通过API Hook获取R3下进程创建信息的一种较新的方案

已于 2024-01-28 23:56:36 修改
阅读量571 收藏 2
点赞数 5
分类专栏: 业余学习 文章标签: c++ windows 微软
于 2023-05-29 00:54:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_59075481/article/details/128814911
版权

一、挂钩普通进程(通过注入资源管理器)

使用 Detours 挂钩 CreateProcessA 、CreateProcessW 等函数(网上各种模板很多,不建议使用全局消息钩子,容易造成系统卡死)

二、挂钩提升进程(通过注入服务)

服务:Application Information(Appinfo)、Background Tasks Infrastructure Service(BrokerInfrastructure)、DCOM Server Process Launcher(DcomLaunch)

第一个在使用管理员权限(提升)启动的时候首先在该进程中响应请求,然后转移至consent.exe(子进程)

后两个属于参数相同的服务项,是同一个进程,管理DCOM的请求。

这需要涉及到位于Kernel32.dll中的关键函数CreateProcessAsUserW()[通常调用Unicode版本]、CreateProcessAsUserA()

函数原型是这样子的:

BOOL CreateProcessAsUserW(
  [in, optional]      HANDLE                hToken,
  [in, optional]      LPCWSTR               lpApplicationName,
  [in, out, optional] LPWSTR                lpCommandLine,
  [in, optional]      LPSECURITY_ATTRIBUTES lpProcessAttributes,
  [in, optional]      LPSECURITY_ATTRIBUTES lpThreadAttributes,
  [in]                BOOL                  bInheritHandles,
  [in]                DWORD                 dwCreationFlags,
  [in, optional]      LPVOID                lpEnvironment,
  [in, optional]      LPCWSTR               lpCurrentDirectory,
  [in]                LPSTARTUPINFOW        lpStartupInfo,
  [out]               LPPROCESS_INFORMATION lpProcessInformation
);

这个函数使用 Detours 挂钩 Kernel32 下的 CreateProcessAsUserW 会失败,使用其他 inline hook 即可完成任务(原因见 9.16 更新)。我推荐采用的是 mhook 或者 minhook 库。

这里给出一个简单的mhook例子,用于在从普通用户上下文中创建提升的进程时抛出相关参数的提示,由于使用了WTSSendMessageW作为服务注册系统消息对话框的方法,这不会阻滞相关例程的调用。你可以修改我们挂钩的函数,实现相关的过滤工作。

#include "stdafx.h"
#include "mhook-lib/mhook.h"

#include <Shlwapi.h>
#include <WtsApi32.h>

#pragma comment(lib,"Shlwapi.lib")
#pragma comment(lib, "WtsApi32.lib")
// CreateProcessAsUserW定义
typedef BOOL(WINAPI* pfnCreateProcessAsUserW)(
	HANDLE                hToken,
	LPCWSTR               lpApplicationName,
	LPWSTR                lpCommandLine,
	LPSECURITY_ATTRIBUTES lpProcessAttributes,
	LPSECURITY_ATTRIBUTES lpThreadAttributes,
	BOOL                  bInheritHandles,
	DWORD                 dwCreationFlags,
	LPVOID                lpEnvironment,
	LPCWSTR               lpCurrentDirectory,
	LPSTARTUPINFOW        lpStartupInfo,
	LPPROCESS_INFORMATION lpProcessInformation
	);

pfnCreateProcessAsUserW _CreateProcessAsUserW = (pfnCreateProcessAsUserW)GetProcAddress(GetModuleHandleW(L"Kernel32.dll"), "CreateProcessAsUserW");


BOOL SvcMessageBox(LPWSTR lpCap, LPWSTR lpMsg, DWORD style, DWORD& result)
{
	if (NULL == lpMsg || NULL == lpCap)
		return FALSE;
	result = 0;
	DWORD sessionXId = WTSGetActiveConsoleSessionId();
	return WTSSendMessageW(WTS_CURRENT_SERVER_HANDLE, sessionXId,
		lpCap, (DWORD)wcslen(lpCap) * sizeof(DWORD),
		lpMsg, (DWORD)wcslen(lpMsg) * sizeof(DWORD),
		style, 0, &result, FALSE);
}

//===========================================================
//定制我们自己的CreateProcessAsUserW

BOOL WINAPI Hook_pfnCreateProcessAsUserW(
	HANDLE                hToken,
	LPCWSTR               lpApplicationName,
	LPWSTR                lpCommandLine,
	LPSECURITY_ATTRIBUTES lpProcessAttributes,
	LPSECURITY_ATTRIBUTES lpThreadAttributes,
	BOOL                  bInheritHandles,
	DWORD                 dwCreationFlags,
	LPVOID                lpEnvironment,
	LPCWSTR               lpCurrentDirectory,
	LPSTARTUPINFOW        lpStartupInfo,
	LPPROCESS_INFORMATION lpProcessInformation)
{
	//if (wcsstr(lpApplicationName, L"consent.exe") || wcsstr(lpCommandLine, L"consent.exe")) {
		//return FALSE;
	//}
	//BOOL result  = 
	WCHAR wstrTile[] = L"来自 Application Information 服务的通知";
	WCHAR wstrContent[1024];
	DWORD WTSresult = 0;
	wsprintf(wstrContent, L"%s - %s\n", lpApplicationName, lpCommandLine);
	SvcMessageBox(wstrTile, wstrContent, MB_OK | MB_ICONINFORMATION, WTSresult);
	return _CreateProcessAsUserW(
		hToken, lpApplicationName,
		lpCommandLine, lpProcessAttributes, lpThreadAttributes, bInheritHandles,
		dwCreationFlags, lpEnvironment, lpCurrentDirectory, lpStartupInfo, lpProcessInformation);;
}

//==============================================================
// 变量
HHOOK     glhHook = NULL;
HINSTANCE glhInstance = NULL;
DWORD     gProtectProcessID = 0;

BOOL WINAPI DllMain(
	__in HINSTANCE  hInstance,
	__in DWORD      Reason,
	__in LPVOID     Reserved
)
{
	DisableThreadLibraryCalls(hInstance);
	glhInstance = hInstance;
	switch (Reason)
	{
	case DLL_PROCESS_ATTACH:
		Mhook_SetHook((PVOID*)&_CreateProcessAsUserW, Hook_pfnCreateProcessAsUserW);
		break;
	case DLL_PROCESS_DETACH:
		Mhook_Unhook((PVOID*)&_CreateProcessAsUserW);
		break;
	case DLL_THREAD_ATTACH:
		break;
	case DLL_THREAD_DETACH:
		break;
	}

	return TRUE;
}

链接库可以遍历成Dll,然后使用ExtremeInjector等工具测试注入效果。

这里给出注入测试(DcomLaunch服务)的效果:

be5fc76c7b1e476aba20b98ea8510487.png
测试截图 1
a03c7cdec1854d1eab695dc81757bf3e.png
测试截图 2

可能用到的库:

1.mhook库(相对老的项目了)

2.Detours库;

3.ExtremeInjector工具

三、更新内容

1. 2023.09.16 更新内容

在此处补充说明一下,后面可能会单独开一篇博客讲一下。Windows Vista 以上系统有一个叫做API伞集的位于内核的加载器。至于说 detours 挂钩的 CreateProcessAsUserW 并不应该在在 kernel32.dll 和 kernelbase.dll 中,原因其实是这个函数正真的定义位于伞集中规范的虚拟链接文件:api-ms-win-core-processthreads-l1-1-0.dll 中,真正运行时通过 API 伞集转发位于 Kernel32 中的这个函数。这和通过 IDA 反汇编的结果相同,经测试使用 API 伞集作为DetourFindFunction 函数的参数能够实现 Detours 挂钩 CreateProcessAsUserW 函数,说明在Detours 上使用 API 伞集名称是比较妥当的。

2. 2024.01.28 更新内容

CreateProcessAsUserW 就是调用的 CreateProcessInternal 函数(参数和CreateProcessAsUserW 完全一样), CreateProcess 也是,对于一般进程,只需要挂钩 CreateProcessInternal 函数即可拦截一切 CreateProcess 等启动。对于需要提权启动的,挂钩 AppInfo 服务对应的 svchost.exe 进程的 CreateProcessInternal 函数。至于 ShellExecuteEx 则需要注入 DcomLunch 服务进程对应的 svchost.exe,依然是挂钩 CreateProcessInternal 函数。总结:只要CreateProcessInternal 函数被挂钩即可。

新人初学,如有错误,望指正!海涵。

发布于 2023.05.29,修改于 2024.01.28

涟幽516
关注
专栏目录
Win10 Hook 进程创建的研究
myjisgreat的专栏
11-21 8285
Win7甚至在它之前开始,想要hook进程创建已经不能简单的HookCreateProcessInternalW这一个函数了,因为Vista开始引入了UAC机制。如果一个进程想要通过UAC弹窗创建管理员进程hook这个进程的CreateProcessInternalW已经不起作用,我在几年前的博文《Win7/VistaHook CreateProcess 的特别之处》(http://blog
Hook CreateProcess
weixin_30616969的博客
08-19 1129
6种比较常用的运行(执行)程序的方法: 包括WinExec、ShellExecute、CreateProcess、CreateProcessAsUser、CreateProcessWithLogonW、CreateProcessWithTokenW 要在r3hook程序的运行,需要用到上述api CreateProcessAsUser win7用 CreatePr...
免杀笔记 ---> 无痕Hook?硬件断点 Syscall!
最新发布
huohaowen的博客
09-26 752
说到Hook,我们有很多Hook,像Inline-Hook,我们也是用的比较多,但是正如我上一篇Blog说的,他会对内存进行修改,如果EDR或者AV增加一个校验机制,不断检验某一块内存,那么就算你用syscall绕过了Ring3的Hook成功修改了内存也是会被扫描出来的!于是就有了今天的无痕Hook --->硬件断点其实也是小编收到了粉丝的建议,于是赶出来了那个代码,但是这个技术是未公开的,所以小编就不放代码,但是会公布部分,以及一些细节(我也不想这个技术那么快没用,望理解😋)
APIHook CreateProcess
Ghost-J 's Area.
08-21 4861
unit ApiHook;interfaceuses Windows, Messages, Dialogs, Controls, Classes, SysUtils, psapi;type PImpCode = ^TImpCode; TImpCode = packed record JumpItn: Word; // 应该是$25FF,JUM
易语言api hook CreateProcessA 创建进程
511遇见
05-25 6214
CreateProcessA我们非常熟悉,就是创建一个进程,这个API的函数hook非常实用,本课我们可以通过CreateProcessA来运行系统的计算器,或者记事本等等。 CreateProcessA .版本 2 .DLL命令 CreateProcessA, 整数型, "kernel32.dll", "CreateProcessA", , 创建进程。 .参数 lpApplicationName, 文本型 .参数 lpCommandLine, 文本型 .参数 lpPr
hook CreateProcessInternal
07-02
利用inline hook技术挂钩CreateProcessInternal,win7 32/64代码均有
通过HOOK控制进程创建
jiangxinyu的专栏
01-29 4708
一、 简介  最近,我了解到一个叫做Sanctuary的相当有趣的安全产品。它能够阻止任何程序的运行-这些程序没有显示在软件列表中-该表中的程序被允许在一个特定的机器上运行。结果,PC用户得到保护而免于各种插件间谍软件、蠕虫和特洛伊木马的侵袭-就算能够进入他/她的计算机,它们也没有机会执行,并因此没有机会对该机器造成任何损害。当然,我觉得这个特征相当有趣;并且,在稍作思考以后,我就有了一个自己
hook pte_API hook实现r3下简单的进程保护
weixin_39707941的博客
01-17 557
发点东西敷衍敷衍吧。。其实在r3下似乎做进程保护没什么强度可言,不过总是可以用来玩玩的:P现在似乎没有多少人还会去hook kernel32中的函数了,因为大多数(或许有一些是例外的)函数都得从ntdll.dll中过然后sysenter。——至少,我们需要照顾的几个函数是需要过ntdll的 :)杀进程常见的就是OpenProcess+TerminateProcess,也可以一个一个线程杀(Open...
r3epthook-master.zip
11-29
这种技术在恶意软件中可能被用来隐藏恶意活动,例如,通过hook系统API来隐藏网络通信或数据存储,或者绕过安全软件的检测。 然而,EPT hooking并非没有局限性。它的实现需要对虚拟化技术和操作系统内核有深入理解,...
HOOK API源码 (OPENPROCESS)
10-08
Windows操作系统中,HOOK API一种强大的技术,它允许开发者拦截系统级别的函数调用,以便在特定函数被调用前或调用后执行自定义代码。本主题将深入探讨`HOOK API`,特别是与`OpenProcess`相关的源码,以及如何在...
R3进程DLL注入HOOK
zyorz的博客
05-04 1159
工具DLL中可使用三种HOOK引擎实现HOOK,分别为开源引擎nthookengine、mhook微软的Detour流程本进程HOOK可直接导入引擎DLL调用API实现注入其他进程HOOK通过编写一个实现了HOOK进程的DLL然后将其注入到目标进程实现 注入实现:http://blog.csdn.net/zyorz/article/details/71153713引擎APImhook引擎HOO
APIHOOK拦截指定进程创建进程
06-06
APIHOOK拦截指定进程创建进程。@按键精灵。
HookCreateProcess示例
08-30
Hook explorer.exe进程CreateProcess示例
API_HOOK_CreateProcess进程监视:知道你运行了哪些程序.zip
04-04
API_HOOK_CreateProcess知道你运行哪些程序.zip
易语言-Hook_CreateProcess阻止创建一个进程和它的主线程
06-25
通过HOOK CreateProcess 函数 来实现阻止创建一个进程和它的主线程
R3 WIN64下只修改1字节的Inline Hook完整代码(C/C++
02-19
基于SEH的R3 WIN64下只修改1字节的Inline Hook完整代码 此代码在Visual Studio 2013编译通过,为了不链接到msvcr120.dll,我在工程中添加了链接至msvcrt.dll的静态库
驱动签名 隐藏进程 保护进程 多种方式 保护进程的 驱动
05-18
标题中的“驱动签名”指的是在Windows操作系统中,为了确保驱动程序的安全性和可靠性,微软引入的一种验证机制。64位驱动程序尤其需要驱动签名,因为它们运行在更高的权限级别上,未经签名的驱动可能会对系统稳定性...
hook方式进程创建监控,进程保护
kernweak的博客
05-30 3081
关于进程创建, xp系统:CreatProcessW->CreateProcessInternalW->NtCreateProcessEx->NtCreatSection Vista以上:CCreatProcessW->CreateProcessInternalW->NtCreateUserProcess->NtCreateSection 所以我们要Hoo...
注入Explorer.exe 并Hook CreateProcessW (MinHook库)
Care
01-21 3361
记录下学习的经历.. win10系统 被某杀毒给挂钩了.. 直接用虚拟机来操作 // dllmain.cpp : 定义 DLL 应用程序的入口点。 #include "stdafx.h" #include #include "MinHook.h" #include #if defined _M_X64 #pragma comment(lib, "libMinHoo
易语言实现APIHOOK拦截进程创建进程技术研究
资源摘要信息:"易语言-APIHOOK拦截指定进程创建进程" 易语言是一种简单易学的编程语言,它主要面向中文用户,提供了丰富的中文命令和函数,使得编程更加直观和简便。APIHOOK技术是易语言中实现程序功能扩展和修改...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

涟幽516

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值