在前面的文章中LyShark一直在重复的实现对系统底层模块的枚举,今天我们将展开一个新的话题,内核监控,我们以监控进程线程创建为例,在Win10系统中监控进程与线程可以使用微软提供给我们的两个新函数来实现,此类函数的原理是创建一个回调事件,当有进程或线程被创建或者注销时,系统会通过回调机制将该进程相关信息优先返回给我们自己的函数待处理结束后再转向系统层。

PsSetCreateProcessNotifyRoutineEx和PsSetCreateThreadNotifyRoutine是Windows操作系统提供的两个内核回调函数,它们允许开发者在进程或线程发生创建事件时拦截并处理这些事件。这两个函数提供的回调机制是操作系统提供的最基本、最常用的内核监控进程与线程的方式。

PsSetCreateProcessNotifyRoutineEx和PsSetCreateThreadNotifyRoutine的使用方式和参数类型类似,它们都需要开发者提供一个回调函数,当进程或线程被创建时,操作系统会调用这个回调函数。这个回调函数需要满足一定的约束条件,例如不能阻塞或挂起进程或线程的创建或访问,不能调用一些内核API函数等。

PsSetCreateProcessNotifyRoutineEx和PsSetCreateThreadNotifyRoutine的主要区别在于它们所监控的事件不同。PsSetCreateProcessNotifyRoutineEx用于监控进程的创建事件,当有新的进程被创建时,操作系统会调用注册的回调函数。而PsSetCreateThreadNotifyRoutine用于监控线程的创建事件,当有新的线程被创建时,操作系统会调用注册的回调函数。

内核监控进程PsSetCreateProcessNotifyRoutineEx和线程PsSetCreateThreadNotifyRoutine回调在安全软件、系统监控和调试工具等领域有着广泛的应用。需要注意的是,在Windows 8及更高版本的操作系统中,微软推荐开发者使用ExRegisterCallback和ExUnregisterCallback函数进行回调的注册和注销。

进程回调默认会设置CreateProcess通知,而线程回调则会设置CreateThread通知,我们来看ARK工具中的枚举效果。

  • 通常情况下:

    • PsSetCreateProcessNotifyRoutineEx 用于监控进程
    • PsSetCreateThreadNotifyRoutine 用于监控线程

监控进程的启动与退出可以使用 PsSetCreateProcessNotifyRoutineEx来创建回调,当新进程创建时会优先执行回调,我们看下微软是如何定义的结构。

// 参数1: 新进程回调函数

// 参数2: 是否注销

NTSTATUS PsSetCreateProcessNotifyRoutineEx(

  [in] PCREATE_PROCESS_NOTIFY_ROUTINE_EX NotifyRoutine,

  [in] BOOLEAN                           Remove

);

如上,该函数只有两个参数,第一个参数是回调函数,第二个参数是是否注销,通常在驱动退出时可以传入TRUE对该回调进行注销,通常情况下如果驱动关闭,则必须要注销回调,而对于MyLySharkCreateProcessNotifyEx自定义回调来说,则需要指定三个必须要有的参数传递。

// 参数1: 新进程的EProcess

// 参数2: 新进程PID

// 参数3: 新进程详细信息 (仅在创建进程时有效)

VOID MyLySharkCreateProcessNotifyEx(PEPROCESS Process, HANDLE ProcessId, PPS_CREATE_NOTIFY_INFO CreateInfo)

根据如上函数定义,就可以实现监控功能了,例如我们监控如果进程名是lyshark.exe则直接CreateInfo->CreationStatus = STATUS_UNSUCCESSFUL禁止该进程打开。

#include <ntifs.h>

// 两个未公开函数导出

NTKERNELAPI PCHAR PsGetProcessImageFileName(PEPROCESS Process);

NTKERNELAPI NTSTATUS PsLookupProcessByProcessId(HANDLE ProcessId, PEPROCESS *Process);

// 通过PID获得进程名

PCHAR GetProcessNameByProcessId(HANDLE ProcessId)

{

    NTSTATUS st = STATUS_UNSUCCESSFUL;

    PEPROCESS ProcessObj = NULL;

    PCHAR string = NULL;

    st = PsLookupProcessByProcessId(ProcessId, &ProcessObj);

    if (NT_SUCCESS(st))

    {

        string = PsGetProcessImageFileName(ProcessObj);

        ObfDereferenceObject(ProcessObj);

    }

    return string;

}

// 绕过签名检查

BOOLEAN BypassCheckSign(PDRIVER_OBJECT pDriverObject)

{

#ifdef _WIN64

    typedef struct _KLDR_DATA_TABLE_ENTRY

    {

        LIST_ENTRY listEntry;

        ULONG64 __Undefined1;

        ULONG64 __Undefined2;

        ULONG64 __Undefined3;

        ULONG64 NonPagedDebugInfo;

        ULONG64 DllBase;

        ULONG64 EntryPoint;

        ULONG SizeOfImage;

        UNICODE_STRING path;

        UNICODE_STRING name;

        ULONG   Flags;

        USHORT  LoadCount;

        USHORT  __Undefined5;

        ULONG64 __Undefined6;

        ULONG   CheckSum;

        ULONG   __padding1;

        ULONG   TimeDateStamp;

        ULONG   __padding2;

    } KLDR_DATA_TABLE_ENTRY, *PKLDR_DATA_TABLE_ENTRY;

#else

    typedef struct _KLDR_DATA_TABLE_ENTRY

    {

        LIST_ENTRY listEntry;

        ULONG unknown1;

        ULONG unknown2;

        ULONG unknown3;

        ULONG unknown4;

        ULONG unknown5;

        ULONG unknown6;

        ULONG unknown7;

        UNICODE_STRING path;

        UNICODE_STRING name;

        ULONG   Flags;

    } KLDR_DATA_TABLE_ENTRY, *PKLDR_DATA_TABLE_ENTRY;

#endif

    PKLDR_DATA_TABLE_ENTRY pLdrData = (PKLDR_DATA_TABLE_ENTRY)pDriverObject->DriverSection;

    pLdrData->Flags = pLdrData->Flags | 0x20;

    return TRUE;

}

// 进程回调函数

VOID My_LyShark_Com_CreateProcessNotifyEx(PEPROCESS Process, HANDLE ProcessId, PPS_CREATE_NOTIFY_INFO CreateInfo)

{

    char ProcName[16] = { 0 };

    if (CreateInfo != NULL)

    {

        strcpy_s(ProcName, 16, PsGetProcessImageFileName(Process));

        DbgPrint("[LyShark] 父进程ID: %ld | 父进程名: %s | 进程名: %s | 进程路径:%wZ \n", CreateInfo->ParentProcessId, GetProcessNameByProcessId(CreateInfo->ParentProcessId), PsGetProcessImageFileName(Process), CreateInfo->ImageFileName);

        // 判断是否为指定进程

        if (0 == _stricmp(ProcName, "lyshark.exe"))

        {

            // 禁止打开

            CreateInfo->CreationStatus = STATUS_UNSUCCESSFUL;

        }

    }

    else

    {

        strcpy_s(ProcName, 16, PsGetProcessImageFileName(Process));

        DbgPrint("[LyShark] 进程[ %s ] 退出了, 程序被关闭", ProcName);

    }

}

VOID UnDriver(PDRIVER_OBJECT driver)

{

    DWORD32 ref = 0;

    // 注销进程回调

    ref = PsSetCreateProcessNotifyRoutineEx((PCREATE_PROCESS_NOTIFY_ROUTINE_EX)My_LyShark_Com_CreateProcessNotifyEx, TRUE);

    DbgPrint("[lyshark] 注销进程回调: %d \n", ref);

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

    NTSTATUS status;

    // 绕过签名检查

    // LINKER_FLAGS=/INTEGRITYCHECK

    BypassCheckSign(Driver);

    DbgPrint("hello lyshark \n");

    // 创建进程回调

    // 参数1: 新进程的EProcess

    // 参数2: 新进程PID

    // 参数3: 新进程详细信息 (仅在创建进程时有效)

    status = PsSetCreateProcessNotifyRoutineEx((PCREATE_PROCESS_NOTIFY_ROUTINE_EX)My_LyShark_Com_CreateProcessNotifyEx, FALSE);

    if (!NT_SUCCESS(status))

    {

        DbgPrint("[lyshark] 创建进程回调错误");

    }

    Driver->DriverUnload = UnDriver;

    return STATUS_SUCCESS;

}

编译并运行这个驱动程序,我们可以在ARK工具中看到这个驱动所加载的CreateProcess的回调事件。

当驱动加载后,如果你尝试打开lyshark.exe那么会提示连接的设备没有发挥作用,我们则成功拦截了这次打开,当然如果在打开进程之前扫描其特征并根据特征拒绝进程打开,那么就可以实现一个简单的防恶意程序,进程监控在防恶意程序中也是用的最多的。

说完了PsSetCreateProcessNotifyRoutineEx回调的使用方式,LyShark将继续带大家看看线程监控如何实现,监控线程创建与监控进程差不多,检测线程需要调用PsSetCreateThreadNotifyRoutine 创建回调函数,之后就可监控系统所有线程的创建,具体实现代码如下。

#include <ntifs.h>

// 两个未公开函数导出

NTKERNELAPI PCHAR PsGetProcessImageFileName(PEPROCESS Process);

NTKERNELAPI NTSTATUS PsLookupProcessByProcessId(HANDLE ProcessId, PEPROCESS *Process);

NTKERNELAPI NTSTATUS PsLookupThreadByThreadId(HANDLE ThreadId, PETHREAD *Thread);

// 绕过签名检查

BOOLEAN BypassCheckSign(PDRIVER_OBJECT pDriverObject)

{

#ifdef _WIN64

    typedef struct _KLDR_DATA_TABLE_ENTRY

    {

        LIST_ENTRY listEntry;

        ULONG64 __Undefined1;

        ULONG64 __Undefined2;

        ULONG64 __Undefined3;

        ULONG64 NonPagedDebugInfo;

        ULONG64 DllBase;

        ULONG64 EntryPoint;

        ULONG SizeOfImage;

        UNICODE_STRING path;

        UNICODE_STRING name;

        ULONG   Flags;

        USHORT  LoadCount;

        USHORT  __Undefined5;

        ULONG64 __Undefined6;

        ULONG   CheckSum;

        ULONG   __padding1;

        ULONG   TimeDateStamp;

        ULONG   __padding2;

    } KLDR_DATA_TABLE_ENTRY, *PKLDR_DATA_TABLE_ENTRY;

#else

    typedef struct _KLDR_DATA_TABLE_ENTRY

    {

        LIST_ENTRY listEntry;

        ULONG unknown1;

        ULONG unknown2;

        ULONG unknown3;

        ULONG unknown4;

        ULONG unknown5;

        ULONG unknown6;

        ULONG unknown7;

        UNICODE_STRING path;

        UNICODE_STRING name;

        ULONG   Flags;

    } KLDR_DATA_TABLE_ENTRY, *PKLDR_DATA_TABLE_ENTRY;

#endif

    PKLDR_DATA_TABLE_ENTRY pLdrData = (PKLDR_DATA_TABLE_ENTRY)pDriverObject->DriverSection;

    pLdrData->Flags = pLdrData->Flags | 0x20;

    return TRUE;

}

// 线程回调函数

VOID MyCreateThreadNotify(HANDLE ProcessId, HANDLE ThreadId, BOOLEAN CreateInfo)

{

    PEPROCESS eprocess = NULL;

    PETHREAD ethread = NULL;

    UCHAR *pWin32Address = NULL;

    // 通过此函数拿到程序的EPROCESS结构

    PsLookupProcessByProcessId(ProcessId, &eprocess);

    PsLookupThreadByThreadId(ThreadId, &ethread);

    if (CreateInfo)

    {

        DbgPrint("[lyshark] 线程TID: %1d | 所属进程名: %s | 进程PID: %1d \n", ThreadId, PsGetProcessImageFileName(eprocess), PsGetProcessId(eprocess));

        /*

        if (0 == _stricmp(PsGetProcessImageFileName(eprocess), "lyshark.exe"))

        {

        DbgPrint("线程TID: %1d | 所属进程名: %s | 进程PID: %1d \n", ThreadId, PsGetProcessImageFileName(eprocess), PsGetProcessId(eprocess));

        // dt _kthread

        // 寻找里面的 Win32StartAddress 并写入ret

        pWin32Address = *(UCHAR**)((UCHAR*)ethread + 0x1c8);

        if (MmIsAddressValid(pWin32Address))

        {

        *pWin32Address = 0xC3;

        }

        }

        */

    }

    else

    {

        DbgPrint("[LyShark] %s 线程已退出...", ThreadId);

    }

    if (eprocess)

        ObDereferenceObject(eprocess);

    if (ethread)

        ObDereferenceObject(ethread);

}

VOID UnDriver(PDRIVER_OBJECT driver)

{

    NTSTATUS status;

    // 注销进程回调

    status = PsRemoveCreateThreadNotifyRoutine(MyCreateThreadNotify);

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

    NTSTATUS status;

    DbgPrint("hello lyshark \n");

    // 绕过签名检查

    // LINKER_FLAGS=/INTEGRITYCHECK

    BypassCheckSign(Driver);

    // 创建线程回调

    // 参数1: 新线程ProcessID

    // 参数2: 新线程ThreadID

    // 参数3: 线程创建/退出标志

    status = PsSetCreateThreadNotifyRoutine(MyCreateThreadNotify);

    if (!NT_SUCCESS(status))

    {

        DbgPrint("创建线程回调错误");

    }

    Driver->DriverUnload = UnDriver;

    return STATUS_SUCCESS;

}

运行后则可监控到系统总所有线程的创建与退出,效果如下所示:

7.1 Windows驱动开发:内核监控进程与线程回调的更多相关文章

  1. Windows驱动开发-内核常用内存函数

    搞内存常用函数 C语言 内核 malloc ExAllocatePool memset RtlFillMemory memcpy RtlMoveMemory free ExFreePool

  2. C++第三十三篇 -- 研究一下Windows驱动开发(一)内部构造介绍

    因为工作原因,需要做一些与网卡有关的测试,其中涉及到了驱动这一块的知识,虽然程序可以运行,但是不搞清楚,心里总是不安,觉得没理解清楚.因此想看一下驱动开发.查了很多资料,看到有人推荐Windows驱动 ...

  3. Windows驱动开发(中间层)

    Windows驱动开发 一.前言 依据<Windows内核安全与驱动开发>及MSDN等网络质料进行学习开发. 二.初步环境 1.下载安装WDK7.1.0(WinDDK\7600.16385 ...

  4. [Windows驱动开发](一)序言

    笔者学习驱动编程是从两本书入门的.它们分别是<寒江独钓——内核安全编程>和<Windows驱动开发技术详解>.两本书分别从不同的角度介绍了驱动程序的制作方法. 在我理解,驱动程 ...

  5. windows驱动开发推荐书籍

    [作者] 猪头三 个人网站 :http://www.x86asm.com/ [序言] 很多人都对驱动开发有兴趣,但往往找不到正确的学习方式.当然这跟驱动开发的本土化资料少有关系.大多学的驱动开发资料都 ...

  6. windows 驱动开发入门——驱动中的数据结构

    最近在学习驱动编程方面的内容,在这将自己的一些心得分享出来,供大家参考,与大家共同进步,本人学习驱动主要是通过两本书--<独钓寒江 windows安全编程> 和 <windows驱动 ...

  7. Windows驱动——读书笔记《Windows驱动开发技术详解》

    =================================版权声明================================= 版权声明:原创文章 谢绝转载  请通过右侧公告中的“联系邮 ...

  8. Windows驱动开发-IRP的完成例程

    <Windows驱动开发技术详解 >331页, 在将IRP发送给底层驱动或其他驱动之前,可以对IRP设置一个完成例程,一旦底层驱动将IRP完成后,IRP完成例程立刻被处罚,通过设置完成例程 ...

  9. C++第三十八篇 -- 研究一下Windows驱动开发(二)--WDM式驱动的加载

    基于Windows驱动开发技术详解这本书 一.简单的INF文件剖析 INF文件是一个文本文件,由若干个节(Section)组成.每个节的名称用一个方括号指示,紧接着方括号后面的就是节内容.每一行就是一 ...

  10. Windows 驱动开发 - 5

    上篇<Windows 驱动开发 - 4>我们已经完毕了硬件准备. 可是我们还没有详细的数据操作,比如接收读写操作. 在WDF中进行此类操作前须要进行设备的IO控制,已保持数据的完整性. 我 ...

随机推荐

  1. django DRF

    博客目录 web应用模式 api接口 接口测试工具postman restful规范 drf安装 序列化和反序列化 CBV源码分析 drf之APIView分析 drf之Request对象分析 drf- ...

  2. PS CJ34预算转借

    一.CJ34,输入发出预算和接收预算的WBS 二.调用BAPI "-----------------------------------------@斌将军----------------- ...

  3. 【每日一题】28. 模拟战役 (模拟 + DFS/BFS/并查集)

    补题链接:Here 本题属于一道模拟题 虽然这题介绍一大堆,总结起来就是几句话,给出地图n列,前4行是a的地盘,后四行是b的地盘,每个人地盘上面有星号代表大炮. 大炮会 3 * 3的波及周围,会一直传 ...

  4. 版本升级 | v3.0.0卷起来了!多种特殊情况解析轻松拿捏!

    在过往发行版的基础上,结合社区用户提供的大量反馈及研发小伙伴的积极探索,项目组对OpenSCA的解析引擎做了全方位的优化,v3.0.0版本正式发布啦~ 感谢所有用户的支持和信任~是很多人的一小步聚在一 ...

  5. nextTick使用

  6. 一套前后台全部开源的H5商城送给大家

    博主给大家推荐一套全部开源的H5电商项目waynboot-mall.由博主在2020年开发至今,已有三年之久.那时候网上很多的H5商城项目都是半开源版本,要么没有H5前端代码,要么需要加群咨询,属实恶 ...

  7. sql语句内变量的使用

    0.原始表格如下: 1.定义变量,并在sql语句内查询: set @user_name = "成龙";SELECT * FROM `tb_user` where userName ...

  8. 数字IC设计全流程介绍

    数字IC设计全流程设计 掌握数字集成电路设计的流程 数字设计流程中每个阶段主要做哪些工作? 数字设计流程中每个阶段使用的主要EDA工具? 数字电路常用软件公司Mentor(questasim),Syn ...

  9. Go-获取文件MD5值

    获取文件的MD5值 crypto/md5 encoding/hex package filetools import ( "crypto/md5" "encoding/h ...

  10. [转帖]tidb 修改root密码

    http://blog.51yip.com/tidb/2452.html   通过 {pd-ip}:{pd-port}/dashboard 登录 TiDB Dashboard,登录用户和口令为 TiD ...