新的注入方法

上次说了 一个办法 HOOK ntdll.memmove h1d 0{
4C*=8oe_
今天再讲一个 我们先来科普下

!q1^X% a
|xC TX
Windows环境进程的创建包括以下几个步骤： 4B,A+{3yL
AMiFsgBj
打开EXE文件，创建局部的段对象； L*Cf&c`8r

创建Windows执行体进程对象； =1?yS3
创建和初始化主线程（包括栈、上下文、执行体线程块对象的创建）； $+N^ s^
通知Windows子系统新的进程已经创建，系统为新的进程运行设置环境； L-TVe
开始执行初始线程（如果在创建进程的时候使用了CREATE_SUSPENDED标志，那么就挂起主线程）； ^aMdbB
在新的进程和线程的上下文中，完成地址空间的初始化（如动态链接库的加载等）和开始执行程序。 ^@> Qiy
pZn%g]nRD
在XP/NT系统中CreateProcess函数的调用过程为 d8I:F9
0： CreateProcess i)DXb
1：CreateProcessInternalW ApBThW *E
2：NtCreateProcessEx/NtCreateProcess (`xnA~BN
3：PspCreateProcess SW, Po>Y
P ie!Su`
以上是大概流程 注意 避免误人子弟 如对具体过程有兴趣的童鞋 请自行查询详细资料深入了解

g{(nt5|^l
z$b!J$A1
我们只是需要注入一个DLL 要求很简单 但也不简单 必须在驱动保护加载前注入 bq ]a8tSB
xx8na8
我们的目标是 HOOK NtCreateProcessEx 这个函数一般在内核态中SSDT HOOK 用来监控进程的创建 当然我们R3下HOOK 足以 TQH#sx
Hq$ |j,&?
函数声明如下 T(DE^E@a
iI7~9SCE
NTSTATUS NtCreateProcessEx( Y}U w7\e
OUT PHANDLE ProcessHandle, <Z;BB)I&C`
IN ACCESS_MASK DesiredAccess, F^-4Pyq@
IN POBJECT_ATTRIBUTES ObjectAttributes OPTIONAL, (Bz(KyD[
IN HANDLE ParentProcess, `0F IJT
IN BOOLEAN InheritObjectTable, /Z_QCj
IN HANDLE SectionHandle OPTIONAL, *VB*/^6A
IN HANDLE DebugPort OPTIONAL, om6R/K
IN HANDLE ExceptionPort OPTIONAL, z?xd\x
IN HANDLE Unknown OPTIONAL); ~4 ab\hq
F mPF7
我们只关心其中一个参数 OUT PHANDLE ProcessHandle 输出 进程句柄
|wx1 [xZ
O9Aooe4W=
那么答案很明显了 HOOK 他 然后 调用一下原始函数 获取返回的 ProcessHandle 连OpenProcess 都免了 uY,FugWbl
gK /K Z8
就不上代码了 本人代码很挫 就不丢人现眼了

.kVga+la?
eR CG r?e4
最后再加一句

万一你失败了 那我只能说 以上只是理论验证 根据个人理解不同 结果也不同

s6 I]H
t
yh%s"