[求助]Hook了NtCreateProcessEx如何判断可执行映像的名字?-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
combojiang 雪币： 321 活跃值： (275) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 60 关注私信	combojiang 26 2 楼方法多去了，可以通过进程句柄得到其eprocess.在eprocess中找出可知性映像名.常见办法： 1、通过PEB. ProcessParameters -> ImagePathName取得可执行文件路径 2、通过nt!_EPROCESS的ImageFileName取得。 3、通过nt!_EPROCESS:: SeAuditProcessCreationInfo:: ImageFileName取得。 4、通过和_EPROCESS相关的文件对象信息取得。 2008-3-25 08:40 0
sudami 雪币： 709 活跃值： (2575) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 68 关注私信	sudami 25 3 楼 NTSTATUS GetFullName(HANDLE KeyHandle,char fullname) { NTSTATUS ns; PVOID pKey=NULL,pFile=NULL; UNICODE_STRING fullUniName; ANSI_STRING akeyname; ULONG actualLen; UNICODE_STRING dosName; fullUniName.Buffer=NULL; fullUniName.Length=0; fullname[0]=0x00; ns= ObReferenceObjectByHandle( KeyHandle, 0, NULL, KernelMode, &pKey, NULL ) ; if( !NT_SUCCESS(ns)) return ns; fullUniName.Buffer = ExAllocatePool( PagedPool, MAXPATHLEN2);//10242 fullUniName.MaximumLength = MAXPATHLEN2; __try { pFile=(PVOID)(ULONG )((char )pKey+20); pFile=(PVOID)(ULONG )((char )pFile); pFile=(PVOID)(ULONG )((char *)pFile+36); ObReferenceObjectByPointer(pFile, 0, NULL, KernelMode); RtlVolumeDeviceToDosName(((PFILE_OBJECT)pFile)->DeviceObject,&dosName); RtlCopyUnicodeString(&fullUniName, &dosName); RtlAppendUnicodeStringToString(&fullUniName,&((PFILE_OBJECT)pFile)->FileName); ObDereferenceObject(pFile); ObDereferenceObject(pKey ); RtlUnicodeStringToAnsiString( &akeyname, &fullUniName, TRUE ); if(akeyname.Length<MAXPATHLEN) { memcpy(fullname,akeyname.Buffer,akeyname.Length); fullname[akeyname.Length]=0x00; } else { memcpy(fullname,akeyname.Buffer,MAXPATHLEN); fullname[MAXPATHLEN-1]=0x00; } RtlFreeAnsiString( &akeyname ); ExFreePool(dosName.Buffer); ExFreePool( fullUniName.Buffer ); return STATUS_SUCCESS; } __except(1) { if(fullUniName.Buffer) ExFreePool( fullUniName.Buffer ); if(pKey) ObDereferenceObject(pKey ); return STATUS_SUCCESS; } } 这样的问题之前已经有N多人问过，怎么不搜索下呢？浪费论坛资源 2008-3-25 08:42 0
sudami 雪币： 709 活跃值： (2575) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 68 关注私信	sudami 25 4 楼 BOOL GetProcessName( PCHAR theName ) { PEPROCESS curproc; char nameptr; ULONG i; KIRQL oldirql; if( gProcessNameOffset ) { curproc = PsGetCurrentProcess(); nameptr = (PCHAR) curproc + gProcessNameOffset; strncpy( theName, nameptr, NT_PROCNAMELEN ); theName[NT_PROCNAMELEN] = 0; / NULL at end */ return TRUE; } return FALSE; } 2008-3-25 08:43 0
ccfer 雪币： 8209 活跃值： (4559) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 109 关注私信	ccfer 16 5 楼没指明在ring3还是ring0吧 2008-3-25 08:53 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 6 楼呵呵,谢谢两位牛人了 2008-3-25 08:54 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 7 楼是Ring0 做了SSDT Hook 2008-3-25 08:55 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 8 楼 MyNtCreateProcessEx proc ProcessHandle,DesiredAccess,ObjectAttributes, \ InheritFromProcessHandle,InheritHandles,SectionHandle, \ DebugPort,ExceptionPort,Unknown local status,SectionObject,ProcessObject pushad push Unknown push ExceptionPort push DebugPort push SectionHandle push InheritHandles push InheritFromProcessHandle push ObjectAttributes push DesiredAccess push ProcessHandle mov eax,AddressOfNtCreateProcessEx call eax mov status,eax xchg ecx,eax invoke ObReferenceObjectByHandle,ecx,1,0,KernelMode,addr ProcessObject,0 invoke DbgPrint,offset sz5,ProcessObject popad xor eax,status ret MyNtCreateProcessEx endp 我是这样写的,但为什么最后的ProcessObject是0呢? 各位大牛请指点 2008-3-25 09:16 0
sudami 雪币： 709 活跃值： (2575) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 68 关注私信	sudami 25 9 楼 ecx里面的内容错误。 ObReferenceObjectByHandle 函数的第一个参数应该是 SectionHandle 2008-3-25 09:28 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 10 楼呵呵,粗心我改成了SectionHandle,得到一个0xe.....的值,它指向的地方是一个什么样的结构呢? 是SECTION_OBJECT吗?我读出的内容都是0呢??? 2008-3-25 09:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
combojiang 雪币： 321 活跃值： (275) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 60 关注私信	combojiang 26 2 楼方法多去了，可以通过进程句柄得到其eprocess.在eprocess中找出可知性映像名.常见办法： 1、通过PEB. ProcessParameters -> ImagePathName取得可执行文件路径 2、通过nt!_EPROCESS的ImageFileName取得。 3、通过nt!_EPROCESS:: SeAuditProcessCreationInfo:: ImageFileName取得。 4、通过和_EPROCESS相关的文件对象信息取得。 2008-3-25 08:40 0
sudami 雪币： 709 活跃值： (2575) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 68 关注私信	sudami 25 3 楼 NTSTATUS GetFullName(HANDLE KeyHandle,char fullname) { NTSTATUS ns; PVOID pKey=NULL,pFile=NULL; UNICODE_STRING fullUniName; ANSI_STRING akeyname; ULONG actualLen; UNICODE_STRING dosName; fullUniName.Buffer=NULL; fullUniName.Length=0; fullname[0]=0x00; ns= ObReferenceObjectByHandle( KeyHandle, 0, NULL, KernelMode, &pKey, NULL ) ; if( !NT_SUCCESS(ns)) return ns; fullUniName.Buffer = ExAllocatePool( PagedPool, MAXPATHLEN2);//10242 fullUniName.MaximumLength = MAXPATHLEN2; __try { pFile=(PVOID)(ULONG )((char )pKey+20); pFile=(PVOID)(ULONG )((char )pFile); pFile=(PVOID)(ULONG )((char *)pFile+36); ObReferenceObjectByPointer(pFile, 0, NULL, KernelMode); RtlVolumeDeviceToDosName(((PFILE_OBJECT)pFile)->DeviceObject,&dosName); RtlCopyUnicodeString(&fullUniName, &dosName); RtlAppendUnicodeStringToString(&fullUniName,&((PFILE_OBJECT)pFile)->FileName); ObDereferenceObject(pFile); ObDereferenceObject(pKey ); RtlUnicodeStringToAnsiString( &akeyname, &fullUniName, TRUE ); if(akeyname.Length<MAXPATHLEN) { memcpy(fullname,akeyname.Buffer,akeyname.Length); fullname[akeyname.Length]=0x00; } else { memcpy(fullname,akeyname.Buffer,MAXPATHLEN); fullname[MAXPATHLEN-1]=0x00; } RtlFreeAnsiString( &akeyname ); ExFreePool(dosName.Buffer); ExFreePool( fullUniName.Buffer ); return STATUS_SUCCESS; } __except(1) { if(fullUniName.Buffer) ExFreePool( fullUniName.Buffer ); if(pKey) ObDereferenceObject(pKey ); return STATUS_SUCCESS; } } 这样的问题之前已经有N多人问过，怎么不搜索下呢？浪费论坛资源 2008-3-25 08:42 0
sudami 雪币： 709 活跃值： (2575) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 68 关注私信	sudami 25 4 楼 BOOL GetProcessName( PCHAR theName ) { PEPROCESS curproc; char nameptr; ULONG i; KIRQL oldirql; if( gProcessNameOffset ) { curproc = PsGetCurrentProcess(); nameptr = (PCHAR) curproc + gProcessNameOffset; strncpy( theName, nameptr, NT_PROCNAMELEN ); theName[NT_PROCNAMELEN] = 0; / NULL at end */ return TRUE; } return FALSE; } 2008-3-25 08:43 0
ccfer 雪币： 8209 活跃值： (4559) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 109 关注私信	ccfer 16 5 楼没指明在ring3还是ring0吧 2008-3-25 08:53 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 6 楼呵呵,谢谢两位牛人了 2008-3-25 08:54 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 7 楼是Ring0 做了SSDT Hook 2008-3-25 08:55 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 8 楼 MyNtCreateProcessEx proc ProcessHandle,DesiredAccess,ObjectAttributes, \ InheritFromProcessHandle,InheritHandles,SectionHandle, \ DebugPort,ExceptionPort,Unknown local status,SectionObject,ProcessObject pushad push Unknown push ExceptionPort push DebugPort push SectionHandle push InheritHandles push InheritFromProcessHandle push ObjectAttributes push DesiredAccess push ProcessHandle mov eax,AddressOfNtCreateProcessEx call eax mov status,eax xchg ecx,eax invoke ObReferenceObjectByHandle,ecx,1,0,KernelMode,addr ProcessObject,0 invoke DbgPrint,offset sz5,ProcessObject popad xor eax,status ret MyNtCreateProcessEx endp 我是这样写的,但为什么最后的ProcessObject是0呢? 各位大牛请指点 2008-3-25 09:16 0
sudami 雪币： 709 活跃值： (2575) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 68 关注私信	sudami 25 9 楼 ecx里面的内容错误。 ObReferenceObjectByHandle 函数的第一个参数应该是 SectionHandle 2008-3-25 09:28 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 10 楼呵呵,粗心我改成了SectionHandle,得到一个0xe.....的值,它指向的地方是一个什么样的结构呢? 是SECTION_OBJECT吗?我读出的内容都是0呢??? 2008-3-25 09:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复