Опять к перехвату запуска процессов

rin3. ring0 не предлагать, слишком пустяковая задача для того чтобы лезть в ядро. Необходимо перехватить запуск процесса определнным процессом. Для этого делаю DLL'ку инжектю её в процесс от которого надо отслеживать запуск процесса. DLL'кой перехватываю ZwCreateThreadEx(для Vist'ы, и 7ёрки), ZwCreateThread(для WinXP) и ZwResumeThread. Этот метод был раньше распространен в интернете. Когда вызыватся ZwCreateThread проверяю совпадает ли PID процесса потока и GetCurrentProcessPid() если нет то устанавливаю флаг NewProcess = TRUE; Далее в ZwResumeThread

Код (Text):

1.         if(NewProcess)
2.     {
3.         NewProcess = FALSE;
4.         OutputDebugString(L"NewProcess :)");
5.         ZwQueryInformationThread(ThreadHandle, ThreadBasicInformation, &ThreadInfo, sizeof(THREAD_BASIC_INFORMATION), NULL);
6.                 if(ThreadInfo.ClientID.UniqueProcess != CurrProcPid)
7.         {
8.                      // Новый процесс создан
9.         }
10.     }

Так вот в Windows 7 всегда ThreadInfo.ClientID.UniqueProcess == CurrProcPid. Почему? Ведь в WinXP все работало =\ Или я что-то неправильно делаю?

П.С. В ZwCreateThreadEx нет параметра (PCLIENT_ID ClientId) я получаю его при помощи той же ZwQueryInformationThread.

 

WaterGhost
CID определяет поток и процесс, в контексте которого этот поток исполняется. Это не идентификаторы родителей.
CID не может не возвращаться при создании потока, в сервисе NtCreateThreadEx на сколько помню ссылка на на неё передаётся последним параметром.
Так вобшем способ норм, по сути. Нужно только изменить способ захвата, таким образом, дабы код не изменялся в модулях.

 

Спасибо большое за ответ. Получается что последний параметр NtCreateThreadEx и есть PCLIENT_ID ClientId?

 

NtCreateThreadEx возвращает (ClientId->UniqueProcess == 36) всегда =\ Может Dr.Web подменяет что-то?

 

WaterGhost
Наверно вы в одном и томже процессе поток создаёте, мб в текушем..

 

Я ничего не создаю. Я перехватываю запуск процесса. Я инжектю в Explorer мою DLL а из него перехватываю запуск процесса

 

WaterGhost
Потоки создаются не только при создании процесса, понятно что проводник в себе потоки создаёт постоянно. Хотябы разобрались в механизмах, а то перехватываете функи не понимая зачем и какие.

 

Ну то что NtCreateThreadEx возвращает (ClientId->UniqueProcess == 36) не проблема. Флаг NewProcess всеравно приравнивается к TRUE, т.к. getCurrentProcessId() != 36. Дело в том что в NewZwResumeThread при получении информации о потоке

Код (Text):

1. ZwQueryInformationThread(ThreadHandle, ThreadBasicInformation, &ThreadInfo, sizeof(THREAD_BASIC_INFORMATION), NULL);

ThreadInfo.ClientID.UniqueProcess всегда равен GetCurrentProcessId(). Получается что созданный поток принадлежит моему приложению в котором находится моя DLL (eplorer.exe) =\

 

Откуда вы знаете что я не понимаю что перехватываю и зачем? Вы просто невнимательно прочитали и не достаточно подумали о том что я имею ввиду, а уже отсылаете в раздел для новичков
Потоки создаются и резюмятся и в самом процессе, это и дураку ясно. Для этого и сделан перехват ZwCreateThreadEx где я проверяю не равен ли PID процесса создаваемого потка PID'у explorer'а и выставляю NewProcess = TRUE если это не так. Далее в ZwResumeThread я проверяюустановлен ли флаг в NewProcess в TRUE если да, то получаю инфу о потоке ZwQueryInformationThread(вызов завершается успешно STATUS_SUCCESS, т.е. привилегий хватает) сравниваю равен ли опять таки PID процесса потока PID'у explorer'а. Если нет то создан новый процесс и все отлично. Но у меня полученный PID всегда равен PID'у explorer'а. Что не так? =\

 

WaterGhost
Давайте посмотрим. Брейк на ZwCreateThreadEx и покажите бактрейс.

 

А можно без брейков, как-нить по другому? Я этим пока не владею

 

семёрка и виста для создания процесса юзают ntdll.ZwCreateUserProcess, а первичный поток создаётся в ядре

 

Боже 0_о Огромное спасибо ) Пошел пробовать )

 

Собственно о чём и речь была, не те сервисы дёргаются.

 

ахах)

 

Да, меня тож улыбнуло.

 

Достаточно перехватывать ZwResumeThread, у меня везде пашет.

Код (Text):

1. DWORD GetPidByThread( HANDLE hThread )
2. {
3.     THREAD_BASIC_INFORMATION Threads;
4.     DWORD dwReturnLen;
5.  
6.     if ( pZwQueryInformationThread( hThread, ThreadBasicInformation, &Threads, sizeof( THREAD_BASIC_INFORMATION ), &dwReturnLen ) == STATUS_SUCCESS )
7.     {
8.         return (DWORD)Threads.ClientId.UniqueProcess;
9.     }
10.  
11.     return -1;
12. }
13.  
14. NTSTATUS WINAPI ZwResumeThreadHook( HANDLE hThread, PULONG PreviousSuspendCount )
15. {
16.     DWORD dwPid = GetPidByThread( hThread );   
17.  
18.     if ( dwPid != -1 && dwPid != (DWORD)pGetCurrentProcessId() )
19.     {
20.         OBJECT_ATTRIBUTES ObjectAttributes = { sizeof( ObjectAttributes ) } ;
21.         CLIENT_ID ClientID;
22.  
23.         ClientID.UniqueProcess = (HANDLE)dwPid;
24.         ClientID.UniqueThread  = 0;
25.  
26.         HANDLE hProcess;
27.        
28.         if ( pZwOpenProcess( &hProcess, PROCESS_CREATE_THREAD | PROCESS_VM_OPERATION | PROCESS_VM_WRITE, &ObjectAttributes, &ClientID ) == STATUS_SUCCESS )
29.         {
30.             DWORD dwAddr = InjectCode( hProcess, RootkitThread );
31.  
32.             if ( dwAddr != -1 )
33.             {
34.                 pZwQueueApcThread( hThread, (LPTHREAD_START_ROUTINE)dwAddr, NULL, NULL, NULL );
35.             }
36.  
37.             pZwClose( hProcess );
38.         }      
39.     }
40.  
41.     return ZwResumeThreadReal( hThread, PreviousSuspendCount );
42. }

 

megaaa
Как (без изменения сеций кода) перехватываете интересно ?

 

Для перехвата создания процесса я хукаю CreateProcessInternalW
Работает и на XP и на Win7

 

Partner, да. в общем случае это самый нормальный вариант.