通过挂钩NtCreateSection监控可执行模块

最新推荐文章于 2024-04-18 10:09:07 发布
最新推荐文章于 2024-04-18 10:09:07 发布
阅读量1k 收藏
点赞数
分类专栏: Hook

通过挂钩 NtCreateSection 监控可执行模块

 

在 Win32 中,我们使用 CreateFileMapping 来创建映射文件对象,函数原型如下: 

 

HANDLE CreateFileMapping(

    HANDLE hFile,  // handle to file to map

    LPSECURITY_ATTRIBUTES lpFileMappingAttributes, // optional security attributes

    DWORD flProtect,   // protection for mapping object

    DWORD dwMaximumSizeHigh,     // high-order 32 bits of object size 

    DWORD dwMaximumSizeLow, // low-order 32 bits of object size 

    LPCTSTR lpName     // name of file-mapping object

   );

 

 

这个函数会调用 Native Api(Ntdll.dll) 中的 ZwCreateSection ( NtCreateSection )函数,而后者又通过系统调用 Ntoskrnl.exe 中的 NtCreateSection 函数,其函数原型如下:  

NTSTATUS

  NtCreateSection(

    OUT PHANDLE  SectionHandle ,

    IN ACCESS_MASK  DesiredAccess ,

    IN POBJECT_ATTRIBUTES  ObjectAttributes OPTIONAL,

    IN PLARGE_INTEGER  MaximumSize OPTIONAL,

    IN ULONG  SectionPageProtection ,

    IN ULONG  AllocationAttributes ,

    IN HANDLE  FileHandle OPTIONAL

    );

 

不仅是用户创建的映射文件, Windows 加载所有的可执行模块,包括 EXE 文件、 DLL 文件等都使用了此函数(博文《使用 Native Api 创建进程》就曾调用),只是在参数 SectionPageProtection 和 AllocationAttributes 与普通的映射文件有所区别:

 

 

根据这个特点,我们可以通过挂钩 NtCreateSection 函数来截获所有将要加载的可执行模块的文件名称(关于如何获取文件名称,可以参看博文《获取文件对象的名称》)反馈给用户。用户根据文件路径、文件的 MD5 或其他信息来判断是否允许该模块的加载。

 

 

(AllocationAttributes == 0X1000000) && (SectionPageProtection & PAGE_EXECUTE)

 

 

  参考文章:

1. Hooking the native API and controlling process creation on a system-wide basis

( http://www.codeproject.com/KB/system/soviet_protector.aspx )

2. 天书夜读

swanabin
关注
专栏目录
MiniFilter文件系统学习
zhuhuibeishadiao
04-23 1万+
Minfilter与legacy filter区别 比sfilter加载顺序更易控制. altitude被绑定到合适的位置。  Minfilter在注册表服务项中有一项Altitude值 此值越高位置越靠前 (待考证 每一个minifilter驱动必须有一个叫做altitude的唯一标识符.一个minifilter驱动的altitude定义了它加载时在I/O栈中相对其他minifi
内核编程之SSDTHook(3)Hook NtCreateSection监控所有可执行模块加载
zuishikonghuan的博客
03-18 5621
本博文由CSDN博主zuishikonghuan所作,版权归zuishikonghuan所有,转载请注明出处:http://blog.csdn.net/zuishikonghuan/article/details/50924829 在上两篇博文中,我介绍了SSDTHook的原理,并给出了一个实例--通过Hook NtOpenProcess来实现进程保护:http://blog.csdn.net/
windows进程间通信
liuyinghui523的专栏
10-24 2936
摘 要: 随着人们对应用程序的要求越来越高,单进程应用在许多场合已不能满足人们的要求。编写多进程/多线程程序成为现代程序设计的一个重要特点,在多进程程序设计中,进程间的通信是不可避免的。Microsoft Win32 API提供了多种进程间通信的方法,全面地阐述了这些方法的特点,并加以比较和分析,希望能给读者选择通信方法提供参考。 关键词 进程 进程通信 IPC Win32 API 
Windows进程间通信(一)
gaodezheng的专栏
04-22 1181
 对于任何一个现代的操作系统,进程间通信都是其系统结构的一个重要组成部分。而说到Windows的进程(线程)间通信,那就要看是在什么意义上说了。因为正如“Windows的跨进程操作”那篇漫谈中所述,在Windows上一个进程甚至可以“打开”另一个进程,并在对方的用户空间分配内存、再把程序或数据拷贝过去,最后还可以在目标进程中创建一个线程、让它为所欲为。显然,这已经不只是进程间的“通信”,而是进程间
监控准备运行的可执行文件
05-10
监控准备运行的可执行文件:修改(NtCreateSection)SSDT索引号,(索引号从用户程序中得到)HOOK NtCreateSection()这个函数,然后通过文件句柄获得文件名,判断它是不是可执行文件,检测其属性与判断用户是否允许...
Win64 驱动内核编程-13.回调监控模块加载
天使也掉毛
03-12 4547
回调监控模块加载     模块加载包括用户层模块(.DLL)和内核模块(.SYS)的加载。传统方法要监控这两者加在必须 HOOK 好几个函数,比如 NtCreateSection 和 NtLoadDriver 等,而且这些方法还不能监控未知的驱动加载方法。其实为了监控模块加载而HOOK API 是非常傻的,因为微软已经提供了一对标准的 API 实现此功能。它们 分别是 PsSetLoadIm
Hook NtCreateSection的SSDT实现
10-29
这通常通过遍历内核模块或者使用已知的内核地址来完成。 2. **备份原函数指针**:在Hook之前,我们需要备份`NtCreateSection`原始函数的地址,以便在需要时恢复原函数的行为。 3. **替换SSDT条目**:接下来,我们...
windows 可执行文件分析
he702477275的专栏
01-06 2027
windows可执行文件是什么? 是具有PE文件格特性的文件,例如:.exe、dll、ocx等文件。 注:(这里只是让大家能明了一些,其实,可执行与否,和后缀没有什么关系,后缀只是windows方便管理用的)。 如:在xp sp3上,你双击或右键打开一个可执行文件时。并不是那个可执行文件自动执行的。它并不存在自动运行能力。而仅仅是,调用了CreateProcessW函数来启动这个可执行文件。
驱动监控进程的创建
06-03 1931
作 者: hljleo时 间: 2008-05-31,12:32链 接: http://bbs.pediy.com/showthread.php?t=65772这是我在http://www.codeproject.com .学习时看到的一个驱动程序,学习后对其整理的笔记下面这个驱动程序的作用:监控准备运行的可执行文件。(由用户决定是不是让它运行)所以我们要做以下工作:首先是修改(NtCreateS
进程创建监控
zzmzzff的博客
03-28 694
上次讲了下进程保护原理,这次讲一下进程监控。监视进程创建,也就是监视EXE程序启动,就要hook掉创建进程的API,创建进程的API有ntdll!ZwCreateProcessEx、ZwCreateSection、ZwCreateThread等,kernel32里有CreateProcessA(W)和CreateProcessInternalA(W),hook ZW函数比较麻烦,因为那时进...
进程注入系列Part 1 常见的进程注入手段
最新发布
蛇矛实验室
04-18 1124
进程注入是一种众所周知的技术,恶意程序利用它在进程的内存中插入并执行代码。进程注入是一种恶意程序广泛使用的防御规避技术。大多数情况下,恶意程序使用进程注入来动态运行代码,这意味着实际的恶意代码不需要直接写入磁盘上的文件中,以避免被防病毒软件的静态检测所发现。简单来说,进程注入就是将一段数据从一个进程传输到另一个进程的方法,这种注入过程可以发生在执行操作的同一进程(自注入)上,也可发生在外部进程上。
进程重影!!!
qq_73667990的博客
03-19 233
正常的删除文件操作,在删除已经被映射到内存的文件时,windows会报错阻止删除。也就是是我们要先删除文件再映射到内存,但是文件都已经被删除了怎么映射呢?首先了解进程创建过程但是,PsSetCreateProcessNotifyRoutineEx并不是在创建进程的瞬间就完成的。在执行这一段代码时不会被调用而是执行了下面代码才会调用这里就出现了时间差,可以在PsSetCreateProcessNotifyRoutineEx之前对文件进行修改,删除,伪装成普通文件。然后来解决开头的问题解决方法是。
APT视频教程
12-13
这套课程主要给大家讲解什么是APT,APT是如何攻击的,国外有哪些组织用一般用的什么手段,内容涉及到APT攻击模拟,样本分析,流量分析,特征提取。
lmdb编译过程中出现无法解析的外部符号 NtCreateSection
SnailTyan
01-29 3942
lmdb编译过程中出现无法解析的外部符号 NtCreateSectionNtClose、NtMapViewOfSection
探寻Windows NT/2000 Copy On Write机制(http://wecrazy.yeah.net)
FreeXploiT
01-31 2046
 探寻Windows NT/2000 Copy On Write机制             WebCrazy(http://wecrazy.yeah.net)                            Copy On Write机制是典型的Lazy evaluation实现,现代操作系统如Windows NT/2000,UNIX/Linux的内存管理部分大量使用这种机制。本文通过对W
PE文件格式学习(二):总体结构
tutucoo
11-07 477
1.概述 PE文件分为几个部分,分别是: DOS头 DOS Stub NT头(PE头) 文件头 可选头 区段头(一个数组,每个元素都是一个结构体,称之为IMAGE_SECTION_HEADER) .text .rdata .data .rsrc .reloc … 本篇文章主要围绕整体结构做一个梳理,不会做太多细节的讲解。(比如说可选头里的数据目录表,它包含16种表,会在接下来的系列文章分...
内核解惑:zw函数和nt函数的区别
收集学习过程中对自己有帮助的牛人文章
12-03 6392
转载自:http://hi.baidu.com/resoft007/item/eb510a0d0ae2ac03addc7019 http://bbs.pediy.com/showthread.php?t=106888 http://bbs.pediy.com/showthread.php?t=55142 解惑:http://blog.csdn.net/u012410612/artic
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值