windows创建进程的3种方式下各API调用层次

最新推荐文章于 2023-11-10 17:23:02 发布
最新推荐文章于 2023-11-10 17:23:02 发布
阅读量742 收藏
点赞数
文章标签: 操作系统 java shell
原文链接:https://my.oschina.net/u/1777508/blog/1795240
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

今天对创建进程的3种方式进行了跟踪:

调用api,createprocess

createprocess-createprocessinternala-createprocessinternalw

调用api,shell:

shellexecute- createprocessw-createprocessinternalw,

创建com方式(脚本病毒常用手法):

createobject("wscript.shell").run- createprocessw-createprocessinternalw

 

 

验证方式如下(createprocess,其它不再列举),以下内容来自OD:

kernel32位置:

73FD44B0 >    8BFF          mov edi,edi

73FD44B2   .  55            push ebp

73FD44B3   .  8BEC          mov ebp,esp

73FD44B5   .  5D            pop ebp

73FD44B6   .- FF25 1C140374 jmp [dword ds:<&api-ms-win-core-processt>;  KernelBa.CreateProcessA

 

进入kernelba位置:

76629010 >  8BFF            mov edi,edi

76629012    55              push ebp

76629013    8BEC            mov ebp,esp

76629015    6A 00           push 0x0

76629017    FF75 2C         push [dword ss:ebp+0x2C]

7662901A    FF75 28         push [dword ss:ebp+0x28]

7662901D    FF75 24         push [dword ss:ebp+0x24]

76629020    FF75 20         push [dword ss:ebp+0x20]

76629023    FF75 1C         push [dword ss:ebp+0x1C]

76629026    FF75 18         push [dword ss:ebp+0x18]

76629029    FF75 14         push [dword ss:ebp+0x14]

7662902C    FF75 10         push [dword ss:ebp+0x10]

7662902F    FF75 0C         push [dword ss:ebp+0xC]

76629032    FF75 08         push [dword ss:ebp+0x8]

76629035    6A 00           push 0x0

76629037    E8 94000000     call KernelBa.CreateProcessInternalA

7662903C    5D              pop ebp

7662903D    C2 2800         retn 0x28

 

在OD中并不标注createprocessinternalW名称,但是到达这里之后,EIP可以看到标注,也可以在模块的name list中定位到,在KernelBa模块中,以下地址为createprocessinternalW

766290D0 >  68 90000000     push 0x90

766290D5    68 303A6376     push KernelBa.76633A30

766290DA    E8 D56CF9FF     call KernelBa.765BFDB4

766290DF    33DB            xor ebx,ebx

766290E1    895D E0         mov [dword ss:ebp-0x20],ebx

766290E4    8B55 10         mov edx,[dword ss:ebp+0x10]

766290E7    85D2            test edx,edx

766290E9    74 11           je XKernelBa.766290FC

766290EB    8D4D BC         lea ecx,[dword ss:ebp-0x44]

766290EE    E8 B491F6FF     call KernelBa.765922A7

766290F3    85C0            test eax,eax

766290F5    75 0D           jnz XKernelBa.76629104

766290F7    E9 D5020000     jmp KernelBa.766293D1

766290FC    33C0            xor eax,eax

766290FE    8945 BC         mov [dword ss:ebp-0x44],eax

76629101    895D C0         mov [dword ss:ebp-0x40],ebx

76629104    64:A1 30000000  mov eax,[dword fs:0x30]

7662910A    8B40 18         mov eax,[dword ds:eax+0x18]

7662910D    8945 E4         mov [dword ss:ebp-0x1C],eax

76629110    8945 C8         mov [dword ss:ebp-0x38],eax

76629113    33C0            xor eax,eax

76629115    8945 B4         mov [dword ss:ebp-0x4C],eax

76629118    895D B8         mov [dword ss:ebp-0x48],ebx

7662911B    8945 AC         mov [dword ss:ebp-0x54],eax

7662911E    895D B0         mov [dword ss:ebp-0x50],ebx

76629121    6A 11           push 0x11

76629123    59              pop ecx

76629124    8B75 2C         mov esi,[dword ss:ebp+0x2C]

76629127    8DBD 60FFFFFF   lea edi,[dword ss:ebp-0xA0]

7662912D    F3:A5           rep movs [dword es:edi],[dword ds:esi]

7662912F    8D85 60FFFFFF   lea eax,[dword ss:ebp-0xA0]

76629135    8945 C4         mov [dword ss:ebp-0x3C],eax

76629138    C785 60FFFFFF 4>mov [dword ss:ebp-0xA0],0x48

76629142    899D 64FFFFFF   mov [dword ss:ebp-0x9C],ebx

76629148    899D 68FFFFFF   mov [dword ss:ebp-0x98],ebx

7662914E    899D 6CFFFFFF   mov [dword ss:ebp-0x94],ebx

76629154    8B7D 2C         mov edi,[dword ss:ebp+0x2C]

76629157    F745 20 0000080>test [dword ss:ebp+0x20],0x80000

7662915E    74 08           je XKernelBa.76629168

76629160    8B47 44         mov eax,[dword ds:edi+0x44]

76629163    8945 A4         mov [dword ss:ebp-0x5C],eax

76629166    EB 03           jmp XKernelBa.7662916B

76629168    895D A4         mov [dword ss:ebp-0x5C],ebx

7662916B    895D FC         mov [dword ss:ebp-0x4],ebx

7662916E    33F6            xor esi,esi

76629170    46              inc esi

76629171    8975 FC         mov [dword ss:ebp-0x4],esi

76629174    8B55 0C         mov edx,[dword ss:ebp+0xC]

76629177    85D2            test edx,edx

76629179    74 1C           je XKernelBa.76629197

7662917B    8D4D B4         lea ecx,[dword ss:ebp-0x4C]

7662917E    E8 2491F6FF     call KernelBa.765922A7

76629183    85C0            test eax,eax

76629185    75 10           jnz XKernelBa.76629197

76629187    8BF3            mov esi,ebx

76629189    8975 E0         mov [dword ss:ebp-0x20],esi

7662918C    895D FC         mov [dword ss:ebp-0x4],ebx

7662918F    8B7D E4         mov edi,[dword ss:ebp-0x1C]

76629192    E9 2C020000     jmp KernelBa.766293C3

76629197    8B55 28         mov edx,[dword ss:ebp+0x28]

7662919A    85D2            test edx,edx

7662919C    74 0C           je XKernelBa.766291AA

7662919E    8D4D AC         lea ecx,[dword ss:ebp-0x54]

766291A1    E8 0191F6FF     call KernelBa.765922A7

766291A6    85C0            test eax,eax

766291A8  ^ 74 DD           je XKernelBa.76629187

766291AA    8B47 04         mov eax,[dword ds:edi+0x4]

766291AD    85C0            test eax,eax

766291AF    0F84 AF000000   je KernelBa.76629264

766291B5    C745 FC 0200000>mov [dword ss:ebp-0x4],0x2

766291BC    50              push eax

766291BD    8D45 D4         lea eax,[dword ss:ebp-0x2C]

766291C0    50              push eax

766291C1    FF15 18836476   call [dword ds:<&ntdll.RtlInitAnsiString>; ntdll.RtlInitAnsiStringEx

766291C7    8945 DC         mov [dword ss:ebp-0x24],eax

766291CA    8975 FC         mov [dword ss:ebp-0x4],esi

766291CD    85C0            test eax,eax

766291CF    79 09           jns XKernelBa.766291DA

766291D1    8BC8            mov ecx,eax

766291D3    E8 2887F6FF     call KernelBa.76591900

766291D8  ^ EB AD           jmp XKernelBa.76629187

766291DA    A1 34806476     mov eax,[dword ds:<&ntdll.NlsMbCodePageT>

766291DF    8038 00         cmp [byte ds:eax],0x0

766291E2    74 0C           je XKernelBa.766291F0

766291E4    8D45 D4         lea eax,[dword ss:ebp-0x2C]

766291E7    50              push eax

766291E8    FF15 54876476   call [dword ds:<&ntdll.RtlxAnsiStringToU>; ntdll.RtlxOemStringToUnicodeSize

766291EE    EB 0B           jmp XKernelBa.766291FB

766291F0    0FB745 D4       movzx eax,[word ss:ebp-0x2C]

766291F4    8D0445 02000000 lea eax,[dword ds:eax*2+0x2]

766291FB    66:8945 CE      mov [word ss:ebp-0x32],ax

766291FF    0FB7C0          movzx eax,ax

76629202    50              push eax

76629203    53              push ebx

76629204    8B75 E4         mov esi,[dword ss:ebp-0x1C]

76629207    56              push esi

76629208    FF15 F4826476   call [dword ds:<&ntdll.RtlAllocateHeap>] ; ntdll.RtlAllocateHeap

7662920E    8985 64FFFFFF   mov [dword ss:ebp-0x9C],eax

76629214    85C0            test eax,eax

76629216    75 07           jnz XKernelBa.7662921F

76629218    B9 170000C0     mov ecx,0xC0000017

7662921D  ^ EB B4           jmp XKernelBa.766291D3

7662921F    8945 D0         mov [dword ss:ebp-0x30],eax

76629222    53              push ebx

76629223    8D45 D4         lea eax,[dword ss:ebp-0x2C]

76629226    50              push eax

76629227    8D45 CC         lea eax,[dword ss:ebp-0x34]

7662922A    50              push eax

7662922B    FF15 2C806476   call [dword ds:<&ntdll.RtlAnsiStringToUn>; ntdll.RtlAnsiStringToUnicodeString

76629231    8945 DC         mov [dword ss:ebp-0x24],eax

76629234    85C0            test eax,eax

76629236    79 2F           jns XKernelBa.76629267

76629238  ^ EB 97           jmp XKernelBa.766291D1

7662923A    8B45 EC         mov eax,[dword ss:ebp-0x14]

7662923D    8B00            mov eax,[dword ds:eax]

7662923F    33C9            xor ecx,ecx

76629241    8138 050000C0   cmp [dword ds:eax],0xC0000005

76629247    0F94C1          sete cl

7662924A    8BC1            mov eax,ecx

7662924C    C3              retn

转载于:https://my.oschina.net/u/1777508/blog/1795240

weixin_34072637
关注
C++ 处理Windows窗口的常用API函数及窗口处理经验总结(附源码)
dvlinker的技术专栏
06-11 278
C++ 处理Windows窗口的常用API函数及窗口处理经验总结(附源码)
Windows进程创建与销毁
mengsiyuan1997的博客
10-23 9270
今天课上做了关于进程创建与控制的实验,简单记录下来:实验题目 ① 掌握Windows进程创建和销毁API调用方法;编程代码,在程序中创建和销毁一个Word进程; ② 能够挂起和激活被创建进程的主线程; ③ 通过Windows进程管理器查看系统进程列表的变化。 实验指导 ①创建进程API BOOL CreateProcess( LPCTSTR lpApplic
Windows进程创建与使用
陈子青的博客
07-08 2194
一般进程可以狭义地被定义为正在运行的程序。程序是计算机指令的集合,它以文件的形式存储在磁盘上,进程通常被定义为一个正在运行的程序的实例,是一个程序在其自身的地址空间中的一次执行活动。 一个程序可以对应多个进程进程是资源申请,高度和独立运行的单位,因此,它使用系统中的运行资源,而程序不能申请系统资源,不能被系统调度也不能作为独立运行的单位,因此它不占系统运行资源。 操作系统用来管理进行的内核对象 内核对象也是系统用来存放关于进程的统计信息的地方,内核对象是操作系统内部分配的一个内存块,该内...
Windows多线程相关API
jike080401的博客
12-25 636
如果想精通WIN下的多线程编程,需要很好的线程原理的基础,但是如果只想初步应用WIN下的多线程的API,这篇文单还是有用的,我目前的情况,也仅是初步使用,而且够用HANDLE WINAPI CreateThread( _In_opt_ LPSECURITY_ATTRIBUTES lpThreadAttributes, _In_ SIZE_T dw
进程简介及相关API
浓烟下的诗歌电台
06-22 1289
进程可以创建另一个进程、某进程可以创建管道、某进程可以将数据写入文件,以及调用exit()以终止进程。以上这些说法,不过是:某进程可以请求内核创建另一个进程
rong3下进程攻击关闭结束小代码(封装dll调用)
10-10
"rong3下进程攻击关闭结束小代码(封装dll调用)"这个主题涉及到的是如何通过编程手段来防止或对抗针对进程的攻击,同时利用DLL(动态链接库)进行功能封装。DLL是一在多个程序之间共享代码和资源的机制,它可以帮助...
OK.rar_VB 控件_VB 读取文本_vb 调用win10 api_发 消息 控件
09-23
然而,有时我们需要更深层次的控制,比如读取非本程序的文本或者操作其他进程中的控件,这时就需要API调用API调用涉及到Win32 API,这是一个庞大的函数库,包含了大量与Windows系统交互的函数。例如,我们可以...
[精通Windows.API-函数、接口、编程实例].(精通Windows.API).范文庆.扫描版
10-14
- **第三部分**(第18章):对全书内容进行总结,并提供了更深层次的技术探讨,如Windows系统调用的内部机制等。 #### 核心知识点解析 ##### 第一部分:Windows程序设计基础 - **第1章:开发环境配置** - **知识...
VisualBasic6.0与Windows API讲座PDF版+源码(3)
10-04
《VisualBasic6.0与Windows API讲座》是一本深入探讨如何在Visual Basic 6.0环境中利用Windows API...通过学习,读者不仅可以掌握API调用技巧,还能提升解决问题的能力,为开发更为复杂的Windows应用程序打下坚实基础。
全局 Hook CreateProcessInternalW 测试 VB版.rar
07-09
纯VB全局 Hook CreateProcessInternalW 测试——进程防火墙,可拦截进程,程序主要是安装一个消息钩子,然后和主程序通讯,可以拦截控制台程序(做了递归注入),搞这些东西好像现在也没什么实际意义,代码写的也乱糟糟的,主要就是闲得慌,纯娱乐一下。
windows调用系统API实现进程创建和文件读写
On The Way
04-08 4447
题目要求:有一个文本文件CommandList.txt,第一行是说明文字:本文件最后一次打开和运行日期是20150407。第二行开始每行是一个可执行程序的名称(含路径)。编写一个应用程序能打开该文件,并顺序执行其中的每个程序,并更新文件第一行中的日期。 代码如下: #include #include #pragma warning(disable:4996) int
windows编程 进程创建销毁和分析
老夏课堂-夏曹俊的技术专栏
11-27 2864
Windows程序设计:进程 进程是一个具有一定独立功能的程序关于某个数据集合的一次运行活动,在Windows编程环境下,主要由两大元素组成: • 一个是操作系统用来管理进程的内核对象。操作系统使用内核对象来存放关于进程的核心信息。 • 另一个是地址空间,在地址空间囊括了所有可执行模块和动态链接库的代码和数据。动态内存分配的空间也在其中,典型代表是线程堆栈和堆内存分配。 1进程与线程 进...
WindowsAPI 进程和线程相关说明
最新发布
Kuangtian的博客
11-10 512
WindowsAPI 进程和线程相关说明
Win10 Hook 进程创建的研究
myjisgreat的专栏
11-21 8234
Win7甚至在它之前开始,想要hook进程创建已经不能简单的HookCreateProcessInternalW这一个函数了,因为Vista开始引入了UAC机制。如果一个进程想要通过UAC弹窗创建管理员进程,hook这个进程CreateProcessInternalW已经不起作用,我在几年前的博文《Win7/VistaHook CreateProcess 的特别之处》(http://blog
Windows内核--CreateProcess到内核NtCreateProcess(2.3)
编程语言技巧经验分享
11-19 1650
应用程序调用CreateProcess到内核执行NtCreateProcess究竟做了什么?
进程创建流程
06-30 1998
;进程创建过程开始 CreateProcessAcall   kernel32!CreateProcessA ;10个参数; BOOL WINAPI CreateProcess(;   __in_opt     LPCTSTR lpApplicationName,;   __inout_opt  LPTSTR lpCommandLine,;   __in_opt     L
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值