然也不是都能改的具体情况具体分析)
CreateProcess函数详解(转)
weixin_30548917的博客
12-01 1357
1.函数说明: WIN32API函数CreateProcess用来创建一个新的进程和它的主线程,这个新进程运行指定的可执行文件。 2.函数原型:BOOL CreateProcess( LPCTSTR lpApplicationName, LPTSTR lpCommandLine, LPSECURITY_ATTRIBUTES lpProcessA...
通过HOOK控制进程的创建
jiangxinyu的专栏
01-29 4648
一、 简介  最近,我了解到一个叫做Sanctuary的相当有趣的安全产品。它能够阻止任何程序的运行-这些程序没有显示在软件列表-该表的程序被允许在一个特定的机器上运行。结果,PC用户得到保护而免于各种插件间谍软件、蠕虫和特洛伊木马的侵袭-就算能够进入他/她的计算机,它们也没有机会执行,并因此没有机会对该机器造成任何损害。当然,我觉得这个特征相当有趣;并且,在稍作思考以后,我就有了一个自己
未加载ntdll.dll符号导致调用栈信息丢失
ani_di的专栏
06-26 1万+
近日,在调试某一dump文件时,指定并load了自己dll的pdb文件,但是仍然没能看到相应的调用栈信息。崩溃线程显示的调用栈如下         ntdll.dll的符号没有找到,但为什么它要间隔开,后面又显示ntdll.dll?当时没有在意,偶然间,在另一台机器通过windbg调试,没想到显示了完整的调用栈,逐怀疑就ntdll.dll的符号引起的,因为windbg有自动连接到微软的符号
DLL注入技术
热门推荐
chenyujing1234的专栏
08-13 1万+
转载自: http://hi.baidu.com/xwind85/blog/item/ae5332ad04bb7f034a36d662.html 一、DLL注入技术的用途 DLL注入技术的用途是很广泛的,这主要体现在: 1、假如你要操纵的对象涉及的数据不在进程内; 2、你想对目标进程的函数进行拦截(甚至API函数,嘿嘿,由此编写个拦截timeGettime的过程,变速齿轮不就出来了么
通过反汇编ntdll.dll可以通过汇编代码重写ntdll.dll的api吗
07-14
在尝试重写ntdll.dll的API之前,需要明确以下几点: 1. 法律和授权:修改和重写操作系统核心组件的行为可能是违法的。确保你具备合法的授权或许可,并遵守相关的法律和规定。 2. 系统稳定性和安全性:修改核心...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值