NtCreateProcessEx

最新推荐文章于 2023-09-22 15:33:55 发布
最新推荐文章于 2023-09-22 15:33:55 发布
阅读量2.8k 收藏
点赞数
分类专栏: 软件编程技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lassewang/article/details/8851106
版权 
NTSTATUS __stdcall NtCreateProcessEx(OUT PHANDLE ProcessHandle,
            IN ACCESS_MASK DesiredAccess,
            IN POBJECT_ATTRIBUTES ObjectAttributes OPTIONAL,
            IN HANDLE ParentProcess,
            IN BOOLEAN InheritObjectTable,
            IN HANDLE SectionHandle OPTIONAL,
            IN HANDLE DebugPort OPTIONAL,
            IN HANDLE ExceptionPort OPTIONAL,
            IN BOOLEAN InJob)

参数说明:
ProcessHandle 是一个输出参数,如果创建成功,则它包含了所创建的进程的句柄。

DesiredAccess 包含了对新进程的访问权限。

ObjectAttributes 是一个可选的指针参数(意指可以为NULL),它指定了进程对象的属性。

ParentProcess 指向父进程的句柄,这是一个必需的参数,不能为NULL,并且调用者必须对该进程具有PROCESS_CREATE_PROCESS 访问权限。Flags 是创建标志,其中有一个标志PROCESS_CREATE_FLAGS_INHERIT_HANDLES 特别值得一提:NtCreateProcess专门有一个布尔参数指定是否该标志为TRUE,表明新进程的对象句柄表是否要复制父进程的句柄表,或者初始设置为空。

SectionHandle 是一个可选的句柄,指向一个内存区对象,代表了该进程的映像文件,调用者对于此内存区对象必须具有SECTION_MAP_EXECUTE 访问权限。

DebugPort 也是一个可选的句柄,指向一个端口对象,如果此句柄参数不为NULL,则此端口被赋为新进程的调试端口,否则,新进程没有调试端口。而且,调用者对于调试端口对象必须具有PORT_WRITE 和PORT_READ 访问权限。

ExceptionPort 也是一个可选的句柄,指向一个端口对象,如果此句柄参数不为NULL,则此端口被赋为新进程的异常端口,否则,新进程没有异常端口。调用者对于异常端口对象必须具有PORT_WRITE 和PORT_READ 访问权限。

JobMemberLevel 指定了要创建的进程在一个Job 集中的级别。

 

获得路径名:

一般创建进程时ObjectAttributes其实是空的,SectionHandle才是有内容的。因此一般通过这个SectionHandle获取进程文件名。
原理是:
ObReferenceObjectByHandle,通过SectionHandle得到SectionObject,即指向_SECTION_OBJECT结构的指针。
通过_SECTION_OBJECT得到SegmentObject成员,指向一个_SEGMENT_OBJECT结构。
_SEGMENT_OBJECT结构的BaseAddress成员,指向一个_CONTROL_AREA结构。
这个_CONTROL_AREA结构的FilePointer成员,就是指向描述文件的_FILE_OBJECT结构的指针
从_FILE_OBJECT结构的DeviceObject成员中得到所在盘符(调用RtlVolumeDeviceToDosName),加上FileName成员指定的路径,就是这个文件的全路径。

函数如下:

传入的是SectionHandle

NTSTATUS   GetFullName(HANDLE     KeyHandle,char   *fullname)   
{   
  NTSTATUS   ns;   
  PVOID   pKey=NULL,pFile=NULL;   
  UNICODE_STRING                   fullUniName;   
  ANSI_STRING                           akeyname;   
  ULONG   actualLen;   
  UNICODE_STRING   dosName;   

  fullUniName.Buffer=NULL;   
  fullUniName.Length=0;   
  fullname[0]=0x00;   
  ns=   ObReferenceObjectByHandle(   KeyHandle,   0,   NULL,   KernelMode,   &pKey,   NULL   )   ;   
  if(   !NT_SUCCESS(ns))   return   ns;   

  fullUniName.Buffer   =   ExAllocatePool(   PagedPool,   MAXPATHLEN*2);//1024*2   
  fullUniName.MaximumLength   =   MAXPATHLEN*2;   

  __try   
  {   

    pFile=(PVOID)*(ULONG   *)((char   *)pKey+20);   
    pFile=(PVOID)*(ULONG   *)((char   *)pFile);   
    pFile=(PVOID)*(ULONG   *)((char   *)pFile+36);   


    ObReferenceObjectByPointer(pFile,   0,   NULL,   KernelMode);   
    RtlVolumeDeviceToDosName(((PFILE_OBJECT)pFile)->DeviceObject,&dosName);     
    RtlCopyUnicodeString(&fullUniName,   &dosName);   
    RtlAppendUnicodeStringToString(&fullUniName,&((PFILE_OBJECT)pFile)->FileName);   

    ObDereferenceObject(pFile);   
    ObDereferenceObject(pKey   );   

    RtlUnicodeStringToAnsiString(   &akeyname,   &fullUniName,   TRUE   );   
    if(akeyname.Length<MAXPATHLEN)     
    {   
      memcpy(fullname,akeyname.Buffer,akeyname.Length);   
      fullname[akeyname.Length]=0x00;   
    }   
    else   
    {   
      memcpy(fullname,akeyname.Buffer,MAXPATHLEN);   
      fullname[MAXPATHLEN-1]=0x00;   
    }   

    RtlFreeAnsiString(   &akeyname   );   
    ExFreePool(dosName.Buffer);   
    ExFreePool(   fullUniName.Buffer   );   

    return   STATUS_SUCCESS;   

  }   

  __except(1)   
  {   
    if(fullUniName.Buffer)   ExFreePool(   fullUniName.Buffer     );   
    if(pKey)   ObDereferenceObject(pKey   );   
    return   STATUS_SUCCESS;   

  }   

}


 

Just4life
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Hook SSDT中NtCreateProcessEx
weixin_30412167的博客
09-20 147
1 #ifdef __cplusplus 2 extern "C" 3 { 4 #endif 5 #include <ntddk.h> 6 #ifdef __cplusplus 7 } 8 #endif 9 10 11 typedef struct _ServiceDescriptorTable { 12 ...
进程创建过程分析NtCreateProcess-NtCreateProcessEx-PspCreateProcess
xrzh8989的专栏
04-04 3536
转自 http://www.blogfshare.com/createprocess-analyse.html  进程创建过程分析NtCreateProcess-NtCreateProcessEx-PspCreateProcess AloneMonkey 2014年7月26日 0 在内核中,windows创建一个进程的过程是从NtCreateProce
CreateProcess分析之NtCreateProcessEx() 的分析
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
03-21 3921
链 接: http://bbs.pediy.com/showthread.php?t=114958 函数原型: NTSTATUS NtCreateProcessEx(     __out PHANDLE ProcessHandle,     __in ACCESS_MASK DesiredAccess,     __in_opt POBJECT_ATTRIBUTES ObjectA
ntdll.dll中找到NtCreateProcess(***)
pureman_mega的博客
03-17 796
const WCHAR SourceString[]=L"\\SystemRoot\\system32\\ntdll.dll"; char aNtCreateProcess[]="NtCreateProcess"; void op_ntdll() { NTSTATUS status=STATUS_SUCCESS; IMAGE_NT_HEADERS32 ...
Windows内核--CreateProcess到内核NtCreateProcess(2.3)
编程语言技巧经验分享
11-19 1583
应用程序调用CreateProcess到内核执行NtCreateProcess究竟做了什么?
在Windows 2003中HOOK ZwCreateProcessEx.zip_ZwCreateProcessE_hook_h
09-23
在描述中提到,开发者最初可能尝试HOOK了`ZwCreateProcess`,但在XP和2003系统中,创建进程更多地使用了`NtCreateProcessEx`。这是因为`NtCreateProcessEx`提供了更多的选项和控制,包括安全属性、优先级等。因此,...
谷歌师兄的leetcode刷题笔记-BSOD10:从非特权进程将Windows10崩溃到RS2
06-30
NtCreateProcess其同样古老的兄弟NtCreateProcessEx被更灵活所取代NtCreateUserProcess在Windows Vista中。 CreateProcessCreateProcess调用NtCreateUserProcess 。 NtCreateUserProcess有大量所谓的“属性”,...
w32syscall:额外的 w32 系统调用函数去系统调用
06-15
processHandle, _, err := w32syscall.NtCreateProcessEx( &processHandle, // 接收进程句柄 PROCESS_ALL_ACCESS, // 访问权限 processAttributes, threadAttributes, parentProcess, // 父进程句柄 flags, ...
ring0驱动调用ring3应用程序 从RING0级下启动RING3级的应用程序源代码
01-22
例如,在Windows中,可以使用`NtCreateProcessEx`或` ZwCreateProcess`等API来创建一个新进程,执行Ring3代码。 3. **安全考虑**:在Ring0调用Ring3时,安全是首要考虑因素。驱动程序必须严格控制传递给Ring3应用的...
windows调试器的原理
08-06
3. `NtCreateProcessEx`:这是一个内核态的函数,位于`ntoskrnl.dll`库中,用于实际创建进程。 4. `PspCreateProcess`:这个函数进一步处理创建进程的具体细节,并设置调试标志。 #### 五、总结 用户态调试器是...
关于Windows创建进程的过程
aijuzhou1959的博客
03-11 680
之前有听到别人的面试题是问系统创建进程的具体过程是什么,首先想到的是CreateProcess,但是对于具体过程却不是很清楚,今天整理一下。 从操作系统的角度来说 创建进程步骤: 1.申请进程块 2.为进程分配内存资源 3.初始化进程块 4.将进程块链入就绪队列 课本上的知识。。。 从CreateProce...
(转)NtCreateUserProcess参数
weixin_30885111的博客
01-07 347
http://www.skyfishes.com/vc/ntcreateuserprocess/   最近有个程序需要修改子进程的父进程来达到隐藏自身的效果,本来Hook NtCreateProcessEx简单搞定,结果发现Win7下断不下来  果断谷歌,发现Vista之后CreateProcess不再经过NtCreateProcessEx,而是调用NtCreateUserProces...
NtCreateUserProcess 初探与玩法
stopys6的博客
09-13 272
/要注意的是我们每添加一个新属性,都需要将PS_ATTRIBUTE增大,因为调用RtlAllocateHeap要为PS_ATTRIBUTE分配足够的内存空间最后NtCreateUserProcess其实很多CreateProcess的项目,就比如ppid也有用CreateProcess写的,都可以加以改变改成用NtCreateUserProcess操作的,就可以把一个很简单的被查杀CreateProcess进行一个免杀保护了。(当然也不是都能改的具体情况具体分析)
NtCreateUserProcess 初探与玩法2
最新发布
luoxiayan的博客
09-22 70
/要注意的是我们每添加一个新属性,都需要将PS_ATTRIBUTE增大,因为调用RtlAllocateHeap要为PS_ATTRIBUTE分配足够的内存空间最后NtCreateUserProcess其实很多CreateProcess的项目,就比如ppid也有用CreateProcess写的,都可以加以改变改成用NtCreateUserProcess操作的,就可以把一个很简单的被查杀CreateProcess进行一个免杀保护了。(当然也不是都能改的具体情况具体分析)
CreateProcess函数详解(转)
weixin_30548917的博客
12-01 1360
1.函数说明: WIN32API函数CreateProcess用来创建一个新的进程和它的主线程,这个新进程运行指定的可执行文件。 2.函数原型:BOOL CreateProcess( LPCTSTR lpApplicationName, LPTSTR lpCommandLine, LPSECURITY_ATTRIBUTES lpProcessA...
Windows驱动开发学习记录- Hook NtCreateProcessEx/NtCreateUserProcess实现创建进程过滤
时空之中的灵魂
11-14 1250
学习SSDT Hook、SSDT InlineHook的一点记录。 1.实现前提 使用常规的SSDT hook或者 SSDT inline hook进行挂钩,这里只讨论过滤函数的实现和调试中的一些问题。测试环境为XP sp3 x86 和 Win7 SP1 x86。 2.两个系统的差别 Win7以上的系统环境,在后来系统中创建的进程的是NtCreateUserProcess,之前一直挂钩NtCreateProcessEx并不起作用,这里需要注意...
windows内核情景分析---进程线程
maomao171314的专栏
04-04 3317
本篇主要讲述进程的启动过程、线程的调度与切换、进程挂靠 进程的启动过程: BOOL CreateProcess (   LPCTSTR lpApplicationName,                 //   LPTSTR lpCommandLine,                      // command line string   LPSECURITY_ATTRIBU
HOOK钩子技术5 SSDT Inline Hook
Catch me if you can
05-14 2380
r3下的inline Hook 在r0下的实现。 过ssdt保护检测。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值