在前面的文章中LyShark一直在重复的实现对系统底层模块的枚举,今天我们将展开一个新的话题,内核监控,我们以监控进程线程创建为例,在Win10系统中监控进程与线程可以使用微软提供给我们的两个新函数来实现,此类函数的原理是创建一个回调事件,当有进程或线程被创建或者注销时,系统会通过回调机制将该进程相关信息优先返回给我们自己的函数待处理结束后再转向系统层。

PsSetCreateProcessNotifyRoutineEx和PsSetCreateThreadNotifyRoutine是Windows操作系统提供的两个内核回调函数,它们允许开发者在进程或线程发生创建事件时拦截并处理这些事件。这两个函数提供的回调机制是操作系统提供的最基本、最常用的内核监控进程与线程的方式。

PsSetCreateProcessNotifyRoutineEx和PsSetCreateThreadNotifyRoutine的使用方式和参数类型类似,它们都需要开发者提供一个回调函数,当进程或线程被创建时,操作系统会调用这个回调函数。这个回调函数需要满足一定的约束条件,例如不能阻塞或挂起进程或线程的创建或访问,不能调用一些内核API函数等。

PsSetCreateProcessNotifyRoutineEx和PsSetCreateThreadNotifyRoutine的主要区别在于它们所监控的事件不同。PsSetCreateProcessNotifyRoutineEx用于监控进程的创建事件,当有新的进程被创建时,操作系统会调用注册的回调函数。而PsSetCreateThreadNotifyRoutine用于监控线程的创建事件,当有新的线程被创建时,操作系统会调用注册的回调函数。

内核监控进程PsSetCreateProcessNotifyRoutineEx和线程PsSetCreateThreadNotifyRoutine回调在安全软件、系统监控和调试工具等领域有着广泛的应用。需要注意的是,在Windows 8及更高版本的操作系统中,微软推荐开发者使用ExRegisterCallback和ExUnregisterCallback函数进行回调的注册和注销。

进程回调默认会设置CreateProcess通知,而线程回调则会设置CreateThread通知,我们来看ARK工具中的枚举效果。

  • 通常情况下:

    • PsSetCreateProcessNotifyRoutineEx 用于监控进程
    • PsSetCreateThreadNotifyRoutine 用于监控线程

监控进程的启动与退出可以使用 PsSetCreateProcessNotifyRoutineEx来创建回调,当新进程创建时会优先执行回调,我们看下微软是如何定义的结构。

// 参数1: 新进程回调函数

// 参数2: 是否注销

NTSTATUS PsSetCreateProcessNotifyRoutineEx(

  [in] PCREATE_PROCESS_NOTIFY_ROUTINE_EX NotifyRoutine,

  [in] BOOLEAN                           Remove

);

如上,该函数只有两个参数,第一个参数是回调函数,第二个参数是是否注销,通常在驱动退出时可以传入TRUE对该回调进行注销,通常情况下如果驱动关闭,则必须要注销回调,而对于MyLySharkCreateProcessNotifyEx自定义回调来说,则需要指定三个必须要有的参数传递。

// 参数1: 新进程的EProcess

// 参数2: 新进程PID

// 参数3: 新进程详细信息 (仅在创建进程时有效)

VOID MyLySharkCreateProcessNotifyEx(PEPROCESS Process, HANDLE ProcessId, PPS_CREATE_NOTIFY_INFO CreateInfo)

根据如上函数定义,就可以实现监控功能了,例如我们监控如果进程名是lyshark.exe则直接CreateInfo->CreationStatus = STATUS_UNSUCCESSFUL禁止该进程打开。

#include <ntifs.h>

// 两个未公开函数导出

NTKERNELAPI PCHAR PsGetProcessImageFileName(PEPROCESS Process);

NTKERNELAPI NTSTATUS PsLookupProcessByProcessId(HANDLE ProcessId, PEPROCESS *Process);

// 通过PID获得进程名

PCHAR GetProcessNameByProcessId(HANDLE ProcessId)

{

    NTSTATUS st = STATUS_UNSUCCESSFUL;

    PEPROCESS ProcessObj = NULL;

    PCHAR string = NULL;

    st = PsLookupProcessByProcessId(ProcessId, &ProcessObj);

    if (NT_SUCCESS(st))

    {

        string = PsGetProcessImageFileName(ProcessObj);

        ObfDereferenceObject(ProcessObj);

    }

    return string;

}

// 绕过签名检查

BOOLEAN BypassCheckSign(PDRIVER_OBJECT pDriverObject)

{

#ifdef _WIN64

    typedef struct _KLDR_DATA_TABLE_ENTRY

    {

        LIST_ENTRY listEntry;

        ULONG64 __Undefined1;

        ULONG64 __Undefined2;

        ULONG64 __Undefined3;

        ULONG64 NonPagedDebugInfo;

        ULONG64 DllBase;

        ULONG64 EntryPoint;

        ULONG SizeOfImage;

        UNICODE_STRING path;

        UNICODE_STRING name;

        ULONG   Flags;

        USHORT  LoadCount;

        USHORT  __Undefined5;

        ULONG64 __Undefined6;

        ULONG   CheckSum;

        ULONG   __padding1;

        ULONG   TimeDateStamp;

        ULONG   __padding2;

    } KLDR_DATA_TABLE_ENTRY, *PKLDR_DATA_TABLE_ENTRY;

#else

    typedef struct _KLDR_DATA_TABLE_ENTRY

    {

        LIST_ENTRY listEntry;

        ULONG unknown1;

        ULONG unknown2;

        ULONG unknown3;

        ULONG unknown4;

        ULONG unknown5;

        ULONG unknown6;

        ULONG unknown7;

        UNICODE_STRING path;

        UNICODE_STRING name;

        ULONG   Flags;

    } KLDR_DATA_TABLE_ENTRY, *PKLDR_DATA_TABLE_ENTRY;

#endif

    PKLDR_DATA_TABLE_ENTRY pLdrData = (PKLDR_DATA_TABLE_ENTRY)pDriverObject->DriverSection;

    pLdrData->Flags = pLdrData->Flags | 0x20;

    return TRUE;

}

// 进程回调函数

VOID My_LyShark_Com_CreateProcessNotifyEx(PEPROCESS Process, HANDLE ProcessId, PPS_CREATE_NOTIFY_INFO CreateInfo)

{

    char ProcName[16] = { 0 };

    if (CreateInfo != NULL)

    {

        strcpy_s(ProcName, 16, PsGetProcessImageFileName(Process));

        DbgPrint("[LyShark] 父进程ID: %ld | 父进程名: %s | 进程名: %s | 进程路径:%wZ \n", CreateInfo->ParentProcessId, GetProcessNameByProcessId(CreateInfo->ParentProcessId), PsGetProcessImageFileName(Process), CreateInfo->ImageFileName);

        // 判断是否为指定进程

        if (0 == _stricmp(ProcName, "lyshark.exe"))

        {

            // 禁止打开

            CreateInfo->CreationStatus = STATUS_UNSUCCESSFUL;

        }

    }

    else

    {

        strcpy_s(ProcName, 16, PsGetProcessImageFileName(Process));

        DbgPrint("[LyShark] 进程[ %s ] 退出了, 程序被关闭", ProcName);

    }

}

VOID UnDriver(PDRIVER_OBJECT driver)

{

    DWORD32 ref = 0;

    // 注销进程回调

    ref = PsSetCreateProcessNotifyRoutineEx((PCREATE_PROCESS_NOTIFY_ROUTINE_EX)My_LyShark_Com_CreateProcessNotifyEx, TRUE);

    DbgPrint("[lyshark] 注销进程回调: %d \n", ref);

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

    NTSTATUS status;

    // 绕过签名检查

    // LINKER_FLAGS=/INTEGRITYCHECK

    BypassCheckSign(Driver);

    DbgPrint("hello lyshark \n");

    // 创建进程回调

    // 参数1: 新进程的EProcess

    // 参数2: 新进程PID

    // 参数3: 新进程详细信息 (仅在创建进程时有效)

    status = PsSetCreateProcessNotifyRoutineEx((PCREATE_PROCESS_NOTIFY_ROUTINE_EX)My_LyShark_Com_CreateProcessNotifyEx, FALSE);

    if (!NT_SUCCESS(status))

    {

        DbgPrint("[lyshark] 创建进程回调错误");

    }

    Driver->DriverUnload = UnDriver;

    return STATUS_SUCCESS;

}

编译并运行这个驱动程序,我们可以在ARK工具中看到这个驱动所加载的CreateProcess的回调事件。

当驱动加载后,如果你尝试打开lyshark.exe那么会提示连接的设备没有发挥作用,我们则成功拦截了这次打开,当然如果在打开进程之前扫描其特征并根据特征拒绝进程打开,那么就可以实现一个简单的防恶意程序,进程监控在防恶意程序中也是用的最多的。

说完了PsSetCreateProcessNotifyRoutineEx回调的使用方式,LyShark将继续带大家看看线程监控如何实现,监控线程创建与监控进程差不多,检测线程需要调用PsSetCreateThreadNotifyRoutine 创建回调函数,之后就可监控系统所有线程的创建,具体实现代码如下。

#include <ntifs.h>

// 两个未公开函数导出

NTKERNELAPI PCHAR PsGetProcessImageFileName(PEPROCESS Process);

NTKERNELAPI NTSTATUS PsLookupProcessByProcessId(HANDLE ProcessId, PEPROCESS *Process);

NTKERNELAPI NTSTATUS PsLookupThreadByThreadId(HANDLE ThreadId, PETHREAD *Thread);

// 绕过签名检查

BOOLEAN BypassCheckSign(PDRIVER_OBJECT pDriverObject)

{

#ifdef _WIN64

    typedef struct _KLDR_DATA_TABLE_ENTRY

    {

        LIST_ENTRY listEntry;

        ULONG64 __Undefined1;

        ULONG64 __Undefined2;

        ULONG64 __Undefined3;

        ULONG64 NonPagedDebugInfo;

        ULONG64 DllBase;

        ULONG64 EntryPoint;

        ULONG SizeOfImage;

        UNICODE_STRING path;

        UNICODE_STRING name;

        ULONG   Flags;

        USHORT  LoadCount;

        USHORT  __Undefined5;

        ULONG64 __Undefined6;

        ULONG   CheckSum;

        ULONG   __padding1;

        ULONG   TimeDateStamp;

        ULONG   __padding2;

    } KLDR_DATA_TABLE_ENTRY, *PKLDR_DATA_TABLE_ENTRY;

#else

    typedef struct _KLDR_DATA_TABLE_ENTRY

    {

        LIST_ENTRY listEntry;

        ULONG unknown1;

        ULONG unknown2;

        ULONG unknown3;

        ULONG unknown4;

        ULONG unknown5;

        ULONG unknown6;

        ULONG unknown7;

        UNICODE_STRING path;

        UNICODE_STRING name;

        ULONG   Flags;

    } KLDR_DATA_TABLE_ENTRY, *PKLDR_DATA_TABLE_ENTRY;

#endif

    PKLDR_DATA_TABLE_ENTRY pLdrData = (PKLDR_DATA_TABLE_ENTRY)pDriverObject->DriverSection;

    pLdrData->Flags = pLdrData->Flags | 0x20;

    return TRUE;

}

// 线程回调函数

VOID MyCreateThreadNotify(HANDLE ProcessId, HANDLE ThreadId, BOOLEAN CreateInfo)

{

    PEPROCESS eprocess = NULL;

    PETHREAD ethread = NULL;

    UCHAR *pWin32Address = NULL;

    // 通过此函数拿到程序的EPROCESS结构

    PsLookupProcessByProcessId(ProcessId, &eprocess);

    PsLookupThreadByThreadId(ThreadId, &ethread);

    if (CreateInfo)

    {

        DbgPrint("[lyshark] 线程TID: %1d | 所属进程名: %s | 进程PID: %1d \n", ThreadId, PsGetProcessImageFileName(eprocess), PsGetProcessId(eprocess));

        /*

        if (0 == _stricmp(PsGetProcessImageFileName(eprocess), "lyshark.exe"))

        {

        DbgPrint("线程TID: %1d | 所属进程名: %s | 进程PID: %1d \n", ThreadId, PsGetProcessImageFileName(eprocess), PsGetProcessId(eprocess));

        // dt _kthread

        // 寻找里面的 Win32StartAddress 并写入ret

        pWin32Address = *(UCHAR**)((UCHAR*)ethread + 0x1c8);

        if (MmIsAddressValid(pWin32Address))

        {

        *pWin32Address = 0xC3;

        }

        }

        */

    }

    else

    {

        DbgPrint("[LyShark] %s 线程已退出...", ThreadId);

    }

    if (eprocess)

        ObDereferenceObject(eprocess);

    if (ethread)

        ObDereferenceObject(ethread);

}

VOID UnDriver(PDRIVER_OBJECT driver)

{

    NTSTATUS status;

    // 注销进程回调

    status = PsRemoveCreateThreadNotifyRoutine(MyCreateThreadNotify);

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

    NTSTATUS status;

    DbgPrint("hello lyshark \n");

    // 绕过签名检查

    // LINKER_FLAGS=/INTEGRITYCHECK

    BypassCheckSign(Driver);

    // 创建线程回调

    // 参数1: 新线程ProcessID

    // 参数2: 新线程ThreadID

    // 参数3: 线程创建/退出标志

    status = PsSetCreateThreadNotifyRoutine(MyCreateThreadNotify);

    if (!NT_SUCCESS(status))

    {

        DbgPrint("创建线程回调错误");

    }

    Driver->DriverUnload = UnDriver;

    return STATUS_SUCCESS;

}

运行后则可监控到系统总所有线程的创建与退出,效果如下所示:

7.1 Windows驱动开发:内核监控进程与线程回调的更多相关文章

  1. Windows驱动开发-内核常用内存函数

    搞内存常用函数 C语言 内核 malloc ExAllocatePool memset RtlFillMemory memcpy RtlMoveMemory free ExFreePool

  2. C++第三十三篇 -- 研究一下Windows驱动开发(一)内部构造介绍

    因为工作原因,需要做一些与网卡有关的测试,其中涉及到了驱动这一块的知识,虽然程序可以运行,但是不搞清楚,心里总是不安,觉得没理解清楚.因此想看一下驱动开发.查了很多资料,看到有人推荐Windows驱动 ...

  3. Windows驱动开发(中间层)

    Windows驱动开发 一.前言 依据<Windows内核安全与驱动开发>及MSDN等网络质料进行学习开发. 二.初步环境 1.下载安装WDK7.1.0(WinDDK\7600.16385 ...

  4. [Windows驱动开发](一)序言

    笔者学习驱动编程是从两本书入门的.它们分别是<寒江独钓——内核安全编程>和<Windows驱动开发技术详解>.两本书分别从不同的角度介绍了驱动程序的制作方法. 在我理解,驱动程 ...

  5. windows驱动开发推荐书籍

    [作者] 猪头三 个人网站 :http://www.x86asm.com/ [序言] 很多人都对驱动开发有兴趣,但往往找不到正确的学习方式.当然这跟驱动开发的本土化资料少有关系.大多学的驱动开发资料都 ...

  6. windows 驱动开发入门——驱动中的数据结构

    最近在学习驱动编程方面的内容,在这将自己的一些心得分享出来,供大家参考,与大家共同进步,本人学习驱动主要是通过两本书--<独钓寒江 windows安全编程> 和 <windows驱动 ...

  7. Windows驱动——读书笔记《Windows驱动开发技术详解》

    =================================版权声明================================= 版权声明:原创文章 谢绝转载  请通过右侧公告中的“联系邮 ...

  8. Windows驱动开发-IRP的完成例程

    <Windows驱动开发技术详解 >331页, 在将IRP发送给底层驱动或其他驱动之前,可以对IRP设置一个完成例程,一旦底层驱动将IRP完成后,IRP完成例程立刻被处罚,通过设置完成例程 ...

  9. C++第三十八篇 -- 研究一下Windows驱动开发(二)--WDM式驱动的加载

    基于Windows驱动开发技术详解这本书 一.简单的INF文件剖析 INF文件是一个文本文件,由若干个节(Section)组成.每个节的名称用一个方括号指示,紧接着方括号后面的就是节内容.每一行就是一 ...

  10. Windows 驱动开发 - 5

    上篇<Windows 驱动开发 - 4>我们已经完毕了硬件准备. 可是我们还没有详细的数据操作,比如接收读写操作. 在WDF中进行此类操作前须要进行设备的IO控制,已保持数据的完整性. 我 ...

随机推荐

  1. 飞书接入ChatGPT

    飞书接入ChatGPT 前天我用飞书接入了GPT-3,现在终于可以在国内畅通地聊天了. 上面是群聊截图,下面是私聊截图 其实实现过程极其简单,但是我和好兄弟确实绕了不少弯路. 首先提醒: 1 不适合个 ...

  2. Go--日志

    一.Logger go语言默认提供的日志功能,包为ttps://golang.org/pkg/log/ 优势: 使用非常简单,可以设置任何io.Writer作为日志记录输出并向其发送要写入的日志 劣势 ...

  3. AtCoder Beginner Contest 170 (D~F题,D筛法,E multiset使用,F Dijkstra算法改进)

    题目链接:Here ABC水题, D. Not Divisible 看了题解才想到,可以用 Sieve of Eratosthenes,因为 \(A_i\) 最大才 \(10^6\) 但有注意的点 1 ...

  4. 浏览器,navicat,IDEA--快捷键

    mysql快捷键:ctrl+r 运行查询窗口的sql语句ctrl+shift+r 只运行选中的sql语句ctrl+q 打开一个新的查询窗口ctrl+w 关闭一个查询窗口ctrl+/ 注释sql语句 c ...

  5. 2.5D 组态案例合集 | 智慧园区、数据中心、SMT 生产线、汽车制造

    在阅读文章之前,大家可以思考下 2.5D 设计属于哪种界定? 2.5D 是通过二维的元素来呈现出三维的效果.其实在国外并没有 2.5D 这样的称呼,标准说法是 Isometric 风格,翻译过来就是等 ...

  6. 绿色数治开采工艺: 3D 可视化智慧矿山

    前言 2021 年 2 月底,国家矿山安监局综合司发布的<"十四五"矿山安全生产规划(征求意见稿)>中再次强调要"实时采集矿山安全监控.人员位置监测.视频监控 ...

  7. 十一、docker的容器互联

    系列导航 一.docker入门(概念) 二.docker的安装和镜像管理 三.docker容器的常用命令 四.容器的网络访问 五.容器端口转发 六.docker数据卷 七.手动制作docker镜像 八 ...

  8. centos7_Lnmp编译安装

    17年面试运维岗位的时候,面试官要求输出一份lnmp编译的操作文档,于是有了如下安装nginx+php+mysql,进入正题: 准备环境 环境:centos7.3 软件:nginx-1.12.1 + ...

  9. CSS - 滤镜的妙用 - 制作炫彩圆环(外加动画)

    效果图如下: 话不多说,上代码: <!DOCTYPE html> <html lang="en"> <head> <meta charse ...

  10. [转帖]全表扫描却产生大量db file sequential read一例

    老熊 Oracle性能优化 2012-05-23 开发人员在进行新系统上线前的数据校验测试时,发现一条手工执行的SQL执行了超过1小时还没有返回结果.SQL很简单: SELECT * FROM MOB ...