[内核安全7]内核级的进程的监控

于 2021-02-17 22:42:43 发布
阅读量902 收藏 1
点赞数
分类专栏: Windows系统编程 病毒技术 文章标签: Windows内核 PsSetCreateProcessNotifyRoutine 进程监控 回调函数 完整性签名
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37232329/article/details/113837999
版权
本文介绍了如何利用Windows内核API PsSetCreateProcessNotifyRoutine及其扩展版PsSetCreateProcessNotifyRoutineEx来监控进程创建和退出。详细讲解了这两个函数的使用方法,包括回调函数的定义、参数解析以及示例代码。通过示例展示了如何阻止特定进程(如cmd.exe)的创建。文章适合对Windows内核编程感兴趣的读者。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0. 导言

进程的监控可以通过挂钩SSDT表中的NtOpenProcess来实现,但是现在这种方式已经不怎么用了,因为不稳定在者可能会被认为是恶意软件。微软知道这个问题所以为我们提供了专门的内核接口来实现这种功能。

1. PsSetCreateProcessNotifyRoutine

通过PsSetCreateProcessNotifyRoutine来监控进程, 该内核函数有个升级版PsSetCreateProcessNotifyRoutineEx。这个升级版功能更强大但只能在Vista版本以后使用,并且要有签名完整性检查,也就是必须要有数字签名机制才能使用, 虽然这也有破解的办法。PsSetCreateProcessNotifyRoutine没有这种限制。

来查看一下PsSetCreateProcessNotifyRoutine的文档:

第一个参数NotifyRoutine的类型PCREATE_PROCESS_NOTIFY_ROUTINE属于函数指针类型,其是一个回调函数。当有新进程调用或者终止都会调用该回调。

第二个参数是一个布尔值,代表是否移除或者设置对应回调函数。

#include <ntifs.h>
#include <ntddk.h>
#include <windef.h>

// 未导出,先声明
UCHAR *PsGetProcessImageFileName(PEPROCESS Process);

void PcreateProcessNotifyRoutine(
	HANDLE ParentId,
	HANDLE ProcessId,
	BOOLEAN Create
	)
{
	PEPROCESS pPEProcess = NULL;

	// 通过PID获取指向EPRPOCESS结构的指针
	PsLookupProcessByProcessId(ProcessId, &pPEProcess);
	if (Create)
	{
		DbgPrint("有进程创建: %s, PID: %d, PPID: %d\n", PsGetProcessImageFileName(pPEProcess), ProcessId, ParentId);
	}
	else
	{
		DbgPrint("有进程退出: %s, PID: %d, PPID: %d\n", PsGetProcessImageFileName(pPEProcess), ProcessId, ParentId);
	}
}

VOID 
Unload(
	IN PDRIVER_OBJECT pDriverObject
	) 
{
	DbgPrint("Process monitor: unloading...\r\n");
	PsSetCreateProcessNotifyRoutine(PcreateProcessNotifyRoutine, TRUE);
}

NTSTATUS 
DriverEntry(
	IN PDRIVER_OBJECT pDriverObject, 
	IN PUNICODE_STRING pRegistryPath
	) 
{
	pDriverObject->DriverUnload = Unload;
	PsSetCreateProcessNotifyRoutine(PcreateProcessNotifyRoutine, FALSE);
	DbgPrint("Process monitor: loading...\r\n");

	return(STATUS_SUCCESS);
}

来看一下对应回调函数的原型:

看一下XP下的调用结果:

再看一下Win X64下的结果:

1. PsSetCreateProcessNotifyRoutineEx

PsSetCreateProcessNotifyRoutineEx是PsSetCreateProcessNotifyRoutine的升级版,主要区别就在于回调函数,以及该接口需要签名完整性检查,即驱动必须是允许的签名才行,并且不仅驱动要允许签名,还需要拥有一个合法的签名才可以调用。

先来看一下这个接口的原型

可以看到第二个参数已经变成了PCREATE_PROCESS_NOTIFY_ROUTINE_EX了, 来看看这个回调函数的原型:

三个参数有2个发生了变化,最重要的是那个PS_CREATE_NOTIFY_INFO结构,看看这个结构的成员:

看见了吧,有许多详细的关于进程的信息。可以直接通过该结构获取。

的确,这个接口有很多优势,但是限制也不少,特别是完整性签名的要求。面对签名的完整性检查有2个方法可以解决。

  • *.sys也是遵循PE文件格式,加载后会检查PE格式中的IMAGE_DLLCHARACTERISTICS_FORCE_INTEGRITY是否存在,存在代表完整性检查通过
  • 实际上完整性检查就是通过MmVerifyCallbackFunction函数内部检查DriverObject->DriverSection->Flags值是不是含有0x20, 含有则代表完整性检查通过

关于第二点,我们实际上可以看一下:

看见了吧,这里来测试标志来决定签名的完整性检查是否通过。

关于第一点就是修改PE标志的,你可以用代码访问内核下的内存映像修改也可以直接在编写驱动时通过VS来添加该标志。这里就不演示了。

接下去来看下代码:

#include <ntifs.h>
#include <ntddk.h>
#include <windef.h>

UCHAR *PsGetProcessImageFileName(__in PEPROCESS Process);

#ifdef _WIN64
typedef struct _KLDR_DATA_TABLE_ENTRY
{
	LIST_ENTRY listEntry;
	ULONG64 __Undefined1;
	ULONG64 __Undefined2;
	ULONG64 __Undefined3;
	ULONG64 NonPagedDebugInfo;
	ULONG64 DllBase;
	ULONG64 EntryPoint;
	ULONG SizeOfImage;
	UNICODE_STRING path;
	UNICODE_STRING name;
	ULONG   Flags;
	USHORT  LoadCount;
	USHORT  __Undefined5;
	ULONG64 __Undefined6;
	ULONG   CheckSum;
	ULONG   __padding1;
	ULONG   TimeDateStamp;
	ULONG   __padding2;
} KLDR_DATA_TABLE_ENTRY, *PKLDR_DATA_TABLE_ENTRY;
#else
typedef struct _KLDR_DATA_TABLE_ENTRY
{
	LIST_ENTRY listEntry;
	ULONG unknown1;
	ULONG unknown2;
	ULONG unknown3;
	ULONG unknown4;
	ULONG unknown5;
	ULONG unknown6;
	ULONG unknown7;
	UNICODE_STRING path;
	UNICODE_STRING name;
	ULONG   Flags;
} KLDR_DATA_TABLE_ENTRY, *PKLDR_DATA_TABLE_ENTRY;
#endif

BOOLEAN BypassCheckSign(PDRIVER_OBJECT pDriverObject)
{
	PKLDR_DATA_TABLE_ENTRY pLdrData = NULL;
	pLdrData = (PKLDR_DATA_TABLE_ENTRY)pDriverObject->DriverSection;
	pLdrData->Flags = pLdrData->Flags | 0x20;

	return TRUE;
}


VOID ProcessNotifyExRoutine(PEPROCESS pEProcess, HANDLE hProcessId, PPS_CREATE_NOTIFY_INFO CreateInfo)
{
	if (NULL == CreateInfo)
	{
		return;
	}
	PCHAR pszImageFileName = PsGetProcessImageFileName(pEProcess);
	DbgPrint("[%s][%s][%wZ]\n", pszImageFileName, hProcessId, CreateInfo->ImageFileName);
	if (0 == _stricmp(pszImageFileName, "cmd.exe"))
	{
		CreateInfo->CreationStatus = STATUS_UNSUCCESSFUL;
		DbgPrint("禁止创建\n");
	}
}

NTSTATUS SetProcessNotifyRoutine()
{
	NTSTATUS status = PsSetCreateProcessNotifyRoutineEx((PCREATE_PROCESS_NOTIFY_ROUTINE_EX)ProcessNotifyExRoutine, FALSE);
	if (!NT_SUCCESS(status))
	{
		DbgPrint("SetProcessNotifyRoutine: PsSetCreateProcessNotifyRoutineEx %08X", status);
	}
	return(status);
}

NTSTATUS RemoveProcessNotifyRoutine()
{
	NTSTATUS status = PsSetCreateProcessNotifyRoutineEx((PCREATE_PROCESS_NOTIFY_ROUTINE_EX)ProcessNotifyExRoutine, TRUE);
	if (!NT_SUCCESS(status))
	{
		DbgPrint("RemoveProcessNotifyRoutine: PsSetCreateProcessNotifyRoutineEx %08X", status);
	}
	return(status);
}

VOID
Unload(
	IN PDRIVER_OBJECT pDriverObject
	)
{
	DbgPrint("Process monitor: unloading...\r\n");
	RemoveProcessNotifyRoutine();
}

NTSTATUS
DriverEntry(
IN PDRIVER_OBJECT pDriverObject,
IN PUNICODE_STRING pRegistryPath
)
{
	pDriverObject->DriverUnload = Unload;
	BypassCheckSign(pDriverObject);
	SetProcessNotifyRoutine();

	DbgPrint("Process monitor: loading...\r\n");

	return(STATUS_SUCCESS);
}

在Win7 X64下的运行结果如下:

这里通过该接口成功阻止了cmd.exe进程的运行。

(完)

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值