S.l.e!ep.￠%

像打了激速一樣，以四倍的速度運轉，開心的工作
簡單、開放、平等的公司文化；尊重個性、自由與個人價值；

posts - 1098, comments - 335, trackbacks - 0, articles - 1

C++博客 :: 首頁 :: 新隨筆 :: 聯系 :: 聚合

:: 管理

監控Explorer的進程創建問題

Posted on 2009-09-20 22:27 S.l.e!ep.￠% 閱讀(664) 評論(0) 編輯收藏引用所屬分類: 系統低層

監控Explorer的進程創建問題

上一篇 / 下一篇 ?2008-08-23 14:50:57

查看( 73 ) / 評論( 0 ) / 評分( 0 / 0 )

近日筆者收到某網友的信件稱，“為何自己寫的監控 Explorer進程代碼運行后，系統會崩潰。”現筆者就這一問題，拿出與用戶共同探討。NT 下的 Explorer 通過 CreateProcessInternalW建立，R3的控制權。代碼如下：

????? bInheritHandles,
　　DWORD?dwCreationFlags,
　　LPVOID?lpEnvironment,
　　LPCWSTR?lpCurrentDirectory,
　　LPSTARTUPINFOW?lpStartupInfo,
　　LPPROCESS_INFORMATION?lpProcessInformation,
　　PHANDLE?hNewToken);
　　int?APIENTRY?DllMain(HINSTANCE?hInstance,?DWORD?dwReason,?LPVOID?lpReserved)
　　{
　　UNREFERENCED_PARAMETER(lpReserved);
　　if?(dwReason?==?DLL_PROCESS_ATTACH)
　　{
　　ExampleJmp();
　　}
　　else?if?(dwReason?==?DLL_PROCESS_DETACH)
　　{
　　SetHookOff();
　　}
　　return?1;
　　}
　　void?HookOneAPI(LPCTSTR?ModuleName,?LPCTSTR?ApiName,?FARPROC?lpNewFunc)
　　{
　　BYTE?str[8]?=?{?0x0B8,?0x0,?0x0,?0x40,?0x0,?0x0FF,?0x0E0,0};?//?mov?eax,addr?jmp?eax
　　memcpy(m_NewFunc,str,8);
　　m_lpHookFunc?=?GetProcAddress(GetModuleHandle(ModuleName),ApiName);
　　m_hProc?=?GetCurrentProcess();
　　memcpy(m_OldFunc,(char?*)m_lpHookFunc,8);
　　*(DWORD?*)(?m_NewFunc?+?1?)?=?(DWORD)lpNewFunc;
　　}
　　void?WINAPI?SetHookOn()
　　{
　　MEMORY_BASIC_INFORMATION?mbi;
　　VirtualQuery(m_lpHookFunc,&mbi,sizeof(mbi));
　　VirtualProtect(m_lpHookFunc,sizeof(DWORD),PAGE_READWRITE,0);
　　DWORD?dwOldFlag;
　　WriteProcessMemory(m_hProc,?(void?*)m_lpHookFunc,
　　(void?*)m_NewFunc,?8,&dwOldFlag);
　　}
　　void?WINAPI?SetHookOff()
　　{
　　DWORD?dwOldFlag;
　　WriteProcessMemory(m_hProc,?(void?*)m_lpHookFunc,
　　(void?*)m_OldFunc,?8,?&dwOldFlag);
　　}
　　BOOL?WINAPI?MyCreateProcess(HANDLE?hToken,
　　LPCWSTR?lpApplicationName,
　　LPWSTR?lpCommandLine,
　　LPSECURITY_ATTRIBUTES?lpProcessAttributes,
　　LPSECURITY_ATTRIBUTES?lpThreadAttributes,
　　BOOL?bInheritHandles,
　　DWORD?dwCreationFlags,
　　LPVOID?lpEnvironment,
　　LPCWSTR?lpCurrentDirectory,
　　LPSTARTUPINFOW?lpStartupInfo,
　　LPPROCESS_INFORMATION?lpProcessInformation,
　　PHANDLE?hNewToken)
　　{
　　BOOL?BReturn=TRUE;
　　SetHookOff();
　　CreateProcessHH?CreateProcessHHH=(CreateProcessHH)GetProcAddress(GetModuleHandle("Kernel32.dll"),"CreateProcessInternalW");
　　BReturn=CreateProcessHHH(hToken,lpApplicationName,lpCommandLine,lpProcessAttributes
　　,lpThreadAttributes,bInheritHandles,dwCreationFlags,lpEnvironment,lpCurrentDirectory,
　　lpStartupInfo,lpProcessInformation,hNewToken);
　　SetHookOn();
　　return?BReturn;
　　}
　　BOOL?UpPrivilege(HANDLE?hprocess,LPCTSTR?lpname)?//提升進程權限?debug
　　{
　　HANDLE?hToken;
　　TOKEN_PRIVILEGES?Privileges;
　　LUID?luid;
　　OpenProcessToken(hprocess,TOKEN_ADJUST_PRIVILEGES,&hToken);
　　Privileges.PrivilegeCount=1;
　　LookupPrivilegeValue(NULL,lpname,&luid);
　　Privileges.Privileges[0].Luid=luid;
　　Privileges.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;
　　if(AdjustTokenPrivileges(hToken,FALSE,&Privileges,NULL,NULL,NULL)!=0)
　　return?TRUE;
　　return?FALSE;
　　}
　　void?WINAPI?ExampleJmp()
　　{
　　char?privilege[]=SE_DEBUG_NAME;
　　HANDLE?hprocess;
　　hprocess=GetCurrentProcess();
　　if(!UpPrivilege(hprocess,privilege))?//開始提權
　　{
　　exit(-1);
　　}
　　HookOneAPI("Kernel32.dll","CreateProcessInternalW",(FARPROC)MyCreateProcess);
　　SetHookOn();
　　}

????? 歡迎大家把自己的意見和代碼公布出來，IT專家網將給您和您的團隊提供更多展現自己的舞臺！

只有注冊用戶登錄后才能發表評論。
【推薦】100%開源！大型工業跨平臺軟件C++源碼提供，建模，組態！

相關文章: 賽揚、奔騰、酷睿、安騰、至強CPU的區別最佳p4伴侶實模式、保護模式保護模式和實模式 protectme XueTr HOOK SSDT 短文一篇(通過MDL修改內存保護機制) 監控Explorer的進程創建問題驅動監控進程創建 Process, regedit Control

網站導航: 博客園 IT新聞 BlogJava 博問 Chat2DB 管理

S.l.e!ep.￠%

監控Explorer的進程創建問題

監控Explorer的進程創建問題

日歷

公告

常用鏈接

留言簿(5)

隨筆分類(1107)

隨筆檔案(1098)

文章檔案(1)

相冊

收藏夾(3)

DataStruct

搜索

積分與排名

最新評論

閱讀排行榜

評論排行榜