WIN10的注入CSRSS求解-软件逆向-看雪-安全社区|安全招聘|kanxue.com

WIN10的注入CSRSS求解

发表于: 2017-2-25 08:47 20155

WIN10的注入CSRSS求解

游乐娃子

2017-2-25 08:47

20155

csrss.exe

services.exe

smss.exe

....等几个系统进程

OpenProcess(PROCESS_ALL_ACCESS, false, process_id);

NtOpenProcess(&hProcess, PROCESS_ALL_ACCESS, &oa, &cid);

都只能打开失败.

还尝试了PsExec.exe -i -d -s XXX.exe 启动SYSTEM权限进程,还是打不开.

网上搜了一堆资料,说是PsIsProtectedProcess给过滤了.

RtlAdjustPrivilege(),win10下这个也废了.Token什么的也没效果.

RING3下就没办法了吗.

装逼是装不成了,在WIN10面前,这辈子都不可能装逼了.只能来看雪碰碰运气.

看雪的大神讲话又好听,个个都是人才.

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・18

免费・0

支持

最新回复 (25) 1 2 ▶
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 2 楼把你自己进程的PsIsProtectedProcess里的保护位也置1，就能艹那些被保护进程了，还不是美滋滋具体可以参考gh上面一个叫blackbone的项目 2017-2-25 10:43 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 3 楼 hzqst 把你自己进程的PsIsProtectedProcess里的保护位也置1，就能艹那些被保护进程了，还不是美滋滋具体可以参考gh上面一个叫blackbone的项目求个64位的ntdll.lib 2017-2-25 14:15 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 4 楼 AASSMM 求个64位的ntdll.lib 装个Windows SDK10，里面自带 2017-2-25 14:52 0
游乐娃子雪币： 7570 活跃值： (5407) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 252 粉丝 51 关注私信	游乐娃子 5 楼 hzqst 把你自己进程的PsIsProtectedProcess里的保护位也置1，就能艹那些被保护进程了，还不是美滋滋具体可以参考gh上面一个叫blackbone的项目 Blackbone,用到驱动了呀 2017-2-25 21:09 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 6 楼 lononan Blackbone,用到驱动了呀改EPROCESS标志位肯定要驱动啊，不然岂不是内核0day了 2017-2-26 10:45 1
游乐娃子雪币： 7570 活跃值： (5407) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 252 粉丝 51 关注私信	游乐娃子 7 楼 hzqst 改EPROCESS标志位肯定要驱动啊，不然岂不是内核0day了我抱着RING3下能直接打开CSRSS进程句柄的心态去搜索源码，即使我英文很不好 2017-2-26 15:18 0
游乐娃子雪币： 7570 活跃值： (5407) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 252 粉丝 51 关注私信	游乐娃子 8 楼 hzqst 改EPROCESS标志位肯定要驱动啊，不然岂不是内核0day了 RING3下，没办法打开WIN10的CSRSS了吗 2017-2-26 15:20 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 9 楼 lononan RING3下，没办法打开WIN10的CSRSS了吗[em_51] 是这样的啊 2017-2-26 15:57 0
wang王雪币： 4751 活跃值： (1783) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 255 粉丝 0 关注私信	wang王 10 楼鉴于目前没有收藏功能所以就留下脚印以后待查 2017-2-27 03:42 0
游乐娃子雪币： 7570 活跃值： (5407) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 252 粉丝 51 关注私信	游乐娃子 11 楼 hzqst 是这样的啊如果都能用上驱动了，干嘛还注入CSRSS，毫无意义的挣扎 2017-2-27 09:45 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 12 楼 lononan 如果都能用上驱动了，干嘛还注入CSRSS，毫无意义的挣扎[em_72] 微软又不是傻子随便让你注入WIN10的关键进程 2017-2-27 22:33 0
libocdf 雪币： 119 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 297 粉丝 0 关注私信	libocdf 13 楼是哈，新版还没有收藏功能啊。 2017-2-27 22:45 0
luckyyan 雪币： 48 活跃值： (1104) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	luckyyan 14 楼 win7 怎么注入CSRSS啊 2017-3-6 15:49 0
黑洛雪币： 6124 活跃值： (4676) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 15 楼 Win10要注入关键进程是需要驱动的。 2017-3-26 20:37 0
库尔雪币： 1319 活跃值： (1960) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 190 粉丝 3 关注私信	库尔 16 楼 csrss注入的DLL能创建窗口么=-=我想问。 2017-5-22 18:29 0
库尔雪币： 1319 活跃值： (1960) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 190 粉丝 3 关注私信	库尔 17 楼 win7 注入CSRSS需要什么要求不，DLL之类的。 2017-5-23 10:13 0
游乐娃子雪币： 7570 活跃值： (5407) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 252 粉丝 51 关注私信	游乐娃子 18 楼库尔 win7 注入CSRSS需要什么要求不，DLL之类的。提权,LdrLoadDll,注入的DLL需要是64位. 2017-5-26 20:51 0
wumnkx 雪币： 137 活跃值： (1548) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 109 粉丝 6 关注私信	wumnkx 19 楼按照上面那位大哥说的"hzqst 把你自己进程的PsIsProtectedProcess里的保护位也置1"，我把自己设置成保护了，注入的时候debugview里面显示下面的信息，大概意思就是我没微软的签名，呵呵了，这还能有解吗？ 00000010 44.31887817 ****************************************************************** 00000011 44.31889343 * This break indicates this binary is not signed correctly: \Device\HarddiskVolume2\Users\Public\test_inject64.dll 00000012 44.31889725 * and does not meet the system policy. 00000013 44.31890106 * The binary was attempted to be loaded in the process: \Device\HarddiskVolume2\Windows\System32\services.exe 00000014 44.31890869 * This is not a failure in CI, but a problem with the failing binary. 00000015 44.31890869 * Please contact the binary owner for getting the binary correctly signed. 00000016 44.31891251 ****************************************************************** 2017-6-6 10:39 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 20 楼 wumnkx 按照上面那位大哥说的"hzqst 把你自己进程的PsIsProtectedProcess里的保护位也置1"，我把自己设置成保护了，注入的时候debugview里面显示下面的信息 ... 把csrss的保护标志位去掉就行了 2017-6-6 11:05 0
wumnkx 雪币： 137 活跃值： (1548) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 109 粉丝 6 关注私信	wumnkx 21 楼 hzqst 把csrss的保护标志位去掉就行了大哥你脑洞真大，我怎么没想到呢？呵呵，我先试一下 2017-6-6 11:30 0
wumnkx 雪币： 137 活跃值： (1548) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 109 粉丝 6 关注私信	wumnkx 22 楼我是注services.exe，把services.exe的保护去掉，注入依然提示签名不对，我那个dll是有自己的签名但没微软签名 [\\DESKTOP-SSM8QD9] 00000000 0.00000000 BlackBone: OS version 10.0.14393.0.1198 - 0xa00 00000001 0.00467352 BlackBone: PDE_BASE: FFFFFBFDC0000000, PTE_BASE: FFFFFB8000000000 00000002 0.00892114 BlackBone: Dynamic search status: SSDT - SUCCESS, ExRemoveTable - SUCCESS 00000003 10.32149410 ****************************************************************** 00000004 10.32151127 * This break indicates this binary is not signed correctly: \Device\HarddiskVolume2\Users\Public\test_inject64.dll 00000005 10.32151318 * and does not meet the system policy. 00000006 10.32151794 * The binary was attempted to be loaded in the process: \Device\HarddiskVolume2\Windows\System32\services.exe 00000007 10.32152081 * This is not a failure in CI, but a problem with the failing binary. 00000008 10.32152462 * Please contact the binary owner for getting the binary correctly signed. 00000009 10.32152653 ****************************************************************** 2017-6-6 12:15 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 23 楼 wumnkx 我是注services.exe，把services.exe的保护去掉，注入依然提示签名不对，我那个dll是有自己的签名但没微软签名 [\\DESKTOP-SSM8QD9] 00000000 0 ... 把进程内的dll加载签名策略也关了，具体怎么关忘了，之前坛子上有人发过win10 ntdll新增函数里面就有 2017-6-6 14:07 0
isi磕的老李雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	isi磕的老李 24 楼留个爪日后准备技术跟进 2017-6-6 23:13 0
yangya 雪币： 58 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 318 粉丝 1 关注私信	yangya 25 楼思路蛮多 2018-3-14 11:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

游乐娃子

发帖

252

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (25) 1 2 ▶
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 2 楼把你自己进程的PsIsProtectedProcess里的保护位也置1，就能艹那些被保护进程了，还不是美滋滋具体可以参考gh上面一个叫blackbone的项目 2017-2-25 10:43 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 3 楼 hzqst 把你自己进程的PsIsProtectedProcess里的保护位也置1，就能艹那些被保护进程了，还不是美滋滋具体可以参考gh上面一个叫blackbone的项目求个64位的ntdll.lib 2017-2-25 14:15 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 4 楼 AASSMM 求个64位的ntdll.lib 装个Windows SDK10，里面自带 2017-2-25 14:52 0
游乐娃子雪币： 7570 活跃值： (5407) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 252 粉丝 51 关注私信	游乐娃子 5 楼 hzqst 把你自己进程的PsIsProtectedProcess里的保护位也置1，就能艹那些被保护进程了，还不是美滋滋具体可以参考gh上面一个叫blackbone的项目 Blackbone,用到驱动了呀 2017-2-25 21:09 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 6 楼 lononan Blackbone,用到驱动了呀改EPROCESS标志位肯定要驱动啊，不然岂不是内核0day了 2017-2-26 10:45 1
游乐娃子雪币： 7570 活跃值： (5407) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 252 粉丝 51 关注私信	游乐娃子 7 楼 hzqst 改EPROCESS标志位肯定要驱动啊，不然岂不是内核0day了我抱着RING3下能直接打开CSRSS进程句柄的心态去搜索源码，即使我英文很不好 2017-2-26 15:18 0
游乐娃子雪币： 7570 活跃值： (5407) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 252 粉丝 51 关注私信	游乐娃子 8 楼 hzqst 改EPROCESS标志位肯定要驱动啊，不然岂不是内核0day了 RING3下，没办法打开WIN10的CSRSS了吗 2017-2-26 15:20 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 9 楼 lononan RING3下，没办法打开WIN10的CSRSS了吗[em_51] 是这样的啊 2017-2-26 15:57 0
wang王雪币： 4751 活跃值： (1783) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 255 粉丝 0 关注私信	wang王 10 楼鉴于目前没有收藏功能所以就留下脚印以后待查 2017-2-27 03:42 0
游乐娃子雪币： 7570 活跃值： (5407) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 252 粉丝 51 关注私信	游乐娃子 11 楼 hzqst 是这样的啊如果都能用上驱动了，干嘛还注入CSRSS，毫无意义的挣扎 2017-2-27 09:45 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 12 楼 lononan 如果都能用上驱动了，干嘛还注入CSRSS，毫无意义的挣扎[em_72] 微软又不是傻子随便让你注入WIN10的关键进程 2017-2-27 22:33 0
libocdf 雪币： 119 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 297 粉丝 0 关注私信	libocdf 13 楼是哈，新版还没有收藏功能啊。 2017-2-27 22:45 0
luckyyan 雪币： 48 活跃值： (1104) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	luckyyan 14 楼 win7 怎么注入CSRSS啊 2017-3-6 15:49 0
黑洛雪币： 6124 活跃值： (4676) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 15 楼 Win10要注入关键进程是需要驱动的。 2017-3-26 20:37 0
库尔雪币： 1319 活跃值： (1960) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 190 粉丝 3 关注私信	库尔 16 楼 csrss注入的DLL能创建窗口么=-=我想问。 2017-5-22 18:29 0
库尔雪币： 1319 活跃值： (1960) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 190 粉丝 3 关注私信	库尔 17 楼 win7 注入CSRSS需要什么要求不，DLL之类的。 2017-5-23 10:13 0
游乐娃子雪币： 7570 活跃值： (5407) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 252 粉丝 51 关注私信	游乐娃子 18 楼库尔 win7 注入CSRSS需要什么要求不，DLL之类的。提权,LdrLoadDll,注入的DLL需要是64位. 2017-5-26 20:51 0
wumnkx 雪币： 137 活跃值： (1548) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 109 粉丝 6 关注私信	wumnkx 19 楼按照上面那位大哥说的"hzqst 把你自己进程的PsIsProtectedProcess里的保护位也置1"，我把自己设置成保护了，注入的时候debugview里面显示下面的信息，大概意思就是我没微软的签名，呵呵了，这还能有解吗？ 00000010 44.31887817 ****************************************************************** 00000011 44.31889343 * This break indicates this binary is not signed correctly: \Device\HarddiskVolume2\Users\Public\test_inject64.dll 00000012 44.31889725 * and does not meet the system policy. 00000013 44.31890106 * The binary was attempted to be loaded in the process: \Device\HarddiskVolume2\Windows\System32\services.exe 00000014 44.31890869 * This is not a failure in CI, but a problem with the failing binary. 00000015 44.31890869 * Please contact the binary owner for getting the binary correctly signed. 00000016 44.31891251 ****************************************************************** 2017-6-6 10:39 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 20 楼 wumnkx 按照上面那位大哥说的"hzqst 把你自己进程的PsIsProtectedProcess里的保护位也置1"，我把自己设置成保护了，注入的时候debugview里面显示下面的信息 ... 把csrss的保护标志位去掉就行了 2017-6-6 11:05 0
wumnkx 雪币： 137 活跃值： (1548) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 109 粉丝 6 关注私信	wumnkx 21 楼 hzqst 把csrss的保护标志位去掉就行了大哥你脑洞真大，我怎么没想到呢？呵呵，我先试一下 2017-6-6 11:30 0
wumnkx 雪币： 137 活跃值： (1548) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 109 粉丝 6 关注私信	wumnkx 22 楼我是注services.exe，把services.exe的保护去掉，注入依然提示签名不对，我那个dll是有自己的签名但没微软签名 [\\DESKTOP-SSM8QD9] 00000000 0.00000000 BlackBone: OS version 10.0.14393.0.1198 - 0xa00 00000001 0.00467352 BlackBone: PDE_BASE: FFFFFBFDC0000000, PTE_BASE: FFFFFB8000000000 00000002 0.00892114 BlackBone: Dynamic search status: SSDT - SUCCESS, ExRemoveTable - SUCCESS 00000003 10.32149410 ****************************************************************** 00000004 10.32151127 * This break indicates this binary is not signed correctly: \Device\HarddiskVolume2\Users\Public\test_inject64.dll 00000005 10.32151318 * and does not meet the system policy. 00000006 10.32151794 * The binary was attempted to be loaded in the process: \Device\HarddiskVolume2\Windows\System32\services.exe 00000007 10.32152081 * This is not a failure in CI, but a problem with the failing binary. 00000008 10.32152462 * Please contact the binary owner for getting the binary correctly signed. 00000009 10.32152653 ****************************************************************** 2017-6-6 12:15 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 23 楼 wumnkx 我是注services.exe，把services.exe的保护去掉，注入依然提示签名不对，我那个dll是有自己的签名但没微软签名 [\\DESKTOP-SSM8QD9] 00000000 0 ... 把进程内的dll加载签名策略也关了，具体怎么关忘了，之前坛子上有人发过win10 ntdll新增函数里面就有 2017-6-6 14:07 0
isi磕的老李雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	isi磕的老李 24 楼留个爪日后准备技术跟进 2017-6-6 23:13 0
yangya 雪币： 58 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 318 粉丝 1 关注私信	yangya 25 楼思路蛮多 2018-3-14 11:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复