[原创]64位CreateProcess逆向：（一）3环下的各参数效验、整合以及0环返回后的检查-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]64位CreateProcess逆向：（一）3环下的各参数效验、整合以及0环返回后的检查

发表于: 2016-1-26 11:35 23811

[原创]64位CreateProcess逆向：（一）3环下的各参数效验、整合以及0环返回后的检查

coffeesoft 活跃值

2016-1-26 11:35

23811

点击下面进入总目录：
64位Windows创建64位进程逆向分析（总目录）

    这是科锐逆向64位CreateProcess函数的第1篇。作为整个篇章的开始，我们先要谈谈CreateProcess应该做什么，逆向它的意义在哪。
    按MSDN的定义：
        CreateProcess函数，将创造一个进程以及它的主线程，这个新进程会执行指定的可执行文件。
    其中“进程”、“可执行文件”是重点，一般说来，进程是内存中的数据，而可执行文件（狭义地讲）就是Windows存放在磁盘中的PE文件。
    所以，CreateProcess之所以重要，是因为它起码做了两件大事：
        1.将磁盘中的数据，（按一定格式）加载到内存中去
        2.让内存中的数据运行起来
    研究CreateProcess这个API，对于理解PE、Windows进程、线程管理都会有很大帮助。

    在此系列的第1篇中，我们会一起梳理下整个CreateProcess整体的流程，让大家有一个整体认识。

CreateProcessInternal
    进入CreateProcess的入口可以发现，微软为了保持结构改动的灵活性，多封装了一层CreateProcessInernal，CreateProcess基本上没做多余的工作。而是直接调用CreateProcessInternalA并将CreateProcessInternalA返回值作为结果返回。
    唯一多做了一点事情，就是在传递参数的过程中，多传了两个（均为0的）参数，这应该是设计上防止未来变动而保留的灵活性。

    因此，我们真正的起点，应该是从CreateProcessInternal开始的。
    它的函数原型如下：

BOOL WINAPI CreateProcessInternalW(HANDLE hToken,
                       LPCWSTR lpApplicationName,
                       LPWSTR lpCommandLine,
                       LPSECURITY_ATTRIBUTES lpProcessAttributes,
                       LPSECURITY_ATTRIBUTES lpThreadAttributes,
                       BOOL bInheritHandles,
                       DWORD dwCreationFlags,
                       LPVOID lpEnvironment,
                       LPCWSTR lpCurrentDirectory,
                       LPSTARTUPINFOW lpStartupInfo,
                       LPPROCESS_INFORMATION lpProcessInformation,
                       PHANDLE hNewToken)；

PRTL_USER_PROCESS_PARAMETERS __fastcall BasepCreateProcessParameters(
                        LPCWSTR    DosFileName,
                        LPCWSTR    FileName.Buffer, 
                        LPCWSTR    lpCurrentDirectory,       //GetFullPathName获取到的CurrentDirectory
                        LPCWSTR    CommandLine, 
                        LPVOID    lpEnvironment, 
                        LPSTARTUPINFOEX  lpStartupInfo, 
                        DWORD    dwCreationFlags, 
                        BOOL    bInheritHandles 
                        )

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#调试逆向

上传的附件：

图片1.png （51.47kb，216次下载）
图片2.png （33.65kb，212次下载）
图片3_4_5.png （259.72kb，210次下载）
图片6_7.png （240.20kb，205次下载）
图片8_9.png （227.18kb，205次下载）
图片10_11.png （222.84kb，205次下载）
图片12.png （18.21kb，205次下载）
图片13.png （46.06kb，204次下载）
图片14.png （43.55kb，203次下载）
图片15_16.png （374.69kb，202次下载）
图片17.png （35.61kb，200次下载）
图片18~21.png （206.11kb，232次下载）
图片22.png （8.94kb，200次下载）
图片23.png （32.16kb，201次下载）
图片24.png （34.99kb，201次下载）
图片25.png （17.91kb，199次下载）
图片26.png （58.57kb，200次下载）
图片27.png （33.42kb，199次下载）
图片28.png （22.41kb，202次下载）
图片29.png （66.94kb，201次下载）
图片30.png （44.11kb，199次下载）
图片31.png （53.89kb，199次下载）
图片32_33.png （166.43kb，199次下载）
图片34_35_36.png （123.59kb，207次下载）
图片37.png （22.42kb，199次下载）
图片38_39.png （41.63kb，199次下载）
图片40.png （9.58kb，200次下载）
图片41.png （42.71kb，200次下载）
图片42~46.png （251.10kb，213次下载）
图片47.png （57.80kb，198次下载）
图片48_49.png （110.66kb，199次下载）
图片50.png （37.52kb，199次下载）
图片51.png （77.55kb，200次下载）
图片52.png （53.26kb，201次下载）
图片53.png （15.99kb，199次下载）
图片54.png （594.21kb，349次下载）
CreateInfo_1.png （6.08kb，207次下载）
CreateInfo_2.png （4.11kb，207次下载）
CreateProcess3环工作.doc （1.15MB，194次下载）
kernel32.rar （2.71MB，221次下载）
CreateProcess3环工作.pdf （1.41MB，305次下载）

收藏・72

免费・9

支持

最新回复 (27) 1 2 ▶
niuzuoquan 雪币： 300 活跃值： (2452) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 523 粉丝 2 关注私信	niuzuoquan 2 楼 mark 2016-1-26 11:44 0
white、、雪币： 60 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 387 粉丝 0 关注私信	white、、 3 楼精前留名，非常喜欢这种做学问的方式，知其所以然。希望可以做一份PDF存档~ 2016-1-26 12:16 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 4 楼风格不错，内容详细清楚~ 另外问下楼主的流程图用什么画的 2016-1-26 12:25 0
coffeesoft 雪币： 3092 活跃值： (1719) 能力值： ( LV8，RANK：130 ) 在线值：发帖 7 回帖 67 粉丝 25 关注私信	coffeesoft 2 5 楼微软自家的vivso，用起来还是蛮方便的 2016-1-26 13:25 0
coffeesoft 雪币： 3092 活跃值： (1719) 能力值： ( LV8，RANK：130 ) 在线值：发帖 7 回帖 67 粉丝 25 关注私信	coffeesoft 2 6 楼微软自家的vivso，画流程图感觉还是蛮方便的 2016-1-26 13:26 0
coffeesoft 雪币： 3092 活跃值： (1719) 能力值： ( LV8，RANK：130 ) 在线值：发帖 7 回帖 67 粉丝 25 关注私信	coffeesoft 2 7 楼 pdf格式已上传，就是后面图太大，网页上看起来好点，doc和pdf看着都不太方便 2016-1-26 16:14 0
kanxue 雪币： 47147 活跃值： (20420) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 8 楼帖图的方法不对，参考这帖：http://bbs.pediy.com/showpost.php?postid=292659 2016-1-26 16:17 0
white、、雪币： 60 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 387 粉丝 0 关注私信	white、、 9 楼居然不是放在尾部~ 2016-1-26 17:40 0
xed 雪币： 129 活跃值： (333) 能力值： ( LV3，RANK：20 ) 在线值：发帖 17 回帖 215 粉丝 2 关注私信	xed 10 楼过来学习了。期待r0的分析 2016-1-26 19:04 0
Rprop 雪币： 878 活跃值： (496) 能力值： ( LV3，RANK：20 ) 在线值：发帖 35 回帖 743 粉丝 12 关注私信	Rprop 11 楼 3环...ring3为何不是环3 2016-1-26 19:38 0
coffeesoft 雪币： 3092 活跃值： (1719) 能力值： ( LV8，RANK：130 ) 在线值：发帖 7 回帖 67 粉丝 25 关注私信	coffeesoft 2 12 楼谢谢老大提醒，已修正 2016-1-26 22:47 0
SnowRen 雪币： 15936 活跃值： (4137) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 60 粉丝 0 关注私信	SnowRen 13 楼感谢分享，收藏了 2016-1-26 23:50 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 14 楼排版不错... support 2016-1-27 00:45 0
xmlpull 雪币： 99 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 62 粉丝 0 关注私信	xmlpull 15 楼 mark 2016-1-27 01:26 0
orz1ruo 雪币： 16468 活跃值： (2493) 能力值： ( LV9，RANK：147 ) 在线值：发帖 1 回帖 611 粉丝 9 关注私信	orz1ruo 16 楼科锐也开始放大招了。不错,mark。流程图要给个赞 2016-1-27 09:34 0
hbcld 雪币： 43 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 238 粉丝 0 关注私信	hbcld 17 楼 Mark这个系列 2016-1-27 15:56 0
上帝溜猪雪币： 14 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	上帝溜猪 18 楼活捉老钱徒弟。。。 2016-1-27 22:39 0
gmhzxy 雪币： 284 活跃值： (250) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 135 粉丝 14 关注私信	gmhzxy 19 楼奈斯，写的太好了 2016-1-27 23:48 0
mashan 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	mashan 20 楼感谢分享！努力学习！ 2016-2-2 21:10 0
MeIsAce 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 92 粉丝 0 关注私信	MeIsAce 21 楼 ; ) 当年第三阶段的项目我也分析过64位的，但是没形成文档，自己对比了一下跟32位的区别就完事了 2016-2-5 12:41 0
jpinglove 雪币： 14 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 58 回帖 206 粉丝 0 关注私信	jpinglove 22 楼学习了... 2016-2-16 11:55 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 23 楼 mark 期待下一篇 2016-2-19 11:38 0
OnlyForU 雪币： 346 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 184 粉丝 0 关注私信	OnlyForU 24 楼好多大牛啊！感谢！ 2016-4-21 09:34 0
airbus 雪币： 244 活跃值： (174) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 224 粉丝 2 关注私信	airbus 25 楼好文,谢谢 2019-1-10 14:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

coffeesoft

发帖

回帖

130

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (27) 1 2 ▶
niuzuoquan 雪币： 300 活跃值： (2452) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 523 粉丝 2 关注私信	niuzuoquan 2 楼 mark 2016-1-26 11:44 0
white、、雪币： 60 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 387 粉丝 0 关注私信	white、、 3 楼精前留名，非常喜欢这种做学问的方式，知其所以然。希望可以做一份PDF存档~ 2016-1-26 12:16 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 4 楼风格不错，内容详细清楚~ 另外问下楼主的流程图用什么画的 2016-1-26 12:25 0
coffeesoft 雪币： 3092 活跃值： (1719) 能力值： ( LV8，RANK：130 ) 在线值：发帖 7 回帖 67 粉丝 25 关注私信	coffeesoft 2 5 楼微软自家的vivso，用起来还是蛮方便的 2016-1-26 13:25 0
coffeesoft 雪币： 3092 活跃值： (1719) 能力值： ( LV8，RANK：130 ) 在线值：发帖 7 回帖 67 粉丝 25 关注私信	coffeesoft 2 6 楼微软自家的vivso，画流程图感觉还是蛮方便的 2016-1-26 13:26 0
coffeesoft 雪币： 3092 活跃值： (1719) 能力值： ( LV8，RANK：130 ) 在线值：发帖 7 回帖 67 粉丝 25 关注私信	coffeesoft 2 7 楼 pdf格式已上传，就是后面图太大，网页上看起来好点，doc和pdf看着都不太方便 2016-1-26 16:14 0
kanxue 雪币： 47147 活跃值： (20420) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 8 楼帖图的方法不对，参考这帖：http://bbs.pediy.com/showpost.php?postid=292659 2016-1-26 16:17 0
white、、雪币： 60 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 387 粉丝 0 关注私信	white、、 9 楼居然不是放在尾部~ 2016-1-26 17:40 0
xed 雪币： 129 活跃值： (333) 能力值： ( LV3，RANK：20 ) 在线值：发帖 17 回帖 215 粉丝 2 关注私信	xed 10 楼过来学习了。期待r0的分析 2016-1-26 19:04 0
Rprop 雪币： 878 活跃值： (496) 能力值： ( LV3，RANK：20 ) 在线值：发帖 35 回帖 743 粉丝 12 关注私信	Rprop 11 楼 3环...ring3为何不是环3 2016-1-26 19:38 0
coffeesoft 雪币： 3092 活跃值： (1719) 能力值： ( LV8，RANK：130 ) 在线值：发帖 7 回帖 67 粉丝 25 关注私信	coffeesoft 2 12 楼谢谢老大提醒，已修正 2016-1-26 22:47 0
SnowRen 雪币： 15936 活跃值： (4137) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 60 粉丝 0 关注私信	SnowRen 13 楼感谢分享，收藏了 2016-1-26 23:50 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 14 楼排版不错... support 2016-1-27 00:45 0
xmlpull 雪币： 99 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 62 粉丝 0 关注私信	xmlpull 15 楼 mark 2016-1-27 01:26 0
orz1ruo 雪币： 16468 活跃值： (2493) 能力值： ( LV9，RANK：147 ) 在线值：发帖 1 回帖 611 粉丝 9 关注私信	orz1ruo 16 楼科锐也开始放大招了。不错,mark。流程图要给个赞 2016-1-27 09:34 0
hbcld 雪币： 43 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 238 粉丝 0 关注私信	hbcld 17 楼 Mark这个系列 2016-1-27 15:56 0
上帝溜猪雪币： 14 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	上帝溜猪 18 楼活捉老钱徒弟。。。 2016-1-27 22:39 0
gmhzxy 雪币： 284 活跃值： (250) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 135 粉丝 14 关注私信	gmhzxy 19 楼奈斯，写的太好了 2016-1-27 23:48 0
mashan 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	mashan 20 楼感谢分享！努力学习！ 2016-2-2 21:10 0
MeIsAce 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 92 粉丝 0 关注私信	MeIsAce 21 楼 ; ) 当年第三阶段的项目我也分析过64位的，但是没形成文档，自己对比了一下跟32位的区别就完事了 2016-2-5 12:41 0
jpinglove 雪币： 14 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 58 回帖 206 粉丝 0 关注私信	jpinglove 22 楼学习了... 2016-2-16 11:55 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 23 楼 mark 期待下一篇 2016-2-19 11:38 0
OnlyForU 雪币： 346 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 184 粉丝 0 关注私信	OnlyForU 24 楼好多大牛啊！感谢！ 2016-4-21 09:34 0
airbus 雪币： 244 活跃值： (174) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 224 粉丝 2 关注私信	airbus 25 楼好文,谢谢 2019-1-10 14:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复