PsSetCreateProcessNotifyRoutineEx 防多开

最新推荐文章于 2024-04-26 13:55:34 发布
最新推荐文章于 2024-04-26 13:55:34 发布
阅读量951 收藏 4
点赞数
分类专栏: 反调试 文章标签: 驱动程序 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sanqiuai/article/details/120143404
版权

这个函数的功能是设置一个回调钩子,该钩子会在进程创建和进程销毁时被调用,钩子由用户提供

API格式

NTSTATUS PsSetCreateProcessNotifyRoutineEx(
  PCREATE_PROCESS_NOTIFY_ROUTINE_EX NotifyRoutine,
  BOOLEAN                           Remove
);

NotifyRoutine 是IN,传入用户指定的回调钩子
Remove 是IN ,创建回调钩子时传FALSE,创建了肯定需要在某一个时刻销毁,销毁回调钩子时传TRUE

ps:使用该函数前同样需要过掉驱动签名认证,过掉的方式和ObRegisterCallbacks一样

回调钩子的格式

void PcreateProcessNotifyRoutineEx(
  PEPROCESS Process,
  HANDLE ProcessId,
  PPS_CREATE_NOTIFY_INFO CreateInfo
)
{...}

Process 指向进程的EPROCESS的指针
ProcessId 该进程的PID
CreateInfo 是一个结构体

typedef struct _PS_CREATE_NOTIFY_INFO {
  SIZE_T              Size;
  union {
    ULONG Flags;
    struct {
      ULONG FileOpenNameAvailable : 1;
      ULONG IsSubsystemProcess : 1;
      ULONG Reserved : 30;
    };
  };
  HANDLE              ParentProcessId;
  CLIENT_ID           CreatingThreadId;
  struct _FILE_OBJECT *FileObject;
  PCUNICODE_STRING    ImageFileName;
  PCUNICODE_STRING    CommandLine;
  NTSTATUS            CreationStatus;
} PS_CREATE_NOTIFY_INFO, *PPS_CREATE_NOTIFY_INFO;

Size
该结构的大小(以字节为单位)。
Flags
保留。 请改用FileOpenNameAvailable成员。
FileOpenNameAvailable
一个布尔值,指定ImageFileName成员是否包含用于打开进程可执行文件的确切文件名。

IsSubsystemProcess
指示进程子系统类型的布尔值是Win32以外的子系统。

Reserved
保留供系统使用。

ParentProcessId
新进程的父进程的进程ID。 请注意,父进程不一定与创建新进程的进程相同。 新进程可以继承父进程的某些属性,如句柄或共享内存。 (进程创建者的进程ID由CreatingThreadId-> UniqueProcess给出。)

CreatingThreadId
创建新进程的进程和线程的进程ID和线程ID。 CreatingThreadId-> UniqueProcess包含进程ID,而CreatingThreadId-> UniqueThread包含线程ID。

FileObject
指向进程可执行文件的文件对象的指针。如果IsSubsystemProcess为TRUE,则此值可能为NULL。

ImageFileName
指向保存可执行文件的文件名的UNICODE_STRING字符串的指针。 如果FileOpenNameAvailable成员为TRUE,则该字符串指定用于打开可执行文件的确切文件名。 如果FileOpenNameAvailable为FALSE,则操作系统可能仅提供部分名称。如果IsSubsystemProcess为TRUE,则此值可能为NULL。

CommandLine
指向UNICODE_STRING字符串的指针,该字符串保存用于执行该过程的命令。 如果命令不可用,CommandLine为NULL。如果IsSubsystemProcess为TRUE,则此值可能为NULL。

CreationStatus
用于进程创建操作返回的NTSTATUS值。 驱动程序可以将此值更改为错误代码,以防止创建进程。

反调试
创建保护进程时让一个全局变量加一,保护进程退出时让那个全局变量减一,设置一个范围,当变量超出那个范围时让进程创建失败
代码实现

void PcreateProcessNotifyRoutineEx(
	PEPROCESS Process,
	HANDLE ProcessId,
	PPS_CREATE_NOTIFY_INFO CreateInfo
)
{
	static int OpenCount = 0;
	PUCHAR ExeName =  PsGetProcessImageFileName(Process);
	//DbgPrint("ExeName=%s\n", ExeName);
	if (strcmp((PCCHAR)ExeName, "xxx.exe") == 0)
	{
		//目标进程创建时,且创建时已有此进程被创建
		if (OpenCount >= 1 && CreateInfo)
		{
			OpenCount++;
			//STATUS_UNSUCCESSFUL会在用户层弹出进程创建失败的提示框,而下面的参数不会
			CreateInfo->CreationStatus = STATUS_ACCESS_DISABLED_NO_SAFER_UI_BY_POLICY;
		}
		//目标进程创建时,且创建时没有此进程被创建
		else if (OpenCount == 0 && CreateInfo)
		{
			OpenCount++;
		}
		//目标进程退出时
		else if (NULL==CreateInfo)
		{
			OpenCount--;
		}
		DbgPrint("ExeName=%s,OpenCount=%d\n", ExeName,OpenCount);
	}
}

反反调试
系统有一个全局数组维护着所有注册的进程回调钩子,根据特征码搜索定位到该全局数组变量,遍历该数组,根据回调钩子的地址定位到所属模块,根据模块的名称判断是否是目标模块,然后卸载该模块下的所有进程回调钩子
代码实现

//==================================================================
//函数名: DeleteDriverProcessNotifyRoutine
//功能:删除指定驱动注册的进程回调钩子
//输入参数1:NotifyRoutineArray,进程回调钩子全局数组的基地址
//输入参数2:dllInfo,本驱动的pDriver->DriverSection
//输入参数3:DriverName,要删除的进程回调钩子所属的对象
//返回值:BOOLEAN,删除成功返回TRUE,删除失败返回FALSE
//==================================================================
BOOLEAN DeleteDriverProcessNotifyRoutine(PUINT64  NotifyRoutineArray, PLDR_DATA dllInfo, LPCWSTR DriverName)
{
	PEX_CALLBACK_ROUTINE_BLOCK pCallbackRoutineBlock;
	PEX_CALLBACK_FUNCTION pCallbackFunc;
	UNICODE_STRING uniDriverName;
	while (0 != *NotifyRoutineArray)
	{
		pCallbackRoutineBlock = (PEX_CALLBACK_ROUTINE_BLOCK)(*NotifyRoutineArray & (~0x000000000000000F));
		//DbgPrint("pCallbackRoutineBlock=%p\n", pCallbackRoutineBlock);
		pCallbackFunc = pCallbackRoutineBlock->Function;
		//查找API所在的内核模块
		PLDR_DATA TargetDllInfo = GetModuleByObCallbackAddr((PVOID)pCallbackFunc, dllInfo);
		//DbgPrint("pCallbackFunc=%p,DriverName=%wZ\n", pCallbackFunc, TargetDllInfo->name);
		//do something else ...
		RtlInitUnicodeString(&uniDriverName, DriverName);
		if (RtlCompareUnicodeString(&uniDriverName, &TargetDllInfo->name, TRUE) == 0)
		{
			DbgPrint("pCallbackFunc=%p,DriverName=%wZ\n", pCallbackFunc, TargetDllInfo->name);
			PsSetCreateProcessNotifyRoutineEx(pCallbackFunc, TRUE);
			return TRUE;
		}
		NotifyRoutineArray++;
	}
	return FALSE;
}

//==================================================================
//函数名: GetAddrByOffset
//功能:根据偏移获得地址
//输入参数1:Offset,偏移
//输入参数2:CodeStart,这条指令的开始地址
//输入参数3:CodeLength,这条指令的长度
//返回值:UINT64,地址
//==================================================================
UINT64 GetAddrByOffset(INT32 Offset,UINT64 CodeStart, UINT64 CodeLength)
{
	return (UINT64)((INT64)CodeLength + (INT64)CodeStart + Offset);
}
sanqiuai
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
互斥体防多开源码.rar
08-06
互斥体防多开源码.rar
驱动开发:内核监控进程与线程回调
CSDN
10-23 7167
系统中监控进程与线程可以使用微软提供给我们的两个新函数来实现,此类函数的原理是创建一个回调事件,当有进程或线程被创建或者注销时,系统会通过回调机制将该进程相关信息优先返回给我们自己的函数待处理结束后再转向系统层。那么会提示连接的设备没有发挥作用,我们则成功拦截了这次打开,当然如果在打开进程之前扫描其特征并根据特征拒绝进程打开,那么就可以实现一个简单的防病毒程序,进程监控在防病毒程序中也是用的最多的。如上,该函数只有两个参数,第一个参数是回调函数,第二个参数是是否注销,通常在驱动退出时可以传入。
64位下使用回调函数实现监控
hongduilanjun的博客
11-01 1505
在32位的系统下,我们想要实现某些监控十分简单,只需要找到对应的API实现挂钩操作即可检测进程。但在64位系统下随着的引入,导致我们如果继续使用挂钩API的方式进行监控会出现不可控的情况发生。微软也考虑到了用户程序的开发,所以开放了方便用户调用的系统回调API函数,在64位系统下的监控,使用系统回调相对于直接hook的方式往往是更值得青睐的一方。
[内核安全7]内核级的进程的监控
輚至消亡
02-17 722
0. 导言 进程的监控可以通过挂钩SSDT表中的NtOpenProcess来实现,但是现在这种方式已经不怎么用了,因为不稳定在者可能会被认为是恶意软件。微软知道这个问题所以为我们提供了专门的内核接口来实现这种功能。 1. PsSetCreateProcessNotifyRoutine 通过PsSetCreateProcessNotifyRoutine来监控进程, 该内核函数有个升级版PsSetCreateProcessNotifyRoutineEx。这个升级版功能更强大但只能在Vista版本以后使用,
4.4 Windows驱动开发:内核监控进程与线程创建
CSDN
11-18 5262
PsSetCreateThreadNotifyRoutine 函数中注册的回调函数应该符合这个函数指针的定义,以便在新线程被创建或销毁时被调用。和进程ID作为参数传递给回调函数。来删除已注册的回调函数,目前该函数只需要一个参数,只需要传入注册时的函数指针即可;来说,它指向一个回调函数,用于通知进程中新线程的创建。当一个新的线程被创建时,操作系统会调用所有已注册的回调函数,并将新线程的。是一个指向回调函数的指针,该函数将在新进程创建或退出时被调用。回调函数,该回调函数将在每个进程的创建和退出时被调用。
[原创]通过PsSetCreateProcessNotifyRoutineExPsSetCreateThreadNotifyRoutine实现进程与线程监控
追逐光芒,追随内心
12-10 1698
PsSetCreateProcessNotifyRoutineEx是Windows提供得一个可以通过设置回调函数实现进程监控的内核API。其在文档的定义如下: 1 2 3 4 5 NTSTATUS PsSetCreateProcessNotifyRoutineEx( INPCREATE_PROCESS_NOTIFY_ROUTINE_EXNotifyRoutine, INBOOLEAN...
PsSetCreateProcessNotifyRoutineEx进程监控框架
Cosmopolitan的博客
10-08 1649
vs设置:“项目-属性-链接器-命令行”位置添加 /INTEGRITYCHECK 即可,不然注册回调的时候会失败 参考:https://xiaodaozhi.com/kernel/18.html #include <ntddk.h> typedef NTSTATUS (*PPsSetCreateProcessNotifyRoutineEx)( _In_ PCREATE_PROCESS...
PsSetCreateProcessNotifyRoutine监控进程创建
Sven的忘却日记
09-25 5237
PsSetCreateProcessNotifyRoutine函数用来注册一个进程创建的回调函数,当有新从进程被创建时,就把父进程的ID,和子进程(被创建的进程)ID传给回调函数,通过回调函数,可以监控新创建的进程 NTSTATUS PsSetCreateProcessNotifyRoutine( _In_ PCREATE_PROCESS_NOTIFY_ROUTINE NotifyRouti...
Windows驱动调用PsSetCreateProcessNotifyRoutineEx失败
youyudexiaowangzi的专栏
02-21 938
Windows驱动调用PsSetCreateProcessNotifyRoutineEx失败,添加/integritycheck编译选项
基于PsSetCreateProcessNotifyRoutineEx实现监控进程创建并阻止创建(禁用QQ 360等exe可执行文件)
苞米地里捉小鸡的博客
09-20 2599
对于内核层实现监控进程的创建或者退出,你可能第一时间会想到 HOOK 内核函数 ZwOpenProcess、ZwTerminateProcess 等。确定,在内核层中的 HOOK 已经给人留下太多深刻的印象了,有 SSDT HOOK、Inline HOOK、IRP HOOK、过滤驱动等等。 但是,Windows 其实给我们提供现成的内核函数接口,方便我们在内核下监控用户层上进程的创建和退出的情况。即 PsSetCreateProcessNotifyRoutineEx 内核函数,可以设置一个回调函数,来监控
扩展内核函数 PsSetCreateProcessNotifyRoutine 等的蹲坑数量
12-01
扩展内核函数 PsSetCreateProcessNotifyRoutine 等的蹲坑数量
微信多开 防撤提示2.6.9.zip
08-14
1. 增加多开功能,1-5个任意设置, 2. 可选防撤回(默认选择防撤回); 3. 可选择是否添加快捷方式; 4. 可选择不显示界面后台自动执行. 本工具不驻留内存,执行完毕会自动关闭. 解压到任意目录下运行,首次弹出设置启动界面...
防多开程序(测试软件)
06-04
防多开程序(测试软件)
vue2 顶象 安全 验证码的使用
lele66688888的博客
04-23 319
类似与这样的登录之前的验证 滑动一个盒子了 或者是 顺序点击文字了 等。
RTU遥测终端为城市排水安全保驾护航!
mantoo2014的博客
04-23 479
漫途多参数遥测终端MTW46-10-4A与低功耗遥测终端M4315,能够实时在线监测城市下水管道、涵洞、水浸点及河道的水位状况,同时精准采集水位、流量、流速和水质等数据。一旦监测到险情,平台会通过手机APP、短信通知以及现场声光报警器等多种方式,向城市管理者发出预警,从而有效预防和应对各类排水问题,确保城市排水系统的安全、稳定运行。漫途低功耗远程采集终端M4315是一款实现数据采集、远程传输、远程运维的智能设备,具有功耗低、体积小巧、盲区小、安装便捷等特点,适用于地下管网、雨水井等特殊环境的工业级设备。
Mudem,打造私密安全、高效稳定的私人空间
yescodigger的博客
04-23 363
平台中的一个关键组件,它提供基础通讯服务,确保不同类型的机器之间可以进行安全和高效的连接。用户无需担心环境配置的问题,只需在任何地点、任何时间使用自己熟悉的工作环境,即可实现高效工作,极大地提高了工作效率。用户可以根据自己的需求精确控制终端的访问权限,从而有效地防止了未经授权的访问和数据泄露。这一技术革新不仅使用户能够轻松实现远程访问和控制这些设备,同时确保了终端访问权限的精确控制,从而保障了用户数据的安全。在远程访问过程中确保了数据的机密性和完整性,让用户无需担心数据泄露的风险。精准控制终端访问权限。
多家企业机密数据遭Lockbit3.0窃取,亚信安全发布《勒索家族和勒索事件监控报告》
最新发布
亚信安全官方账号的博客
04-26 939
亚信安全发布2024年第14期《勒索家族和勒索事件监控报告》,本周全球共监测到勒索事件87起,与上周相比勒索事件大幅下降。
jvppeteer多开
12-06
因此,可以使用Puppeteer或Pyppeteer来实现多开浏览器页面的功能。 以下是使用Pyppeteer实现多开浏览器页面的示例代码: ```python import asyncio from pyppeteer import launch async def main(): browser1 = ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值