Созадать новый процесс из драйвера

elimli · 6 мар 2007

Скажите, можно ли из драйвара запустить некий процесс, т.е., скажем, по наступлению какого нибудь условия, запустить notepad.exe? Все решения с модулем в user space который связан с драйвером и делает CreateProject к сожалению не подходят. Может есть ли какой обходной маневр?

nitrotoluol · 6 мар 2007

Можно, но сложно.
NtCreateProcess только инициализирует процесс. Там еще по моему геморрой с потоками будет...

n0name · 6 мар 2007

Можно, есть статьи. Даже здесь

Denwer · 6 мар 2007

Может проще взять исходники CreateProcessW и по ним написать нужный код? Там проде все написано понятливо. Действительно NtCreateProcess делает очень мало из нужного. Можно сказать создает адрессное пространство процесса и все.

Cr4sh · 6 мар 2007

если уж на то пошло, то намного проще будет инжектнуть в какой-нибуть процесс шеллкод, который будет запускать процесс (поиск по форуму, вроде было уже)

elimli · 6 мар 2007

Cr4sh
проще будет инжектнуть в какой-нибуть процесс шеллкод
В смысле? Из драйвера сделать инжект в какой-нить процесс? А как?

Nouzui · 6 мар 2007

а если я хочу создать самый-самый первый процесс? )))

elimli · 6 мар 2007

Nouzui
Нет, самый первый меня не интересует. Я хочу сделать "watchdog". Если основная программа была закрыта, чтоб драйвер запускал ее вновь.

Nouzui · 6 мар 2007

все равно хочется узнать, как сделать это, не пользуясь юзермодом, не реверсить же на самом деле CreateProcessW oO (исходников нету (( )

n0name · 6 мар 2007

"Как создать процесс.htm" где-то выкладывалась со сборником статей с того сайта.
"Запуск процесса из режима ядра [Cardinal]"

Nouzui · 6 мар 2007

а.. *пошел искать*

EvilsInterrupt · 6 мар 2007

elimli
Поиск по форуму с ключ. ником Ms-Rem, он если не ошибаюсь приводил уже куски кода

Cr4sh · 6 мар 2007

ещё в справочнике Гарри Неббета был сабжевый код

elimli · 6 мар 2007

n0name
Статья Cardinal'а выглядит наиболее релевантной, но почему-то приведенный код не работает (там в аттаче есть уже скомпилированный драйвер). Завтра буду разбиратся.

Хотелось бы найти готовое к использованию решение, потому что время поджимает

WIN32 · 7 мар 2007

Гари Неббет , страница 191.

wasm_test · 7 мар 2007

не реверсить же на самом деле CreateProcessW oO (исходников нету (( )
Нажмите, чтобы раскрыть...

исходники (один файлик этот) могу скинуть

nitrotoluol · 7 мар 2007

Great
Кидай. Мне тоже нужно.

Nouzui · 7 мар 2007

кинь..

а вообще ntdll не сможешь куда-нить залить?

wasm_test · 7 мар 2007

Залил.
В архиве два файла - из Windows NT4 и из Windows 2000 (с именами win2k_process.c и nt4_process.c).
Из сорсов библиотеки kernel32.dll, файл process.c

http://gr8.cih.ms/uploads/createprocess.rar (49163 байт)

Кому надо могу полные сорсы kernel32 дать

Denis__ · 7 мар 2007

Интересует, залей плз куда нибудь или на мыло скинь.

Войти или зарегистрироваться

Созадать новый процесс из драйвера

elimli New Member

nitrotoluol New Member

n0name New Member

Denwer New Member

Cr4sh New Member

elimli New Member

Nouzui New Member

elimli New Member

Nouzui New Member

n0name New Member

Nouzui New Member

EvilsInterrupt Постигающий азы дзена

Cr4sh New Member

elimli New Member

WIN32 Member

wasm_test wasm test user

nitrotoluol New Member

Nouzui New Member

wasm_test wasm test user

Denis__ New Member

Войти или зарегистрироваться

Созадать новый процесс из драйвера

elimli New Member

nitrotoluol New Member

n0name New Member

Denwer New Member

Cr4sh New Member

elimli New Member

Nouzui New Member

elimli New Member

Nouzui New Member

n0name New Member

Nouzui New Member

EvilsInterrupt Постигающий азы дзена

Cr4sh New Member

elimli New Member

WIN32 Member

wasm_test wasm test user

nitrotoluol New Member

Nouzui New Member

wasm_test wasm test user

Denis__ New Member

Быстрый поиск