Inicio>Relacionado con la programación>Otro código fuente
Descargar

NtCreateUserProcess-Post && NtCreateUserProcess-Nativo

NtCreateUserProcess con CsrClientCallServer para la versión principal de Windows x64.

Vuelva a implementar esto: NtCreateUserProcess->BasepConstructSxsCreateProcessMessage->
->CsrCaptureMessageMultiUnicodeStringsInPlace->CsrClientCallServer

¡Este proyecto podría ser inútil, sin embargo, también es útil aprender!

Intentaré corregir algunos errores conocidos. Cualquier pregunta, sugerencia o extracción será bienvenida :)
Principalmente intentaré admitir TODAS las versiones de Windows x64 desde Win 7 hasta Win 11.

NtCreateUserProcess-Native admite redireccionamiento de E/S estándar.
NtCreateUserProcess-Native es la edición nativa que elimina BasepConstructSxsCreateProcessMessage, RtlCreateProcessParametersEx, CsrCaptureMessageMultiUnicodeStringsInPlace... ¿simplemente evita cualquier enlace de función?

NtCreateUserProcess-Native se crea para OPSEC, propósito de RedTeam.
He habilitado CFG en la configuración del proyecto NtCreateUserProcess-Native.

No hay ningún plan para admitir el paquete AppX en este proyecto.
Casi he terminado la ingeniería inversa de CreateProcessInternalW de Windows 21H*,
pero se requieren algunas mejoras, estructura, tipo de datos..., necesito más tiempo...
Pruebe CreateProcessInternalW-Full en su lugar
Espero que el proyecto CreateProcessInternalW posterior le ayude a adquirir conocimientos y comprensión diferentes.
que se reimplementa para admitir AppX, RaiseError de 16 bits, archivos .bat && .cmd.

Ingeniería inversa

Después del lanzamiento de Direct-NtCreateUserProcess y el artículo de D0pam1ne705,
Creo que también debería compartir mis resultados de ingeniería inversa de CreateProcessInternalW (no es necesario mantenerlo privado).
A diferencia de su ruta inversa, no depuré el kernel ALPC y csrss.exe,
pero depende principalmente del IDA y del parámetro de análisis de memoria.

Ejemplo

NtCreateUserProcess-Post.exe (ImagePath)
(¿NtCreateUserProcess-Post temporalmente obsoleto??? Soy vago...ovO)
(El valor predeterminado es C:WindowsSystem32dfrgui.exe sin ImagePath especial)
(1) NtCreateUserProcess-Post.exe
(2) NtCreateUserProcess-Post.exe C:WindowsSystem32notepad.exe
(3) NtCreateUserProcess-Post.exe C:WindowsSystem32taskmgr.exe
(4) NtCreateUserProcess-Post.exe "C: Archivos de programa (x86) MicrosoftEdgeApplicationmsedge.exe"
etcétera...
C:WindowsSystem32DisplaySwitch.exe
"C:Archivos de programaGoogleChromeApplicationchrome.exe"
C:WindowsSystem32Magnify.exe
......

NtCreateUserProcess-Native.exe (-c ImagePath) (-i InteractType)
(¡La redirección de E/S de archivos estándar ya es compatible con NtCreateUserProcess-Native!)

-i 0: (Predeterminado) No se utilizará ningún modo de interacción, como CREATE_NEW_CONSOLE
-i 1: StdHandle a través de AttributeList, como bInheritHandles = FALSE
-i 2: Establezca ProcessParameters Std Input,Output,OutError con el valor CurrentProcessParameters, como bInheritHandles = TRUE

(El valor predeterminado es C:WindowsSystem32dfrgui.exe sin un argumento especial)
(1) NtCreateUserProcess-Native.exe
(2) NtCreateUserProcess-Native.exe -c C:Windowssystem32cmd.exe -i 1
(3) NtCreateUserProcess-Native.exe -c "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe" -i 2
(4) NtCreateUserProcess-Native.exe -c "C: Archivos de programaGoogleChromeApplicationchrome.exe" -i 0
......

Mi entorno de construcción

Visual Studio 2022 (Visual Studio 2019 debería funcionar)
Lanzamiento x64

BasepConstructSxsCreateProcessMessage???

Bueno, si crees que esto es complejo y redundante, prueba la edición nativa NtCreateUserProcess-Native.

Probado en (solo x64):

Aviso: en Windows 11, notepad.exe es AppX, por lo que no funciona
Ventanas 11 23H2 Insider x64 (26020.1000)
Ventanas 11 21H2 x64 (22000.613)
Ventanas 10 21H2 x64 (19044.1706)
Ventanas 10 21H1 x64 (19043.1023)
Ventanas 10 2004 x64 (19041.264)
Ventanas 10 1909 x64 (18363.2274)
Servidor Windows 2019 x64 (17763.107)
Ventanas 10 1709 x64 (16299.125)
Ventanas 10 1703 x64 (15063.2078)
Servidor Windows 2016 x64 (14393.5066)
Ventanas 10 1607 x64 (14393.447)
Ventanas 10 1511 x64 (10586.164)
Ventanas 10 1507 x64 (10240)
Servidor Windows 2012 R2 x64 (9600)
Servidor Windows 2012 x64 (9200)
Servidor Windows 2008 R2 x64 (7601)
Windows 7 SP1 x64 (7601)
Servidor Windows 2008 R2 x64 (7600)
Servidor Windows 2008 x64 (6002)
Windows Vista SP2 x64 (6002)
Windows Vista x64 (6000)

Referencias y créditos

1: https://github.com/Microwave89/createuserprocess
2: https://github.com/PorLaCola25/PPID-Spoofing
3: https://github.com/processhacker/processhacker
4: https://www.geoffchappell.com/studies/windows/win32/csrsrv/api/apireqst/api_msg.htm
5: https://github.com/leecher1337/ntvdmx64
6: https://github.com/klezVirus/SysWhispers3
7: https://bbs.pediy.com/thread-207429.htm
8: https://doxygen.reactos.org
9: https://github.com/waleedassar/NativeDebugger
10: https://stackoverflow.com/questions/69599435/running-programs-using-rtlcreateuserprocess-only-works-occasionally
11: https://medium.com/philip-tsukerman/activation-contexts-a-love-story-5f57f82bccd
12: https://github.com/ShashankKumarSaxena/nt5src
13: https://github.com/D4stiny/spectre
14: https://github.com/x64dbg/TitanEngine
15: https://github.com/x64dbg/ScyllaHide
16: https://github.com/deroko/activationcontext
17: https://medium.com/philip-tsukerman/activation-contexts-a-love-story-5f57f82bccd
18: https://wasm.in/threads/csrclientcallserver-v-windows-7.29743/
19: https://bbs.csdn.net/topics/360229611
20: https://www.exploit-db.com/exploits/46712
11: https://googleprojectzero.github.io/0days-in-the-wild/0day-RCAs/2020/CVE-2020-1027.html
22: https://ii4gsp.tistory.com/288
23: https://www.unknowncheats.me/forum/c-and-c-/121045-ntdll-module-callback.html

Expandir
Información adicional
Aplicaciones relacionadas
Recomendado para ti
Información relacionada Todo