Windows动态沙箱实现--进程回调监控

已于 2023-06-19 15:42:18 修改
阅读量263 收藏
点赞数
分类专栏: Windows驱动开发 文章标签: 前端
于 2023-06-19 11:10:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangmin1944/article/details/131282961
版权

        前面讨论了沙箱的目标,今天开始落实代码实现,从功能实现的先后顺序上,我们优先实现4个回调:进程回调、镜像回调、线程回调、注册表回调,今天实现进程回调。

注册进程回调函数的关键API是PsSetCreateProcessNotifyRoutine,如果要使回调生效,需要在VS链接器命令行中添加 /INTEGRITYCHECK :

 该函数在高系统中还有Ex版本,读者自行查阅,函数原型如下:

NTSTATUS PsSetCreateProcessNotifyRoutine(
  _In_  PCREATE_PROCESS_NOTIFY_ROUTINE NotifyRoutine,
  _In_  BOOLEAN Remove
);

参数说明:

NotifyRoutine:我们自己的回调函数地址,函数原型如下:

VOID ProcessNotify(PEPROCESS Process, HANDLE hProcessId, PPS_CREATE_NOTIFY_INFO CreateInfo)

Remove: 是否移除目标回调。我们是注册新的,所以是FALSE;

Status=PsSetCreateProcessNotifyRoutineEx(ProcessNotify, FALSE);

下面是我们的回调代码实现,核心功能是获取当前创建的进程PID、全路径、命令行、父进程PID、父进程全路径信息。需要注意的是,这里获取的父进程信息有可能是假的,最常见的就是启动服务、shellcode注入启动或者借助UpdateProcThreadAttribute伪造父进程启动。这类的伪装,我们需要在后续的InfinityHook里实现发现并进行关联标注。

//该API的使用需要声明
extern "C" PVOID NTAPI PsGetProcessWow64Process(PEPROCESS Process);

VOID ProcessNotify(PEPROCESS Process, HANDLE hProcessId, PPS_CREATE_NOTIFY_INFO CreateInfo)
{
    if (KeGetCurrentIrql() != PASSIVE_LEVEL)
        return;

  
    //进程创建
    if (CreateInfo)
    {
        //判断进程类别
        BOOLEAN bwow64 = PsGetProcessWow64Process(Process) ? TRUE : FALSE;


        char filename[256] = { 0 };
        char cmdline[256] = { 0 };
        char parpath[256] = { 0 };
        StringUnicodeToAnsi(CreateInfo->ImageFileName, filename, CreateInfo->ImageFileName->Length);
        StringUnicodeToAnsi(CreateInfo->CommandLine, cmdline, CreateInfo->CommandLine->Length);

        StringToLower(filename);
        StringToLower(cmdline);


        char ctime[64] = { 0 };
        GetTimeString(ctime);

        GetProcPathByPid((HANDLE)CreateInfo->ParentProcessId, parpath);
        char sfomat[] = "{\"st\":\"ProcessNotify进程启动\",\"type\":%d,\"id\":%d,\"time\":\"%s\",\"ppid\":%d,\"ppath\":\"%s\",\"pid\":%d,\"path\":\"%s\",\"cmd\":\"%s\"}\n";

        char* cbuf = (char*)kMalloc(0x1000);
        sprintf(cbuf, sfomat, 1, 1, ctime, CreateInfo->ParentProcessId, parpath, hProcessId, filename, cmdline);
        DbgPrint("[procK]%s", cbuf);
        kFree(cbuf);

    }
    else
    {
        //进程销毁

    }
}

所使用到的自定义函数:

    PVOID kMalloc(SIZE_T size)
    {
        PVOID pTmp = (PVOID)ExAllocatePoolWithTag(NonPagedPool, size, 'clm3');
        if (pTmp)
        {
            RtlZeroMemory(pTmp, size);
        }
        return pTmp;
    }

    VOID kFree(PVOID pMem)
    {
        if (pMem)
        {
            ExFreePoolWithTag(pMem, 'clm3');
            pMem = 0;
        }
    }



BOOLEAN  GetProcPathByPid(HANDLE hdPid, char* cPath)
{
	BOOLEAN bOk = FALSE;
	PEPROCESS pEpro = 0;
	PFILE_OBJECT FileObject=0;
	PUNICODE_STRING ImageName;
	char parname[512] = { 0 };
	if ((int)hdPid == 4)
	{
		char system[] = "System";
		strcpy(cPath, system);
		bOk = TRUE;
	}
	else
	{
		auto spath = GetProcPathByPid((ULONG)hdPid);
		if (spath.length() > 0)
		{
			strcpy(cPath, spath.c_str());
			bOk = TRUE;
		}
		else
		{
			if (NT_SUCCESS(PsLookupProcessByProcessId(hdPid, &pEpro)))
			{
				if (NT_SUCCESS(PsReferenceProcessFilePointer(pEpro, &FileObject)))
				{
					if (NT_SUCCESS(SeLocateProcessImageName((PEPROCESS)pEpro, &ImageName)))
					{
						StringUnicodeToAnsi(ImageName, parname, ImageName->Length);
						StringToLower(parname);
						strcpy(cPath, parname);
						bOk = TRUE;
					}
				}
				if (FileObject)
					ObDereferenceObject(FileObject);
			}
			if (pEpro)
				ObDereferenceObject(pEpro);
		}
		
	}

	return bOk;
}

模板函数:

template <typename U, typename A>
BOOLEAN StringUnicodeToAnsi(U pUnicode, A szAnsiBuf, int nABuflen)
{
    ANSI_STRING ansiBuf;
    BOOLEAN		bResult = FALSE;
    ansiBuf.Buffer = (char*)kMalloc(2048);
    ansiBuf.MaximumLength = 2048;
    if (MmIsAddressValid((PVOID)pUnicode) && MmIsAddressValid(szAnsiBuf))
    {
        auto Status = RtlUnicodeStringToAnsiString(&ansiBuf, (PUNICODE_STRING)pUnicode, FALSE);
        if (NT_SUCCESS(Status))
        {
            if (ansiBuf.Length < nABuflen)
            {
                memcpy(szAnsiBuf, ansiBuf.Buffer, ansiBuf.Length);
                bResult = TRUE;
            }
        }
    }
    kFree(ansiBuf.Buffer);
    return bResult;
}

template <typename T>
NTSTATUS StringToLower(T szBuf)
{
    NTSTATUS st;
    if (szBuf && MmIsAddressValid(szBuf))
    {
        while (*szBuf)
        {
            if (*szBuf >= 'A' && *szBuf <= 'Z')
            {
                *szBuf += 0x20;
            }
            szBuf++;
        }
        st = STATUS_SUCCESS;
    }
    else
    {
        st = STATUS_UNSUCCESSFUL;
    }
    return st;
}

沧海一浮萍_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windows-sandbox:一个非常简单的基于Windows沙箱
04-14
Windows沙箱 Windows沙箱,用于实验和概念验证。 快速开始 无头 ./start.sh 图形用户界面 ./start.sh --enable-gui WSLv2 w / Ubuntu 启动Windows-sandbox之后,在客户机中运行wslv2.ps1 。
firejail:Linux 命名空间沙箱程序-开源
06-04
Firejail 是一个 SUID 程序,它... Firejail 可以沙箱处理任何类型的进程:服务器、图形应用程序,甚至用户登录会话。 该软件包括大量 Linux 程序的安全配置文件:Mozilla Firefox、Chromium、VLC、Transmission 等。
一份全系统x86x64通用的镜像回调枚举(LoadImageNotify
weixin_34062329的博客
08-13 488
为什么80%的码农都做不了架构师?>>> ...
windbg .for命令遍历Win10所有注册的镜像通知回调函数
Sven的忘却日记
09-25 308
命令 .for(r $t0=nt!PspLoadImageNotifyRoutine;poi(@$t0)!=0; r $t0=@$t0+8){r $t1=poi(@$t0)&0FFFFFFFFFFFFFFF0h;.printf "pCallback=0x%p pFunc=0x%p\n",@$t1+8,poi(@$t1+8);!address poi(@$t1+8); .echo =======================================} 第一次进来,fffff8075eeb
[原创]通过PsSetCreateProcessNotifyRoutineExPsSetCreateThreadNotifyRoutine实现进程与线程监控
追逐光芒,追随内心
12-10 1716
PsSetCreateProcessNotifyRoutineExWindows提供得一个可以通过设置回调函数实现进程监控的内核API。其在文档的定义如下: 1 2 3 4 5 NTSTATUS PsSetCreateProcessNotifyRoutineEx( INPCREATE_PROCESS_NOTIFY_ROUTINE_EXNotifyRoutine, INBOOLEAN...
PsSetCreateProcessNotifyRoutineEx进程监控框架
Cosmopolitan的博客
10-08 1655
vs设置:“项目-属性-链接器-命令行”位置添加 /INTEGRITYCHECK 即可,不然注册回调的时候会失败 参考:https://xiaodaozhi.com/kernel/18.html #include <ntddk.h> typedef NTSTATUS (*PPsSetCreateProcessNotifyRoutineEx)( _In_ PCREATE_PROCESS...
PsSetCreateProcessNotifyRoutineEx 防多开
sanqiuai的博客
09-06 955
这个函数的功能是设置一个回调钩子,该钩子会在进程创建和进程销毁时被调用,钩子由用户提供 API格式 NTSTATUS PsSetCreateProcessNotifyRoutineEx( PCREATE_PROCESS_NOTIFY_ROUTINE_EX NotifyRoutine, BOOLEAN Remove ); NotifyRoutine 是IN,传入用户指定的回调钩子 Remove 是IN ,创建回调钩子时传FALSE,创建了肯定需要在
PsSetCreateProcessNotifyRoutine监控进程创建
Sven的忘却日记
09-25 5260
PsSetCreateProcessNotifyRoutine函数用来注册一个进程创建的回调函数,当有新从进程被创建时,就把父进程的ID,和子进程(被创建的进程)ID传给回调函数,通过回调函数,可以监控新创建的进程 NTSTATUS PsSetCreateProcessNotifyRoutine( _In_ PCREATE_PROCESS_NOTIFY_ROUTINE NotifyRouti...
PsGetProcessPeb and PsGetProcessWow64Process internals
輚至消亡
07-10 1564
Disclaimer This content is presented solely for educational and entertainment purposes only. While the author has done their best to ensure that any information is correct and up-to-date at the time of writing and publishing, the author makes no represent
逃逸IE浏览器沙箱-在野0Day漏洞利用复现
10-13
逃逸IE浏览器沙箱_在野0Day漏洞利用复现
worker-sandbox:基于Web Workers的Javascript沙箱
05-16
工人沙盒 基于Web Workers的Javascript沙箱。用法安装 npm install --save worker-sandbox或者 yarn add worker-sandbox快速开始以构建runInContext函数为例: import Sandbox from 'worker-sandbox' // Import ...
Windows驱动调用PsSetCreateProcessNotifyRoutineEx失败
youyudexiaowangzi的专栏
02-21 961
Windows驱动调用PsSetCreateProcessNotifyRoutineEx失败,添加/integritycheck编译选项
基于PsSetCreateProcessNotifyRoutineEx实现监控进程创建并阻止创建(禁用QQ 360等exe可执行文件)
苞米地里捉小鸡的博客
09-20 2635
对于内核层实现监控进程的创建或者退出,你可能第一时间会想到 HOOK 内核函数 ZwOpenProcess、ZwTerminateProcess 等。确定,在内核层中的 HOOK 已经给人留下太多深刻的印象了,有 SSDT HOOK、Inline HOOK、IRP HOOK、过滤驱动等等。 但是,Windows 其实给我们提供现成的内核函数接口,方便我们在内核下监控用户层上进程的创建和退出的情况。即 PsSetCreateProcessNotifyRoutineEx 内核函数,可以设置一个回调函数,来监控
进程监控驱动 PsSetCreateProcessNotifyRoutine
09-02 1641
函数原型: NTSTATUS PsSetCreateProcessNotifyRoutine( _In_ PCREATE_PROCESS_NOTIFY_ROUTINE NotifyRoutine, _In_ BOOLEAN Remove ); 原文的解释为:The PsSetCreateProcessNotifyRoutine routine...
64位下使用回调函数实现监控
hongduilanjun的博客
11-01 1510
在32位的系统下,我们想要实现某些监控十分简单,只需要找到对应的API实现挂钩操作即可检测进程。但在64位系统下随着的引入,导致我们如果继续使用挂钩API的方式进行监控会出现不可控的情况发生。微软也考虑到了用户程序的开发,所以开放了方便用户调用的系统回调API函数,在64位系统下的监控,使用系统回调相对于直接hook的方式往往是更值得青睐的一方。
进程模块的函数地址
最新发布
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
06-28 630
进程模块的函数地址,GetUserModuleBaseAddress()取远程进程中指定模块的基址和GetModuleExportAddress()取远程进程中特定模块中的函数地址,此类功能也是各类安全工具中常用的代码片段。 首先封装一个lyshark.h头文件,此类头文件中的定义都是微软官方定义好的规范,如果您想获取该结构的详细说明文档请参阅微软官方有文档的。
内核遍历r3进程模块,获取信息(32,64,WoW64)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
10-24 5101
没什么技术含量,只是突然用到了,然后写出来,又突然想到看雪了,然后又发上来, 一想到长期潜水,看帖不回就羞愧的不要不要的; //通过进程PID来获取目标模块路径; NTSTATUS GetModulesPathByProcessID (IN HANDLE ProcessId, IN WCHAR* ModuleName, OUT WCHAR* ModulesPath) {     t
windows进程创建跟踪
wt_2k的专栏
06-14 2075
点击打开链接
. 描述以下测试方法的目的: - 黑盒测试 - 白盒测试 - 沙箱测试 - 单元测试 - 集成测试 - 用户验收测试
05-05
- 黑盒测试的目的是验证软件系统的功能是否按照规格说明书的要求正常工作,而不需要了解系统内部的实现细节。测试人员根据输入和预期输出来设计测试用例,然后执行这些测试用例,验证系统是否能够正确地处理输入并...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值