Are you a qualified Windows programmer?

最新推荐文章于 2022-07-24 13:54:36 发布
原创 最新推荐文章于 2022-07-24 13:54:36 发布 · 783 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #attributes #hook #access #null #dll

2006年8月底,偶然用了360安全卫士,觉得很不错。以前自己也有写过小工具来除去那些可恶的流氓软件,所以就去申请加入他们的程序员志愿者。结果没有选上...

下面是他们当时发给我的考核题目

================================================================

    编写一个程序,在此程序中运行a.exe,并使得a.exe认为是由explorer.exe运行它的。

        ================================================================

 

最近无意间看到了一个解决方法,很不错,先特意贴出来向360安全卫士的程序员志愿者致敬!

==================================================================================================
假设我写的程序名为ddd.exe
 
在这里,我将使用CreateProcess函数来启动 a.exe ,
 
如果不进行任何操作而直接使用CreateProcess函数来运行 a.exe的话,
它默认的父进程将为ddd.exe.
 
在XP/NT系统中CreateProcess函数的调用过程为
1:CreateProcessInternalW
2:NtCreateProcessEx/NtCreateProcess 
3:PspCreateProcess
 
其中NtCreateProcessEx/NtCreateProcess函数
参数ParentProcess的handle指明谁是父进程
所以我要做的就是 在函数CreateProcess函数的调用NtCreateProcessEX/NtCreatProcess时拦截它,
并且把CreateProcess函数传递的ParentProcess参数值 改为explorer.exe的句柄 既可实现目的。
 
步骤1:使用HOOK拦截NtCreateProcess函数
步骤2:取得进程explorer.exe的句柄 更换ParentProcess参数值后,
       继续调用NtCreateProcess函数
 
关键代码段1:取进程explorer.exe的句柄
 
HANDLE hExplorer; //保存explorer.exe的句柄变量
......
......
//取所有系统进程
BOOL Status=Process32First(SnapShot,&ProcessInfo);
int m_nProcess=0;
while(Status)
{
 CString str1;
 str1.Format("%s",ProcessInfo.szExeFile);
 ProcessID[m_nProcess]=ProcessInfo.th32ProcessID;
 
 if(str1=="explorer.exe")  //表明匹配到explorer.exe
 {  
  hExplorer=OpenProcess (PROCESS_ALL_ACCESS,FALSE,ProcessID[m_nProcess]);
  //保存explorer.exe句柄到hExplorer
  break;   //跳出while 
 }
 Status=Process32Next(SnapShot,&ProcessInfo);
 m_nProcess++;
 // end while
......
......
 
 
关键代码段2:拦截NtCreateProcess函数,并处理
 
dll关键代码:(注:......为代码省略)
//替换函数定义申明
int _stdcall hook_NtCreateProcess( PHANDLE ProcessHandle,
          ACCESS_MASK DesiredAccess,
          POBJECT_ATTRIBUTES ObjectAttributes,
          HANDLE ParentProcess, //就修改这个参数值
          BOOLEAN InheritHandles,
          HANDLE SectionHandle,
          HANDLE DebugPort,
          HANDLE ExceptionPort
          )
         
{
     ......
  ......   //这里为关键代码段1:取进程explorer.exe的句柄并保存给hExplorer
  ......     
  NtCreateProcess(ProcessHandle,DesiredAccess,ObjectAttributes, 
                   hExplorer,  // hExplorer为explorer.exe的句柄
                   InheritHandles,SectionHandle,DebugPort,ExceptionPort);
     ......
  ......
  ......
}
 
//DLLMain 函数中关键代码
 
  HMODULE m_hNtCP = LoadLibrary( "ntdll.dll" );
  g_pNtCP = ( DWORD )GetProcAddress( m_hNtCP, "NtCreateProcess" );
  
  ReadProcessMemory( INVALID_HANDLE_VALUE, ( void * )g_pNtCP,
          ( void * )g_dwOldBytes[0], sizeof( DWORD )*2, NULL );
  //将00400000改写为我们函数的地址
  *( DWORD* )( g_btNewBytes + 1 ) = ( DWORD )hook_NtCreateProcess;
  WriteProcessMemory( INVALID_HANDLE_VALUE, ( void * )g_pNtCP,
        ( void * )g_btNewBytes, sizeof( DWORD )*2, NULL );
UG\NX二次开发 多少词汇量才能无障碍阅读开发帮助
王牌飞行员_里海的博客
04-24 2525
大家都知道UFUN的帮助是英文的,有的开发者抱怨看不懂,还有的开发者为了能看懂接口说明专门学英语,那么英语学成什么程度就能无障碍阅读接口文档?我比较好奇,所以专门将UF_MODL部分的ufun函数的接口说明,提取出单词以作统计。大家猜一猜无障碍阅读UF_MODL部分的内容,需要多少词汇量储备呢?
思路:如何跳过CreateProcess调用底层创建进程函数
享受开发,颠倒银河
10-28 6170
论坛近日有人在问如何跳过CreateProcess调用底层的NtCreateProcess。 我想说的是不能单纯看这个问题,首先不同NT内核版本CreateProcess进入 底层的路径是不同的: 2k ->NtCreateProcess xp ->NtCreateProcessEx vista/win7/2008 ->NtCreateUserProcess 拿wi
关于Windows创建进程的过程
aijuzhou1959的博客
03-11 895
之前有听到别人的面试题是问系统创建进程的具体过程是什么,首先想到的是CreateProcess,但是对于具体过程却不是很清楚,今天整理一下。 从操作系统的角度来说 创建进程步骤: 1.申请进程块 2.为进程分配内存资源 3.初始化进程块 4.将进程块链入就绪队列 课本上的知识。。。 从CreateProce...
进程创建过程分析NtCreateProcess-NtCreateProcessEx-PspCreateProcess
xrzh8989的专栏
04-04 4162
转自 http://www.blogfshare.com/createprocess-analyse.html  进程创建过程分析NtCreateProcess-NtCreateProcessEx-PspCreateProcess AloneMonkey 2014年7月26日 0 在内核中,windows创建一个进程的过程是从NtCreateProce
Are you a coder or a programmer?
狂奔 Lion
06-13 194
Are you trying to build software that is composed by software components provided by large companies, and still name it a system? Are you doing the job anybody can do if given enough time to read the ...
【English】外企常用的英语面试问题总结
guansir的专栏
11-25 4060
一、面试中常用的应对和礼貌用语 Before interview: Nice to meet you. I'm XXX. Thank you for inviting me for interview. In interview: Oh, I see. Yes, I understand. No, I haven't heard it before. Could you te
ZooKeeper Administrator‘s Guide:A Guide to Deployment and Administration是一本关于ZooKeeper部署和管理的指南
BLOG域名:programb.blog.youkuaiyun.com
04-28 1809
它涵盖了部署系统的要求、支持的平台、所需的软件、集群设置、单服务器和开发人员设置,以及一些需要考虑的事项,如ZooKeeper的优点和局限性。总之,ZooKeeper管理员指南是一本全面而实用的参考书,对于需要部署和管理ZooKeeper的读者来说非常有价值。这包括如何识别和解决常见问题,如何设计和实施备份和恢复策略,以及如何利用ZooKeeper提供的各种工具进行故障排查。此外,该指南还提供了关于如何监控ZooKeeper的性能和可用性,以及如何处理故障转移和恢复的信息。
读书摘要:C++ Standard Library, The: A Tutorial and Reference
暗恋的滋味
03-17 4690
C++ Standard Library, The: A Tutorial and ReferenceChap 2 Introduction to C++ and the Standard Library2.1    history   string classes are designed as a safe and convenient component. Thus,they p
考研英语一二小作文模板
weixin_45596153的博客
07-24 5736
考研英语小作文模板
在ntdll.dll中找到NtCreateProcess(***)
pureman_mega的博客
03-17 894
const WCHAR SourceString[]=L"\\SystemRoot\\system32\\ntdll.dll"; char aNtCreateProcess[]="NtCreateProcess"; void op_ntdll() { NTSTATUS status=STATUS_SUCCESS; IMAGE_NT_HEADERS32 ...
NtCreateProcessEx
Lassewang的成长历程
04-25 3079
NTSTATUS __stdcall NtCreateProcessEx(OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes OPTIONAL, IN HANDLE ParentProce
Windows内核原理与实现笔记》(一)Windows系统结构和基本概念
kernweak的博客
09-26 4995
Windows内核结构 上图是windows内核的组成结构 如图Windows内核分三层,与硬件直接打交道的是硬件抽象层HAL,这一层把所有与硬件相关代码逻辑隔离到一个专门模块中,从而是上层尽可能独立于硬件平台。HAL是一个独立动态链接库,windows带了多个如Hal.dll,halacpi.dl等,这是根据高级配置和电源接口高级可编程中断控制器之类的区别,只有一个会被选中选中之后拷贝改...
Calling a method in the system process without a qualified user
08-12
- *1* *2* [Android代码异常Calling a method in the system process without a qualified user](https://blog.youkuaiyun.com/Jason_Lee155/article/details/125843832)[target="_blank" data-report-click={"spm":"1018....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值