NtCreateUserProcess Post
1.0.0
NtCreateUserProcess mit CsrClientCallServer für die Mainstream-Windows x64-Version.
Implementieren Sie dies erneut: NtCreateUserProcess->BasepConstructSxsCreateProcessMessage->
->CsrCaptureMessageMultiUnicodeStringsInPlace->CsrClientCallServer
Dieses Projekt könnte nutzlos sein, aber es ist auch nützlich, es zu lernen!
Ich werde versuchen, einige bekannte Fehler zu beheben. Alle Fragen, Vorschläge und Anregungen sind willkommen :)
Ich werde hauptsächlich versuchen, ALLE Windows x64-Versionen von Win 7 bis Win 11 zu unterstützen.
NtCreateUserProcess-Native unterstützt Standard-IO-Umleitung.
NtCreateUserProcess-Native ist die Native Edition, die BasepConstructSxsCreateProcessMessage, RtlCreateProcessParametersEx, CsrCaptureMessageMultiUnicodeStringsInPlace entfernt ... einfach jeden Funktions-Hook verhindert?
NtCreateUserProcess-Native wird für OPSEC- und RedTeam-Zwecke erstellt.
Ich habe CFG in den NtCreateUserProcess-Native-Projekteinstellungen aktiviert.
Es ist nicht geplant, das AppX-Paket in diesem Projekt zu unterstützen.
Ich habe das Reverse Engineering von CreateProcessInternalW von Windows 21H* fast abgeschlossen.
aber ein paar Verbesserungen, Struktur, Datentyp... erforderlich, ich brauche mehr Zeit...
Versuchen Sie stattdessen CreateProcessInternalW-Full
Ich hoffe, dass das spätere Projekt „CreateProcessInternalW“ Ihnen dabei helfen wird, andere Kenntnisse und Erkenntnisse zu erlangen.
welche neu implementiert wird, um AppX, 16-Bit-RaiseError, .bat && .cmd-Datei zu unterstützen.
Nach der Veröffentlichung von Direct-NtCreateUserProcess und dem Artikel von D0pam1ne705,
Ich denke, ich sollte auch meine Reverse Engineering-Ergebnisse von CreateProcessInternalW teilen (es besteht keine Notwendigkeit, sie privat zu halten).
Im Gegensatz zu seinem umgekehrten Weg habe ich ALPC und csrss.exe nicht im Kernel debuggt.
hängt aber hauptsächlich von IDA und Speicheranalyseparametern ab.
NtCreateUserProcess-Post.exe (ImagePath)
(NtCreateUserProcess-Post vorübergehend veraltet??? Ich bin faul...ovO)
(Standard ist C:WindowsSystem32dfrgui.exe ohne speziellen ImagePath)
(1) NtCreateUserProcess-Post.exe
(2) NtCreateUserProcess-Post.exe C:WindowsSystem32notepad.exe
(3) NtCreateUserProcess-Post.exe C:WindowsSystem32taskmgr.exe
(4) NtCreateUserProcess-Post.exe „C:Programme (x86)MicrosoftEdgeApplicationmsedge.exe“
und so weiter...
C:WindowsSystem32DisplaySwitch.exe
„C:ProgrammeGoogleChromeApplicationchrome.exe“
C:WindowsSystem32Magnify.exe
......
NtCreateUserProcess-Native.exe (-c ImagePath) (-i InteractType)
(Die Standard-Datei-E/A-Umleitung wird in NtCreateUserProcess-Native bereits unterstützt!)
-i 0: (Standard) Es wird keiner der Interaktionsmodi verwendet, wie z. B. CREATE_NEW_CONSOLE
-i 1: StdHandle über AttributeList, wie bInheritHandles = FALSE
-i 2: Setzt ProcessParameters Std Input,Output,OutError mit CurrentProcessParameters Value, wie bInheritHandles = TRUE
(Standard ist C:WindowsSystem32dfrgui.exe ohne spezielles Argument)
(1) NtCreateUserProcess-Native.exe
(2) NtCreateUserProcess-Native.exe -c C:Windowssystem32cmd.exe -i 1
(3) NtCreateUserProcess-Native.exe -c "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe" -i 2
(4) NtCreateUserProcess-Native.exe -c "C:ProgrammeGoogleChromeApplicationchrome.exe" -i 0
......
Visual Studio 2022 (Visual Studio 2019 sollte funktionieren)
Geben Sie x64 frei
Wenn Sie der Meinung sind, dass dies komplex und überflüssig ist, probieren Sie die Native Edition NtCreateUserProcess-Native aus
Hinweis: Unter Windows 11 ist notepad.exe AppX und funktioniert daher nicht
Windows 11 23H2 Insider x64 (26020.1000)
Windows 11 21H2 x64 (22000.613)
Windows 10 21H2 x64 (19044.1706)
Windows 10 21H1 x64 (19043.1023)
Windows 10 2004 x64 (19041.264)
Windows 10 1909 x64 (18363.2274)
Windows Server 2019 x64 (17763.107)
Windows 10 1709 x64 (16299.125)
Windows 10 1703 x64 (15063.2078)
Windows Server 2016 x64 (14393.5066)
Windows 10 1607 x64 (14393.447)
Windows 10 1511 x64 (10586.164)
Windows 10 1507 x64 (10240)
Windows Server 2012 R2 x64 (9600)
Windows Server 2012 x64 (9200)
Windows Server 2008 R2 x64 (7601)
Windows 7 SP1 x64 (7601)
Windows Server 2008 R2 x64 (7600)
Windows Server 2008 x64 (6002)
Windows Vista SP2 x64 (6002)
Windows Vista x64 (6000)
1: https://github.com/Microwave89/createuserprocess
2: https://github.com/PorLaCola25/PPID-Spoofing
3: https://github.com/processhacker/processhacker
4: https://www.geoffchappell.com/studies/windows/win32/csrsrv/api/apireqst/api_msg.htm
5: https://github.com/leecher1337/ntvdmx64
6: https://github.com/klezVirus/SysWhispers3
7: https://bbs.pediy.com/thread-207429.htm
8: https://doxygen.reactos.org
9: https://github.com/waleedassar/NativeDebugger
10: https://stackoverflow.com/questions/69599435/running-programs-using-rtlcreateuserprocess-only-works-occasionally
11: https://medium.com/philip-tsukerman/activation-contexts-a-love-story-5f57f82bccd
12: https://github.com/ShashankKumarSaxena/nt5src
13: https://github.com/D4stiny/spectre
14: https://github.com/x64dbg/TitanEngine
15: https://github.com/x64dbg/ScyllaHide
16: https://github.com/deroko/activationcontext
17: https://medium.com/philip-tsukerman/activation-contexts-a-love-story-5f57f82bccd
18: https://wasm.in/threads/csrclientcallserver-v-windows-7.29743/
19: https://bbs.csdn.net/topics/360229611
20: https://www.exploit-db.com/exploits/46712
11: https://googleprojectzero.github.io/0days-in-the-wild/0day-RCAs/2020/CVE-2020-1027.html
22: https://ii4gsp.tistory.com/288
23: https://www.unknowncheats.me/forum/c-and-c-/121045-ntdll-module-callback.html
