[源码] x86 PsSetCreateProcessNotifyRoutine回调改commandline参数demo

1171320344

前几天在问答区看到有朋友问这个问题,问能不能改,怎么改,这是demo,献丑了
编译环境,VS2013 + WDK8.1

test.zip (5.46 KB, 下载次数: 13, 售价: 1 水晶币)

2016-7-24 17:48 上传

点击文件名下载附件
源码

这是VS2013完整项目 testsss.zip (128.77 KB, 下载次数: 8825)

2016-7-24 19:15 上传

点击文件名下载附件

Tesla.Angela

我这里无法编译，能否提供个可编译的版本并说明测试方法？
WDK7里，无论XP FREE、WIN7X86 FREE、WIN7X64 FREE都无法编译。

1. 1>errors in directory d:\temp\change-cmdline
   
2. 1>d:\temp\change-cmdline\work.h(233) : error C2146: syntax error : missing ')' before identifier 'PRKPROCESS'
   
3. 1>d:\temp\change-cmdline\work.h(233) : error C2085: 'Process' : not in formal parameter list
   
4. 1>d:\temp\change-cmdline\work.h(233) : error C2085: '_Out_' : not in formal parameter list
   
5. 1>d:\temp\change-cmdline\work.h(233) : error C2146: syntax error : missing ',' before identifier 'PRKAPC_STATE'
   
6. 1>d:\temp\change-cmdline\work.h(233) : error C2146: syntax error : missing ',' before identifier 'ApcState'
   
7. 1>d:\temp\change-cmdline\work.h(233) : error C2059: syntax error : ')'
   
8. 1>d:\temp\change-cmdline\work.h(234) : error C2146: syntax error : missing ')' before identifier 'PRKAPC_STATE'
   
9. 1>d:\temp\change-cmdline\work.h(234) : error C2085: 'KeUnstackDetachProcess' : not in formal parameter list
   
10. 1>d:\temp\change-cmdline\work.h(234) : error C2146: syntax error : missing ',' before identifier 'PRKAPC_STATE'
    
11. 1>d:\temp\change-cmdline\work.h(234) : error C2146: syntax error : missing ',' before identifier 'ApcState'
    
12. 1>d:\temp\change-cmdline\work.h(234) : error C2059: syntax error : ')'
    
13. 1>d:\temp\change-cmdline\work.h(235) : error C2085: 'PsGetProcessPeb' : not in formal parameter list
    
14. 1>d:\temp\change-cmdline\work.h(236) : error C2085: 'NtTerminateProcess' : not in formal parameter list
    
15. 1>d:\temp\change-cmdline\work.h(244) : error C2085: 'ObOpenObjectByPointer' : not in formal parameter list
    
16. 1>d:\temp\change-cmdline\work.h(245) : error C2085: 'PsGetProcessImageFileName' : not in formal parameter list
    
17. 1>d:\temp\change-cmdline\liketest.c(7) : error C2085: 'DriverUnload' : not in formal parameter list
    
18. 1>d:\temp\change-cmdline\liketest.c(7) : error C2143: syntax error : missing ';' before '{'
    
19. 1>d:\temp\change-cmdline\liketest.c(11) : error C2065: 'pDriverObj' : undeclared identifier
    
20. 1>d:\temp\change-cmdline\liketest.c(11) : error C2223: left of '->DeviceObject' must point to struct/union
    
21. 1>d:\temp\change-cmdline\liketest.c(11) : error C2198: 'IoDeleteDevice' : too few arguments for call
    
22. 1>d:\temp\change-cmdline\liketest.c(74) : error C2065: 'DriverUnload' : undeclared identifier
    
23. 1>d:\temp\change-cmdline\work.h(233) : error C2146: syntax error : missing ')' before identifier 'PRKPROCESS'
    
24. 1>d:\temp\change-cmdline\work.h(233) : error C2085: 'Process' : not in formal parameter list
    
25. 1>d:\temp\change-cmdline\work.h(233) : error C2085: '_Out_' : not in formal parameter list
    
26. 1>d:\temp\change-cmdline\work.h(233) : error C2146: syntax error : missing ',' before identifier 'PRKAPC_STATE'
    
27. 1>d:\temp\change-cmdline\work.h(233) : error C2146: syntax error : missing ',' before identifier 'ApcState'
    
28. 1>d:\temp\change-cmdline\work.h(233) : error C2059: syntax error : ')'
    
29. 1>d:\temp\change-cmdline\work.h(234) : error C2146: syntax error : missing ')' before identifier 'PRKAPC_STATE'
    
30. 1>d:\temp\change-cmdline\work.h(234) : error C2085: 'KeUnstackDetachProcess' : not in formal parameter list
    
31. 1>d:\temp\change-cmdline\work.h(234) : error C2146: syntax error : missing ',' before identifier 'PRKAPC_STATE'
    
32. 1>d:\temp\change-cmdline\work.h(234) : error C2146: syntax error : missing ',' before identifier 'ApcState'
    
33. 1>d:\temp\change-cmdline\work.h(234) : error C2059: syntax error : ')'
    
34. 1>d:\temp\change-cmdline\work.h(235) : error C2085: 'PsGetProcessPeb' : not in formal parameter list
    
35. 1>d:\temp\change-cmdline\work.h(236) : error C2085: 'NtTerminateProcess' : not in formal parameter list
    
36. 1>d:\temp\change-cmdline\work.h(244) : error C2085: 'ObOpenObjectByPointer' : not in formal parameter list
    
37. 1>d:\temp\change-cmdline\work.h(245) : error C2085: 'PsGetProcessImageFileName' : not in formal parameter list
    
38. 1>d:\temp\change-cmdline\work.c(11) : error C2085: 'CreateProcessNotify' : not in formal parameter list
    
39. 1>d:\temp\change-cmdline\work.c(11) : error C2143: syntax error : missing ';' before '{'
    
40. 1>d:\temp\change-cmdline\work.c(16) : error C2065: 'Create' : undeclared identifier
    
41. 1>d:\temp\change-cmdline\work.c(18) : error C2065: 'ProcessId' : undeclared identifier
    
42. 1>d:\temp\change-cmdline\work.c(24) : error C2275: 'KAPC_STATE' : illegal use of this type as an expression
    
43. 1>d:\temp\change-cmdline\work.c(24) : error C2146: syntax error : missing ';' before identifier 'ApcState'
    
44. 1>d:\temp\change-cmdline\work.c(24) : error C2065: 'ApcState' : undeclared identifier
    
45. 1>d:\temp\change-cmdline\work.c(24) : error C2275: 'PPEB' : illegal use of this type as an expression
    
46. 1>d:\temp\change-cmdline\work.c(24) : error C2146: syntax error : missing ';' before identifier 'peb'
    
47. 1>d:\temp\change-cmdline\work.c(24) : error C2065: 'peb' : undeclared identifier
    
48. 1>d:\temp\change-cmdline\work.c(25) : error C2065: 'ApcState' : undeclared identifier
    
49. 1>d:\temp\change-cmdline\work.c(25) : error C2708: 'KeStackAttachProcess' : actual parameters length in bytes differs from previous call or reference
    
50. 1>d:\temp\change-cmdline\work.c(26) : error C2065: 'peb' : undeclared identifier
    
51. 1>d:\temp\change-cmdline\work.c(26) : error C4013: 'PsGetProcessPeb' undefined; assuming extern returning int
    
52. 1>d:\temp\change-cmdline\work.c(29) : error C2065: 'peb' : undeclared identifier
    
53. 1>d:\temp\change-cmdline\work.c(29) : error C2223: left of '->ProcessParameters' must point to struct/union
    
54. 1>d:\temp\change-cmdline\work.c(29) : error C2065: 'peb' : undeclared identifier
    
55. 1>d:\temp\change-cmdline\work.c(29) : error C2223: left of '->ProcessParameters' must point to struct/union
    
56. 1>d:\temp\change-cmdline\work.c(32) : error C2065: 'peb' : undeclared identifier
    
57. 1>d:\temp\change-cmdline\work.c(32) : error C2223: left of '->ProcessParameters' must point to struct/union
    
58. 1>d:\temp\change-cmdline\work.c(35) : error C2275: 'UNICODE_STRING' : illegal use of this type as an expression
    
59. 1>d:\temp\change-cmdline\work.c(35) : error C2146: syntax error : missing ';' before identifier 'Unicode_tmp'
    
60. 1>d:\temp\change-cmdline\work.c(35) : error C2065: 'Unicode_tmp' : undeclared identifier
    
61. 1>d:\temp\change-cmdline\work.c(36) : error C2065: 'Unicode_tmp' : undeclared identifier
    
62. 1>d:\temp\change-cmdline\work.c(37) : error C2065: 'peb' : undeclared identifier
    
63. 1>d:\temp\change-cmdline\work.c(37) : error C2223: left of '->ProcessParameters' must point to struct/union
    
64. 1>d:\temp\change-cmdline\work.c(37) : error C2065: 'Unicode_tmp' : undeclared identifier
    
65. 1>d:\temp\change-cmdline\work.c(40) : error C2065: 'peb' : undeclared identifier
    
66. 1>d:\temp\change-cmdline\work.c(40) : error C2223: left of '->ProcessParameters' must point to struct/union
    
67. 1>d:\temp\change-cmdline\work.c(40) : error C2065: 'Unicode_tmp' : undeclared identifier
    
68. 1>d:\temp\change-cmdline\work.c(42) : error C2065: 'peb' : undeclared identifier
    
69. 1>d:\temp\change-cmdline\work.c(42) : error C2223: left of '->ProcessParameters' must point to struct/union
    
70. 1>d:\temp\change-cmdline\work.c(53) : error C4013: 'KeUnstackDetachProcess' undefined; assuming extern returning int
    
71. 1>d:\temp\change-cmdline\work.c(53) : error C2065: 'ApcState' : undeclared identifier
    
72. 1>d:\temp\change-cmdline\work.c(72) : error C2065: 'CreateProcessNotify' : undeclared identifier
    
73. 1>d:\temp\change-cmdline\work.c(81) : error C2065: 'CreateProcessNotify' : undeclared identifier
    
74. 1>link : error LNK1181: cannot open input file 'd:\temp\change-cmdline\objfre_win7_x86\i386\liketest.obj'

复制代码

1171320344

Tesla.Angela 发表于 2016-7-24 19:05
我这里无法编译，能否提供个可编译的版本并说明测试方法？
WDK7里，无论XP FREE、WIN7X86 FREE、WIN7X64 FR ...

额,这个...我是用vs2013 写的, 文件->打开->Convert Sourecs /...直接打开Sourecs 就OK了...

Tesla.Angela

1171320344 发表于 2016-7-24 19:10
额,这个...我是用vs2013 写的, 文件->打开->Convert Sourecs /...直接打开Sourecs 就OK了... ...

我看到你的SOURCES文件了，我是直接用WDK7切换到源码目录然后BLD编译的，但是失败了。

1171320344

Tesla.Angela 发表于 2016-7-24 19:12
我看到你的SOURCES文件了，我是直接用WDK7切换到源码目录然后BLD编译的，但是失败了。 ...

这个工程是WDK8.1的,按理说用的函数都差不多,应该没问题的啊

Tesla.Angela

1171320344 发表于 2016-7-24 19:14
这个工程是WDK8.1的,按理说用的函数都差不多,应该没问题的啊

小问题，给我改好了，主要是你里面有些警告，用FREE是编译不过的。
利用IE测试效果很好。已经加高亮、精华和水晶币。
研究东西就需要LZ这种较真的精神。

Tesla.Angela

发现一个奇怪的问题，你这个东西只对改IE进程命令行的效果很好，但是对CHROME就无效了。
DBGVIEW显示已更改，但是实际无效。直接在CMD里用命令行启动【chrome www.baidu.com】是有效的。
以下是我修改过的代码，你原来PWCHAR *tmp是不对的。

1. VOID CreateProcessNotify
   
2. (
   
3.     IN HANDLE ParentId,
   
4.     IN HANDLE ProcessId,
   
5.     IN BOOLEAN Create
   
6. )
   
7. {
   
8.         NTSTATUS                status = STATUS_SUCCESS;
   
9.         PEPROCESS                pEprocess = NULL;
   
10.         if (Create)
    
11.         {
    
12.                 status = PsLookupProcessByProcessId(ProcessId, &pEprocess);//没有ObDereferenceObject
    
13.                 if (NT_SUCCESS(status))
    
14.                 {
    
15.                         PFILE_OBJECT        FilePointer = NULL;
    
16.                         KAPC_STATE ApcState;
    
17.                         PPEB peb;
    
18.                         PCHAR procName = PsGetProcessImageFileName(pEprocess);
    
19.                         status = PsReferenceProcessFilePointer((PEPROCESS)pEprocess, &FilePointer);
    
20.                         KeStackAttachProcess((PRKPROCESS)pEprocess, &ApcState);
    
21.                         peb = PsGetProcessPeb(pEprocess);
    
22.                         //DbgPrint("++++%wZ+++++%wZ\r\n", &peb->ProcessParameters->CommandLine, &peb->ProcessParameters->ImagePathName);
    
23.                         if
    
24.                         (
    
25.                                 peb->ProcessParameters->CommandLine.Length - peb->ProcessParameters->ImagePathName.Length <= 6 &&
    
26.                                 (!_strnicmp(procName,"iexplore.exe",12) || !_strnicmp(procName,"chrome.exe",10))
    
27.                         )
    
28.                         {
    
29.                                 UNICODE_STRING Unicode_tmp;
    
30.                                 PWCHAR tmp = (PWCHAR)(peb->ProcessParameters->CommandLine.Buffer);
    
31.                                 wcscat(tmp, L" www.baidu.com");
    
32.                                 RtlInitUnicodeString(&Unicode_tmp, tmp);
    
33.                                 peb->ProcessParameters->CommandLine = Unicode_tmp;
    
34.                                 peb->ProcessParameters->WindowTitle = Unicode_tmp;
    
35.                                 DbgPrint("--->%wZ\r\n", &peb->ProcessParameters->CommandLine);
    
36.                         }
    
37.                         KeUnstackDetachProcess(&ApcState);
    
38.                 }
    
39.         }
    
40. }

复制代码

1171320344

Tesla.Angela 发表于 2016-7-24 19:46
发现一个奇怪的问题，你这个东西只对改IE进程命令行的效果很好，但是对CHROME就无效了。
DBGVIEW显示已更改 ...

多谢指点,这玩意当时只是发现改了有效果了就没深研究,多谢指点

kz丶cn

Tesla.Angela 发表于 2016-7-24 19:46
发现一个奇怪的问题，你这个东西只对改IE进程命令行的效果很好，但是对CHROME就无效了。
DBGVIEW显示已更改 ...

我测试chrome有效果的....测试平台是win7 x86 chrome是最新版的

kz丶cn

Tesla.Angela 发表于 2016-7-24 19:46
发现一个奇怪的问题，你这个东西只对改IE进程命令行的效果很好，但是对CHROME就无效了。
DBGVIEW显示已更改 ...

x64下失效的原因 默认得到的是x64的peb 改了肯定没有效果 方法你肯定知道了

Tesla.Angela

kz丶cn 发表于 2016-7-26 11:54
x64下失效的原因 默认得到的是x64的peb 改了肯定没有效果 方法你肯定知道了 ...

有道理，你这么一说我秒懂了。我当时测试的正好是64位IE和32位的CHROME。

xtfpg

感谢各位人才