调用NtCreateUserProcess创建进程绕过杀软hook

admin 2022年5月17日10:03:49评论172 views字数 5226阅读17分25秒阅读模式

CreateProcess

CreateProcess在3环最终会调用ntdll!NtCreateUserProcess通过syscall进入0环,我们可以通过调用NtCreateUserProcess来规避AV/EDRCreateProcess的监控

调用NtCreateUserProcess创建进程绕过杀软hook

NtCreateUserProcess

NtCreateUserProcess并未文档化,通过逆向可以得到以下结构

NTSTATUS
NTAPI
NtCreateUserProcess(
    _Out_ PHANDLE ProcessHandle,
    _Out_ PHANDLE ThreadHandle,
    _In_ ACCESS_MASK ProcessDesiredAccess,
    _In_ ACCESS_MASK ThreadDesiredAccess,
    _In_opt_ POBJECT_ATTRIBUTES ProcessObjectAttributes,
    _In_opt_ POBJECT_ATTRIBUTES ThreadObjectAttributes,
    _In_ ULONG ProcessFlags,
    _In_ ULONG ThreadFlags,
    _In_ PRTL_USER_PROCESS_PARAMETERS ProcessParameters,
    _Inout_ PPS_CREATE_INFO CreateInfo,
    _In_ PPS_ATTRIBUTE_LIST AttributeList
)
;

这里一个个参数来看,ProcessHandleThreadHandle为进程线程句柄,设置为NULL即可

HANDLE hProcess, hThread = NULL;

接下来两个参数ProcessDesiredAccessThreadDesiredAccess为控制权限,全部设置为THREAD_ALL_ACCESS即可

ProcessObjectAttributesThreadObjectAttributes,它们是指向 OBJECT_ATTRIBUTES的指针,此结构包含可应用于将要创建的对象或对象句柄的属性,这里设置为NULL

调用NtCreateUserProcess创建进程绕过杀软hook


ProcessFlagsThreadFlags内部设置的标志ThreadFlags决定了我们希望如何创建进程和线程,这里也都设置为NULL即可

再看ProcessParameters参数,指向一个RTL_USER_PROCESS_PARAMETERS结构,该结构描述了要创建的进程的启动参数

调用NtCreateUserProcess创建进程绕过杀软hook


这里使用RtlCreateProcessParametersEx来初始化,结构如下

NTSTATUS NTAPI RtlCreateProcessParametersEx(
    _Out_ PRTL_USER_PROCESS_PARAMETERS* pProcessParameters,
    _In_ PUNICODE_STRING ImagePathName,
    _In_opt_ PUNICODE_STRING DllPath,
    _In_opt_ PUNICODE_STRING CurrentDirectory,
    _In_opt_ PUNICODE_STRING CommandLine,
    _In_opt_ PVOID Environment,
    _In_opt_ PUNICODE_STRING WindowTitle,
    _In_opt_ PUNICODE_STRING DesktopInfo,
    _In_opt_ PUNICODE_STRING ShellInfo,
    _In_opt_ PUNICODE_STRING RuntimeData,
    _In_ ULONG Flags
)
;

第一个参数指向的就是RTL_USER_PROCESS_PARAMETERS结构,第二个参数即要启动的exe路径,这里以calc.exe为例

UNICODE_STRING NtImagePath;
RtlInitUnicodeString(&NtImagePath, (PWSTR)L"\??\C:\Windows\System32\calc.exe");

然后剩下的参数(除了最后一个)可以全部设置为NULL,最后一个参数Flags用来规范RTL_USER_PROCESS_PARAMETERS_NORMALIZED,创建进程时,一些输入甚至还没有完全初始化。如果发生这种情况,则有可能正在访问的内存只是描述进程的结构的相对偏移量,而不是实际的内存地址,初始化ProcessParameters的代码如下

RtlCreateProcessParametersEx(&ProcessParameters, &NtImagePath, NULLNULLNULLNULLNULLNULLNULLNULL, RTL_USER_PROCESS_PARAMETERS_NORMALIZED);

下一个参数是CreateInfo,它是一个指向PS_CREATE_INFO结构的指针,这个结构也是一个未文档化的结构

调用NtCreateUserProcess创建进程绕过杀软hook


这里设置为PsCreateInitialState即可

调用NtCreateUserProcess创建进程绕过杀软hook


 PS_CREATE_INFO CreateInfo = { 0 };
 CreateInfo.Size = sizeof(CreateInfo);
 CreateInfo.State = PsCreateInitialState;

最后一个参数AttributeList用于设置进程和线程创建的属性,这里使用RtlAllocateHeap初始化

PPS_ATTRIBUTE_LIST AttributeList = (PS_ATTRIBUTE_LIST*)RtlAllocateHeap(RtlProcessHeap(), HEAP_ZERO_MEMORY, sizeof(PS_ATTRIBUTE));
AttributeList->TotalLength = sizeof(PS_ATTRIBUTE_LIST) - sizeof(PS_ATTRIBUTE);

AttributeList->Attributes[0].Attribute = PS_ATTRIBUTE_IMAGE_NAME;
AttributeList->Attributes[0].Size = NtImagePath.Length;
AttributeList->Attributes[0].Value = (ULONG_PTR)NtImagePath.Buffer;

然后使用NtCreateUserProcess如下

NtCreateUserProcess(&hProcess, &hThread, PROCESS_ALL_ACCESS, THREAD_ALL_ACCESS, NULLNULLNULLNULL, ProcessParameters, &CreateInfo, AttributeList);

因为我们是在堆里面分配的空间,需要用RtlFreeHeap释放堆空间,使用RtlDestroyProcessParameters()释放存储在RTL_USER_PROCESS_PARAMETERS结构中的进程参数

RtlFreeHeap(RtlProcessHeap(), 0, AttributeList);
RtlDestroyProcessParameters(ProcessParameters);

完整代码如下

void NtCreateUserProcess()
{
 UNICODE_STRING NtImagePath;
 RtlInitUnicodeString(&NtImagePath, (PWSTR)L"\??\C:\Windows\System32\calc.exe");

 PRTL_USER_PROCESS_PARAMETERS ProcessParameters = NULL;
 RtlCreateProcessParametersEx(&ProcessParameters, &NtImagePath, NULLNULLNULLNULLNULLNULLNULLNULL, RTL_USER_PROCESS_PARAMETERS_NORMALIZED);

 PS_CREATE_INFO CreateInfo = { 0 };
 CreateInfo.Size = sizeof(CreateInfo);
 CreateInfo.State = PsCreateInitialState;

 PPS_ATTRIBUTE_LIST AttributeList = (PS_ATTRIBUTE_LIST*)RtlAllocateHeap(RtlProcessHeap(), HEAP_ZERO_MEMORY, sizeof(PS_ATTRIBUTE));
 AttributeList->TotalLength = sizeof(PS_ATTRIBUTE_LIST) - sizeof(PS_ATTRIBUTE);
 AttributeList->Attributes[0].Attribute = PS_ATTRIBUTE_IMAGE_NAME;
 AttributeList->Attributes[0].Size = NtImagePath.Length;
 AttributeList->Attributes[0].Value = (ULONG_PTR)NtImagePath.Buffer;

 HANDLE hProcess, hThread = NULL;
 if (FALSE == NtCreateUserProcess(&hProcess, &hThread, PROCESS_ALL_ACCESS, THREAD_ALL_ACCESS, NULLNULLNULLNULL, ProcessParameters, &CreateInfo, AttributeList))
 {
  printf("NtCreateUserProcess successfullyn");
 }

 RtlFreeHeap(RtlProcessHeap(), 0, AttributeList);
 RtlDestroyProcessParameters(ProcessParameters);
}

这里注意,因为这里需要使用到一些未导出的结构,这里就需要一个完整的头文件去包含这些结构确保不会出错,这里使用到x64dbgntdll.h文件,链接如下:https://github.com/x64dbg/TitanEngine/blob/x64dbg/TitanEngine/ntdll.h

实现效果如下

调用NtCreateUserProcess创建进程绕过杀软hook

父进程欺骗

我们在使用CreateProcess创建进程的时候能通过设置特定的参数来达到欺骗的效果,在NtCreateUserProcess里面也同样能够做到

这里我们首先看一下之前我们生成的进程,可以看到父进程为svchost.exe

调用NtCreateUserProcess创建进程绕过杀软hook

那么这里我们首先找到explorer的PID,为5720

调用NtCreateUserProcess创建进程绕过杀软hook


通过NtOpenProcess获得其句柄

 OBJECT_ATTRIBUTES oa;
 InitializeObjectAttributes(&oa, 0000);

 CLIENT_ID PID = { (HANDLE)5720NULL };

 HANDLE hParent = NULL;
 NtOpenProcess(&hParent, PROCESS_ALL_ACCESS, &oa, &PID);

添加属性即可

 AttributeList->Attributes[1].Attribute = PS_ATTRIBUTE_PARENT_PROCESS;
 AttributeList->Attributes[1].Size = sizeof(HANDLE);
 AttributeList->Attributes[1].ValuePtr = hParent;

首先使用之前的代码打开mmc,可以看到跟父进程不是explorer

调用NtCreateUserProcess创建进程绕过杀软hook


添加代码即可伪造父进程为explorer

调用NtCreateUserProcess创建进程绕过杀软hook


加下方wx,拉你入群学习

调用NtCreateUserProcess创建进程绕过杀软hook

往期推荐

攻防演练场景下的加密流量总结

VEH&SEH异常详解

sql注入bypass最新版某狗

软件调试详解

初探windows异常处理

浅谈hook攻防

无处不在的dll劫持

Windows环境下的调试器探究


调用NtCreateUserProcess创建进程绕过杀软hook

原文始发于微信公众号(红队蓝军):调用NtCreateUserProcess创建进程绕过杀软hook

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月17日10:03:49
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   调用NtCreateUserProcess创建进程绕过杀软hookhttp://cn-sec.com/archives/1010317.html

发表评论

匿名网友 填写信息