hook方式进程创建监控,进程保护

最新推荐文章于 2022-04-19 17:15:47 发布
最新推荐文章于 2022-04-19 17:15:47 发布
阅读量3k 收藏 9
点赞数
分类专栏: 内核 驱动开发 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youyou519/article/details/90706852
版权
windows 同时被 3 个专栏收录
105 篇文章 15 订阅
订阅专栏
内核
85 篇文章 6 订阅
订阅专栏
驱动开发
83 篇文章 9 订阅
订阅专栏

关于进程创建,

xp系统:CreatProcessW->CreateProcessInternalW->NtCreateProcessEx->NtCreatSection

Vista以上:CCreatProcessW->CreateProcessInternalW->NtCreateUserProcess->NtCreateSection

所以我们要HookNtCreateSection

而系统调用NtCreateSecton时有多种情况,不只是创建进程时,我们要过滤排除掉其他情况。

发现只有

(Protect (PAGE_EXECUTE/*|PAGE_EXECUTE_READ|PAGE_EXECUTE_READWRITE|PAGE_EXECUTE_WRITECOPY*/)&&(Attributes == SEC_IMAGE) && FileHandle)

发现这些可以在创建进程时windbg在此下断,观察参数,或者去看wrk,reactos代码。

还要去得到子进程路径。

另外其实使用文件过滤监控IRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONIZATION更好,这个函数会走这个IRP。因为通过过滤支持x64,ssdthook只支持x86.或者使用回调PsSetCreateProcessNotifyRoutineEx。注册回调,这样在进程创建时候回调用他。

监控代码片段

NTSTATUS NTAPI HOOK_NtCreateSection(PHANDLE SectionHandle,
				  ACCESS_MASK DesiredAccess,
				  POBJECT_ATTRIBUTES ObjectAttributes,
				  PLARGE_INTEGER SectionSize,
				  ULONG Protect,
				  ULONG Attributes,
				  HANDLE FileHandle)//代理函数 
{
	PFILE_OBJECT    			FileObject = NULL; 
	POBJECT_NAME_INFORMATION 	wcFilePath = NULL;
	ANSI_STRING 				dst = {0};
	UNICODE_STRING				ustrProcessPath = {0};
	WCHAR						wszProcessPath[MAX_PATH] = {0};
	NTSTATUS					ntStatus = 0;

	__try
	{
		if (Protect & (PAGE_EXECUTE/*|PAGE_EXECUTE_READ|PAGE_EXECUTE_READWRITE|PAGE_EXECUTE_WRITECOPY*/)&&
			(Attributes == SEC_IMAGE) && 
		    FileHandle)
		{
			if (NT_SUCCESS(ObReferenceObjectByHandle(FileHandle,0,NULL,KernelMode,&FileObject,NULL)))//获取文件对象,这里类型最好不要传NULL,不然会有问题
			{
				//获取FileObject对应的文件全路径
				if (IoQueryFileDosDeviceName(FileObject, &wcFilePath)==STATUS_SUCCESS)//获取文件对象所对应的文件Dos设备名称,即是全路径
				{
					if (RtlCompareMemory(wcFilePath->Name.Buffer+wcFilePath->Name.Length/2-wcslen(L"Winobj.exe"),L"Winobj.exe",wcslen(L"Winobj.exe")*sizeof(WCHAR))==wcslen(L"Winobj.exe")*sizeof(WCHAR)
						&& RtlCompareMemory(wcFilePath->Name.Buffer+wcFilePath->Name.Length/2-wcslen(L"PopupClient.exe"),
						L"PopupClient.exe",wcslen(L"PopupClient.exe")*sizeof(WCHAR))!=wcslen(L"PopupClient.exe")*sizeof(WCHAR))//这里是例子只监控Winobj.exe
					{
						DbgPrint("Target:%wZ\n",&wcFilePath->Name);//子进程
						//PPID = HandleToUlong(PsGetCurrentProcessId());
						ustrProcessPath.Buffer = wszProcessPath;
						ustrProcessPath.Length = 0;
						ustrProcessPath.MaximumLength = sizeof(wszProcessPath);
						ntStatus = ntGetProcessFullNameByPid(PsGetCurrentProcessId(), &ustrProcessPath);//父进程路径,就是当前路径
						DbgPrint("Parent:%wZ\n", &ustrProcessPath);
						if (NT_SUCCESS(ntStatus))
						{
							if (GetResultFromUser()==R3Result_Pass)
							{
								ntStatus = OldZwCreateSection(
												SectionHandle,
												DesiredAccess,
												ObjectAttributes,
												SectionSize,
												Protect,
												Attributes,
												FileHandle);
								ObDereferenceObject(FileObject);//放弃对FileObject的引用
								ExFreePool(wcFilePath);
								return ntStatus;	
							}
							ObDereferenceObject(FileObject);//放弃对FileObject的引用
							ExFreePool(wcFilePath);
							return STATUS_SUCCESS;
						}
					}
					ExFreePool(wcFilePath);//IoQueryFileDosDeviceName获取的OBJECT_NAME_INFORMATION 需要手动释放
				}
				ObDereferenceObject(FileObject);//放弃对FileObject的引用
			}        
		}
	}
	__except(EXCEPTION_EXECUTE_HANDLER)
	{

	}
	return OldZwCreateSection(SectionHandle,DesiredAccess,ObjectAttributes,SectionSize,Protect,Attributes,FileHandle);
}

 

注意点

if (NT_SUCCESS(ObReferenceObjectByHandle(FileHandle,0,NULL,KernelMode,&FileObject,NULL)))//获取文件对象,这里类型最好不要传NULL,不然会有问题

进程保护

在应用层杀死进程使用的是TerminateProcess,这个函数在0环使用的是ZwTerminateProcess,所以我们可以hookZwTerminateProcess

可以在用户层获得我们要保护的进程的PID,发到我们的内核里来,然后保存在一个数组里面,存着我们要保护进程的PID。然后每次hookZwTerminateProcess比对PID,但是ZwTerminateProcess只有handle,ObReferenceObjectByHandle拿到EPROCESS,调用PsGetProcessId拿到进程PID。然后去数组比对。

代码片段

NTSTATUS Hook_ZwTerminateProcess(
	__in_opt HANDLE ProcessHandle,
	__in NTSTATUS ExitStatus
	)
{
	ULONG 			uPID = 0;
	NTSTATUS 		ntStatus = 0;
	PEPROCESS 		pEProcess = NULL;

	ntStatus = ObReferenceObjectByHandle(ProcessHandle, FILE_READ_DATA, NULL, KernelMode, &pEProcess, NULL);
	if(!NT_SUCCESS(ntStatus))
	{
		return ntStatus;
	}


	uPID = (ULONG)PsGetProcessId(pEProcess);

	if(ValidateProcessNeedProtect(uPID) != -1)//不是当前进程PID,为了客户端自己关自己
	{
		if(uPID != (ULONG)PsGetProcessId(PsGetCurrentProcess()))
		{
			return STATUS_ACCESS_DENIED;
		}
	}
	ntStatus = OldZwTerminateProcess(ProcessHandle, ExitStatus);

	return ntStatus;
}

或者通过回调保护进程,通过obRegisterCallbacks注册回调,https://bbs.pediy.com/thread-168023.htm

结束任务的保护:

窗口标题不为空的程序,都会在任务列表中显示。

结束任务:使用SendMessageTimeoutW发送WM_CLOSE消息,并这顶超时时间500ms,超过走EndTask。

解决方法:我们就可以将标题SetWindowText(_T(""))为空,驱动里面hook NtOpenProcess,NtTerminateProcess

过滤WM_CLOSE消息,在虚函数Pre TranslateMessage里

BOOL CXXXDlg::PreTranslateMessage(MSG* pMSG)
{
    if(pMsg->message==WM_CLOSE)//过滤掉WM_CLOSE
    {
        return TRUE;
    }
    
}

 

kernweak
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
进程创建监控x86
zhuhuibeishadiao
04-10 603
Hook_ZwCreateSection XP: CreateProcessW CreateProcessInternalW NtCreateProcessEx ZwCreateSection VISTA以上: CreateProcessW CreateProcessInternalW NtCreateUserProcess ZwCreateSection
进程创建监控
zzmzzff的博客
03-28 664
上次讲了下进程保护原理,这次讲一下进程监控。监视进程创建,也就是监视EXE程序启动,就要hook创建进程的API,创建进程的API有ntdll!ZwCreateProcessEx、ZwCreateSection、ZwCreateThread等,kernel32里有CreateProcessA(W)和CreateProcessInternalA(W),hook ZW函数比较麻烦,因为那时进...
通过API HOOK 创建SYSTEM用户进程
chenhui530的专栏
12-13 5579
  clsHookInfo.clsVERSION 1.0 CLASSBEGIN  MultiUse = -1  True  Persistable = 0  NotPersistable  DataBindingBehavior = 0  vbNone  DataSourceBehavior  = 0  vbNone  MTSTransactionMode  = 0  NotAn
内核模式简单实现进程监控
wxl1986622的专栏
06-07 827
内核模式简单实现进程监控 2009-04-08 08:06:43     我来说两句  收藏    我要投稿    [字体:小 大] 注:本文已发表在2009年第3期《黑客防线》,转载请注明来源。      在使用冰刃的时候我们可以发现它有一个“监视进线程创建”的功能,这个功能挺有用的,在用户模式下我们可以注册一个shell钩子来监视,或者通过挂钩一些进程创建
hook api 保护进程
Delphizhou 的专栏
10-18 3996
hook api 保护进程 用过卡巴斯基的朋友都知道,卡巴斯基的进程是无法杀掉的,在任务管理器中杀卡巴进程的话,会弹出一个消息框提示拒绝访问!那么这是怎么实现的呢?很简单,就是使用了HOOK API的方法。兄弟门,做毒别做地根武汉那小子那么傻,有本事你也得搁着点,别去进局子!我用delphi来写程序好了,先写个dll。const  PRG_NAME = ddos.exe
APIHOOK拦截指定进程创建进程
06-06
APIHOOK拦截指定进程创建进程。@按键精灵。
易语言-APIHOOK拦截指定进程创建进程
06-25
在易语言编程环境中,我们可以利用APIHOOK技术来实现对指定进程创建进程的拦截。易语言,作为一款中国本土开发的编程语言,以其简单易学的语法特性,使得即使是初学者也能快速掌握API Hook的基本原理和应用。 API...
ssdt_hook.rar_SSDT 进程保护_ssdt_ssdt hook_进程保护
09-22
进程保护方面,SSDT Hook能够有效地防止恶意代码篡改或劫持系统服务,从而保护目标进程的正常运行。例如,它可以监测并阻止试图关闭或修改受保护进程的行为。此外,通过hook关键的系统服务,如进程创建、线程注入...
Hook ssdt.rar_HookSSDT_hook_ssdt_进程保护_驱动保护
09-25
Hook SSDT允许开发者在系统服务调用之前或之后插入自定义代码,以实现特定的功能,如监控系统行为、提升权限或者进行进程保护和驱动保护。 **什么是SSDT?** System Service Dispatch Table(系统服务调度表)是...
Hook_ZwDuplicateObject_Protect.zip_ZwDuplicateObject_hook 进程_进程
09-21
在IT领域,尤其是在系统安全和软件开发中,"Hook_ZwDuplicateObject_Protect"是一个重要的概念,它涉及到Windows操作系统的内核级钩子技术,尤其是针对ZwDuplicateObject函数的钩子设置,以及进程保护策略。...
基于Hook进程监控的设计与实现
02-22
本文在分析钩子的工作原理和使用钩子的关键技术点基础上,利用Windows 提供的消息钩子函数设计并实现了一个进程监控程序,分析了程序的实现过程,给出了程序的监控效果及不足之处。
全局监控进程创建and禁止结束某进程
编程论坛
06-12 1620
32位系统直接传统Hook就Ok了,但是64位系统就不行了,需要改动一下汇编代码64位系统Hook需求1.目标进程64位2.注入程序64位3.dll64位以上条件必须都满足方可Hook64程序--------------------------------------------------------------------------------------------------------...
LightDB/PosgreSQL的Hook机制
zhouhuajun的专栏
04-19 2352
hook是一系列的回调函数,在插件中可以注册这些回调函数来为系统的各个处理环节插入逻辑代码用来实现想要的功能。 这样就可以在不修改内核代码的情况下,通过插件为内核增加功能。pg_stat_statements插件就通过这些hook函数获得sql执行及统计信息。 hook函数在实现上比较简单,它们是一系列的全局函数指针,数据库在适当环节会判断对应的hook是否被设置了,如果已经设置,则会调用这个函数。 以post_parse_analyze_hook为例,这个hook会在系统构造好查询树后调用,插件可以在系统
进程强杀
kernweak的博客
05-28 746
应用层杀进程会调用terminateProcess,往下会调用zwterminateProcess,再往下 PsTerminateProcess->PspTerminateProcess->PspTerminateThreadByPoint->PspExitThread 所以我们想调用PspTerminateProcess(再往下就是线程函数了),但是未导出。所以只能暴力搜索...
HOOK TerminateProcess:
一花一世界
07-12 3676
     做的那个HOOK TerminateProcess函数的程序终于有点模样了, 比较喜欢JMP方式的彻底,所以就用了。美中不足的就是不能指定要保护进程,因我在取TerminateProcess的参数时出现了一个怎么也想不通的问题,同样的一个位置,系统自带的任务管理器和sysinternals的ProcessEXp竟然会有不同的解释,对于此函数来说[ESP+8]处保存的应该是进
关于Windows创建进程的过程
aijuzhou1959的博客
03-11 673
之前有听到别人的面试题是问系统创建进程的具体过程是什么,首先想到的是CreateProcess,但是对于具体过程却不是很清楚,今天整理一下。 从操作系统的角度来说 创建进程步骤: 1.申请进程块 2.为进程分配内存资源 3.初始化进程块 4.将进程块链入就绪队列 课本上的知识。。。 从CreateProce...
C/C++:Windows编程—IAT Hook实例(程序启动拦截)
重庆李四
01-08 3182
C/C++:Windows编程—IAT Hook实例(程序启动拦截) 前言+思路 本文默认读者有IAT Hook的相关的基础知识了哈,记录笔者在IAT Hook实战中遇到到问题以及解决思路。 笔者想实现一个功能能够拦截到程序的启动。经过调研,大多程序如果是通过双击或者鼠标启动的 一般都是有 Windows资源管理器explorer.exe进程进行创建的。最近刚好学习了IAT Hook就用IAT H...
驱动Hook ZwTerminateProcess(mdl方式
qq1134993111的专栏
09-21 1771
http://www.cnblogs.com/zhujian198/archive/2010/08/16/1800760.html #include "ntddk.h" typedef struct _SERVICE_DESCRIPTOR_TABLE {     PULONG ServiceTableBase;     PULONG ServiceCounterTab
APIHOOK之拦截TerminateProcess
sanshao27的专栏
05-18 2451
用SetWindowsHooKEx加载修改进程IAT的DLL实现OpenProcess拦截,导致Explorer或taskmgr出错? [ 来源:ITWENKU 时间:2006-11-16 17:52:10 | 浏览:1人次 ]
hook进程创建函数 监控 拦截 进程
最新发布
09-01
Hook进程创建函数是一种监控和拦截进程的技术。当一个进程创建时,操作系统会调用相应的进程创建函数来执行一系列的操作,例如分配内存、初始化资源等。通过hook进程创建函数,我们可以在进程创建的过程中插入自定义的代码,从而实现对进程监控和拦截。 通过hook进程创建函数,我们可以实现以下功能: 1. 监控进程创建:通过hook进程创建函数,我们可以记录下每个进程创建情况,包括进程的名称、进程ID等信息。这对于进程管理、调试和安全审计等方面都非常有用。 2. 拦截进程创建:当我们希望阻止某个进程创建时,可以通过hook进程创建函数实现进程的拦截。例如,某些恶意程序会通过创建进程方式进行传播,我们可以通过hook进程创建函数拦截这些进程创建,从而保护系统的安全。 3. 修改进程创建参数:通过hook进程创建函数,我们可以修改进程创建参数,例如修改程序的启动参数、运行环境等。这对于进程的定制化和优化非常有用。 4. 绕过进程创建限制:有些情况下,操作系统会对进程创建做一些限制,例如限制某个程序创建进程数量、限制进程的权限等。通过hook进程创建函数,我们可以绕过这些限制,实现一些我们需要的功能。 总之,hook进程创建函数是一种非常有用的技术,可以实现对进程监控和拦截。通过插入自定义代码来实现各种功能,从而对进程进行管理和控制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值