设为首页收藏一下又不会死!新人公告
切换到窄版

 找回密码
 立即注册→加入我们

QQ登录

只需一步,快速开始

搜索
热搜: 下载 VB C 实现 编写
技术宅的结界»论坛 计算机技术 源码分享 ring0使用ZwCreateThread创建用户线程
返回列表 发新帖
查看: 4146|回复: 3

ring0使用ZwCreateThread创建用户线程

[复制链接]
Ayala
发表于 2016-8-4 05:07:15 | 显示全部楼层 |阅读模式

欢迎访问技术宅的结界,请注册或者登录吧。

您需要 登录 才可以下载或查看,没有账号?立即注册→加入我们

×
本帖最后由 Ayala 于 2016-10-10 10:39 编辑

  2. .386
  3. .model flat,stdcall
  4. option casemap:none




  9. include         ..\..\..\masm32\include\w2k\ntstatus.inc
  10. include         ..\..\..\masm32\include\w2k\ntddk.inc
  11. include         ..\..\..\masm32\include\w2k\w2kundoc.inc

  13. include         ..\..\..\masm32\include\w2k\hal.inc
  14. includelib         ..\..\..\masm32\lib\w2k\hal.lib

  16. include         ..\..\..\masm32\include\w2k\ntoskrnl.inc
  17. includelib         ..\..\..\masm32\lib\w2k\ntoskrnl.lib

  19. include         ..\..\..\masm32\Macros\Strings.mac


  22. KGDT_R3_DATA equ 00020H
  23. KGDT_R3_CODE equ 00018H
  24. KGDT_R3_TEB equ 00038H


  27. OBJ_KERNEL_HANDLE  equ 00000200H


  30. IFNDEF INITIAL_TEB
  31. INITIAL_TEB struc
  32.         OldStackBase                        DWORD ?
  33.         OldStackLimit                          DWORD ?
  34.         StackBase                                 DWORD ?
  35.         StackLimit                                 DWORD ?
  36.         StackAllocationBase                DWORD ?
  37. INITIAL_TEB ends
  38. ENDIF


  41. IFNDEF CLIENT_ID
  42. CLIENT_ID STRUCT        ; sizeof = 8
  43.         UniqueProcess        HANDLE        ?
  44.         UniqueThread        HANDLE        ?
  45. CLIENT_ID ENDS
  46. ENDIF

  48. IFNDEF OBJECT_ATTRIBUTES
  49. OBJECT_ATTRIBUTES STRUCT                ; sizeof = 18h
  50.         _Length                                                DWORD                        ? ; original name Length
  51.         RootDirectory                                HANDLE                        ?
  52.         ObjectName                                        PUNICODE_STRING        ?
  53.         Attributes                                        DWORD                        ?
  54.         SecurityDescriptor                        PVOID                        ? ; Points to type SECURITY_DESCRIPTOR
  55.         SecurityQualityOfService        PVOID                        ? ; Points to type SECURITY_QUALITY_OF_SERVICE
  56. OBJECT_ATTRIBUTES ENDS
  57. POBJECT_ATTRIBUTES typedef OBJECT_ATTRIBUTES
  58. ENDIF


  61.         PROTO@32 TYPEDEF PROTO STDCALL :DWORD,:DWORD,:DWORD,:DWORD,:DWORD,:DWORD,:DWORD,:DWORD
  62.         PPROTO@32 TYPEDEF ptr PROTO@32
  63.        
  64.         externdef _imp__ZwCreateSymbolicLinkObject@16:DWORD
  65.        
  66. .data
  67.         ZwCreateThread PPROTO@32 0
  68.        
  69.        

  71. .code


  74. _RtlpCreateStack proc uses esi Process,MaximumStackSize,CommittedStackSize,ZeroBits,PINITIAL_TEB
  75.                                                
  76.         LOCAL Stack:DWORD
  77.        
  78.         and Stack,NULL
  79.         invoke ZwAllocateVirtualMemory,Process,\
  80.                                                                 addr Stack,\
  81.                                                                 0,\
  82.                                                                 addr CommittedStackSize,\
  83.                                                                 MEM_COMMIT,\
  84.                                                                 PAGE_READWRITE
  85.        
  86.         or eax,eax
  87.         jnz done
  88.        
  89.         mov esi,PINITIAL_TEB
  90.         assume esi:ptr INITIAL_TEB
  91.        
  92.         mov [esi].OldStackBase,0
  93.         mov [esi].OldStackLimit,0
  94.        
  95.         mov eax,Stack
  96.         mov [esi].StackLimit,eax
  97.         mov [esi].StackAllocationBase,eax
  98.        
  99.         add eax,CommittedStackSize
  100.         mov [esi].StackBase,eax
  101.        
  102.         assume esi:nothing
  103. done:
  104.         ret
  105. _RtlpCreateStack endp

  107. _RtlpFreeStack proc uses esi Process,InitialTeb
  108.         LOCAL Zero:DWORD
  109.        
  110.         and Zero,0
  111.         mov esi,InitialTeb
  112.         assume esi:ptr INITIAL_TEB
  113.         invoke ZwFreeVirtualMemory,Process,[esi].StackAllocationBase,addr Zero,MEM_RELEASE
  114.        
  115.         invoke RtlZeroMemory,esi,sizeof INITIAL_TEB
  116.         assume esi:nothing
  117.         ret
  118. _RtlpFreeStack endp

  120. _RtlInitializeContext proc uses esi process,Context,Parameter,StartAddress,StackBase
  121.        
  122.         mov esi,Context
  123.         assume esi:ptr CONTEXT
  124.        
  125.         mov [esi].ContextFlags,10007h
  126.        
  127.        
  128.         xor eax,eax
  129.         mov [esi].regEax,eax
  130.         mov [esi].regEcx,eax
  131.         mov [esi].regEdx,eax
  132.         mov [esi].regEbx,eax
  133.         mov [esi].regEsi,eax
  134.         mov [esi].regEdi,eax
  135.         mov [esi].regEbp,eax

  137.         mov [esi].regSegGs,eax
  138.         mov [esi].regSegFs,KGDT_R3_TEB
  139.         mov [esi].regSegEs,KGDT_R3_DATA
  140.         mov [esi].regSegDs,KGDT_R3_DATA
  141.         mov [esi].regSegSs,KGDT_R3_DATA
  142.         mov [esi].regSegCs,KGDT_R3_CODE
  143.        
  144.         mov [esi].regEFlags,200h
  145.        

  147.         mov eax,StartAddress
  148.         mov [esi].regEip,eax
  149.        

  151.         mov eax,StackBase
  152.         and eax,-8
  153.         mov [esi].regEsp,eax
  154.                
  155.         assume esi:nothing
  156.         ret
  157. _RtlInitializeContext endp

  159. _RtlCreateUserThread proc uses esi edi Process,\
  160.                                                                                 SecurityDescriptor,\
  161.                                                                                 CreateSuspended,\
  162.                                                                                 StackZeroBits,\
  163.                                                                                 StackReserved,\
  164.                                                                                 StackCommit,\
  165.                                                                                 StartAddress,\
  166.                                                                                 StartParameter,\
  167.                                                                                 ThreadHandle,\
  168.                                                                                 ClientID
  169.         LOCAL hThread:DWORD
  170.         LOCAL context:CONTEXT
  171.         LOCAL initteb:INITIAL_TEB
  172.         LOCAL ThreadCid:CLIENT_ID
  173.         LOCAL oa:OBJECT_ATTRIBUTES
  174.         LOCAL tBase:DWORD
  175.         LOCAL tSize:DWORD
  176.        
  177.         invoke _RtlpCreateStack,Process,StackReserved,StackCommit,StackZeroBits,addr initteb
  178.        
  179.         invoke _RtlInitializeContext,Process,addr context,StartParameter,StartAddress,initteb.StackBase
  180.        
  181.         mov oa._Length,sizeof oa
  182.         mov oa.RootDirectory,NULL
  183.         mov oa.ObjectName,NULL
  184.         mov oa.Attributes,0
  185.         mov eax,SecurityDescriptor
  186.         mov oa.SecurityDescriptor,eax
  187.         mov oa.SecurityQualityOfService,NULL
  188.         mov ax,cs
  189.         .if ax==8
  190.                 or oa.Attributes,OBJ_KERNEL_HANDLE       
  191.         .endif
  192.        
  193.         invoke ZwCreateThread,addr hThread,\
  194.                                                 THREAD_ALL_ACCESS,\
  195.                                                 addr oa,\
  196.                                                 Process,\
  197.                                                 addr ThreadCid,\
  198.                                                 addr context,\
  199.                                                 addr initteb,\
  200.                                                 CreateSuspended
  201.         mov esi,eax
  202.         .if eax<SDWORD ptr 0
  203.                 invoke _RtlpFreeStack,Process,addr initteb
  204.         .else
  205.                 mov ecx,ThreadHandle
  206.                 mov eax,hThread
  207.                 mov [ecx],eax
  208.                
  209.                 lea ecx,ThreadCid
  210.                 assume ecx:ptr CLIENT_ID
  211.                 mov edx,ClientID
  212.                 assume edx:ptr CLIENT_ID
  213.                
  214.                 mov eax,[edx].UniqueProcess
  215.                 mov [ecx].UniqueProcess,eax
  216.                
  217.                 mov eax,[edx].UniqueThread
  218.                 mov [ecx].UniqueThread,eax
  219.                
  220.                 assume edx:nothing
  221.                 assume ecx:nothing
  222.         .endif
  223.         mov eax,esi
  224.         ret
  225. _RtlCreateUserThread endp


  228. _non proc

  230.         ret
  231. _non endp


  234. thunk:
  235.         mov eax,34h
  236.         lea edx,[esp+4]
  237.         pushfd
  238.         push 8
  239.         call $
  240.         ret 10h
  241. thunk_length equ $-offset thunk       


  244. _drvmain proc uses esi edi ebx
  245.         LOCAL process:DWORD
  246.         LOCAL thread:DWORD
  247.         LOCAL ClientId:CLIENT_ID
  248.         LOCAL oa:OBJECT_ATTRIBUTES
  249.         LOCAL tBase:DWORD
  250.        
  251.         mov eax,_imp__ZwCreateSymbolicLinkObject@16
  252.         add eax,thunk_length
  253.         mov ZwCreateThread,eax
  254.        
  255.         ;
  256.         mov tBase,0b50000h
  257.        
  258.         mov ClientId.UniqueProcess,02d0h
  259.         and ClientId.UniqueThread,NULL

  261.         mov oa._Length,sizeof oa
  262.         mov oa.RootDirectory,NULL
  263.         mov oa.ObjectName,NULL
  264.         mov oa.Attributes,0
  265.         mov oa.SecurityDescriptor,NULL
  266.         mov oa.SecurityQualityOfService,NULL
  267.        
  268.         invoke ZwOpenProcess,addr process,PROCESS_ALL_ACCESS,addr oa,addr ClientId
  269.         .if eax>=SDWORD ptr 0

  271.                 invoke _RtlCreateUserThread,process,NULL,FALSE,0,0,4000h,tBase,NULL,addr thread,addr ClientId
  272.                
  273.        
  274.                
  275.                 invoke ZwClose,thread
  276.                 invoke ZwClose,process
  277.                
  278.         .endif
  279.         mov eax,1
  280.         ret
  281. _drvmain endp

  283. __DriverEntry proc pDriverObject:dword, pusRegistryPath:dword
  284.         int 3
  285.         call _drvmain
  286.         ret
  287. __DriverEntry endp
  288. end __DriverEntry
复制代码
include, 用户

相关帖子
回复

使用道具 举报

誓不回头
发表于 2018-5-3 21:11:29 | 显示全部楼层
创建完以后,这个线程有什么强大特征吗??
回复 赞! 靠!

使用道具 举报

Ayala
 楼主| 发表于 2018-5-3 21:21:58 | 显示全部楼层
誓不回头 发表于 2018-5-3 21:11
创建完以后,这个线程有什么强大特征吗??

没什么强大特征 没有通知csr 权限约等同于users权限 只是相对隐蔽的一种方式
回复 赞! 靠!

使用道具 举报

誓不回头
发表于 2018-5-3 21:44:13 | 显示全部楼层
如果没有特征,如此就意义不大。。。
回复 赞! 靠!

使用道具 举报

返回列表 发新帖

本版积分规则

QQ|Archiver|小黑屋|技术宅的结界 ( 滇ICP备16008837号 )|网站地图

GMT+8, 2025-11-1 07:51 , Processed in 0.036065 second(s), 24 queries , Gzip On.

Powered by Discuz! X3.5

© 2001-2025 Discuz! Team.

快速回复 返回顶部 返回列表