CreateProcess进程创建的内核跟踪分析

最新推荐文章于 2023-09-13 13:45:04 发布
最新推荐文章于 2023-09-13 13:45:04 发布
阅读量1k 收藏
点赞数
分类专栏: C/C++ 文章标签: integer c dll 汇编 attributes list
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zjw1989/article/details/5878609
版权
本文详细介绍了CreateProcess函数在Windows内核中的实现过程,包括打开文件映象、创建进程对象、设置内存映象空间、创建线程、初始化地址空间等关键步骤。通过对kernel32.dll和ntoskrnl.exe的反汇编分析,揭示了从用户态到核心态的进程创建流程,涉及NtCreateProcess、RtlCreateUserProcess等多个关键函数的调用和作用。
摘要由CSDN通过智能技术生成

*[标题]:CreateProcess进程创建的内核跟踪分析
*[作者]:gz1X [gz1x(at)tom(dot)com]
*[来自]:中国黑客联盟 [CHU]

   
*[正文]:


[实现流程]
——————————————————————
1.打开需要执行的文件(.exe);
2.创建执行体进程对象; //<-------重点
3.创建初始线程; //<-------重点
4.通知WIN32子系统设置新进程和线程;
5.启动执行体开始执行;
6.完成地址空间的初始化,开始执行程序。


[阶段一]
——————————————————————
当我们调用CreateProcess函数时,需要指定一个文件映象,一般是.exe文件。
CreateProcess第一件事就是打开这个文件,为它创建一个文件映射对象。但是并没有真正映射到内存中。
这里需要注意的是,能创建文件映射对象并不代表文件是有效的win32文件,dll文件也能被成功打开。
显然,如果是dll,CreateProcess将失败。

现在我们来验证,反汇编kernel32.dll,可以看到:
.text:7C802367 CreateProcessA  proc near               ; CODE XREF: LoadModule+126p
//..此处省略
.text:7C80238C                 push    0
.text:7C80238E                 call    CreateProcessInternalA
.text:7C802393                 pop     ebp
.text:7C802394                 retn    28h
.text:7C802394 CreateProcessA  endp
再接着看CreateProcessInternalA函数,跟进去可以看到这里:
.text:7C81DEC2                 call    CreateProcessInternalW
在往里跟,进CreateProcessInternalW的领空,走过:
.text:7C8197A8                 call    ds:NtQueryInformationJobObject
到这里:
.text:7C8197D9                 cmp     [eax], bl
.text:7C8197DB                 jz      loc_7C818CE6
接下来就是关键代码了,挑重点的函数调用列举出来:
.text:7C818D2C                 call    ds:NtAllocateVirtualMemory   //设置内存映象空间;
.text:7C818E6B                 call    ds:RtlDosPathNameToNtPathName_U  //将DOS文件名转换成NT文件名;
.text:7C818F3A                 call    esi ; NtOpenFile   //打开.exe文件;
.text:7C818F71                 call    ds:NtCreateSection   //建立文件映射对象;
.text:7C819098                 call    ds:NtQuerySection   //取得文件映射对象的相关信息;
.text:7C8190E4                 call    LdrQueryImageFileExecutionOptions
检查是否是一个POSIX文件,是则运行POSIX.EXE;
.text:7C819238                 call    ds:NtCreateProcessEx
调用系统函数创建进程执行体。
大致上从函数名再结合上面给出的解释,很容易能猜到各个函数实现的功能,由于各个函数都是未公开的,详细函数声明您可以到:
http://undocumented.ntinternals.net/


[阶段二] -0
——————————————————————
为了方便说明,我们先通过Windbg把当前进程的EPROCESS块结构了解清楚:
0:000> dt _eprocess
ntdll!_EPROCESS
   +0x000 Pcb              : _KPROCESS                      //<------内核进程块
   +0x06c ProcessLock      : _EX_PUSH_LOCK
   +0x070 CreateTime       : _LARGE_INTEGER
   +0x078 ExitTime         : _LARGE_INTEGER
   +0x080 RundownProtect   : _EX_RUNDOWN_REF
   +0x084 UniqueProcessId  : Ptr32 Void //<-------进程标识符
   +0x088 ActiveProcessLinks : _LIST_ENTRY
   +0x090 QuotaUsage       : [3] Uint4B
   +0x09c QuotaPeak        : [3] Uint4B
   +0x0a8 CommitCharge     : Uint4B
   +0x0ac PeakVirtualSize  : Uint4B
   +0x0b0 VirtualSize      : Uint4B
   +0x0b4 SessionProcessLinks : _LIST_ENTRY
   +0x0bc DebugPort        : Ptr32 Void
   +0x0c0 ExceptionPort    : Ptr32 Void
   +0x0c4 ObjectTable      : Ptr32 _HANDLE_TABLE
   +0x0c8 Token            : _EX_FAST_REF //<-------访问令牌
   +0x0cc WorkingSetLock   : _FAST_MUTEX
   +0x0ec WorkingSetPage   : Uint4B
   +0x0f0 AddressCreationLock : _FAST_MUTEX
   +0x110 HyperSpaceLock   : Uint4B
   +0x114 ForkInProgress   : Ptr32 _ETHREAD
   +0x118 HardwareTrigger  : Uint4B
   +0x11c VadRoot          : Ptr32 Void //<-------虚拟地址空间
   +0x120 VadHint          : Ptr32 Void
   +0x124 CloneRoot        : Ptr32 Void
   +0x128 NumberOfPrivatePages : Uint4B
   +0x12c NumberOfLockedPages : Uint4B
   +0x130 Win32Process     : Ptr32 Void //<-------win32子系统进程块
   +0x134 Job              : Ptr32 _EJOB
   +0x138 SectionObject    : Ptr32 Void
   +0x13c SectionBaseAddress : Ptr32 Void
   +0x140 QuotaBlock       : Ptr32 _EPROCESS_QUOTA_BLOCK
   +0x144 WorkingSetWatch  : Ptr32 _PAGEFAULT_HISTORY
   +0x148 Win32WindowStation : Ptr32 Void
   +0x14c InheritedFromUniqueProcessId : Ptr32 Void
   +0x150 LdtInformation   : Ptr32 Void
   +0x154 VadFreeHint      : Ptr32 Void
   +0x158 VdmObjects       : Ptr32 Void
   +0x15c DeviceMap        : Ptr32 Void
   +0x160 PhysicalVadList  :

最低0.47元/天 解锁文章
zjw1989
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【并发编程二】c++创建进程CreateProcess()
junxuezheng的博客
10-30 8044
CreatProcess()需要若干参数来指定新进程的运行方式,但实际使用中多半参数都是用不到的,可以设置为NULL。int main(int argc, char*argv[])_argc 是整型变量,argv 是指向字符串的指针数组。进程相关的API
WinDBG从Ring3到Ring0跟踪CreateFileW的执行流程
sqzxwq的博客
09-03 2474
本次跟踪的系统版本: 调试机(宿主机):WIN7 64位旗舰版 目标机(虚拟机):WIN7 32位旗舰版 1、在虚拟机里打开一个记事本,然后Ctrl+Break中断操作系统 2、在WinDBG中输入!process 0 0 notepad.exe查看记事本进程信息 3、在WinDBG中输入.process /i /p 进程内核对象地址,在本例中则应该输入.pr
hook CreateProcessInternal
07-02
利用inline hook技术挂钩CreateProcessInternal,win7 32/64代码均有
X64 inline hook CreateProcessInternalW
11-24
X64 inline hook explorer.exe-->CreateProcessInternalW监视进程创建. vc2008+WIN7 64测试通过.
全局 Hook CreateProcessInternalW 测试 VB版.rar
07-09
纯VB全局 Hook CreateProcessInternalW 测试——进程防火墙,可拦截进程,程序主要是安装一个消息钩子,然后和主程序通讯,可以拦截控制台程序(做了递归注入),搞这些东西好像现在也没什么实际意义,代码写的也乱糟糟的,主要就是闲得慌,纯娱乐一下。
小试X64 inline HOOK,hook explorer.exe--->CreateProcessInternalW监视进程创建
zwfgdlc的专栏
11-24 1万+
原始函数是这样的 kernel32!CreateProcessInternalW: 00000000`7738e750 4c8bdc mov r11,rsp 00000000`7738e753 53 push rbx 00000000`7738e754 56 push rsi 00000000`7738e7
进程创建监控
07-31
在IT领域,进程创建监控是系统管理与安全分析的重要组成部分,尤其在Ring3和Ring0级别的控制中,这种监控能够提供深入的系统洞察。本文将详细介绍这两种级别的进程监控及其相关知识点。 首先,让我们理解一下“Ring...
10.漫谈兼容内核之十:Windows的进程创建和映像装入.pdf
09-08
1. **打开目标映像文件**:这是进程创建的第一步,通过`CreateProcess()`函数实现。此函数会检查映像文件的类型,并根据不同的映像类型采取相应的处理方式。 2. **创建内核中的进程对象**:这一阶段涉及到创建一个...
操作系统实验-第三讲-进程创建.doc
12-22
操作系统实验的第三讲主要关注的是进程创建,这是操作系统中的核心概念。...学生通过这个实验能够深入理解进程的概念,掌握进程创建的API函数使用,以及如何通过调试工具跟踪分析进程的生命周期。
CreateProcess
weixin_30493401的博客
09-08 401
Windows 进程创建完整过程(除去细节) 当前流程是分析WinXP x86得到的,在最新版本Windows上不一定正确,但是可以做一个参考, 由于我这里符号并不全,所以导致我这里有些东西看到的可能是错误的,误导了我,然后我就做了个错误的记录, 有缘人如果看到的话,可以帮我指正一下,我会很高兴。 工作挺忙的,三天的业余时间,哎,个人水平问题吧,还是没有办法详细地分析出完整套路,算是个简要...
Detours版HOOK 未导出的API函数CreateProcessInternalW
追逐光芒,追随内心
11-22 1668
#include <stdio.h> //#include <tchar.h> #include <windows.h> #include "detours.h" #pragma comment(lib,"detours.lib") //以下是HOOK需要的头文件 //#include <winsock2.h> //#include <MSWSock.h> //#pragma comment(lib,"ws2_32.lib") //.
CreateProcess流程分析
weixin_30762087的博客
04-24 358
CreateProcesssA 函数工作流程分析: 用IDA打开CreateProcessA跟进,调用流程:call kernel32!CreateProcesssAcall kernel32!CreateProcessInternalAcall kernel32!CreateProcessInternalW kernel32!CreateProcessInternal函数 流程图太...
Gloomy对Windows内核分析(内存与进程管理器)
峥嵘岁月
01-31 3936
内存与进程管理器==========================                                   But I fear tomorrow Ill be crying,                                   Yes I fear tomorrow Ill be crying.                      
NtCreateUserProcess 参数
ayang1986的专栏
09-08 2127
转载自:https://github.com/cuckoosandbox/monitor/blob/master/sigs/process_native.rst Signature: * Calling convention: WINAPI * Category: process * Library: ntdll * Return value: NTSTATUS NtCreatePr...
windows下创建进程CreateProcess()详解及用法
热门推荐
System Architect
04-17 10万+
CreateProcess() 函数原型如下: [C++] 纯文本查看 复制代码 ? 01 02 03 04 05 06 07 08 09 10 11 12 BOOL WINAPI CreateProcess(   __in_opt     LPCTSTR
NtCreateUserProcess 初探与玩法
最新发布
stopys6的博客
09-13 296
/要注意的是我们每添加一个新属性,都需要将PS_ATTRIBUTE增大,因为调用RtlAllocateHeap要为PS_ATTRIBUTE分配足够的内存空间最后NtCreateUserProcess其实很多CreateProcess的项目,就比如ppid也有用CreateProcess写的,都可以加以改变改成用NtCreateUserProcess操作的,就可以把一个很简单的被查杀CreateProcess进行一个免杀保护了。(当然也不是都能改的具体情况具体分析
windows比cmd更强大的 WMIC命令使用详解
whl0071的专栏
10-14 5683
windows比cmd更强大的 WMIC命令使用详解
PostgreSQL内核解析:多进程结构对比MySQL
"该资源是一份关于PostgreSQL内核分析的文档,主要探讨了PostgreSQL的多进程结构,并与MySQL的多线程结构进行了对比。文档由李海翔撰写,内容包括对进程的理解、进程间通信的方式、Windows和Linux下进程的使用、线程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值