NtCreateUserProcess Post
1.0.0
NtCreateUserProcess dengan CsrClientCallServer untuk versi mainstream Windows x64.
Terapkan kembali ini: NtCreateUserProcess->BasepConstructSxsCreateProcessMessage->
->CsrCaptureMessageMultiUnicodeStringsInPlace->CsrClientCallServer
Proyek ini mungkin tidak ada gunanya, namun juga berguna untuk dipelajari!
Saya akan mencoba memperbaiki beberapa bug yang diketahui, Setiap pertanyaan, saran, dan penarikan diterima :)
Saya terutama akan mencoba mendukung SEMUA versi Windows x64 dari win 7 hingga win 11.
NtCreateUserProcess-Native mendukung Pengalihan IO Standar.
NtCreateUserProcess-Native adalah Edisi Asli yang menghapus BasepConstructSxsCreateProcessMessage, RtlCreateProcessParametersEx, CsrCaptureMessageMultiUnicodeStringsInPlace... hanya mencegah kaitan fungsi apa pun?
NtCreateUserProcess-Native dibuat untuk OPSEC, tujuan RedTeam.
Saya telah mengaktifkan CFG di Pengaturan Proyek NtCreateUserProcess-Native.
Tidak ada rencana untuk mendukung Paket AppX dalam proyek ini.
Saya hampir menyelesaikan Rekayasa Balik CreateProcessInternalW Windows 21H*,
tetapi beberapa perbaikan, struktur, tipe data... diperlukan, saya perlu lebih banyak waktu...
Coba CreateProcessInternalW-Full sebagai gantinya
Semoga proyek CreateProcessInternalW nantinya dapat membantu Anda mendapatkan pengetahuan dan pemahaman yang berbeda,
yang diimplementasikan ulang untuk mendukung AppX, RaiseError 16 bit, File .bat && .cmd.
Setelah rilis Direct-NtCreateUserProcess dan artikel oleh D0pam1ne705,
Saya rasa saya juga harus membagikan hasil Rekayasa Terbalik dari CreateProcessInternalW (tidak perlu merahasiakannya).
Berbeda dengan rute sebaliknya, saya tidak melakukan debug kernel ALPC dan csrss.exe,
tetapi terutama bergantung pada IDA dan parameter analisis memori.
NtCreateUserProcess-Post.exe (Jalur Gambar)
(NtCreateUserProcess-Post Tidak Digunakan Lagi Sementara??? Saya malas...ovO)
(Defaultnya adalah C:WindowsSystem32dfrgui.exe tanpa ImagePath khusus)
(1) NtCreateUserProcess-Post.exe
(2) NtCreateUserProcess-Post.exe C:WindowsSystem32notepad.exe
(3) NtCreateUserProcess-Post.exe C:WindowsSystem32taskmgr.exe
(4) NtCreateUserProcess-Post.exe "C:Program Files (x86)MicrosoftEdgeApplicationmsedge.exe"
dan sebagainya...
C:WindowsSystem32DisplaySwitch.exe
"C:Program FilesGoogleChromeApplicationchrome.exe"
C:WindowsSystem32Magnify.exe
......
NtCreateUserProcess-Native.exe (-c ImagePath) (-i InteractType)
(Pengalihan IO File Standar sudah didukung di NtCreateUserProcess-Native!)
-i 0: (Default) Tidak ada mode interaksi apa pun yang akan digunakan, seperti CREATE_NEW_CONSOLE
-i 1: StdHandle melalui AttributeList, seperti bInheritHandles = FALSE
-i 2: Tetapkan ProcessParameters Std Input,Output,OutError dengan Nilai CurrentProcessParameters, seperti bInheritHandles = TRUE
(Defaultnya adalah C:WindowsSystem32dfrgui.exe tanpa Argumen khusus)
(1) NtCreateUserProcess-Native.exe
(2) NtCreateUserProcess-Native.exe -c C:Windowssystem32cmd.exe -i 1
(3) NtCreateUserProcess-Native.exe -c "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe" -i 2
(4) NtCreateUserProcess-Native.exe -c "C:Program FilesGoogleChromeApplicationchrome.exe" -i 0
......
Visual Studio 2022 (Visual Studio 2019 seharusnya berfungsi)
Lepaskan x64
Nah, jika menurut Anda yang ini rumit dan berlebihan, Coba Edisi Asli NtCreateUserProcess-Native
Perhatian: Di Windows 11 notepad.exe adalah AppX sehingga tidak berfungsi
Windows 11 23H2 Insider x64 (26020.1000)
Windows 11 21H2 x64 (22000.613)
Windows 10 21H2 x64 (19044.1706)
Windows 10 21H1 x64 (19043.1023)
Windows 10 2004x64 (19041.264)
Windows 10 1909x64 (18363.2274)
WindowsServer 2019x64 (17763.107)
jendela 10 1709x64 (16299.125)
jendela 10 1703x64 (15063.2078)
WindowsServer 2016x64 (14393.5066)
jendela 10 1607x64 (14393.447)
jendela 10 1511x64 (10586.164)
jendela 10 1507x64 (10240)
Windows Server 2012 R2 x64 (9600)
WindowsServer 2012x64 (9200)
Windows Server 2008 R2 x64 (7601)
Windows 7 SP1x64 (7601)
WindowsServer 2008 R2 x64 (7600)
WindowsServer 2008x64 (6002)
Windows Vista SP2 x64 (6002)
Windows Vistax64 (6000)
1: https://github.com/Microwave89/createuserprocess
2: https://github.com/PorLaCola25/PPID-Spoofing
3: https://github.com/processhacker/processhacker
4: https://www.geoffchappell.com/studies/windows/win32/csrsrv/api/apireqst/api_msg.htm
5: https://github.com/leecher1337/ntvdmx64
6: https://github.com/klezVirus/SysWhispers3
7: https://bbs.pediy.com/thread-207429.htm
8: https://doxygen.reactos.org
9: https://github.com/waleedassar/NativeDebugger
10: https://stackoverflow.com/questions/69599435/running-programs-using-rtlcreateuserprocess-only-works-occasionally
11: https://medium.com/philip-tsukerman/activation-contexts-a-love-story-5f57f82bccd
12: https://github.com/ShashankKumarSaxena/nt5src
13: https://github.com/D4stiny/spectre
14: https://github.com/x64dbg/TitanEngine
15: https://github.com/x64dbg/ScyllaHide
16: https://github.com/deroko/activationcontext
17: https://medium.com/philip-tsukerman/activation-contexts-a-love-story-5f57f82bccd
18: https://wasm.in/threads/csrclientcallserver-v-windows-7.29743/
19: https://bbs.csdn.net/topics/360229611
20: https://www.exploit-db.com/exploits/46712
11: https://googleprojectzero.github.io/0days-in-the-wild/0day-RCAs/2020/CVE-2020-1027.html
22: https://ii4gsp.tistory.com/288
23: https://www.unknowncheats.me/forum/c-and-c-/121045-ntdll-module-callback.html
