进程创建监控

最新推荐文章于 2021-07-23 19:38:18 发布
原创 最新推荐文章于 2021-07-23 19:38:18 发布 · 776 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

    上次讲了下进程保护原理,这次讲一下进程监控。监视进程创建,也就是监视EXE程序启动,就要hook掉创建进程的API,创建进程的API有ntdll!ZwCreateProcessEx、ZwCreateSection、ZwCreateThread等,kernel32里有CreateProcessA(W)和CreateProcessInternalA(W),hook ZW函数比较麻烦,因为那时进程刚创建,还没有加载模块,所以无法获取EXE路径,而ZwCreateSection可以获取文件句柄,然后再转路径,但在VB下测试失败了,hook后进程创建不起来,不知道VC下如何。hook ZwCreateThread也行,但是只能得到进程ID,进程虽创建但仍然是空的,找不到获取路径的办法,所以我们还是以hook kernel32的函数为例,最终,我们决定hook CreateProcessInternalA(W),两个都要hook。完成后生成DLL,再用VB调用测试,效果不错,运行进程时会弹出提示框,提示是否允许运行。不过,同样的,消息hook只对GUI进程管用,对cmd之类的无界面进程无效,想做彻底的话还是用驱动比较好。

DLL代码如下:

// HookApi.cpp : Defines the entry point for the DLL application.

//************* http://zzmzzff.blog.163.com ************************
//***************** 进程创建监控 ***********************************


#include "stdafx.h"
#include "windows.h"
#include "stdio.h"
#include <stdlib.h>

#pragma data_seg(".Shared")
    HINSTANCE    g_hThisDLL=NULL;
    HHOOK        g_hHook=NULL;
    HWND        g_hWnd=NULL;
    //DWORD        g_PID=NULL;
    BOOL        g_Lock=false;
#pragma data_seg()


typedef BOOL (WINAPI *FNCreateProcessInternalA)(
                        HANDLE hToken,
                        LPCSTR lpApplicationName,
                        LPSTR lpCommandLine,
                        LPSECURITY_ATTRIBUTES lpProcessAttributes,
                        LPSECURITY_ATTRIBUTES lpThreadAttributes,
                        BOOL bInheritHandles,
                        DWORD dwCreationFlags,
                        LPVOID lpEnvironment,
                        LPCSTR lpCurrentDirectory,
                        LPSTARTUPINFOA lpStartupInfo,
                        LPPROCESS_INFORMATION lpProcessInformation,
                        PHANDLE hNewToken
                        );

typedef BOOL (WINAPI *FNCreateProcessInternalW)(
                        HANDLE hToken,
                        LPCWSTR lpApplicationName,
                        LPWSTR lpCommandLine,
                        LPSECURITY_ATTRIBUTES lpProcessAttributes,
                        LPSECURITY_ATTRIBUTES lpThreadAttributes,
                        BOOL bInheritHandles,
                        DWORD dwCreationFlags,
                        LPVOID lpEnvironment,
                        LPCSTR lpCurrentDirectory,
                        LPSTARTUPINFOA lpStartupInfo,
                        LPPROCESS_INFORMATION lpProcessInformation,
                        PHANDLE hNewToken
                        );


//hook类
class CHookInfo
{
private:
    BYTE    m_OldCode[5];
    BYTE    m_NewCode[5];
    DWORD    m_FunAddr;
public:
    BOOL HookApi(LPCSTR sDllName,LPCSTR sFunName,DWORD pNewFunc)
    {
        if(sDllName)m_FunAddr=(DWORD)GetProcAddress(GetModuleHandle(sDllName),sFunName);
        else m_FunAddr=(DWORD)sFunName;
        if(!m_FunAddr)return FALSE;
        memcpy(m_OldCode, (PVOID)m_FunAddr, 5);
        m_NewCode[0]=0xE9;
        int dwJmpAddr=pNewFunc-m_FunAddr-5;
        memcpy(&m_NewCode[1],&dwJmpAddr,4);
        return HookStatus(TRUE);
    }
    BOOL HookStatus(BOOL bIsHook)
    {
        if(bIsHook)return WriteProcessMemory(GetCurrentProcess(), (PVOID)m_FunAddr, m_NewCode, 5, 0);
        return WriteProcessMemory(GetCurrentProcess(), (PVOID)m_FunAddr, m_OldCode, 5, 0);
    }
};

FNCreateProcessInternalA CreateProcessInternalA=NULL;
FNCreateProcessInternalW CreateProcessInternalW=NULL;

DWORD ThisProcessID=NULL;
HANDLE hProcess=NULL;
WCHAR szwFilePath[MAX_PATH] = {0};
char szFilePath[MAX_PATH] = {0};
char szModuleName[MAX_PATH] = {0};
char szInfo[1024] = {0};

CHookInfo g_HookCreateProcessInternalA;
CHookInfo g_HookCreateProcessInternalW;


BOOL lpWstrToPath(LPWSTR lpwstr,char *lpchar)
{
    DWORD dwNum = WideCharToMultiByte(CP_OEMCP, 0, (LPCWCH)lpwstr, -1, NULL, 0, NULL, false);  
    if (dwNum != 0)  
    {  
        char *lpAnsiName = new char[dwNum + 1];  
        dwNum = WideCharToMultiByte(CP_OEMCP, NULL, (LPCWCH)lpwstr, -1, lpAnsiName, dwNum + 1, NULL, false);  
        memset(lpchar, 0x0, MAX_PATH * sizeof(char));
        strncpy(lpchar, lpAnsiName, strlen(lpAnsiName));
        return TRUE;
    }
}

BOOL ShowMsg()
{
    sprintf(szInfo, "命令行: %s\n\n父进程: %s\n", szFilePath, szModuleName);

    return (IDYES==::MessageBox(NULL, szInfo, "有进程将要创建,是否允许?", MB_YESNO|MB_TOPMOST));
    
}

BOOL WINAPI HookCreateProcessInternalA(
                                        HANDLE hToken,
                                        LPCSTR lpApplicationName,
                                        LPSTR lpCommandLine,
                                        LPSECURITY_ATTRIBUTES lpProcessAttributes,
                                        LPSECURITY_ATTRIBUTES lpThreadAttributes,
                                        BOOL bInheritHandles,
                                        DWORD dwCreationFlags,
                                        LPVOID lpEnvironment,
                                        LPCSTR lpCurrentDirectory,
                                        LPSTARTUPINFOA lpStartupInfo,
                                        LPPROCESS_INFORMATION lpProcessInformation,
                                        PHANDLE hNewToken
                                        )

{    
    BOOL                RetVal;
    
    if (g_Lock) return FALSE;

    if (lpCommandLine != NULL)
    {
        memset(szFilePath, 0x0, MAX_PATH * sizeof(char));
        strcpy(szFilePath, lpCommandLine);
        if (ShowMsg()==false) return FALSE;
    }

    g_HookCreateProcessInternalA.HookStatus(false);
    RetVal=CreateProcessInternalA(
                                    hToken,
                                    lpApplicationName,
                                    lpCommandLine,
                                    lpProcessAttributes,
                                    lpThreadAttributes,
                                    bInheritHandles,
                                    dwCreationFlags,
                                    lpEnvironment,
                                    lpCurrentDirectory,
                                    lpStartupInfo,
                                    lpProcessInformation,
                                    hNewToken
                                    );

    g_HookCreateProcessInternalA.HookStatus(true);
    
    //if(NT_ERROR(RetVal))return RetVal;
    return RetVal;

}

BOOL WINAPI HookCreateProcessInternalW(
                                        HANDLE hToken,
                                        LPCWSTR lpApplicationName,
                                        LPWSTR lpCommandLine,
                                        LPSECURITY_ATTRIBUTES lpProcessAttributes,
                                        LPSECURITY_ATTRIBUTES lpThreadAttributes,
                                        BOOL bInheritHandles,
                                        DWORD dwCreationFlags,
                                        LPVOID lpEnvironment,
                                        LPCSTR lpCurrentDirectory,
                                        LPSTARTUPINFOA lpStartupInfo,
                                        LPPROCESS_INFORMATION lpProcessInformation,
                                        PHANDLE hNewToken
                                        )

{    
    BOOL                RetVal;
    
    if (g_Lock) return FALSE;

    if (lpCommandLine != NULL)
    {
        lpWstrToPath(lpCommandLine,szFilePath);
        if (ShowMsg()==false) return FALSE;
    }

    g_HookCreateProcessInternalW.HookStatus(false);
    RetVal=CreateProcessInternalW(
                                    hToken,
                                    lpApplicationName,
                                    lpCommandLine,
                                    lpProcessAttributes,
                                    lpThreadAttributes,
                                    bInheritHandles,
                                    dwCreationFlags,
                                    lpEnvironment,
                                    lpCurrentDirectory,
                                    lpStartupInfo,
                                    lpProcessInformation,
                                    hNewToken
                                    );

    g_HookCreateProcessInternalW.HookStatus(true);
    
    return RetVal;

}




BOOL WINAPI InitHook()  //初始化hook
{
    hProcess = GetCurrentProcess();  
    ThisProcessID=GetCurrentProcessId();
    ::GetModuleFileName(NULL,szModuleName,MAX_PATH);

    CreateProcessInternalA=(FNCreateProcessInternalA)GetProcAddress(LoadLibrary("kernel32.dll"), "CreateProcessInternalA");
    CreateProcessInternalW=(FNCreateProcessInternalW)GetProcAddress(LoadLibrary("kernel32.dll"), "CreateProcessInternalW");
    
    g_HookCreateProcessInternalA.HookApi("kernel32.dll", "CreateProcessInternalA", (DWORD)HookCreateProcessInternalA);
    g_HookCreateProcessInternalW.HookApi("kernel32.dll", "CreateProcessInternalW", (DWORD)HookCreateProcessInternalW);

    return TRUE;
}

void WINAPI EndHook()
{
    g_HookCreateProcessInternalA.HookStatus(false);
    g_HookCreateProcessInternalW.HookStatus(false);
}


BOOL APIENTRY DllMain( HANDLE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    g_hThisDLL = (HINSTANCE)hModule;
    switch (ul_reason_for_call)
    {
        case DLL_PROCESS_ATTACH:
            InitHook();
            break;
        case DLL_THREAD_ATTACH:
            break;
        case DLL_THREAD_DETACH:
            break;
        case DLL_PROCESS_DETACH:
            EndHook();
            break;
    }

    
    return TRUE;
}



LRESULT CALLBACK KeyboardProc(int Code,WPARAM wParam,LPARAM lParam)
{
    return CallNextHookEx(g_hHook,Code,wParam,lParam);
}

LONG WINAPI StartHookMon()
{
    if(!g_hHook)g_hHook=SetWindowsHookEx(WH_DEBUG, (HOOKPROC)KeyboardProc, g_hThisDLL, 0);
    return (LONG)g_hHook;
}

BOOL WINAPI UnHookMon()
{
    UnhookWindowsHookEx(g_hHook);
    g_hHook=NULL;
    g_hWnd=NULL;
    return TRUE;
}

BOOL WINAPI LockMon(BOOL bLock)
{
    g_Lock=bLock;
    return TRUE;
}

HWND WINAPI SetReceiveWindow(HWND hReceiveWnd)
{
    HWND LastWnd=g_hWnd;
    if(!g_hWnd)g_hWnd=hReceiveWnd;
    return LastWnd;
}


//HookApi.def

EXPORTS
StartHookMon
UnHookMon
LockMon

SEGMENTS
.Shared     READ WRITE SHARED


'VB中调用
Option Explicit

Private Declare Function GetCurrentProcessId Lib "kernel32" () As Long
Private Declare Function StartHookMon Lib "HookApi.dll" () As Boolean
Private Declare Function UnHookMon Lib "HookApi.dll" () As Boolean
Private Declare Function LockMon Lib "HookApi.dll" (ByVal bLock As Boolean) As Boolean


Private Sub Check1_Click()
        If Command2.Enabled Then LockMon Check1.Value
End Sub

Private Sub Command1_Click()
        StartHookMon
        LockMon Check1.Value
        Command1.Enabled = False
        Command2.Enabled = True
End Sub

Private Sub Command2_Click()
        UnHookMon '取消
        Command1.Enabled = True
        Command2.Enabled = False
End Sub

Private Sub Form_Load()
        Command2.Enabled = False
End Sub

Private Sub Form_QueryUnload(Cancel As Integer, UnloadMode As Integer)
        If Command2.Enabled Then Command2_Click
End Sub
//******************* 完 ***************************
http://pan.baidu.com/s/1o8jLtrk

进程创建监控x86
zhuhuibeishadiao
04-10 663
Hook_ZwCreateSection XP: CreateProcessW CreateProcessInternalW NtCreateProcessEx ZwCreateSection VISTA以上: CreateProcessW CreateProcessInternalW NtCreateUserProcess ZwCreateSection
监视系统中进程创建和终止
jingzhongrong
02-16 2691
//write by jingzhongrong最近在论坛上看到很多人都在问这个问题,花了一些时间写了这个程序,原理很简单,主要功能通过一个内核驱动中使用PsSetCreateProcessNotifyRoutine 函数来实现。效果也不错首先新建一个驱动程序工程,在DriverEntry例程中调用PsSetCreateProcessNotifyRoutine函数向系统添加一个回调函数,并
实时监控进程创建
03-30
Hook ObCreateObject 实时监控进程创建
进程监控程序 监视进程创建
weixin_30699741的博客
12-29 292
1OptionExplicit2'引用MicrosoftWMIScriptingV1.2Library3PrivateobjSWbemServicesAsSWbemServices4PrivateWithEventsCreateProcessEventAsSWbemSink5PrivateWithEventsDeleteProcessEv...
监视新进程创建代码
09-08
可以监视新的进程打开,完整代码,已经经过本人的测试。C++代码其它语言可以翻译或者编译成DLL调用。
shell监控linux系统进程创建脚本分享
09-15
在标题和描述中提到的“shell监控linux系统进程创建脚本”,其主要目的是通过Shell脚本实时跟踪和记录系统中新增的进程。下面,我们将详细解析给出的脚本内容: ```bash #!/bin/sh while true do ps ax -o command...
监控进程创建,源码
06-26
在IT领域,监控进程创建是一项重要的系统管理任务,它能够帮助我们了解系统中正在运行的程序,检测潜在的恶意活动,以及优化系统性能。本文将深入探讨如何通过源码实现进程监控,特别是针对Windows XP和Win7 32位...
APIHOOK拦截指定进程创建进程
06-06
APIHOOK拦截指定进程创建进程。@按键精灵。
精选_基于PsSetCreateProcessNotifyRoutineEx实现监控进程创建并阻止创建_源码打包
03-10
在描述中提到的源码打包,很可能包含了一个示例驱动程序,演示了如何使用`PsSetCreateProcessNotifyRoutineEx`来实现实时的进程创建监控,并且能够阻止特定进程创建。 内核模式驱动程序的工作原理是在系统调用...
进程创建、终止、监控、执行
xiupong的博客
07-23 460
进程前言一、进程创建 fork()/vfork()1、获得进程id2、fork()3、vfork()二、进程的终止 exit()/_exit()1、正常结束进程 exit()2、结束进程执行 _exit()3、exit()与_exit()区别三、监控进程 wait()/waitpid()1、wait()2、waitpid()四、程序的执行 exec()族1、exec()族2、system()五、僵尸进程和孤儿进程1、概念2、危害与解决方法六、守护进程与后台进程 前言 fork创建一个子进程,该.
易语言 监视新进程创建
08-22
易语言 监视新进程创建 并可以拦截放行 低CPU占用
易语言监视新进程创建
10-08
易语言监视新进程创建监视新进程创建监视新进程创建
监视并控制进程创建
商少
07-31 1177
我们都知道,进程创建会涉及比较多的行为,从开始的创建进程空间,创建句柄表等内核功能,之后映射可执行文件、主线程的运行,如果我们可以在其中的一个位置做手脚,进程创建应该就会失败。这里我们使用的是系统回调函数的方法。 基本函数。 // 可以通知我们进程创建 NTSTATUS PsSetCreateProcessNotifyRoutine( IN PCREATE_PROC
hook方式进程创建监控进程保护
kernweak的博客
05-30 3249
关于进程创建, xp系统:CreatProcessW->CreateProcessInternalW->NtCreateProcessEx->NtCreatSection Vista以上:CCreatProcessW->CreateProcessInternalW->NtCreateUserProcess->NtCreateSection 所以我们要Hoo...
监视进程以及线程的创建
myworldbig的专栏
04-22 722
<br />/***************************************************************** 文件名 : ProcessWatch.c 描述 : 进程/线程监视器 作者 : superKiki 最后修改日期 : 2010-5-10 *****************************************************************/ #include "ntddk.h" #include "string.h" #define
ring3下利用WMI监视进程创建(vc版)
zwfgdlc的专栏
07-18 4762
#include "stdafx.h" #define _WIN32_DCOM #include using namespace std; #include #include # pragma comment(lib, "wbemuuid.lib") int main(
监控进程创建代码
编程资料大全
02-29 262
#include "stdafx.h" #include "apihook.h" #include &lt;stdio.h&gt; typedef BOOL (WINAPI *PFNCPW)( LPCTSTR lpApplicationName, LPTSTR lpCommandLine, LPSECURITY_ATTRIBUTES lpProcessAttributes, LPSE...
全局监控进程创建and禁止结束某进程
编程论坛
06-12 1744
32位系统直接传统Hook就Ok了,但是64位系统就不行了,需要改动一下汇编代码64位系统Hook需求1.目标进程64位2.注入程序64位3.dll64位以上条件必须都满足方可Hook64程序--------------------------------------------------------------------------------------------------------...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值