(转)NtCreateUserProcess参数

最新推荐文章于 2024-06-22 09:48:50 发布
最新推荐文章于 2024-06-22 09:48:50 发布
阅读量407 收藏
点赞数
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/himessage/archive/2013/01/07/2848809.html
本文介绍了一个程序如何通过修改子进程的父进程来实现自我隐藏的方法。针对Windows Vista及以后版本,详细解释了如何使用NtCreateUserProcess替代NtCreateProcessEx,并提供了该函数的参数说明。

http://www.skyfishes.com/vc/ntcreateuserprocess/

  最近有个程序需要修改子进程的父进程来达到隐藏自身的效果,本来Hook NtCreateProcessEx简单搞定,结果发现Win7下断不下来

  果断谷歌,发现Vista之后CreateProcess不再经过NtCreateProcessEx,而是调用NtCreateUserProcess进入内核,进行文件的映射等操作

  赶紧来记下NtCreateUserProcess参数,好不容易才找到的

typedef struct _NT_PROC_THREAD_ATTRIBUTE_ENTRY {
    ULONG Attribute;    // PROC_THREAD_ATTRIBUTE_XXX,参见MSDN中UpdateProcThreadAttribute的说明
    SIZE_T Size;        // Value的大小
    ULONG_PTR Value;    // 保存4字节数据(比如一个Handle)或数据指针
    ULONG Unknown;      // 总是0,可能是用来返回数据给调用者
} PROC_THREAD_ATTRIBUTE_ENTRY, *PPROC_THREAD_ATTRIBUTE_ENTRY;

typedef struct _NT_PROC_THREAD_ATTRIBUTE_LIST {
    ULONG Length;       // 结构总大小
    PROC_THREAD_ATTRIBUTE_ENTRY Entry[1];
} NT_PROC_THREAD_ATTRIBUTE_LIST, *PNT_PROC_THREAD_ATTRIBUTE_LIST;

NTSTATUS NtCreateUserProcess(
    OUT PHANDLE ProcessHandle,
    OUT PHANDLE ThreadHandle,
    IN ACCESS_MASK ProcessDesiredAccess,
    IN ACCESS_MASK ThreadDesiredAccess,
    IN POBJECT_ATTRIBUTES ProcessObjectAttributes OPTIONAL,
    IN POBJECT_ATTRIBUTES ThreadObjectAttributes OPTIONAL,
    IN ULONG CreateProcessFlags,
    IN ULONG CreateThreadFlags,
    IN PRTL_USER_PROCESS_PARAMETERS ProcessParameters,
    IN PVOID Parameter9,
    IN PNT_PROC_THREAD_ATTRIBUTE_LIST AttributeList
);

 

转载于:https://www.cnblogs.com/himessage/archive/2013/01/07/2848809.html

思路:如何跳过CreateProcess调用底层创建进程函数
享受开发,颠倒银河
10-28 6173
论坛近日有人在问如何跳过CreateProcess调用底层的NtCreateProcess。 我想说的是不能单纯看这个问题,首先不同NT内核版本CreateProcess进入 底层的路径是不同的: 2k ->NtCreateProcess xp ->NtCreateProcessEx vista/win7/2008 ->NtCreateUserProcess 拿wi
浅谈EDR绕过
hongduilanjun的博客
09-14 2091
我们知道一般EDR对可疑程序进行监控一般都会采用往程序里注入到检测的进程中,通过hook一些敏感的3环API来判断程序是否进行一些恶意操作,那么我们可以通过添加流程缓解措施和漏洞利用保护参考来实现保护,从而防止EDR的dll注入对进程进行检测。
Hook SSDT中NtCreateProcessEx
weixin_30412167的博客
09-20 198
1 #ifdef __cplusplus 2 extern "C" 3 { 4 #endif 5 #include <ntddk.h> 6 #ifdef __cplusplus 7 } 8 #endif 9 10 11 typedef struct _ServiceDescriptorTable { 12 ...
NtCreateUserProcess 初探与玩法
stopys6的博客
09-13 425
/要注意的是我们每添加一个新属性,都需要将PS_ATTRIBUTE增大,因为调用RtlAllocateHeap要为PS_ATTRIBUTE分配足够的内存空间最后NtCreateUserProcess其实很多CreateProcess的项目,就比如ppid也有用CreateProcess写的,都可以加以改变改成用NtCreateUserProcess操作的,就可以把一个很简单的被查杀CreateProcess进行一个免杀保护了。(当然也不是都能改的具体情况具体分析)
NtCreateUserProcess 初探与玩法2
woshiyanfu的博客
09-26 209
/要注意的是我们每添加一个新属性,都需要将PS_ATTRIBUTE增大,因为调用RtlAllocateHeap要为PS_ATTRIBUTE分配足够的内存空间最后NtCreateUserProcess其实很多CreateProcess的项目,就比如ppid也有用CreateProcess写的,都可以加以改变改成用NtCreateUserProcess操作的,就可以把一个很简单的被查杀CreateProcess进行一个免杀保护了。(当然也不是都能改的具体情况具体分析)
NtCreateProcessEx
Lassewang的成长历程
04-25 3085
NTSTATUS __stdcall NtCreateProcessEx(OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes OPTIONAL, IN HANDLE ParentProce
开源宝藏:Django与Next.js的完美融合
最新发布
gitblog_00025的博客
06-22 424
开源宝藏:Django与Next.js的完美融合 在现代Web开发中,选择合适的技术栈以实现高性能和灵活的前后端分离至关重要。今天,我们将深入探索一个创新的解决方案——Django Next.js,它为那些希望在同一个项目中整合Django的强大后端与Next.js的高效前端开发体验的开发者们提供了一条捷径。 项目介绍 Django Next.js,正如其名,是一个桥梁,连接了Python界著名的...
NtCreateUserProcess
03-11
NtCreateUserProcess是Windows操作系统中的一个系统调用函数,用于创建一个新的用户进程。它是Windows内核提供的一种机制,用于创建和初始化一个新的用户进程,并将其加载到内存中执行。 该函数的原型如下: ...
Windows 进程的创建和终止
m0_56069948的博客
07-15 830
创建一个继承需要考虑非常多的点,从用户模式到内核模式的换,内核对象的构建再回到用户模式与子系统的通信。这个部分牵涉到的内容非常多,也非常值得详细研究。先了解大框架,再来细化其中的每个点。httpshttpshttpshttps。...
C语言进程隐藏NTOpenprocess,64位下Hook NtOpenProcess的实现进程保护 + 源码 (升级篇 )...
weixin_32893479的博客
05-23 1030
【PS: 如果在64位系统下,出现调用测试demo,返回false的情况下,请修改Hook Dll的代码】glhHook = SetWindowsHookEx(WH_SHELL,ShellHookProc, 0 , 0);//改成跟X86下一样的glhHook = SetWindowsHookEx(WH_SHELL,ShellHookProc,glhInstance, 0);2013.09.11...
NtCreateUserProcess 参数
ayang1986的专栏
09-08 2247
载自:https://github.com/cuckoosandbox/monitor/blob/master/sigs/process_native.rst Signature: * Calling convention: WINAPI * Category: process * Library: ntdll * Return value: NTSTATUS NtCreatePr...
进程创建过程分析NtCreateProcess-NtCreateProcessEx-PspCreateProcess
xrzh8989的专栏
04-04 4183
自 http://www.blogfshare.com/createprocess-analyse.html  进程创建过程分析NtCreateProcess-NtCreateProcessEx-PspCreateProcess AloneMonkey 2014年7月26日 0 在内核中,windows创建一个进程的过程是从NtCreateProce
[载]关于NtCreateUserProcess和NtCreateThreadEx的参数
angbagangzhe065140的博客
02-10 950
自: http://hi.baidu.com/zzzevazzz/item/b2a9c9a4ea6805f615329ba7 这两个Vista新增的系统服务函数原型未公开,目前网上搜索到的资料有些问题,特别是对于最后一个参数的描述不确切。 首先说NtCreateUserProcess。网上找到的函数原型如下: DWORD newNtCreateUserProcess(PVOID ...
CreateProcess分析之NtCreateProcessEx() 的分析
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
03-21 4119
链 接: http://bbs.pediy.com/showthread.php?t=114958 函数原型: NTSTATUS NtCreateProcessEx(     __out PHANDLE ProcessHandle,     __in ACCESS_MASK DesiredAccess,     __in_opt POBJECT_ATTRIBUTES ObjectA
Windows内核--CreateProcess到内核NtCreateProcess(2.3)
编程语言开发、框架原理、编程思想、最佳实践技巧经验分享
11-19 1942
应用程序调用CreateProcess到内核执行NtCreateProcess究竟做了什么?
关于Windows创建进程的过程
aijuzhou1959的博客
03-11 914
之前有听到别人的面试题是问系统创建进程的具体过程是什么,首先想到的是CreateProcess,但是对于具体过程却不是很清楚,今天整理一下。 从操作系统的角度来说 创建进程步骤: 1.申请进程块 2.为进程分配内存资源 3.初始化进程块 4.将进程块链入就绪队列 课本上的知识。。。 从CreateProce...
进程线程创建过程
hambaga的博客
03-10 1974
一、进程创建过程 所有进程都通过 PspCreateProcess 函数创建,包括 System 进程。它被三个函数调用,分别是NtCreateProcessEx、PsCreateSystemProcess 和 PspInitPhase0 。 NtCreateProcessEx 是 CreateProcess 的内核服务; PspInitPhase0 函数是系统初始化早期调用的,它创建了 System 进程,System 进程的句柄保存在全局变量 PspInitialSystemProcessHandle
网络靶场实战-安全开发之直接系统调用
蛇矛实验室
12-13 745
熟悉 Windows 编程的人应该知道,Native API 一般是不直接对外公开的,它通常作为操作系统内部的一个组件,并且只能由操作系统内部的组件或应用程序调用,所以在使用一些未文档的化的 Native API 时,需要通过网上公开的资料或者通过逆向取获取其函数原型和相关参数。在安全研发的过程中,难免会遇到在用户模式对抗 AV/EDR 的挂钩,应对的方法有很多,比如可以使用直接系统调用,还可以将杀软的所挂的钩子解除,还有一种就是寻找具有相同功能未被挂钩的 API。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值