[原创]科锐三阶段项目---CreateProcess流程分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]科锐三阶段项目---CreateProcess流程分析

发表于: 2010-6-5 16:59 65661

[原创]科锐三阶段项目---CreateProcess流程分析

pyq逍遥

2010-6-5 16:59

65661

查看主题内容

收藏・171

免费・9

支持

最新回复 (57) ◀ 1 2 3 ▶
kxzpy 雪币： 3496 活跃值： (749) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 262 粉丝 2 关注私信	kxzpy 26 楼学习一下！！！ 2010-6-24 21:31 0
GUX 雪币： 268 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 139 粉丝 0 关注私信	GUX 27 楼太牛了，只能膜拜。。 2010-6-25 16:19 0
飞鹰ao 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 52 粉丝 0 关注私信	飞鹰ao 28 楼很好很强大，学习中~~~~~ 2010-6-25 18:38 0
飞鹰ao 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 52 粉丝 0 关注私信	飞鹰ao 29 楼看了你的文章就能自写一个CreateProcess了 2010-6-25 18:41 0
linhanshi 雪币： 97697 活跃值： (200849) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27949 粉丝 454 关注私信	linhanshi 30 楼 Support. 2010-6-27 19:57 0
xieyuzhe 雪币： 337 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 119 粉丝 0 关注私信	xieyuzhe 31 楼科瑞的人太牛了。科瑞精神出来了 2010-7-2 23:45 0
idoloveyou 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	idoloveyou 32 楼 win7好像已经有很多不一样了。中间多了很多东西，而且有些函数调用的顺序也跟lz说的不一样。CreateProcessInternalW最后调用的是NtCreateUserProcess。中间也没有LoadLibrary的调用了。 Nt那段还没好好看不过lz的讲解还是比自己看快多了，感谢 2010-7-3 13:07 0
pyq逍遥雪币： 306 活跃值： (153) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 200 粉丝 5 关注私信	pyq逍遥 1 33 楼 Vista开始就不一样了，不过我已经说明了分析的平台，有时间在研究下Win7下的，谢谢关注 2010-7-3 18:33 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 34 楼 LZ太厉害了。能分析的这么仔细。坐下来好好研读学习！ 2010-7-9 08:23 0
denial 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 73 粉丝 0 关注私信	denial 35 楼写的很详细... 2010-7-9 09:15 0
jiangtaott 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	jiangtaott 36 楼不错的东西学习一下 2010-7-12 17:06 0
刀剑如梦雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 42 粉丝 0 关注私信	刀剑如梦 37 楼我的天强帖我来晚了 2010-7-13 22:02 0
lixupeng 雪币： 563 活跃值： (101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 38 楼收下了!! 2010-7-14 10:40 0
叁毛雪币： 7 活跃值： (333) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 213 粉丝 2 关注私信	叁毛 1 39 楼能否提供那几个viso图? 2010-7-16 21:42 0
pyq逍遥雪币： 306 活跃值： (153) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 200 粉丝 5 关注私信	pyq逍遥 1 40 楼发你邮箱了，记得给你发过IDB，邮箱竟然没记录了，加你Q还要回答什么问题 2010-7-16 21:53 0
叁毛雪币： 7 活跃值： (333) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 213 粉丝 2 关注私信	叁毛 1 41 楼哥，要不你加我下。现在可以了。 2010-7-17 20:16 0
zhengjiong 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	zhengjiong 42 楼顶起，强大慢慢学习 2010-7-18 10:56 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 43 楼好贴留印，谢谢 2010-8-8 12:37 0
kingcomer 雪币： 73 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 190 粉丝 0 关注私信	kingcomer 44 楼终于找到了...哎,只能膜拜啊... 2010-11-20 23:14 0
9571 雪币： 106 活跃值： (276) 能力值： ( LV3，RANK：30 ) 在线值：发帖 33 回帖 201 粉丝 0 关注私信	9571 45 楼楼主已经不是牛人了，是内核超人，以上的分析，让windows走光更彻底了...... 2011-3-22 07:58 0
yjd 雪币： 2882 活跃值： (1279) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 778 粉丝 1 关注私信	yjd 46 楼学员都厉害了，那老师不是很牛了? 2011-3-22 09:08 0
yy大雄雪币： 183 活跃值： (1223) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 332 粉丝 1 关注私信	yy大雄 47 楼为什么我在OD中下LdrInitializeThunk断点，然后加载一个EXE 没有被断下是在停在OEP之前就应该被断下的吗？ 2011-6-16 20:11 0
茻~ 雪币： 18 活跃值： (12) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	茻~ 48 楼版主文中：调用了 NtOpenKey函数打开了注册表中的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT \ CurrentVersion\Image File Execution Options键，这个键跟以前流行的镜像劫持技术有关，但操作真正这么做的原因不是很清楚，希望知道的朋友交流一下这个其实就是大家都知道的Debugger进程劫持了，通过在注册表该键下构造一个与正在创建的进程名字相同的子键，并在其下新建一个Debugger键值，填入自己的程序的完整路径，那样每次在启动被劫持的进程时，就会运行Debugger项中指定的程序。《深入解析windows操作系统》的P304页有介绍~ 2011-10-28 16:35 0
ljlfans 雪币： 77 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	ljlfans 49 楼虽然现在才看到这篇文章，但是还是要谢谢楼主分享，文章比较容易理解，对我这个新手帮助很大 2011-12-8 20:29 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 50 楼很好很强大。 2011-12-9 03:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

pyq逍遥

发帖

200

回帖

RANK

关注

私信

他的文章

[原创]科锐三阶段项目---CreateProcess流程分析 65661

关于我们

联系我们

企业服务

看雪公众号

最新回复 (57) ◀ 1 2 3 ▶
kxzpy 雪币： 3496 活跃值： (749) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 262 粉丝 2 关注私信	kxzpy 26 楼学习一下！！！ 2010-6-24 21:31 0
GUX 雪币： 268 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 139 粉丝 0 关注私信	GUX 27 楼太牛了，只能膜拜。。 2010-6-25 16:19 0
飞鹰ao 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 52 粉丝 0 关注私信	飞鹰ao 28 楼很好很强大，学习中~~~~~ 2010-6-25 18:38 0
飞鹰ao 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 52 粉丝 0 关注私信	飞鹰ao 29 楼看了你的文章就能自写一个CreateProcess了 2010-6-25 18:41 0
linhanshi 雪币： 97697 活跃值： (200849) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27949 粉丝 454 关注私信	linhanshi 30 楼 Support. 2010-6-27 19:57 0
xieyuzhe 雪币： 337 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 119 粉丝 0 关注私信	xieyuzhe 31 楼科瑞的人太牛了。科瑞精神出来了 2010-7-2 23:45 0
idoloveyou 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	idoloveyou 32 楼 win7好像已经有很多不一样了。中间多了很多东西，而且有些函数调用的顺序也跟lz说的不一样。CreateProcessInternalW最后调用的是NtCreateUserProcess。中间也没有LoadLibrary的调用了。 Nt那段还没好好看不过lz的讲解还是比自己看快多了，感谢 2010-7-3 13:07 0
pyq逍遥雪币： 306 活跃值： (153) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 200 粉丝 5 关注私信	pyq逍遥 1 33 楼 Vista开始就不一样了，不过我已经说明了分析的平台，有时间在研究下Win7下的，谢谢关注 2010-7-3 18:33 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 34 楼 LZ太厉害了。能分析的这么仔细。坐下来好好研读学习！ 2010-7-9 08:23 0
denial 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 73 粉丝 0 关注私信	denial 35 楼写的很详细... 2010-7-9 09:15 0
jiangtaott 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	jiangtaott 36 楼不错的东西学习一下 2010-7-12 17:06 0
刀剑如梦雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 42 粉丝 0 关注私信	刀剑如梦 37 楼我的天强帖我来晚了 2010-7-13 22:02 0
lixupeng 雪币： 563 活跃值： (101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 38 楼收下了!! 2010-7-14 10:40 0
叁毛雪币： 7 活跃值： (333) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 213 粉丝 2 关注私信	叁毛 1 39 楼能否提供那几个viso图? 2010-7-16 21:42 0
pyq逍遥雪币： 306 活跃值： (153) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 200 粉丝 5 关注私信	pyq逍遥 1 40 楼发你邮箱了，记得给你发过IDB，邮箱竟然没记录了，加你Q还要回答什么问题 2010-7-16 21:53 0
叁毛雪币： 7 活跃值： (333) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 213 粉丝 2 关注私信	叁毛 1 41 楼哥，要不你加我下。现在可以了。 2010-7-17 20:16 0
zhengjiong 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	zhengjiong 42 楼顶起，强大慢慢学习 2010-7-18 10:56 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 43 楼好贴留印，谢谢 2010-8-8 12:37 0
kingcomer 雪币： 73 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 190 粉丝 0 关注私信	kingcomer 44 楼终于找到了...哎,只能膜拜啊... 2010-11-20 23:14 0
9571 雪币： 106 活跃值： (276) 能力值： ( LV3，RANK：30 ) 在线值：发帖 33 回帖 201 粉丝 0 关注私信	9571 45 楼楼主已经不是牛人了，是内核超人，以上的分析，让windows走光更彻底了...... 2011-3-22 07:58 0
yjd 雪币： 2882 活跃值： (1279) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 778 粉丝 1 关注私信	yjd 46 楼学员都厉害了，那老师不是很牛了? 2011-3-22 09:08 0
yy大雄雪币： 183 活跃值： (1223) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 332 粉丝 1 关注私信	yy大雄 47 楼为什么我在OD中下LdrInitializeThunk断点，然后加载一个EXE 没有被断下是在停在OEP之前就应该被断下的吗？ 2011-6-16 20:11 0
茻~ 雪币： 18 活跃值： (12) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	茻~ 48 楼版主文中：调用了 NtOpenKey函数打开了注册表中的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT \ CurrentVersion\Image File Execution Options键，这个键跟以前流行的镜像劫持技术有关，但操作真正这么做的原因不是很清楚，希望知道的朋友交流一下这个其实就是大家都知道的Debugger进程劫持了，通过在注册表该键下构造一个与正在创建的进程名字相同的子键，并在其下新建一个Debugger键值，填入自己的程序的完整路径，那样每次在启动被劫持的进程时，就会运行Debugger项中指定的程序。《深入解析windows操作系统》的P304页有介绍~ 2011-10-28 16:35 0
ljlfans 雪币： 77 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	ljlfans 49 楼虽然现在才看到这篇文章，但是还是要谢谢楼主分享，文章比较容易理解，对我这个新手帮助很大 2011-12-8 20:29 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 50 楼很好很强大。 2011-12-9 03:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复