在WIN8 上进程保护的疑问

xiaoc1026

1. OB_PREOP_CALLBACK_STATUS    PreProcCreateRoutine(
   
2.         __in    PREG_CONTEXT    RegistrationContext,
   
3.         __inout    POB_PRE_OPERATION_INFORMATION    OperationInformation
   
4.         )
   
5. {
   
6.         PVOID pPsName = NULL;
   
7. 
   
8.         if( OperationInformation->Operation == OB_OPERATION_HANDLE_CREATE &&
   
9.                 OperationInformation->ObjectType == *PsProcessType &&
   
10.                 OperationInformation->KernelHandle == 0 &&
    
11.                 (OperationInformation->Parameters->CreateHandleInformation.OriginalDesiredAccess & PROCESS_TERMINATE) )
    
12.         {
    
13.                 pPsName = OperationInformation->Object;
    
14.                 OperationInformation->Parameters->DuplicateHandleInformation.DesiredAccess &= (~PROCESS_TERMINATE);
    
15.                 DbgPrint("[yapt] PreProcCreateRoutine PROCESS_TERMINATE\n");
    
16.         }
    
17. 
    
18.         return    OB_PREOP_SUCCESS;
    
19. }

复制代码

WDK HELP 上说：

Object
A pointer to the process or thread object that is the target of the handle operation.

这个 进程对象 OperationInformation->Object 怎么得到进程路径呢？

我用内存搜索Object 是可以找到路径 是偏移 0x990，这个路径不会就这样定位吧？

xiaoc1026

1. //呵呵，获取到了短路径，那个全路径 PEPROCESS 结构没有申明不好获取
   
2. OB_PREOP_CALLBACK_STATUS    PreProcCreateRoutine(
   
3.         __in    PREG_CONTEXT    RegistrationContext,
   
4.         __inout    POB_PRE_OPERATION_INFORMATION    OperationInformation
   
5.         )
   
6. {
   
7.         PEPROCESS pEprocess = NULL;
   
8.         //PUNICODE_STRING pName = NULL;
   
9.         char* pName;
   
10. 
    
11.         if( OperationInformation->Operation == OB_OPERATION_HANDLE_CREATE &&
    
12.                 OperationInformation->ObjectType == *PsProcessType &&
    
13.                 OperationInformation->KernelHandle == 0 &&
    
14.                 (OperationInformation->Parameters->CreateHandleInformation.OriginalDesiredAccess & PROCESS_TERMINATE) )
    
15.         {
    
16. 
    
17.                 pEprocess = (PEPROCESS)OperationInformation->Object;
    
18. 
    
19.                 //pName = (PUNICODE_STRING)(pEprocess + 0x390);
    
20.                 pName = PsGetProcessImageFileName(pEprocess);
    
21. 
    
22.                 if( MmIsAddressValid(pName) )
    
23.                 {
    
24.                         KdPrint(("[yapt] Path = %wZ", pName));
    
25.                 }
    
26.                 //KdPrint(("[yapt] %wZ", pEprocess->SeAuditProcessCreationInfo.ImageFileName.Name));
    
27.                 OperationInformation->Parameters->DuplicateHandleInformation.DesiredAccess &= (~PROCESS_TERMINATE);
    
28.                 DbgPrint("[yapt] PreProcCreateRoutine PROCESS_TERMINATE\n");
    
29.         }
    
30. 
    
31.         return    OB_PREOP_SUCCESS;
    
32. }

复制代码

Tesla.Angela

OperationInformation->Object是EPROCESS或者ETHREAD。
获取路径可以使用ZwQueryInformationProcess。

xiaoc1026

Tesla.Angela 发表于 2013-1-7 14:09
OperationInformation->Object是EPROCESS或者ETHREAD。
获取路径可以使用ZwQueryInformationProcess。 ...

老大，如果进程保护要 在WINXP 通用的话，是不是要2份代码。HOOK ObReferenceObjectByHandle

Tesla.Angela

xiaoc1026 发表于 2013-1-7 14:40
老大，如果进程保护要 在WINXP 通用的话，是不是要2份代码。HOOK ObReferenceObjectByHandle ...

XP下的进程保护我比较喜欢用“把线程设置为SystemThread”。

kk1025

Tesla.Angela 发表于 2013-1-7 14:09
OperationInformation->Object是EPROCESS或者ETHREAD。
获取路径可以使用ZwQueryInformationProcess。 ...

原來要這樣

bennywing

这个是好东西

mlyknown

Tesla.Angela 发表于 2013-1-7 17:21
XP下的进程保护我比较喜欢用“把线程设置为SystemThread”。

win8 下可以么

mlyknown

Tesla.Angela 发表于 2013-1-7 17:21
XP下的进程保护我比较喜欢用“把线程设置为SystemThread”。

win8 下可以么