[原创]拦截进程创建（不会卡死桌面）-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]拦截进程创建（不会卡死桌面）

发表于: 2011-1-28 16:44 24458

[原创]拦截进程创建（不会卡死桌面）

bycon

2011-1-28 16:44

24458

 
kd> u PspUserThreadStartup
nt!PspUserThreadStartup:
805c7050 6a20            push    20h
[COLOR=red]805c7052 6870ae4d80      push    offset nt!ObWatchHandles+0x61c (804dae70)[/COLOR]
805c7057 e8c41ef7ff      call    nt!_SEH_prolog (80538f20)
805c705c 64a124010000    mov     eax,dword ptr fs:[00000124h]
805c7062 8bf0            mov     esi,eax
805c7064 8975e0          mov     dword ptr [ebp-20h],esi
805c7067 8b7e44          mov     edi,dword ptr [esi+44h]
805c706a 897ddc          mov     dword ptr [ebp-24h],edi

 
kd> dt _ETHREAD
ntdll!_ETHREAD
   ...
   +0x224 StartAddress     : Ptr32 Void
   ...

 
 
/************************************************************************/
/*    获取信息,并根据用户的选择结束进程或者允许运行                     */
/*    arg[0] 和 arg[1] 分别为PspUserThreadStartup 的两个参数   */
/*    arg[0] = StartRoutine, arg[1] = StartContext                      */
/************************************************************************/
void DoSomethingIWant(PULONG arg)
{
 ULONG dwEProcess = (ULONG)PsGetCurrentProcess();
 ANSI_STRING ansiCurrentProcessName,ansiPerentProcessName;
 ULONG uRet = 0;
 ULONG Pid, PerentPid;
 KSPIN_LOCK    SpinLock;
 KIRQL kirql;
 PLIST_ENTRY head,curr;
 ULONG n;
 
 if (g_uStartSign == 0) //没准备好?
 {
  return;
 }
 Pid =  (ULONG)PsGetCurrentProcessId();
 PerentPid = *(PULONG)(dwEProcess + OFFSET_PERENT_PID_EPROCESS);//通过偏移从EPROCESS中获取父进程ID,偏移为硬编码
 KeInitializeSpinLock(&SpinLock);
 if (g_uStartSign != arg[1])  //是否为进程的第一个线程
 {
  //添加PID到PidTable中
  KeAcquireSpinLock(&SpinLock,&kirql); 
  SetPidTable(Pid, 1);
  KeReleaseSpinLock(&SpinLock,kirql);
  //取当前进程名
  GetProcessPathName(dwEProcess,&ansiCurrentProcessName);
  //取父进程名
  GetProcessPathNameByPID(PerentPid, &ansiPerentProcessName);
  //打印信息~~
  DbgPrint("[ProcessMon]Process Creating, Process Name = %s ,PID = %d ,PerentName = %s PID = %d\r\n",
   ansiCurrentProcessName.Buffer,Pid, ansiPerentProcessName.Buffer,PerentPid);
  //让用户选择
  uRet = GetUserChoose(&ansiPerentProcessName,&ansiCurrentProcessName, PerentPid, Pid);
 
  //从PidTable中删除PID
  KeAcquireSpinLock(&SpinLock,&kirql); 
  SetPidTable(Pid, 0);
  KeReleaseSpinLock(&SpinLock,kirql);
  //释放内存了.
  if(ansiCurrentProcessName.Length) RtlFreeAnsiString(&ansiCurrentProcessName);
  if(ansiPerentProcessName.Length) RtlFreeAnsiString(&ansiPerentProcessName); 
  //根据用户的选择允许运行或者结束进程
  if(uRet)
   ZwTerminateProcess(NtCurrentProcess(), 0);
  KeSetEvent(&g_eventNotify, 0, 0); //通知那些等待的线程---------------------
  KeClearEvent(&g_eventNotify);  //置为非信号----------------------------｜
 }        //            ｜ 
 else       //            ｜ 
 {        //            ｜
  //不是第一个线程               ｜     
  while (IsPidInTable(Pid)) //如果线程所属进程在等待用户判断,则让其等待  ｜   
  {       //            ｜  
   KeWaitForSingleObject(&g_eventNotify,Executive,KernelMode,0,0); // <-----
  }
  //通过EPROCESS->ThreadListHead遍历线程,ThreadListHead的偏移量为硬编码
  for (n = 0, curr = head = (PLIST_ENTRY)(dwEProcess + OFFSET_THREAD_LIST_HEAD_EPROCESS);
    curr->Blink != head ;
    curr = curr->Blink, n++){} //计算当前进程的线程数目
  DbgPrint("[ProcessMon]Pid: %.4d  ,Thread count = %d\r\n",Pid, n);
 }
 
 return;
}
 
 
/************************************************************************/
/*   自己假冒的函数     保存现场后CALL DoSomethingIWant                 */
/************************************************************************/
__declspec(naked) void FakePspUserThreadStartup()
{
 __asm{
  pushfd
  pushad
  mov  ebx,esp
  add  ebx,44
  push ebx
  call DoSomethingIWant
  popad
  popfd
  jmp  g_Orig
 }
 
}
 
/************************************************************************/
/*   挂钩PspUserThreadStartup                 */
/*   挂钩的地址是PspUserThreadStartup+2                                 */
/************************************************************************/
void HookPspUserThreadStartup()
{ 
 PUCHAR pHookAddr = (PUCHAR)FindPspUserThreadStartupAddress();
 UCHAR JMPCode[5] = {0xe9,0,0,0,0};
 UCHAR JMPBackCode[5] = {0xe9,0,0,0,0};
 g_Orig = ExAllocatePool(NonPagedPool,10);
 if (!g_Orig)
 {
  DbgPrint("[ProcessMon]Failed with Allocate Pool\r\n");
  return ;
 }
 
 if (!pHookAddr) return;
 pHookAddr += 2; //挂钩的地址是PspUserThreadStartup+2
 
 *((PULONG)(JMPCode+1)) = (ULONG) FakePspUserThreadStartup - ((ULONG)pHookAddr + 5);
 *((PULONG)(JMPBackCode+1)) = (ULONG)pHookAddr + 5 - ((ULONG)g_Orig + 10);
 memcpy(
   g_Orig,
   (PVOID)pHookAddr,
   5);
 memcpy(
   (PVOID)((ULONG)g_Orig+5),
   (PVOID)JMPBackCode,
   5);
 __asm{
   cli
   mov  eax,cr0
   and  eax,not 10000h
   mov  cr0,eax
 }
 
 memcpy((PVOID)pHookAddr,JMPCode,5);
 
 __asm{
   mov  eax,cr0
   or   eax,10000h
   mov  cr0,eax
   sti
  }
 
}

登录后可查看完整内容

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

上传的附件：

bin+src.zip （529.13kb，423次下载）

收藏・57

免费・7

支持

最新回复 (21)
Mx￠Xgt 雪币： 656 活跃值： (458) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 5 关注私信	Mx￠Xgt 7 2 楼收藏哈,不错 2011-1-28 16:57 0
b23526 雪币： 4560 活跃值： (1037) 能力值： ( LV4，RANK：50 ) 在线值：发帖 351 回帖 1832 粉丝 4 关注私信	b23526 3 楼不错不错，收藏之 2011-1-28 17:08 0
wxhanshan 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 226 粉丝 0 关注私信	wxhanshan 4 楼不错不错，收藏之 2011-1-28 17:24 0
wep 雪币： 271 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 86 粉丝 0 关注私信	wep 5 楼感谢分享。 2011-1-28 17:37 0
leeonegor 雪币： 154 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 108 粉丝 0 关注私信	leeonegor 6 楼感谢分享 2011-1-28 21:07 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 7 楼感觉还是卡死explorer并且把弹出窗口做成模态好. 2011-1-28 21:18 0
方天画戟雪币： 153 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 59 粉丝 0 关注私信	方天画戟 8 楼支持lz，祝愿找个好工作 2011-1-28 21:43 0
吴靖wan 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	吴靖wan 9 楼跟了下xp sp3 和 win7 找不到初始化apc的操作诶请问楼主哪个函数内做api动作 2011-10-27 10:45 0
xjchilli 雪币： 100 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	xjchilli 10 楼不错不错，留名备查 2011-12-19 22:53 0
MRCDG 雪币： 9 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	MRCDG 11 楼 mark一下，留名备查 2011-12-20 11:40 0
yinning 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 94 粉丝 0 关注私信	yinning 12 楼 mark,谢谢楼主 2011-12-21 16:27 0
nfgfgo 雪币： 130 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 124 粉丝 0 关注私信	nfgfgo 13 楼一个进程还可以，多次创建你怎么办？ 2011-12-21 16:51 0
nfgfgo 雪币： 130 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 124 粉丝 0 关注私信	nfgfgo 14 楼还有创建成功程序，被拦截的后果是无法考虑的。 2011-12-21 16:57 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 15 楼其实不用hook也可以拦截~ 直接用CreateThreadNotifyRoutine也一样~~ PspUser那个thread中间直接call到CreateThreadNotifyRoutine哦~嘿嘿，各种内涵奥妙不言而喻~ 2011-12-22 07:52 0
ruoko 雪币： 122 活跃值： (72) 能力值： ( LV3，RANK：30 ) 在线值：发帖 35 回帖 226 粉丝 0 关注私信	ruoko 16 楼 2012-4-16 17:42 0
jasonnbfan 雪币： 949 活跃值： (18) 能力值： ( LV9，RANK：330 ) 在线值：发帖 60 回帖 265 粉丝 2 关注私信	jasonnbfan 8 17 楼 mark r0 拦截进程。感谢共享 2012-4-16 18:00 0
sierra 雪币： 238 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 518 粉丝 1 关注私信	sierra 1 18 楼 mark r0 2012-4-16 18:02 0
AsmBrat 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 97 粉丝 0 关注私信	AsmBrat 19 楼谢谢楼主.~~这玩意以后肯定用得着. 2012-4-16 23:54 0
kagayaki 雪币： 3590 活跃值： (6331) 能力值： ( LV3，RANK：20 ) 在线值：发帖 175 回帖 1281 粉丝 27 关注私信	kagayaki 20 楼不错不错，收藏之 2012-11-29 19:45 0
kmsmxpro 雪币： 123 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 82 粉丝 0 关注私信	kmsmxpro 21 楼不错不错，收藏之 2012-11-30 08:37 0
fengyunabc 雪币： 4064 活跃值： (4402) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 548 粉丝 27 关注私信	fengyunabc 1 22 楼感谢分享！ 2020-7-9 15:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

bycon

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
Mx￠Xgt 雪币： 656 活跃值： (458) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 5 关注私信	Mx￠Xgt 7 2 楼收藏哈,不错 2011-1-28 16:57 0
b23526 雪币： 4560 活跃值： (1037) 能力值： ( LV4，RANK：50 ) 在线值：发帖 351 回帖 1832 粉丝 4 关注私信	b23526 3 楼不错不错，收藏之 2011-1-28 17:08 0
wxhanshan 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 226 粉丝 0 关注私信	wxhanshan 4 楼不错不错，收藏之 2011-1-28 17:24 0
wep 雪币： 271 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 86 粉丝 0 关注私信	wep 5 楼感谢分享。 2011-1-28 17:37 0
leeonegor 雪币： 154 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 108 粉丝 0 关注私信	leeonegor 6 楼感谢分享 2011-1-28 21:07 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 7 楼感觉还是卡死explorer并且把弹出窗口做成模态好. 2011-1-28 21:18 0
方天画戟雪币： 153 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 59 粉丝 0 关注私信	方天画戟 8 楼支持lz，祝愿找个好工作 2011-1-28 21:43 0
吴靖wan 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	吴靖wan 9 楼跟了下xp sp3 和 win7 找不到初始化apc的操作诶请问楼主哪个函数内做api动作 2011-10-27 10:45 0
xjchilli 雪币： 100 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	xjchilli 10 楼不错不错，留名备查 2011-12-19 22:53 0
MRCDG 雪币： 9 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	MRCDG 11 楼 mark一下，留名备查 2011-12-20 11:40 0
yinning 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 94 粉丝 0 关注私信	yinning 12 楼 mark,谢谢楼主 2011-12-21 16:27 0
nfgfgo 雪币： 130 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 124 粉丝 0 关注私信	nfgfgo 13 楼一个进程还可以，多次创建你怎么办？ 2011-12-21 16:51 0
nfgfgo 雪币： 130 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 124 粉丝 0 关注私信	nfgfgo 14 楼还有创建成功程序，被拦截的后果是无法考虑的。 2011-12-21 16:57 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 15 楼其实不用hook也可以拦截~ 直接用CreateThreadNotifyRoutine也一样~~ PspUser那个thread中间直接call到CreateThreadNotifyRoutine哦~嘿嘿，各种内涵奥妙不言而喻~ 2011-12-22 07:52 0
ruoko 雪币： 122 活跃值： (72) 能力值： ( LV3，RANK：30 ) 在线值：发帖 35 回帖 226 粉丝 0 关注私信	ruoko 16 楼 2012-4-16 17:42 0
jasonnbfan 雪币： 949 活跃值： (18) 能力值： ( LV9，RANK：330 ) 在线值：发帖 60 回帖 265 粉丝 2 关注私信	jasonnbfan 8 17 楼 mark r0 拦截进程。感谢共享 2012-4-16 18:00 0
sierra 雪币： 238 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 518 粉丝 1 关注私信	sierra 1 18 楼 mark r0 2012-4-16 18:02 0
AsmBrat 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 97 粉丝 0 关注私信	AsmBrat 19 楼谢谢楼主.~~这玩意以后肯定用得着. 2012-4-16 23:54 0
kagayaki 雪币： 3590 活跃值： (6331) 能力值： ( LV3，RANK：20 ) 在线值：发帖 175 回帖 1281 粉丝 27 关注私信	kagayaki 20 楼不错不错，收藏之 2012-11-29 19:45 0
kmsmxpro 雪币： 123 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 82 粉丝 0 关注私信	kmsmxpro 21 楼不错不错，收藏之 2012-11-30 08:37 0
fengyunabc 雪币： 4064 活跃值： (4402) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 548 粉丝 27 关注私信	fengyunabc 1 22 楼感谢分享！ 2020-7-9 15:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复