首页
社区
课程
招聘
WIN10的注入CSRSS求解
发表于: 2017-2-25 08:47 20154

WIN10的注入CSRSS求解

2017-2-25 08:47
20154


csrss.exe

services.exe

smss.exe

....等几个系统进程

OpenProcess(PROCESS_ALL_ACCESS, false, process_id);

NtOpenProcess(&hProcess, PROCESS_ALL_ACCESS, &oa, &cid);

都只能打开失败.

还尝试了PsExec.exe -i -d -s XXX.exe 启动SYSTEM权限进程,还是打不开.

网上搜了一堆资料,说是PsIsProtectedProcess给过滤了.

RtlAdjustPrivilege(),win10下这个也废了.Token什么的也没效果.

RING3下就没办法了吗.

装逼是装不成了,在WIN10面前,这辈子都不可能装逼了.只能来看雪碰碰运气.

看雪的大神讲话又好听,个个都是人才.





[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (25)
雪    币: 12848
活跃值: (9147)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
2

把你自己进程的PsIsProtectedProcess里的保护位也置1,就能艹那些被保护进程了,还不是美滋滋

具体可以参考gh上面一个叫blackbone的项目

2017-2-25 10:43
0
雪    币: 272
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
hzqst 把你自己进程的PsIsProtectedProcess里的保护位也置1,就能艹那些被保护进程了,还不是美滋滋具体可以参考gh上面一个叫blackbone的项目
求个64位的ntdll.lib
2017-2-25 14:15
0
雪    币: 12848
活跃值: (9147)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
4
AASSMM 求个64位的ntdll.lib
装个Windows SDK10,里面自带
2017-2-25 14:52
0
雪    币: 7570
活跃值: (5407)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
5
hzqst 把你自己进程的PsIsProtectedProcess里的保护位也置1,就能艹那些被保护进程了,还不是美滋滋具体可以参考gh上面一个叫blackbone的项目


Blackbone,用到驱动了呀

2017-2-25 21:09
0
雪    币: 12848
活跃值: (9147)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
6
lononan Blackbone,用到驱动了呀
改EPROCESS标志位肯定要驱动啊,不然岂不是内核0day了
2017-2-26 10:45
1
雪    币: 7570
活跃值: (5407)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
7
hzqst 改EPROCESS标志位肯定要驱动啊,不然岂不是内核0day了
我抱着RING3下能直接打开CSRSS进程句柄的心态去搜索源码,即使我英文很不好
2017-2-26 15:18
0
雪    币: 7570
活跃值: (5407)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
8
hzqst 改EPROCESS标志位肯定要驱动啊,不然岂不是内核0day了
RING3下,没办法打开WIN10的CSRSS了吗
2017-2-26 15:20
0
雪    币: 12848
活跃值: (9147)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
9
lononan RING3下,没办法打开WIN10的CSRSS了吗[em_51]
是这样的啊
2017-2-26 15:57
0
雪    币: 4751
活跃值: (1783)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
鉴于目前没有收藏功能 所以就留下脚印 以后待查
2017-2-27 03:42
0
雪    币: 7570
活跃值: (5407)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
11
hzqst 是这样的啊
如果都能用上驱动了,干嘛还注入CSRSS,毫无意义的挣扎
2017-2-27 09:45
0
雪    币: 12848
活跃值: (9147)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
12
lononan 如果都能用上驱动了,干嘛还注入CSRSS,毫无意义的挣扎[em_72]
微软又不是傻子随便让你注入WIN10的关键进程
2017-2-27 22:33
0
雪    币: 119
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
是哈,新版还没有收藏功能啊。
2017-2-27 22:45
0
雪    币: 48
活跃值: (1104)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
win7 怎么注入CSRSS啊
2017-3-6 15:49
0
雪    币: 6124
活跃值: (4676)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
15
Win10要注入关键进程是需要驱动的。
2017-3-26 20:37
0
雪    币: 1319
活跃值: (1960)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
csrss注入的DLL能创建窗口么=-=我想问。
2017-5-22 18:29
0
雪    币: 1319
活跃值: (1960)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
win7  注入CSRSS需要什么要求不,DLL之类的。
2017-5-23 10:13
0
雪    币: 7570
活跃值: (5407)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
18
库尔 win7 注入CSRSS需要什么要求不,DLL之类的。
提权,LdrLoadDll,注入的DLL需要是64位.
2017-5-26 20:51
0
雪    币: 137
活跃值: (1548)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
按照上面那位大哥说的"hzqst  把你自己进程的PsIsProtectedProcess里的保护位也置1",  我把自己设置成保护了,  注入的时候debugview里面显示下面的信息,  大概意思就是我没微软的签名,  呵呵了,  这还能有解吗?
00000010        44.31887817        ******************************************************************
00000011        44.31889343        *  This  break  indicates  this  binary  is  not  signed  correctly:  \Device\HarddiskVolume2\Users\Public\test_inject64.dll
00000012        44.31889725        *  and  does  not  meet  the  system  policy.
00000013        44.31890106        *  The  binary  was  attempted  to  be  loaded  in  the  process:  \Device\HarddiskVolume2\Windows\System32\services.exe
00000014        44.31890869        *  This  is  not  a  failure  in  CI,  but  a  problem  with  the  failing  binary.
00000015        44.31890869        *  Please  contact  the  binary  owner  for  getting  the  binary  correctly  signed.
00000016        44.31891251        ******************************************************************
2017-6-6 10:39
0
雪    币: 12848
活跃值: (9147)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
20
wumnkx 按照上面那位大哥说的"hzqst 把你自己进程的PsIsProtectedProcess里的保护位也置1", 我把自己设置成保护了, 注入的时候debugview里面显示下面的信息 ...
把csrss的保护标志位去掉就行了
2017-6-6 11:05
0
雪    币: 137
活跃值: (1548)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
hzqst 把csrss的保护标志位去掉就行了
大哥你脑洞真大,  我怎么没想到呢?    呵呵,  我先试一下
2017-6-6 11:30
0
雪    币: 137
活跃值: (1548)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
我是注services.exe,  把services.exe的保护去掉,  注入依然提示签名不对,我那个dll是有自己的签名但没微软签名
[\\DESKTOP-SSM8QD9]
00000000        0.00000000        BlackBone:  OS  version  10.0.14393.0.1198  -  0xa00
00000001        0.00467352        BlackBone:  PDE_BASE:  FFFFFBFDC0000000,  PTE_BASE:  FFFFFB8000000000
00000002        0.00892114        BlackBone:  Dynamic  search  status:  SSDT  -  SUCCESS,  ExRemoveTable  -  SUCCESS
00000003        10.32149410        ******************************************************************
00000004        10.32151127        *  This  break  indicates  this  binary  is  not  signed  correctly:  \Device\HarddiskVolume2\Users\Public\test_inject64.dll
00000005        10.32151318        *  and  does  not  meet  the  system  policy.
00000006        10.32151794        *  The  binary  was  attempted  to  be  loaded  in  the  process:  \Device\HarddiskVolume2\Windows\System32\services.exe
00000007        10.32152081        *  This  is  not  a  failure  in  CI,  but  a  problem  with  the  failing  binary.
00000008        10.32152462        *  Please  contact  the  binary  owner  for  getting  the  binary  correctly  signed.
00000009        10.32152653        ******************************************************************
2017-6-6 12:15
0
雪    币: 12848
活跃值: (9147)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
23
wumnkx 我是注services.exe, 把services.exe的保护去掉, 注入依然提示签名不对,我那个dll是有自己的签名但没微软签名 [\\DESKTOP-SSM8QD9] 00000000 0 ...
把进程内的dll加载签名策略也关了,具体怎么关忘了,之前坛子上有人发过win10  ntdll新增函数里面就有
2017-6-6 14:07
0
雪    币: 2
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
留个爪  日后准备技术跟进
2017-6-6 23:13
0
雪    币: 58
活跃值: (1135)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
思路蛮多
2018-3-14 11:29
0
游客
登录 | 注册 方可回帖
返回
//