[开源]WS的“禁止进线程创建” - TaForbidCreateThreadProcess

Tesla.Angela

通过Hook ObReferenceObjectByHandle达到目的。
之所以说WS，是因为估计有副作用，但是目前还不知道副作用在何处。
在XP/WIN7下测试通过。

1. 
   
2. NTSTATUS DetourMyObReferenceObjectByHandle(IN HANDLE  Handle,IN ACCESS_MASK  DesiredAccess,IN POBJECT_TYPE  ObjectType  OPTIONAL,IN KPROCESSOR_MODE  AccessMode,OUT PVOID  *Object,OUT POBJECT_HANDLE_INFORMATION  HandleInformation  OPTIONAL)
   
3. {
   
4. NTSTATUS status;
   
5. if ( (ObjectType != *PsProcessType)&&(ObjectType != *PsThreadType) )//如果句柄类型不是进程或者线程，则放行
   
6. {
   
7.   status=OriginalObReferenceObjectByHandle(Handle,DesiredAccess,ObjectType,AccessMode,Object,HandleInformation);
   
8. }
   
9. else
   
10. { //如果是进程或线程类型
    
11.   if( (PsGetCurrentProcessId() != (HANDLE)processID) )//如果操作者不是CSRSS(变量processID保存着CSRSS进程的PID)，则放行
    
12.   {
    
13.    status=OriginalObReferenceObjectByHandle(Handle,DesiredAccess,ObjectType,AccessMode,Object,HandleInformation);
    
14.   }
    
15.   else
    
16.   { //先执行一次，如果得到的目标是它自己，则放行
    
17.    status=OriginalObReferenceObjectByHandle(Handle,DesiredAccess,ObjectType,AccessMode,Object,HandleInformation);
    
18.    if ( NT_SUCCESS(status) )
    
19.    {
    
20.     if( ((ULONG)(*Object)==(ULONG)PsGetCurrentProcess())||((ULONG)IoThreadToProcess((PETHREAD)(*Object))==(ULONG)PsGetCurrentProcess()) )
    
21.     {
    
22.      //Did Nothing
    
23.     }
    
24.     else
    
25.     {
    
26.      ObfDereferenceObject(*Object);
    
27.      status=STATUS_UNSUCCESSFUL;
    
28.     }
    
29.    }
    
30.   }
    
31. }
    
32. return status;
    
33. }
    

复制代码

乔丹二世

看不明白……