设为首页收藏一下又不会死!新人公告
切换到窄版

 找回密码
 立即注册→加入我们

QQ登录

只需一步,快速开始

搜索
热搜: 下载 VB C 实现 编写
技术宅的结界»论坛 计算机技术 技巧探讨 输出所有进程NtCreateFile行为
返回列表 发新帖
查看: 3748|回复: 0

输出所有进程NtCreateFile行为

[复制链接]
元始天尊
发表于 2015-7-19 00:47:42 | 显示全部楼层 |阅读模式

欢迎访问技术宅的结界,请注册或者登录吧。

您需要 登录 才可以下载或查看,没有账号?立即注册→加入我们

×
群里说共享进程空间使用Mutex会误写,然而我没有发现这一情况,下面的代码大部分是这位兄弟的
用于输出
  1. // showntcreatefile.cpp : 定义控制台应用程序的入口点。
  2. //

  4. #include "stdafx.h"
  5. #include <windows.h>
  6. #include<Tlhelp32.h>
  7. #include <Shlwapi.h>
  8. #pragma comment(lib,"shlwapi.lib")

  10. struct LOG
  11. {
  12.         int dwCount;
  13.         int NextFreeOffset;
  14.         char Buffer[65536];
  15. };

  17. int _tmain(int argc, _TCHAR* argv[])
  18. {
  19.         HANDLE ghDataLock=CreateMutexA(0,FALSE,"hookntcreatefile");
  20.         HMODULE hmod= LoadLibraryA("E:\\Projects\\testntcreatefile\\Debug\\testntcreatefile.dll");
  21.         LOG* gpData=(LOG*)GetProcAddress(hmod,"gSharedData");
  22.        
  23.         HANDLE hProcessSnap;
  24.         PROCESSENTRY32 pe32;
  25.         hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
  26.         if (hProcessSnap != INVALID_HANDLE_VALUE)
  27.         {
  28.                 pe32.dwSize = sizeof(pe32);
  29.                 if (Process32First(hProcessSnap, &pe32))
  30.                 {
  31.                         do
  32.                         {
  33. //                                if (StrStrI(pe32.szExeFile, _T("notepad")))
  34.                                 {
  35.                                         char str[] = "E:\\Projects\\testntcreatefile\\Debug\\testntcreatefile.dll";
  36.                                         HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pe32.th32ProcessID);
  37.                                         LPVOID dllname = VirtualAllocEx(hProcess, NULL, 256, MEM_COMMIT, PAGE_READWRITE);
  38.                                         WriteProcessMemory(hProcess, dllname, str, sizeof(str), NULL);
  39.                                         HANDLE hthread = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)LoadLibraryA, dllname, 0, NULL);
  40.                                         WaitForSingleObject(hthread, INFINITE);
  41.                                         CloseHandle(hthread);
  42.                                         CloseHandle(hProcess);
  43.                                 }
  44.                         } while (Process32Next(hProcessSnap, &pe32));
  45.                 }
  46.                 CloseHandle(hProcessSnap);
  47.         }

  49.         while(true)
  50.         {
  51.                 char* pBuffer,*pSlot;
  52.                 DWORD dwWaitResult = WaitForSingleObject( ghDataLock, INFINITE ),dwSize;
  53.                 if( dwWaitResult == WAIT_OBJECT_0 )
  54.                 {
  55.                         pBuffer = gpData->Buffer;
  56.                         while( gpData->NextFreeOffset  )
  57.                         {
  58.                                 printf("%s\n", pBuffer);
  59.                                 pSlot = pBuffer;
  60.                                 dwSize = strlen(pBuffer) + 2;
  61.                                 pBuffer = (LPSTR) (pBuffer + dwSize);
  62.                                 ZeroMemory( pSlot, dwSize);
  63.                                 gpData->NextFreeOffset -= dwSize;
  64.                                 gpData->dwCount--;
  65.                         }
  66.                 }
  67.                 ReleaseMutex( ghDataLock );
  68.         }
  69.         return 0;
  70. }

复制代码


注入dll:
  1. // dllmain.cpp : 定义 DLL 应用程序的入口点。
  2. #include "stdafx.h"

  4. #include <windows.h>
  5. #include <stdio.h>
  6. #include "detours.h"
  7. #pragma comment(lib,"detours.lib")

  9. struct LOG
  10. {
  11.         int dwCount;
  12.         int NextFreeOffset;
  13.         char Buffer[65536];
  14. };

  16. #pragma data_seg("Shared")
  17. extern "C"
  18. {
  19.         __declspec(allocate("Shared"), dllexport) LOG gSharedData;
  20.         __declspec(allocate("Shared"), dllexport) DWORD g_nCount;
  21. };
  22. #pragma data_seg()
  23. #pragma comment(linker,"/SECTION:Shared,RWS")

  25. typedef ULONG NTSTATUS;

  27. typedef struct _UNICODE_STRING
  28. {
  29.         USHORT Length;
  30.         USHORT MaximumLength;
  31.         PWSTR  Buffer;
  32. } UNICODE_STRING,*PUNICODE_STRING;

  34. typedef struct _OBJECT_ATTRIBUTES
  35. {
  36.         ULONG Length;
  37.         HANDLE RootDirectory;
  38.         PUNICODE_STRING ObjName;
  39.         ULONG Attributes;
  40.         PVOID SecurityDescriptor;        // Points to type SECURITY_DESCRIPTOR
  41.         PVOID SecurityQualityOfService;  // Points to type SECURITY_QUALITY_OF_SERVICE
  42. } OBJECT_ATTRIBUTES,*POBJECT_ATTRIBUTES;

  44. typedef struct _IO_STATUS_BLOCK
  45. {
  46.         union
  47.         {
  48.                 NTSTATUS Status;
  49.                 PVOID Pointer;
  50.         };
  51.         ULONG_PTR Information;
  52. } IO_STATUS_BLOCK, *PIO_STATUS_BLOCK;

  54. FARPROC OLD_NtCreateFile=GetProcAddress(GetModuleHandleA("ntdll.dll"),"NtCreateFile");
  55. HANDLE hDataLock=NULL;

  57. LONG  WINAPI Chunk(PHANDLE ph, ULONG AccessMask, POBJECT_ATTRIBUTES obj, PIO_STATUS_BLOCK ioblk, PLARGE_INTEGER AllocSize,
  58.         ULONG FileAttr, ULONG ShareAccess, ULONG Disposition, ULONG Options, PVOID EaBuffer, ULONG EaLength)
  59. {
  60. #define MAX_BUF_LEN 512
  61. #define FILE_DIRECTORY_FILE                     0x00000001
  62. #define FILE_OPEN                       0x00000001
  63.         CHAR szBuffer[MAX_BUF_LEN];
  64.         CHAR szFile[MAX_PATH] = { 0 };
  65.         CHAR szExeName[MAX_PATH];
  66.         CHAR szTimeFormat[100];
  67.         SYSTEMTIME sysTime;
  68.         LONG status ;
  69.         LPSTR psz;
  70.         int length = 0;
  71.         DWORD dwSize, dwWaitResult;

  73.         GetLocalTime( &sysTime );
  74.         sprintf( szTimeFormat, "%02d.%02d.%02d.%04d", sysTime.wHour, sysTime.wMinute, sysTime.wSecond, sysTime.wMilliseconds );
  75.         status = ((LONG (WINAPI*)(PHANDLE,ULONG,POBJECT_ATTRIBUTES,PIO_STATUS_BLOCK,PLARGE_INTEGER,ULONG,ULONG,ULONG,ULONG,PVOID,ULONG))OLD_NtCreateFile)
  76.                 ( ph, AccessMask, obj, ioblk, AllocSize,FileAttr, ShareAccess, Disposition, Options, EaBuffer, EaLength );
  77.         InterlockedIncrement( &g_nCount );
  78.         if( 0 == status  && obj && obj->ObjName && obj->ObjName->Buffer)
  79.         {
  80.                 GetModuleFileNameA( NULL, szExeName, MAX_PATH);
  81.                 OutputDebugStringW(obj->ObjName->Buffer);
  82.                 psz = strrchr( szExeName, '\\' );
  83.                 length = WideCharToMultiByte( CP_ACP, 0, obj->ObjName->Buffer, obj->ObjName->Length / sizeof(WCHAR),szFile, sizeof(szFile), NULL, NULL );
  84.                 sprintf( szBuffer, "%s %s %s %s : %s", szTimeFormat, psz+1, Disposition & FILE_OPEN ? "Open" : "Create",
  85.                         Options & FILE_DIRECTORY_FILE ? "Directory" : "File",szFile );

  87.                 dwWaitResult = WaitForSingleObject( hDataLock, INFINITE );
  88.                 if( dwWaitResult == WAIT_OBJECT_0 )
  89.                 {
  90.                         psz = gSharedData.Buffer;
  91.                         dwSize = gSharedData.NextFreeOffset;
  92.                         psz += dwSize;
  93.                         dwSize = strlen(szBuffer) + 2;
  94.                         memcpy( psz, szBuffer, dwSize - 1);
  95.                         gSharedData.NextFreeOffset += dwSize;
  96.                         gSharedData.dwCount++;
  97.                 }
  98.                 ReleaseMutex( hDataLock );       
  99.         }
  100.         return status;
  101. }


  104. BOOL APIENTRY DllMain( HMODULE hModule,
  105.                        DWORD  ul_reason_for_call,
  106.                        LPVOID lpReserved
  107.                                          )
  108. {
  109.         switch (ul_reason_for_call)
  110.         {
  111.         case DLL_PROCESS_ATTACH:
  112.                 if(g_nCount)
  113.                 {
  114.                         DetourRestoreAfterWith();
  115.                         DetourTransactionBegin();
  116.                         DetourUpdateThread(GetCurrentThread());
  117.                         DetourAttach(&(PVOID&)OLD_NtCreateFile, Chunk);
  118.                         DetourTransactionCommit();       
  119.                 }
  120.                 hDataLock=OpenMutexA(SYNCHRONIZE|MUTEX_MODIFY_STATE,FALSE,"hookntcreatefile");
  121.                 InterlockedIncrement(&g_nCount);
  122.                 break;
  123.         case DLL_THREAD_ATTACH:
  124.         case DLL_THREAD_DETACH:
  125.         case DLL_PROCESS_DETACH:
  126.                 break;
  127.         }
  128.         return TRUE;
  129. }

复制代码
回复

使用道具 举报

返回列表 发新帖

本版积分规则

QQ|Archiver|小黑屋|技术宅的结界 ( 滇ICP备16008837号 )|网站地图

GMT+8, 2024-11-22 14:04 , Processed in 0.032502 second(s), 21 queries , Gzip On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表