[求助]通过PsSetCreateProcessNotifyRoutineEx回调拦截进程导致内核句柄泄漏-编程技术-看雪安全社区

[求助]通过PsSetCreateProcessNotifyRoutineEx回调拦截进程导致内核句柄泄漏

发表于: 2025-7-8 12:29 1356

[求助]通过PsSetCreateProcessNotifyRoutineEx回调拦截进程导致内核句柄泄漏

mb_yorfaxrs 活跃值

2025-7-8 12:29

1356

Win10 22h2系统上通过PsSetCreateProcessNotifyRoutineEx注册回调函数拦截特定进程的创建，正常情况下拦截正常，不存在句柄泄漏问题。

```c++

// 回调函数

VOID NotifyOnCreateProcess(_Inout_ PEPROCESS proc, _In_ HANDLE pid, _Inout_opt_ PPS_CREATE_NOTIFY_INFO create_info) {

if (create_info) {

PCSTR proc_name = (PCSTR)PsGetProcessImageFileName((proc));

if (proc_name) {

if (FilterProcessCmdLine(create_info->ParentProcessId, proc_name, proc_cmd)) {

create_info->CreationStatus = STATUS_ACCESS_DENIED;

}

```

但是使用多线程压测时会发现内存占用异常上涨，使用poolmon监控可以发现Tag=Toke池的内存上涨后无法释放，怀疑存在token句柄泄漏的情况。

通过任务管理器查看句柄总数，未发现明显增长，说明不是用户态句柄泄漏导致的。

执行前

执行后

开启对象引用追踪，使用!obtrace追踪所有创建进程的主令牌，可以发现大量进程的token在进程销毁会仍然存在引用，导致对象无法释放，

同样的驱动在win11 24h2上使用poolmon未发现问题。

补充说明：直接使用命令行多进程执行的情况下，不存在泄漏，但是使用C++ std::thread在子线程中执行就会发生(和子线程数量无关)。

[培训]Windows内核深度攻防：从Hook技术到Rootkit实战！

最后于 2025-7-11 10:59 被mb_yorfaxrs编辑，原因：

#驱动开发

收藏・0

免费・0

支持

最新回复 (14)
TkBinary 雪币： 2805 活跃值： (12062) 能力值： (RANK：385 ) 在线值：发帖 25 回帖 478 粉丝 240 关注私信	TkBinary 5 2 楼过段时间会释放吗? 2025-7-8 13:24 0
mb_yorfaxrs 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	mb_yorfaxrs 3 楼不会，只有重启才行 2025-7-8 14:13 0
TurkeybraNC 雪币： 1762 活跃值： (1536) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 22 粉丝 19 关注私信	TurkeybraNC 4 楼用InterlockedDecrement在回调中手动释放EPROCESS内Token的RefCnt呢？ 2025-7-9 23:35 0
TkBinary 雪币： 2805 活跃值： (12062) 能力值： (RANK：385 ) 在线值：发帖 25 回帖 478 粉丝 240 关注私信	TkBinary 5 5 楼目前楼主这问题没遇到过. 开发过进程拦截驱动.用的minifilter的通信端口通信.正常过滤. 没遇到泄露问题. 2025-7-10 10:15 0
一半人生雪币： 892 活跃值： (14576) 能力值： ( LV12，RANK：322 ) 在线值：发帖 28 回帖 398 粉丝 223 关注私信	一半人生 5 6 楼会不会和自己的代码有关 2025-7-10 14:20 0
mb_yorfaxrs 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	mb_yorfaxrs 7 楼 TurkeybraNC 用InterlockedDecrement在回调中手动释放EPROCESS内Token的RefCnt呢？不是所有的拦截都有问题，那就没办法决定什么时候调用要InterlockedDecrement 2025-7-11 10:02 0
mb_yorfaxrs 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	mb_yorfaxrs 8 楼一半人生会不会和自己的代码有关 VOID NotifyOnCreateProcess(_Inout_ PEPROCESS proc, _In_ HANDLE pid, _Inout_opt_ PPS_CREATE_NOTIFY_INFO create_info) { if (create_info) { PCSTR proc_name = (PCSTR)PsGetProcessImageFileName((proc)); if (proc_name) { if (_stricmp(proc_name, "shutdown.exe") == 0) { UNREFERENCED_PARAMETER(pid); create_info->CreationStatus = STATUS_ACCESS_DENIED; return; } } } } 精简了一下代码，DriverEntry负责注册，不包含其它代码，还是存在一样的问题 2025-7-11 12:19 0
mb_yorfaxrs 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	mb_yorfaxrs 9 楼目前发现一个规避方案：使用PsSetCreateThreadNotifyRoutine注册一个线程回调，在回调中通知应用层结束当前线程。这种情况下就不会出现泄漏问题，但是对系统性能有点影响。 2025-7-11 15:19 0
TkBinary 雪币： 2805 活跃值： (12062) 能力值： (RANK：385 ) 在线值：发帖 25 回帖 478 粉丝 240 关注私信	TkBinary 5 10 楼 mb_yorfaxrs 目前发现一个规避方案：使用PsSetCreateThreadNotifyRoutine注册一个线程回调，在回调中通知应用层结束当前线程。这种情况下就不会出现泄漏问题，但是对系统性能有点影响。虽没试过.尝试下通过 EPROCESS 得到对应句柄.关闭这个句柄哪伪代码: HANDLE hProcessHandle = (HANDLE)-1; Status = ObOpenObjectByPointer( pEprocess, OBJ_KERNEL_HANDLE, 0, 0, *PsProcessType, KernelMode, &hProcessHandle ); if (NT_SUCCESS(Status)) { ZwClose(hProcessHandle); xxxx... } 2025-7-11 15:29 0
TurkeybraNC 雪币： 1762 活跃值： (1536) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 22 粉丝 19 关注私信	TurkeybraNC 11 楼挂个内核调试器步出回调函数看一下会不会调用PsTerminateProcess，进程的清理是在这里完成的 2025-7-11 16:10 0
mb_yorfaxrs 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	mb_yorfaxrs 12 楼 TkBinary 虽没试过.尝试下通过 EPROCESS 得到对应句柄.关闭这个句柄哪伪代码:HANDLE hProcessHandle = (HANDLE)-1; ... 试过了，还是一样的问题 2025-7-16 10:30 0
mb_yorfaxrs 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	mb_yorfaxrs 13 楼 TurkeybraNC 挂个内核调试器步出回调函数看一下会不会调用PsTerminateProcess，进程的清理是在这里完成的之前特意看过，shift+f11走的时候会调用到 2025-7-16 10:37 0
TurkeybraNC 雪币： 1762 活跃值： (1536) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 22 粉丝 19 关注私信	TurkeybraNC 14 楼 mb_yorfaxrs 之前特意看过，shift+f11走的时候会调用到能给下内核详细版本号和测试程序源码吗，一直没有复现成功 2025-8-6 17:49 0
啊你好哇123 雪币： 179 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 187 粉丝 0 关注私信	啊你好哇123 15 楼 mb_yorfaxrs 之前特意看过，shift+f11走的时候会调用到咋样了，解决没 2025-11-13 23:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

mb_yorfaxrs

发帖

回帖

RANK

关注

私信

他的文章

[求助]通过PsSetCreateProcessNotifyRoutineEx回调拦截进程导致内核句柄泄漏 1357

关于我们

联系我们

企业服务

看雪公众号

最新回复 (14)
TkBinary 雪币： 2805 活跃值： (12062) 能力值： (RANK：385 ) 在线值：发帖 25 回帖 478 粉丝 240 关注私信	TkBinary 5 2 楼过段时间会释放吗? 2025-7-8 13:24 0
mb_yorfaxrs 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	mb_yorfaxrs 3 楼不会，只有重启才行 2025-7-8 14:13 0
TurkeybraNC 雪币： 1762 活跃值： (1536) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 22 粉丝 19 关注私信	TurkeybraNC 4 楼用InterlockedDecrement在回调中手动释放EPROCESS内Token的RefCnt呢？ 2025-7-9 23:35 0
TkBinary 雪币： 2805 活跃值： (12062) 能力值： (RANK：385 ) 在线值：发帖 25 回帖 478 粉丝 240 关注私信	TkBinary 5 5 楼目前楼主这问题没遇到过. 开发过进程拦截驱动.用的minifilter的通信端口通信.正常过滤. 没遇到泄露问题. 2025-7-10 10:15 0
一半人生雪币： 892 活跃值： (14576) 能力值： ( LV12，RANK：322 ) 在线值：发帖 28 回帖 398 粉丝 223 关注私信	一半人生 5 6 楼会不会和自己的代码有关 2025-7-10 14:20 0
mb_yorfaxrs 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	mb_yorfaxrs 7 楼 TurkeybraNC 用InterlockedDecrement在回调中手动释放EPROCESS内Token的RefCnt呢？不是所有的拦截都有问题，那就没办法决定什么时候调用要InterlockedDecrement 2025-7-11 10:02 0
mb_yorfaxrs 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	mb_yorfaxrs 8 楼一半人生会不会和自己的代码有关 VOID NotifyOnCreateProcess(_Inout_ PEPROCESS proc, _In_ HANDLE pid, _Inout_opt_ PPS_CREATE_NOTIFY_INFO create_info) { if (create_info) { PCSTR proc_name = (PCSTR)PsGetProcessImageFileName((proc)); if (proc_name) { if (_stricmp(proc_name, "shutdown.exe") == 0) { UNREFERENCED_PARAMETER(pid); create_info->CreationStatus = STATUS_ACCESS_DENIED; return; } } } } 精简了一下代码，DriverEntry负责注册，不包含其它代码，还是存在一样的问题 2025-7-11 12:19 0
mb_yorfaxrs 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	mb_yorfaxrs 9 楼目前发现一个规避方案：使用PsSetCreateThreadNotifyRoutine注册一个线程回调，在回调中通知应用层结束当前线程。这种情况下就不会出现泄漏问题，但是对系统性能有点影响。 2025-7-11 15:19 0
TkBinary 雪币： 2805 活跃值： (12062) 能力值： (RANK：385 ) 在线值：发帖 25 回帖 478 粉丝 240 关注私信	TkBinary 5 10 楼 mb_yorfaxrs 目前发现一个规避方案：使用PsSetCreateThreadNotifyRoutine注册一个线程回调，在回调中通知应用层结束当前线程。这种情况下就不会出现泄漏问题，但是对系统性能有点影响。虽没试过.尝试下通过 EPROCESS 得到对应句柄.关闭这个句柄哪伪代码: HANDLE hProcessHandle = (HANDLE)-1; Status = ObOpenObjectByPointer( pEprocess, OBJ_KERNEL_HANDLE, 0, 0, *PsProcessType, KernelMode, &hProcessHandle ); if (NT_SUCCESS(Status)) { ZwClose(hProcessHandle); xxxx... } 2025-7-11 15:29 0
TurkeybraNC 雪币： 1762 活跃值： (1536) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 22 粉丝 19 关注私信	TurkeybraNC 11 楼挂个内核调试器步出回调函数看一下会不会调用PsTerminateProcess，进程的清理是在这里完成的 2025-7-11 16:10 0
mb_yorfaxrs 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	mb_yorfaxrs 12 楼 TkBinary 虽没试过.尝试下通过 EPROCESS 得到对应句柄.关闭这个句柄哪伪代码:HANDLE hProcessHandle = (HANDLE)-1; ... 试过了，还是一样的问题 2025-7-16 10:30 0
mb_yorfaxrs 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	mb_yorfaxrs 13 楼 TurkeybraNC 挂个内核调试器步出回调函数看一下会不会调用PsTerminateProcess，进程的清理是在这里完成的之前特意看过，shift+f11走的时候会调用到 2025-7-16 10:37 0
TurkeybraNC 雪币： 1762 活跃值： (1536) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 22 粉丝 19 关注私信	TurkeybraNC 14 楼 mb_yorfaxrs 之前特意看过，shift+f11走的时候会调用到能给下内核详细版本号和测试程序源码吗，一直没有复现成功 2025-8-6 17:49 0
啊你好哇123 雪币： 179 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 187 粉丝 0 关注私信	啊你好哇123 15 楼 mb_yorfaxrs 之前特意看过，shift+f11走的时候会调用到咋样了，解决没 2025-11-13 23:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复