PspCreateProcess

最新推荐文章于 2022-07-30 02:07:55 发布
最新推荐文章于 2022-07-30 02:07:55 发布
阅读量1.1k 收藏
点赞数
分类专栏: 内核扯蛋 文章标签: null parameters delete object
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yboytt/article/details/8050543
版权

                                                    围观WRK------------------------------------PspCreateProcess

#if defined(_WIN64)
    INITIAL_PEB32 InitialPeb32;
#endif

    PAGED_CODE();

    CurrentThread = PsGetCurrentThread ();
    PreviousMode = KeGetPreviousModeByThread(&CurrentThread->Tcb);
    CurrentProcess = PsGetCurrentProcessByThread (CurrentThread);

    CreatePeb = FALSE;
    UseLargePages = FALSE;
    DirectoryTableBase[0] = 0;
    DirectoryTableBase[1] = 0;
    Peb = NULL;
    
    //
    // Reject bogus create parameters for future expansion
    //
    if (Flags&~PROCESS_CREATE_FLAGS_LEGAL_MASK) {
        return STATUS_INVALID_PARAMETER;
    }

    //
    // Parent
    //

    if (ARGUMENT_PRESENT (ParentProcess)) {
        Status = ObReferenceObjectByHandle (ParentProcess,
                                            PROCESS_CREATE_PROCESS,
                                            PsProcessType,
                                            PreviousMode,
                                            &Parent,
                                            NULL);
        if (!NT_SUCCESS (Status)) {
            return Status;
        }

        if (JobMemberLevel != 0 && Parent->Job == NULL) {
            ObDereferenceObject (Parent);
            return STATUS_INVALID_PARAMETER;
        }

        Affinity = Parent->Pcb.Affinity;
        WorkingSetMinimum = PsMinimumWorkingSet;
        WorkingSetMaximum = PsMaximumWorkingSet;


    } else {

        Parent = NULL;
        Affinity = KeActiveProcessors;
        WorkingSetMinimum = PsMinimumWorkingSet;
        WorkingSetMaximum = PsMaximumWorkingSet;
    }

    //
    // Create the process object
    //
    Status = ObCreateObject (PreviousMode,
                             PsProcessType,
                             ObjectAttributes,
                             PreviousMode,
                             NULL,
                             sizeof (EPROCESS),
                             0,
                             0,
                             &Process);

    if (!NT_SUCCESS (Status)) {
        goto exit_and_deref_parent;
    }

    //
    // The process object is created set to NULL. Errors
    // That occur after this step cause the process delete
    // routine to be entered.
    //
    // Teardown actions that occur in the process delete routine
    // do not need to be performed inline.
    //

    RtlZeroMemory (Process, sizeof(EPROCESS));
    ExInitializeRundownProtection (&Process->RundownProtect);
    PspInitializeProcessLock (Process);
    InitializeListHead (&Process->ThreadListHead);

#if defined(_WIN64)

    if (Flags & PROCESS_CREATE_FLAGS_OVERRIDE_ADDRESS_SPACE) {
        PS_SET_BITS (&Process->Flags, PS_PROCESS_FLAGS_OVERRIDE_ADDRESS_SPACE);
    }
#endif


 

yboytt
关注
专栏目录
PspCreateProcessNotifyRoutine,PspCreateThreadNotifyRoutine,PspLoadImageNotifyRoutine表全部清空
KernelEx的专栏
08-20 4937
RtlInitUnicodeString(&name,L"PsSetCreateProcessNotifyRoutine");RemoveNotifyRoutine((PVOID)MmGetSystemRoutineAddress(&name));RtlInitUnicodeString(&name,L"PsRemoveCreateThreadNotifyRoutine");Rem
Windows进程与线程---1
For Geek
07-02 1223
概述 相比于Linux中的进程管理,即创建一个线程的同时创建一个进程。而Windows中却不是这样,它是先创建一个进程作为容器,然后创建第一个线程,也就是对于CreateProcess而言,它先调用NtCreateProcess创建进程,然后调用NtCreateThread创建进程的第一个线程。 Windows进程的用户空间 一些重要的宏如下 #define MM_HIGHEST_USER_ADD...
Inlinehook PspCreateProcess
weixin_30783629的博客
05-16 165
InineHook通过修改函数指令实现,此次以内核层的PspCreateProcess()为例。 本来是想写NtCreateProcess()的Inlinehook,但是想到PCHunter对于SSDT和ShadowSSDT的检测,就想试一下PCHunter对于更底层函数的检测功能,虽然最后还是被检测出来了 /桑心。通过查看wrk的源代码,NtCreateprocess() 紧接着调用了NtC...
进程的创建过程——PspCreateProcess逆向
weixin_45678798的博客
07-30 647
创建一个进程是通过NtCreateProcess开始执行的,它通过简单的对参数处理把任务交付给NtCreateProcessEx,然后NtCreateProcessEx检查ProcessHandle句柄是否可写,把真正的创建任务交给PspCreateProcess,所以PspCreateProcess才是真正的创建进程的函数。...
进程创建过程分析NtCreateProcess-NtCreateProcessEx-PspCreateProcess
xrzh8989的专栏
04-04 3668
转自 http://www.blogfshare.com/createprocess-analyse.html  进程创建过程分析NtCreateProcess-NtCreateProcessEx-PspCreateProcess AloneMonkey 2014年7月26日 0 在内核中,windows创建一个进程的过程是从NtCreateProce
Windows的进程创建
tcdddd的专栏
05-11 4376
漫谈兼容内核之十七:再谈Windows的进程创建毛德操  在漫谈之十中。我根据“Microsoft Windows Internals 4e”一书第六章的叙述介绍了Windows的进程创建和映像装入的过程。但是,由于缺乏源代码的支撑,这样的叙述对于只是想对此有个大致了解的读者固然不无帮助,可是对于需要实际从事研发、特别是兼容内核开发的读者就显得过于抽象笼统了。不幸,Window
操作系统实验进程的创建heu.doc
09-27
实验内容包括使用控制台命令创建EOS应用程序的进程,编程创建新进程,以及对`CreateProcess`和`PspCreateProcess`函数的调试。 实验环境为EOS实验系统和WINDOWS XP操作系统。实验流程涵盖了设计思路、算法实现、...
PSP
03-16
NULL 博文链接:https://jason-zh.iteye.com/blog/401641
psp
david286的专栏
11-19 3252
购机指南http://zhidao.baidu.com/question/13948237.html 一、哪个版本好? 新人问的版本一般是指机器的原销售地区码。区码在psp正侧面的条形码上,结尾的一组数字。目前上海常见的机器是1000日版,1001美版,1004欧版,1006港版,1007台版。 日版:在这些版本中,1000日版的数量最少,买的时候要当心是旧翻新的。很多新人以为日版的最好,
CreateProcess分析之NtCreateProcessEx() 的分析
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
03-21 3980
链 接: http://bbs.pediy.com/showthread.php?t=114958 函数原型: NTSTATUS NtCreateProcessEx(     __out PHANDLE ProcessHandle,     __in ACCESS_MASK DesiredAccess,     __in_opt POBJECT_ATTRIBUTES ObjectA
遍历创建进程、创建线程、加载模块的回调函数
weixin_34360651的博客
10-28 216
今天我们首先来看一下最简单的,关于遍历PspCreateProcessNotifyRoutine数组,PspLoadImageNotifyRoutine也同理 这两个数组保存了两组函数地址,它们将在有进程被创建或销毁,有镜像被装载或映射入内存的时候被依次调用, 当然了这两个符号都是未导出的,而且它们的数量在xp和win7下也有所不同,xp<2k3>下最大数...
进程创建时 ObOpenObjectByPointer 导致蓝屏
02-04 2193
找到一篇有关文章,先摘抄下来。剩下最后一段以后再翻译 原文地址:http://uninformed.org/index.cgi?v=1&a=5&p=5 进程执行的临界时段是指在新的进程对象实例被nt!ObCreateObject创建 和该进程对象被nt!ObInsertObject插入到进程对象类型表之间的时段。在该时段尝试获取进程的句柄是不安全的,比如使用nt!ObOpe
windows进程/线程创建过程 --- windows操作系统学习
weixin_33947521的博客
12-06 658
有了之前的对进程和线程对象的学习的铺垫后,我们现在可以开始学习windows下的进程创建过程了,我将尝试着从源代码的层次来分析在windows下创建一个进程都要涉及到哪些步骤,都要涉及到哪些数据结构。   1. 相关阅读材料 《windows 内核原理与分析》 --- 潘爱民 《深入解析windows操作系统(第4版,中文版)》 http://bbs.pediy.com/showthre...
Windows 进程的创建和终止
m0_56069948的博客
07-15 778
创建一个继承需要考虑非常多的点,从用户模式到内核模式的转换,内核对象的构建再回到用户模式与子系统的通信。这个部分牵涉到的内容非常多,也非常值得详细研究。先了解大框架,再来细化其中的每个点。httpshttpshttpshttps。...
如何在驱动程序(SYS)中得到当前进程的完整路径和进程名?(转)
11-15 1058
  首先利用PsGetCurrentProcess或IoGetCurrentProcess函数得到当前进程的句柄,这个句柄是指向_EPROCESS结构的指针,_EPROCESS的结构如下: typedef struct _EPROCESS { KPROCESS Pcb; NTSTATUS ExitStatus; KEVENT LockEvent; DWORD LockCount; QWORD
【旧文章搬运】PspCidTable概述
weixin_30824277的博客
12-26 154
原文发表于百度空间,2009-03-28========================================================================== PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的.但它与每个进程私有的句柄表有以下不同:1.PspCidTable中存放的对象是系统中所有的进线程对象,其索引就是PID和TID2.Psp...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值