hook方式进程创建监控,进程保护

最新推荐文章于 2025-07-07 14:01:46 发布
原创 最新推荐文章于 2025-07-07 14:01:46 发布 · 3.2k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

博客围绕进程创建监控和进程保护展开。进程创建监控方面,介绍了不同系统下进程创建调用流程,提及Hook NtCreateSection及过滤情况,还给出获取子进程路径等方法。进程保护方面,阐述应用层和内核层杀死进程函数,介绍通过hook和回调保护进程,以及结束任务保护的解决办法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

关于进程创建,

xp系统:CreatProcessW->CreateProcessInternalW->NtCreateProcessEx->NtCreatSection

Vista以上:CCreatProcessW->CreateProcessInternalW->NtCreateUserProcess->NtCreateSection

所以我们要HookNtCreateSection

而系统调用NtCreateSecton时有多种情况,不只是创建进程时,我们要过滤排除掉其他情况。

发现只有

(Protect (PAGE_EXECUTE/*|PAGE_EXECUTE_READ|PAGE_EXECUTE_READWRITE|PAGE_EXECUTE_WRITECOPY*/)&&(Attributes == SEC_IMAGE) && FileHandle)

发现这些可以在创建进程时windbg在此下断,观察参数,或者去看wrk,reactos代码。

还要去得到子进程路径。

另外其实使用文件过滤监控IRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONIZATION更好,这个函数会走这个IRP。因为通过过滤支持x64,ssdthook只支持x86.或者使用回调PsSetCreateProcessNotifyRoutineEx。注册回调,这样在进程创建时候回调用他。

监控代码片段

NTSTATUS NTAPI HOOK_NtCreateSection(PHANDLE SectionHandle,
				  ACCESS_MASK DesiredAccess,
				  POBJECT_ATTRIBUTES ObjectAttributes,
				  PLARGE_INTEGER SectionSize,
				  ULONG Protect,
				  ULONG Attributes,
				  HANDLE FileHandle)//代理函数 
{
	PFILE_OBJECT    			FileObject = NULL; 
	POBJECT_NAME_INFORMATION 	wcFilePath = NULL;
	ANSI_STRING 				dst = {0};
	UNICODE_STRING				ustrProcessPath = {0};
	WCHAR						wszProcessPath[MAX_PATH] = {0};
	NTSTATUS					ntStatus = 0;

	__try
	{
		if (Protect & (PAGE_EXECUTE/*|PAGE_EXECUTE_READ|PAGE_EXECUTE_READWRITE|PAGE_EXECUTE_WRITECOPY*/)&&
			(Attributes == SEC_IMAGE) && 
		    FileHandle)
		{
			if (NT_SUCCESS(ObReferenceObjectByHandle(FileHandle,0,NULL,KernelMode,&FileObject,NULL)))//获取文件对象,这里类型最好不要传NULL,不然会有问题
			{
				//获取FileObject对应的文件全路径
				if (IoQueryFileDosDeviceName(FileObject, &wcFilePath)==STATUS_SUCCESS)//获取文件对象所对应的文件Dos设备名称,即是全路径
				{
					if (RtlCompareMemory(wcFilePath->Name.Buffer+wcFilePath->Name.Length/2-wcslen(L"Winobj.exe"),L"Winobj.exe",wcslen(L"Winobj.exe")*sizeof(WCHAR))==wcslen(L"Winobj.exe")*sizeof(WCHAR)
						&& RtlCompareMemory(wcFilePath->Name.Buffer+wcFilePath->Name.Length/2-wcslen(L"PopupClient.exe"),
						L"PopupClient.exe",wcslen(L"PopupClient.exe")*sizeof(WCHAR))!=wcslen(L"PopupClient.exe")*sizeof(WCHAR))//这里是例子只监控Winobj.exe
					{
						DbgPrint("Target:%wZ\n",&wcFilePath->Name);//子进程
						//PPID = HandleToUlong(PsGetCurrentProcessId());
						ustrProcessPath.Buffer = wszProcessPath;
						ustrProcessPath.Length = 0;
						ustrProcessPath.MaximumLength = sizeof(wszProcessPath);
						ntStatus = ntGetProcessFullNameByPid(PsGetCurrentProcessId(), &ustrProcessPath);//父进程路径,就是当前路径
						DbgPrint("Parent:%wZ\n", &ustrProcessPath);
						if (NT_SUCCESS(ntStatus))
						{
							if (GetResultFromUser()==R3Result_Pass)
							{
								ntStatus = OldZwCreateSection(
												SectionHandle,
												DesiredAccess,
												ObjectAttributes,
												SectionSize,
												Protect,
												Attributes,
												FileHandle);
								ObDereferenceObject(FileObject);//放弃对FileObject的引用
								ExFreePool(wcFilePath);
								return ntStatus;	
							}
							ObDereferenceObject(FileObject);//放弃对FileObject的引用
							ExFreePool(wcFilePath);
							return STATUS_SUCCESS;
						}
					}
					ExFreePool(wcFilePath);//IoQueryFileDosDeviceName获取的OBJECT_NAME_INFORMATION 需要手动释放
				}
				ObDereferenceObject(FileObject);//放弃对FileObject的引用
			}        
		}
	}
	__except(EXCEPTION_EXECUTE_HANDLER)
	{

	}
	return OldZwCreateSection(SectionHandle,DesiredAccess,ObjectAttributes,SectionSize,Protect,Attributes,FileHandle);
}

 

注意点

if (NT_SUCCESS(ObReferenceObjectByHandle(FileHandle,0,NULL,KernelMode,&FileObject,NULL)))//获取文件对象,这里类型最好不要传NULL,不然会有问题

进程保护

在应用层杀死进程使用的是TerminateProcess,这个函数在0环使用的是ZwTerminateProcess,所以我们可以hookZwTerminateProcess

可以在用户层获得我们要保护的进程的PID,发到我们的内核里来,然后保存在一个数组里面,存着我们要保护进程的PID。然后每次hookZwTerminateProcess比对PID,但是ZwTerminateProcess只有handle,ObReferenceObjectByHandle拿到EPROCESS,调用PsGetProcessId拿到进程PID。然后去数组比对。

代码片段

NTSTATUS Hook_ZwTerminateProcess(
	__in_opt HANDLE ProcessHandle,
	__in NTSTATUS ExitStatus
	)
{
	ULONG 			uPID = 0;
	NTSTATUS 		ntStatus = 0;
	PEPROCESS 		pEProcess = NULL;

	ntStatus = ObReferenceObjectByHandle(ProcessHandle, FILE_READ_DATA, NULL, KernelMode, &pEProcess, NULL);
	if(!NT_SUCCESS(ntStatus))
	{
		return ntStatus;
	}


	uPID = (ULONG)PsGetProcessId(pEProcess);

	if(ValidateProcessNeedProtect(uPID) != -1)//不是当前进程PID,为了客户端自己关自己
	{
		if(uPID != (ULONG)PsGetProcessId(PsGetCurrentProcess()))
		{
			return STATUS_ACCESS_DENIED;
		}
	}
	ntStatus = OldZwTerminateProcess(ProcessHandle, ExitStatus);

	return ntStatus;
}

或者通过回调保护进程,通过obRegisterCallbacks注册回调,https://bbs.pediy.com/thread-168023.htm

结束任务的保护:

窗口标题不为空的程序,都会在任务列表中显示。

结束任务:使用SendMessageTimeoutW发送WM_CLOSE消息,并这顶超时时间500ms,超过走EndTask。

解决方法:我们就可以将标题SetWindowText(_T(""))为空,驱动里面hook NtOpenProcess,NtTerminateProcess

过滤WM_CLOSE消息,在虚函数Pre TranslateMessage里

BOOL CXXXDlg::PreTranslateMessage(MSG* pMSG)
{
    if(pMsg->message==WM_CLOSE)//过滤掉WM_CLOSE
    {
        return TRUE;
    }
    
}

 

Win10 Hook 进程创建的研究
myjisgreat的专栏
11-21 8494
Win7甚至在它之前开始,想要hook进程创建已经不能简单的HookCreateProcessInternalW这一个函数了,因为Vista开始引入了UAC机制。如果一个进程想要通过UAC弹窗创建管理员进程hook这个进程的CreateProcessInternalW已经不起作用,我在几年前的博文《Win7/VistaHook CreateProcess 的特别之处》(http://blog
进程创建监控x86
zhuhuibeishadiao
04-10 663
Hook_ZwCreateSection XP: CreateProcessW CreateProcessInternalW NtCreateProcessEx ZwCreateSection VISTA以上: CreateProcessW CreateProcessInternalW NtCreateUserProcess ZwCreateSection
APIHOOK拦截指定进程创建进程
06-06
APIHOOK拦截指定进程创建进程。@按键精灵。
深入理解API钩子技术:使用EasyHook拦截TerminateProcess函数
最新发布
weixin_42587866的博客
07-07 626
API钩子技术,又称为钩子(Hook),是一种程序化技术,它能够在调用API(应用程序编程接口)函数之前或之后介入,对API的调用进行拦截、监视或修改。这种技术常用于插件架构、安全监控、自动化测试、日志记录等多种场景。EasyHook 是一款开源的Windows钩子库,由Anders Hejlsberg (Delphi、C#语言的缔造者) 和他人合作开发。它的核心目的是为开发者提供一个简单而强大的平台,用于在本地和远程进程之间进行方法钩子(Hook)操作,实现对系统级或者应用程序级行为的控制和修改。
进程创建监控
zzmzzff的博客
03-28 776
上次讲了下进程保护原理,这次讲一下进程监控。监视进程创建,也就是监视EXE程序启动,就要hook创建进程的API,创建进程的API有ntdll!ZwCreateProcessEx、ZwCreateSection、ZwCreateThread等,kernel32里有CreateProcessA(W)和CreateProcessInternalA(W),hook ZW函数比较麻烦,因为那时进...
hook CreateProcessInternal
07-02
利用inline hook技术挂钩CreateProcessInternal,win7 32/64代码均有
Hook CreateProcess
weixin_30616969的博客
08-19 1202
6种比较常用的运行(执行)程序的方法: 包括WinExec、ShellExecute、CreateProcess、CreateProcessAsUser、CreateProcessWithLogonW、CreateProcessWithTokenW 要在r3层hook程序的运行,需要用到上述api CreateProcessAsUser win7用 CreatePr...
软件安全课程设计:基于API HOOK进程行为监控系统
12-03
适合人群:适用于对软件安全有一定了解的学生和技术人员,特别是那些希望深入了解API HOOK技术和进程行为监控的人群。 使用场景及目标:本系统可用于企业或个人对可疑程序进行安全分析,监控和防止程序的恶意行为,...
易语言-APIHOOK拦截指定进程创建进程
06-25
在易语言编程环境中,我们可以利用APIHOOK技术来实现对指定进程创建进程的拦截。易语言,作为一款中国本土开发的编程语言,以其简单易学的语法特性,使得即使是初学者也能快速掌握API Hook的基本原理和应用。 API...
ssdt_hook.rar_SSDT 进程保护_ssdt_ssdt hook_进程保护
09-22
进程保护方面,SSDT Hook能够有效地防止恶意代码篡改或劫持系统服务,从而保护目标进程的正常运行。例如,它可以监测并阻止试图关闭或修改受保护进程的行为。此外,通过hook关键的系统服务,如进程创建、线程注入...
HookAPI.rar_delphi 保护_hookapi_hookapi delphi_进程 保护_进程保护
09-14
在IT行业中,进程保护是一种重要的安全机制,它用于防止恶意软件篡改或监控目标程序的行为。而`HookAPI`则是实现这一目标的一种技术手段,特别是在Delphi编程环境中。本篇文章将深入探讨`HookAPI`的概念、它在Delphi...
基于Hook进程监控的设计与实现
02-22
本文在分析钩子的工作原理和使用钩子的关键技术点基础上,利用Windows 提供的消息钩子函数设计并实现了一个进程监控程序,分析了程序的实现过程,给出了程序的监控效果及不足之处。
HookCreateProcess示例
08-30
Hook explorer.exe进程CreateProcess示例
全局 Hook CreateProcessInternalW 测试 VB版.rar
07-09
纯VB全局 Hook CreateProcessInternalW 测试——进程防火墙,可拦截进程,程序主要是安装一个消息钩子,然后和主程序通讯,可以拦截控制台程序(做了递归注入),搞这些东西好像现在也没什么实际意义,代码写的也乱糟糟的,主要就是闲得慌,纯娱乐一下。
API_HOOK_CreateProcess进程监视:知道你运行了哪些程序.zip
04-04
API_HOOK_CreateProcess知道你运行哪些程序.zip
易语言-Hook_CreateProcess阻止创建一个新的进程和它的主线程
06-25
通过HOOK CreateProcess 函数 来实现阻止创建一个新的进程和它的主线程
APIHook CreateProcess
Ghost-J 's Area.
08-21 4909
unit ApiHook;interfaceuses Windows, Messages, Dialogs, Controls, Classes, SysUtils, psapi;type PImpCode = ^TImpCode; TImpCode = packed record JumpItn: Word; // 应该是$25FF,JUM
挂接CreateProcessW实现对进程创建的完全控制
08-05 1466
SystEm32:这份文档演示了如何实现全局HOOK>+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++【前言】【概述】【copy-on-write】【三种可行的办法】【完整演示代码】【资源】++++++++++++++++++++++++++++++++++++++
Win8下HOOK explorer的CreateProcessW函数
★匆匆★的专栏
03-09 2517
// dllmain.cpp : Defines the entry point for the DLL application. #include "stdafx.h" ULONG dwOrigCreateProcessAddr; HINSTANCE hInstance; typedef BOOL (*LPCREATEPROCESS)( HANDLE HToken, LPCWSTR lp
hook进程创建函数 监控 拦截 进程
09-01
例如,某些恶意程序会通过创建进程方式进行传播,我们可以通过hook进程创建函数拦截这些进程创建,从而保护系统的安全。 3. 修改进程创建参数:通过hook进程创建函数,我们可以修改进程创建参数,例如修改...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值