[求助]hook怎么样才能在第一时间钩到创建的新进程?-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (17)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼钩住A的CreateProcessInternalW就差不多了，玩法很多~ 2008-12-13 15:30 0
escript 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 115 粉丝 0 关注私信	escript 3 楼个人感觉应该钩住A的注入函数，创建函数貌似钩住了没用 2008-12-13 16:35 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 4 楼怎么没用？拦住它的创建过程，你替它创建然后注入自己的代码，再把创建好的进程扔给它不就行了？ 2008-12-13 17:01 0
ztd 雪币： 207 活跃值： (16) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 26 粉丝 0 关注私信	ztd 1 5 楼谢谢,能具体点吗? 2008-12-13 19:35 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 6 楼拦截NtCreateSector 2008-12-13 21:29 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 7 楼 PsSetCreateProcessNotifyRoutine 2008-12-13 21:32 0
ztd 雪币： 207 活跃值： (16) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 26 粉丝 0 关注私信	ztd 1 8 楼网上找了一下PsSetCreateProcessNotifyRoutine这个函数能得到进程创建的消息.NtCreateSector这个消息怎么找不到相关的资料? 2008-12-13 22:14 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 9 楼 PsSetCreateProcessNotifyRoutine没什么大用，只能得到消息，但得到消息后做不能阻止进程启动了。 NtCreateSection就可以做些事情。我记得好像是这样吧 2008-12-13 22:27 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 10 楼楼主的目的不在于阻止进程启动，而在于在进程启动时第一时间（比父进程在用户态做的事情要快）修改其内存，所以PsSetCreateProcessNotifyRoutine还是可以用的。 NtCreateSection比PsSetCreateProcessNotifyRoutine要快一些，就是在将文件映像入内存Section的时候把其中的内存内容给改掉。不过这就不是“进程创建后第一时间”了，因为这个时候进程还没有真正创建。 2008-12-13 22:34 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 11 楼谁说不能阻止进程启动了....attach写他的入口...这样就起不来了 2008-12-13 22:53 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 12 楼 …………没试过，下次看看 2008-12-13 23:21 0
sadnui 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 29 粉丝 0 关注私信	sadnui 13 楼 CreateProcessInternal 通用吗? 我记得看过别人写的两个定义在win2k上比xp上多了一个pointer参数 2008-12-13 23:24 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 14 楼对“阻止启动”概念的理解不一样吧，写它入口的情况（就是我上面说的修改其内存，用来ANTI这个进程时的最通常方法就是把入口点代码改掉），还是启动了，只不过到入口之后进程挂了而已不过即使把“阻止进程启动”理解为“阻止CreateProcess的调用成功”，PsSetCreateProcessRoutine也还是有办法的。比如MJ以前那个XX的“结束进程挑战”所用方法，只不过MJ是在进程结束时把它无限NtDelayException，改成在进程创建时这样做。不过这样调用CreateProcess的那个进程就会挂在内核态回不来？ 2008-12-13 23:31 0
pathletboy 雪币： 182 活跃值： (55) 能力值： ( LV6，RANK：90 ) 在线值：发帖 25 回帖 375 粉丝 1 关注私信	pathletboy 2 15 楼驱动防火墙就这么干的。 2008-12-14 02:47 0
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 16 楼 hook NtCreateSection 一般用MS公开的方法都比较不安全,都被研究过了,比如PsSetCreateProcessNotifyRoutine 2008-12-14 11:36 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 17 楼现在驱动真是越来越白菜了，我觉得不是什么问题都要用驱动来解决啊，简单有效的方法就可以了 2008-12-14 19:00 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 18 楼 hook NtMapViewOfSection~~ easy to do it~ 2008-12-14 19:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (17)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼钩住A的CreateProcessInternalW就差不多了，玩法很多~ 2008-12-13 15:30 0
escript 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 115 粉丝 0 关注私信	escript 3 楼个人感觉应该钩住A的注入函数，创建函数貌似钩住了没用 2008-12-13 16:35 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 4 楼怎么没用？拦住它的创建过程，你替它创建然后注入自己的代码，再把创建好的进程扔给它不就行了？ 2008-12-13 17:01 0
ztd 雪币： 207 活跃值： (16) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 26 粉丝 0 关注私信	ztd 1 5 楼谢谢,能具体点吗? 2008-12-13 19:35 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 6 楼拦截NtCreateSector 2008-12-13 21:29 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 7 楼 PsSetCreateProcessNotifyRoutine 2008-12-13 21:32 0
ztd 雪币： 207 活跃值： (16) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 26 粉丝 0 关注私信	ztd 1 8 楼网上找了一下PsSetCreateProcessNotifyRoutine这个函数能得到进程创建的消息.NtCreateSector这个消息怎么找不到相关的资料? 2008-12-13 22:14 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 9 楼 PsSetCreateProcessNotifyRoutine没什么大用，只能得到消息，但得到消息后做不能阻止进程启动了。 NtCreateSection就可以做些事情。我记得好像是这样吧 2008-12-13 22:27 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 10 楼楼主的目的不在于阻止进程启动，而在于在进程启动时第一时间（比父进程在用户态做的事情要快）修改其内存，所以PsSetCreateProcessNotifyRoutine还是可以用的。 NtCreateSection比PsSetCreateProcessNotifyRoutine要快一些，就是在将文件映像入内存Section的时候把其中的内存内容给改掉。不过这就不是“进程创建后第一时间”了，因为这个时候进程还没有真正创建。 2008-12-13 22:34 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 11 楼谁说不能阻止进程启动了....attach写他的入口...这样就起不来了 2008-12-13 22:53 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 12 楼 …………没试过，下次看看 2008-12-13 23:21 0
sadnui 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 29 粉丝 0 关注私信	sadnui 13 楼 CreateProcessInternal 通用吗? 我记得看过别人写的两个定义在win2k上比xp上多了一个pointer参数 2008-12-13 23:24 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 14 楼对“阻止启动”概念的理解不一样吧，写它入口的情况（就是我上面说的修改其内存，用来ANTI这个进程时的最通常方法就是把入口点代码改掉），还是启动了，只不过到入口之后进程挂了而已不过即使把“阻止进程启动”理解为“阻止CreateProcess的调用成功”，PsSetCreateProcessRoutine也还是有办法的。比如MJ以前那个XX的“结束进程挑战”所用方法，只不过MJ是在进程结束时把它无限NtDelayException，改成在进程创建时这样做。不过这样调用CreateProcess的那个进程就会挂在内核态回不来？ 2008-12-13 23:31 0
pathletboy 雪币： 182 活跃值： (55) 能力值： ( LV6，RANK：90 ) 在线值：发帖 25 回帖 375 粉丝 1 关注私信	pathletboy 2 15 楼驱动防火墙就这么干的。 2008-12-14 02:47 0
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 16 楼 hook NtCreateSection 一般用MS公开的方法都比较不安全,都被研究过了,比如PsSetCreateProcessNotifyRoutine 2008-12-14 11:36 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 17 楼现在驱动真是越来越白菜了，我觉得不是什么问题都要用驱动来解决啊，简单有效的方法就可以了 2008-12-14 19:00 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 18 楼 hook NtMapViewOfSection~~ easy to do it~ 2008-12-14 19:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复