NtCreateUserProcess Post
1.0.0
NtCreateUserProcess مع CsrClientCallServer لإصدار Windows x64 السائد.
أعد تنفيذ هذا: NtCreateUserProcess->BasepConstructSxsCreateProcessMessage->
->CsrCaptureMessageMultiUnicodeStringsInPlace->CsrClientCallServer
قد يكون هذا المشروع عديم الفائدة، ولكنه مفيد أيضًا للتعلم!
سأحاول إصلاح بعض الأخطاء المعروفة، ونرحب بأي أسئلة واقتراحات وسحب :)
سأحاول بشكل أساسي دعم جميع إصدارات Windows x64 بدءًا من الإصدار 7 وحتى الإصدار 11.
يدعم NtCreateUserProcess-Native إعادة توجيه IO القياسية.
NtCreateUserProcess-Native هو الإصدار الأصلي الذي يزيل BasepConstructSxsCreateProcessMessage وRtlCreateProcessParametersEx وCsrCaptureMessageMultiUnicodeStringsInPlace... فقط يمنع أي ربط وظيفي؟
تم إنشاء NtCreateUserProcess-Native لغرض OPSEC وRedTeam.
لقد قمت بتمكين CFG في إعدادات المشروع NtCreateUserProcess-Native.
لا توجد خطة لدعم حزمة AppX في هذا المشروع.
لقد انتهيت تقريبًا من الهندسة العكسية لـ CreateProcessInternalW لنظام التشغيل Windows 21H*،
لكن بعض التحسينات والبنية ونوع البيانات... مطلوبة، أحتاج إلى مزيد من الوقت...
حاول إنشاء CreateProcessInternalW-Full بدلاً من ذلك
نأمل أن يساعدك مشروع CreateProcessInternalW اللاحق في اكتساب معرفة وفهم مختلفين،
والتي يتم إعادة تنفيذها لدعم AppX، وRaiseError 16 بت، وملف .bat && .cmd.
بعد إصدار Direct-NtCreateUserProcess والمقالة التي كتبها D0pam1ne705،
أعتقد أنه يجب علي أيضًا مشاركة نتائج الهندسة العكسية الخاصة بـ CreateProcessInternalW (ليست هناك حاجة للحفاظ على خصوصيتها).
بخلاف مساره العكسي، لم أقم بتصحيح أخطاء kernel ALPC وcsrss.exe،
ولكن يعتمد بشكل أساسي على IDA ومعلمة تحليل الذاكرة.
NtCreateUserProcess-Post.exe (ImagePath)
(تم إهمال NtCreateUserProcess-Post مؤقتًا؟؟؟ أنا كسول...ovO)
(الافتراضي هو C:WindowsSystem32dfrgui.exe بدون ImagePath خاص)
(1) نتكريتيوسيرفروسس-Post.exe
(2) NtCreateUserProcess-Post.exe C:WindowsSystem32notepad.exe
(3) NtCreateUserProcess-Post.exe C:WindowsSystem32taskmgr.exe
(4) NtCreateUserProcess-Post.exe "C:Program Files (x86)MicrosoftEdgeApplicationmsedge.exe"
وهكذا...
جيم:WindowsSystem32DisplaySwitch.exe
"C: ملفات البرنامجGoogleChromeApplicationchrome.exe"
C:WindowsSystem32Magnify.exe
......
NtCreateUserProcess-Native.exe (-c ImagePath) (-i InteractType)
(إعادة توجيه الملف القياسي IO مدعوم بالفعل في NtCreateUserProcess-Native!)
-i 0: (افتراضي) لن يتم استخدام أي وضع تفاعلي، مثل CREATE_NEW_CONSOLE
-i 1: StdHandle عبر AttributeList، مثل bInheritHandles = FALSE
-i 2: قم بتعيين إدخال وإخراج وخطأ OutError الخاص بـ ProcessParameters باستخدام قيمة CurrentProcessParameters، مثل bInheritHandles = TRUE
(الافتراضي هو C:WindowsSystem32dfrgui.exe بدون وسيطة خاصة)
(1) NtCreateUserProcess-Native.exe
(2) NtCreateUserProcess-Native.exe -c C:Windowssystem32cmd.exe -i 1
(3) NtCreateUserProcess-Native.exe -c "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe" -i 2
(4) NtCreateUserProcess-Native.exe -c "C:Program FilesGoogleChromeApplicationchrome.exe" -i 0
......
Visual Studio 2022 (يجب أن يعمل Visual Studio 2019)
ريليس x64
حسنًا، إذا كنت تعتقد أن هذا الإصدار معقد وزائد عن الحاجة، فجرّب الإصدار الأصلي NtCreateUserProcess-Native
ملاحظة: في نظام التشغيل Windows 11، يكون notepad.exe هو AppX لذا فهو لا يعمل
ويندوز 11 23H2 إنسايدر x64 (26020.1000)
ويندوز 11 21H2 x64 (22000.613)
ويندوز 10 21H2 x64 (19044.1706)
ويندوز 10 21H1 x64 (19043.1023)
ويندوز 10 2004 x64 (19041.264)
ويندوز 10 1909 x64 (18363.2274)
ويندوز سيرفر 2019 x64 (17763.107)
ويندوز 10 1709 x64 (16299.125)
ويندوز 10 1703 x64 (15063.2078)
ويندوز سيرفر 2016 x64 (14393.5066)
ويندوز 10 1607 x64 (14393.447)
ويندوز 10 1511 x64 (10586.164)
ويندوز 10 1507 x64 (10240)
ويندوز سيرفر 2012 R2 x64 (9600)
ويندوز سيرفر 2012 x64 (9200)
ويندوز سيرفر 2008 R2 x64 (7601)
ويندوز 7 SP1 إلى x64 (7601)
ويندوز سيرفر 2008 R2 x64 (7600)
ويندوز سيرفر 2008 x64 (6002)
ويندوز فيستا SP2 إلى x64 (6002)
ويندوز فيستا x64 (6000)
1: https://github.com/Microwave89/createuserprocess
2: https://github.com/PorLaCola25/PPID-Spoofing
3: https://github.com/processhacker/processhacker
4: https://www.geoffchappell.com/studies/windows/win32/csrsrv/api/apireqst/api_msg.htm
5: https://github.com/leecher1337/ntvdmx64
6: https://github.com/klezVirus/SysWhispers3
7: https://bbs.pediy.com/thread-207429.htm
8: https://doxygen.reactos.org
9: https://github.com/waleedassar/NativeDebugger
10: https://stackoverflow.com/questions/69599435/running-programs-using-rtlcreateuserprocess-only-works-occasionally
11: https://medium.com/philip-tsukerman/activation-contexts-a-love-story-5f57f82bccd
12: https://github.com/ShashankKumarSaxena/nt5src
13: https://github.com/D4stiny/spectre
14: https://github.com/x64dbg/TitanEngine
15: https://github.com/x64dbg/ScyllaHide
16: https://github.com/deroko/activationcontext
17: https://medium.com/philip-tsukerman/activation-contexts-a-love-story-5f57f82bccd
18: https://wasm.in/threads/csrclientcallserver-v-windows-7.29743/
19: https://bbs.csdn.net/topics/360229611
20: https://www.exploit-db.com/exploits/46712
11: https://googleprojectzero.github.io/0days-in-the-wild/0day-RCAs/2020/CVE-2020-1027.html
22: https://ii4gsp.tistory.com/288
23: https://www.unknowncheats.me/forum/c-and-c-/121045-ntdll-module-callback.html
