Запись в АП процесса до его старта

Добрый день.

Мне необходимо внести изменения АП процесса (его образ) до выполнения первичным потоком его точки входа. Для этого я регистрирую нотифирутин на создание процесса, получаю его валидную базу, аттачусь к нему. Читать его память могу, а вот писать нет. В чем проблема?

Код (Text):

1. VOID CreateProcessNotifyRoutine(IN HANDLE ParentId, IN HANDLE ProcessId, IN BOOLEAN Create)
2. {
3.     PEPROCESS pEprocess = NULL;
4.     PCHAR pModuleBase = NULL;
5.     NTSTATUS Status;
6.    
7.     Status = PsLookupProcessByProcessId(ProcessId, &pEprocess);
8.     if(NT_SUCCESS(Status))
9.     {  
10.         KeAttachProcess(pEprocess);
11.        
12.         pModuleBase = *(PULONG)((PCHAR)pEprocess->Peb + 0x08);
13.        
14.         __try
15.         {
16.             *(PUCHAR)pModuleBase = 0x90;
17.         }
18.         __except(EXCEPTION_EXECUTE_HANDLER)
19.         {
20.         }
21.  
22.         KeDetachProcess();
23.  
24.         ObDereferenceObject(pEprocess);        
25.     }
26. }

minidump: http://www.everfall.com/paste/id.php?uqwbn1z4b8i1

 

Права на запись забыл выставить (NtProtectVirtualMemory()).

 

Возникла следующая проблема. Отказался от NtProtectVirtualMemory(), редактирую память секции кода образа функцией WriteProcessMem() (http://www.wasm.ru/forum/viewtopic.php?pid=264627). Но вот внесенные изменения также записываются в файл образа. Как это можно избежать?
Спасибо.

 

Ну ты просто-напросто пишешь напрямую в буффера менеджера кеша походу, которые скидываются потом на диск, когда замечается, что они изменены.
Избежать этого - отказаться от MDL и вернуться к ZwProtectVirtualMemory.
Когда ты попробуешь через ZwProtectVirtualMemory поставить права на запись страницам таким, то тебе будет выдана частная копия страниц, в которую ты можешть вносить изменения сколько твоей душе угодно. А вот вносить изменения в оригинал с помощью MDL не стоит - будет записано на диск.

 

В CreateProcessNotify виртуальная память процесса лочится.

 

А вот я кстати не помню - в CreateProcess или в LoadImage.

 

Спасибо.

Еще один вопрос. Если функция, например эта же ZwProtectVirtualMemory(), не экспортируется ядром и её адрес в SSDT похукан, есть возможность узнать её реальный адрес?

 

прочитать sdt из ядра на диске.

 

Верно. Не подумал. :/

 

Great

PsLoadedModuleList очень геморно ищётся. Больше вроде как неоткуда извлечь имя ядра(ну системинфо не юзаем).
Наверно нужно промапить:
"ntoskrnl.exe"
"ntkrnlpa.exe"
"ntkrnlmp.exe"
"ntkrpamp.exe"
И сравнить чексумму из опционаьного заголовка с текущей в заголовке ядра. Или как есчо ?

 

Clerk

На winXp SP2, winVista SP1 нормально работает:

Код (Text):

1. ULONG dwAddr = 0;
2.  
3. __asm {
4.     mov eax, fs: [0x34]
5.     mov eax, [eax + 0x70]
6.     mov dwAddr, eax
7.     }

 

SlyBit
KdVersionBlock ?
Нее, это слишком ненадёжно. Перечислять и мапить модуля альтернатива.

 

Clerk
Не понял? DBGKD_GET_VERSION64 одинакова по определению, оффсет KdVersionBlock в KPCR не меняется с 2k до Vista.
Почему ненадежно?

 

Там подставные данные могут быть, да и вообще юзать все легкодоступные структуры не желательно.

 

Clerk
KeCapturePersistentThreadState?

 

Код (Text):

1.     PUCHAR cPtr, pOpcode;
2.     ULONG Length;
3.  
4.     // g_PsLoadedModuleResource
5.     for (cPtr = (PUCHAR)MmGetSystemRoutineAddress; cPtr < (PUCHAR)MmGetSystemRoutineAddress + PAGE_SIZE; cPtr += Length){
6.         Length = SizeOfCode(cPtr, &pOpcode);
7.         if (!Length)
8.             break;
9.         // call ExAcquireResourceSharedLite
10.         if ((*pOpcode == 0xE8) && (*(PLONG)(pOpcode + 1) + pOpcode + 5 == (PUCHAR)ExAcquireResourceSharedLite)){
11.             g_PsLoadedModuleResource = *(PERESOURCE *)(pOpcode - 4);
12.             break;
13.         }
14.     }
15.     // g_PsLoadedModuleList
16.     for (; cPtr < (PUCHAR)MmGetSystemRoutineAddress + PAGE_SIZE; cPtr += Length){
17.         Length = SizeOfCode(cPtr, &pOpcode);
18.         if (!Length)
19.             break;
20.         // mov reg32, [Offset32]
21.         if ((*pOpcode == 0x8B) && ((*(pOpcode + 1) & 0xC7) == 0x05)){
22.             g_PsLoadedModuleList = *(PMODULE_ENTRY *)(pOpcode + 2);
23.             break;
24.         }
25.     }

Я как-то так искал.
Правда давно это было. win2k3 последняя тестируемая.

 

Ну можно и так. Можно есчо из KdInitSystem() взять.
Поросто неохота всюду дизасм длин таскать или трассировать код.

 

тю, там пара кб дизасм.
можно еще меньше.

 

Тут на форуме пробегала темка от Black Parrot, его дизасм весит 13448 байт всего, пикод, мне понравился.

 

зачем полный дизасм?