NtCreateUserProcess Post
1.0.0
주류 Windows x64 버전용 CsrClientCallServer를 사용하는 NtCreateUserProcess.
이것을 다시 구현하십시오: NtCreateUserProcess->BasepConstructSxsCreateProcessMessage->
->CsrCaptureMessageMultiUnicodeStringsInPlace->CsrClientCallServer
이 프로젝트는 쓸모가 없을 수도 있지만 배우는 것도 유용합니다!
알려진 버그를 수정하려고 노력하겠습니다. 질문, 제안 및 끌어오기를 환영합니다 :)
나는 주로 win 7부터 win 11까지 모든 Windows x64 버전을 지원하려고 노력할 것입니다.
NtCreateUserProcess-Native는 표준 IO 리디렉션을 지원합니다.
NtCreateUserProcess-Native는 BasepConstructSxsCreateProcessMessage, RtlCreateProcessParametersEx, CsrCaptureMessageMultiUnicodeStringsInPlace를 제거하는 Native Edition입니다. 단지 함수 후크를 방지할 뿐입니다.
NtCreateUserProcess-Native는 OPSEC, RedTeam 목적으로 생성됩니다.
NtCreateUserProcess-Native 프로젝트 설정에서 CFG를 활성화했습니다.
이 프로젝트에서는 AppX 패키지를 지원할 계획이 없습니다.
Windows 21H*의 CreateProcessInternalW 리버스 엔지니어링이 거의 완료되었습니다.
하지만 몇 가지 개선, 구조, 데이터 유형... 필요합니다. 시간이 더 필요합니다...
대신 CreateProcessInternalW-Full을 사용해 보세요.
이후의 CreateProcessInternalW 프로젝트가 여러분이 다양한 지식과 이해를 얻는 데 도움이 되기를 바랍니다.
AppX, 16비트 raiseError, .bat && .cmd 파일을 지원하도록 다시 구현되었습니다.
Direct-NtCreateUserProcess 및 D0pam1ne705의 기사가 출시된 후,
CreateProcessInternalW의 리버스 엔지니어링 결과도 공유해야 한다고 생각합니다(비공개로 유지할 필요는 없습니다).
그의 역방향 경로와 달리 ALPC 및 csrss.exe를 커널 디버그하지 않았습니다.
그러나 주로 IDA 및 메모리 분석 매개변수에 따라 달라집니다.
NtCreateUserProcess-Post.exe(이미지 경로)
(NtCreateUserProcess-Post가 일시적으로 사용되지 않음??? 게으르다...ovO)
(기본값은 특별한 ImagePath가 없는 C:WindowsSystem32dfrgui.exe입니다.)
(1) NtCreateUserProcess-Post.exe
(2) NtCreateUserProcess-Post.exe C:WindowsSystem32notepad.exe
(3) NtCreateUserProcess-Post.exe C:WindowsSystem32taskmgr.exe
(4) NtCreateUserProcess-Post.exe "C:Program Files (x86)MicrosoftEdgeApplicationmsedge.exe"
등...
C:WindowsSystem32DisplaySwitch.exe
"C:프로그램 파일GoogleChromeApplicationchrome.exe"
C:WindowsSystem32Magnify.exe
......
NtCreateUserProcess-Native.exe(-c ImagePath)(-i InteractType)
(표준 파일 IO 리디렉션은 이미 NtCreateUserProcess-Native에서 지원됩니다!)
-i 0: (기본값) CREATE_NEW_CONSOLE과 같은 상호 작용 모드가 사용되지 않습니다.
-i 1: bInheritHandles = FALSE와 같이 AttributeList를 통한 StdHandle
-i 2: bInheritHandles = TRUE와 같이 CurrentProcessParameters 값으로 ProcessParameters Std Input,Output,OutError를 설정합니다.
(기본값은 특별한 인수 없이 C:WindowsSystem32dfrgui.exe입니다)
(1) NtCreateUserProcess-Native.exe
(2) NtCreateUserProcess-Native.exe -c C:Windowssystem32cmd.exe -i 1
(3) NtCreateUserProcess-Native.exe -c "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe" -i 2
(4) NtCreateUserProcess-Native.exe -c "C:Program FilesGoogleChromeApplicationchrome.exe" -i 0
......
Visual Studio 2022(Visual Studio 2019가 작동해야 함)
릴리스 x64
글쎄요, 이것이 복잡하고 중복된다고 생각한다면 Native Edition NtCreateUserProcess-Native를 사용해 보세요.
주의 사항: Windows 11에서는 notepad.exe가 AppX이므로 작동하지 않습니다.
윈도우 11 23H2 인사이더 x64(26020.1000)
윈도우 11 21H2 x64(22000.613)
윈도우 10 21H2 x64(19044.1706)
윈도우 10 21H1 x64(19043.1023)
윈도우 10 2004 x64(19041.264)
윈도우 10 1909 x64(18363.2274)
윈도우 서버 2019 x64(17763.107)
윈도우 10 1709 x64(16299.125)
윈도우 10 1703 x64(15063.2078)
윈도우 서버 2016 x64(14393.5066)
윈도우 10 1607 x64(14393.447)
윈도우 10 1511 x64(10586.164)
윈도우 10 1507 x64(10240)
윈도우 서버 2012 R2 x64(9600)
윈도우 서버 2012 x64(9200)
윈도우 서버 2008 R2 x64(7601)
윈도우 7 SP1 x64(7601)
윈도우 서버 2008 R2 x64(7600)
윈도우 서버 2008 x64(6002)
윈도우 비스타 SP2 x64(6002)
윈도우 비스타 x64(6000)
1: https://github.com/Microwave89/createuserprocess
2: https://github.com/PorLaCola25/PPID-Spoofing
3: https://github.com/processhacker/processhacker
4: https://www.geoffchappell.com/studies/windows/win32/csrsrv/api/apireqst/api_msg.htm
5: https://github.com/leecher1337/ntvdmx64
6: https://github.com/klezVirus/SysWhispers3
7: https://bbs.pediy.com/thread-207429.htm
8: https://doxygen.reactos.org
9: https://github.com/waleedassar/NativeDebugger
10: https://stackoverflow.com/questions/69599435/running-programs-using-rtlcreateuserprocess-only-works-occasional
11: https://medium.com/philip-tsukerman/activation-contexts-a-love-story-5f57f82bccd
12: https://github.com/ShashankKumarSaxena/nt5src
13: https://github.com/D4stiny/spectre
14: https://github.com/x64dbg/TitanEngine
15: https://github.com/x64dbg/ScyllaHide
16: https://github.com/deroko/activationcontext
17: https://medium.com/philip-tsukerman/activation-contexts-a-love-story-5f57f82bccd
18: https://wasm.in/threads/csrclientcallserver-v-windows-7.29743/
19: https://bbs.csdn.net/topics/360229611
20: https://www.exploit-db.com/exploits/46712
11: https://googleprojectzero.github.io/0days-in-the-wild/0day-RCA/2020/CVE-2020-1027.html
22: https://ii4gsp.tistory.com/288
23: https://www.unknowncheats.me/forum/c-and-c-/121045-ntdll-module-callback.html
