本论坛为只读模式,仅供查阅,不能注册新用户,不能发帖/回帖,有问题可发邮件 xikug.xp (^) gmail.com
查看: 3877|回复: 6

X64下如何阻止进程启动啊 [复制链接]

Rank: 1

发表于 2012-12-14 09:10:48 |显示全部楼层
有什么好办法吗,hook ssdt不能用,能在文件系统层找出什么办法吗

Rank: 1

发表于 2012-12-25 15:07:40 |显示全部楼层
看了看用这个PsSetCreateProcessNotifyRoutineEx貌似能,必须是带ex的,不带的不管用

Rank: 2

发表于 2013-1-1 07:18:07 |显示全部楼层
xyhshen 发表于 2012-12-25 15:07
看了看用这个PsSetCreateProcessNotifyRoutineEx貌似能,必须是带ex的,不带的不管用 ...

方法多了去了。。。。obj hook,进程回调,线程回调,模块回调,进程句柄回调,线程句柄回调,文件过滤,。。。。任何一个都做得到

十个方法都不止

Rank: 1

发表于 2013-1-3 19:36:54 |显示全部楼层
KiCall 发表于 2013-1-1 07:18
方法多了去了。。。。obj hook,进程回调,线程回调,模块回调,进程句柄回调,线程句柄回调,文件过滤, ...

文件过滤是怎么做到的呢?

Rank: 1

发表于 2013-1-4 10:54:46 |显示全部楼层
KiCall 发表于 2013-1-1 07:18
方法多了去了。。。。obj hook,进程回调,线程回调,模块回调,进程句柄回调,线程句柄回调,文件过滤, ...

虽说是都可以监控到进程启动,但是要做到准确的拦截还是不容易,PsSetCreateProcessNotifyRoutine和PsSetCreateThreadNotifyRoutine没法获取进程的详细信息,特别是不能得到image文件的信息。ObRegisterCallbacks是针对进程句柄的对启动后进程操作拦截比较有效,但是对阻止启动还是有上面两个的问题。文件过滤我只会用FsRtlRegisterFileSystemFilterCallbacks和拦截IRP_MJ_CREATE,但是IRP_MJ_CREATE靠文件打开没法准确判断出打开文件操作是否确实要用于进程创建,FsRtlRegisterFileSystemFilterCallbacks能拦截到进程创建的内存映射那一步,不过如果所在的文件系统没有提供FastIo的AcquireFileForNtCreateSection接口好像就不管用了,这在fat系列的文件系统中肯定有问题。其他的obj hook不会用。所以比较了下还是PsSetCreateProcessNotifyRoutineEx比较全面,而且MSDN的说明中也指明了可以同这个拦截进程。

Rank: 2

发表于 2013-1-6 13:25:21 |显示全部楼层
1、进线程回调的,在process create回调里记录下当前pid,在thread回调里查询thread所属pid,存在,则是进程的第一个线程,同时删掉之前在process create里做的pid记录。
根据pid获得EPROCESS,然后QueryProcessInformation得到进程路径,然后需要拦截的话,TerminateProcess就是了
2、模块回调。。。。。根据imgcallback提供的文件名信息,是要拦截的,再根据imgcallback提供的PE文件加载基址,结合PE格式解析,找到PE文件入口,直接patch那个入口地址就是了
3、obj hook,任何进程在运行之前必然有个创建的过程,hook掉thread object对应函数,然后处理,过程与方法一完全一致
4、ob回调。。。。。和方法三完全一致
5、文件过滤。。。在CREATE回调里,去掉DesiredAccess的SYNCHRONIZE权限然后passthrough

还要继续说么。。。。。。。

所谓进程拦截。。。。N个方式都可以做,是各种基本系统知识的综合运用。。。。楼主之所以离了hook就做不了事情了,还是基础知识不牢。。。。现在很多人都是刚开始写代码就开始各种hook,完全一点系统相关的基础知识都没,结果是离开了hook就写不了程序了,这个问题,我之前的帖子《关于搞内核这块人的风气问题》就说的很明白了。所谓hook。。。无非是入门简单。。。不过弊端是大大的

Rank: 2

发表于 2013-1-6 15:38:57 |显示全部楼层
那个去掉的权限。。。。。应该是FILE_EXECUTE吧,说错了。。。不过大概思路就是这样
您需要登录后才可以回帖 登录 | 立即加入

Archiver|手机版|第8个男人 - 论坛为只读模式,仅供查阅

GMT+8, 2019-5-22 01:42 , Processed in 0.023560 second(s), 8 queries .

Design by pvo.cn

© 2011 Pvo Inc.

回顶部