NtCreateUserProcess Post
1.0.0
NtCreateUserProcess с CsrClientCallServer для основной версии Windows x64.
Переопределите это: NtCreateUserProcess->BasepConstructSxsCreateProcessMessage->
->CsrCaptureMessageMultiUnicodeStringsInPlace->CsrClientCallServer
Этот проект может оказаться бесполезным, однако ему также полезно научиться!
Я постараюсь исправить некоторые известные ошибки. Любые вопросы, предложения и предложения приветствуются :)
В основном я буду стараться поддерживать ВСЕ версии Windows x64 от Win 7 до Win 11.
NtCreateUserProcess-Native поддерживает стандартное перенаправление ввода-вывода.
NtCreateUserProcess-Native — это Native Edition, в котором удаляются BasepConstructSxsCreateProcessMessage, RtlCreateProcessParametersEx, CsrCaptureMessageMultiUnicodeStringsInPlace... просто предотвращается перехват какой-либо функции?
NtCreateUserProcess-Native создан для целей OPSEC и RedTeam.
Я включил CFG в настройках проекта NtCreateUserProcess-Native.
В этом проекте не планируется поддерживать пакет AppX.
Я почти закончил обратное проектирование CreateProcessInternalW Windows 21H*,
но требуется несколько улучшений, структура, тип данных... мне нужно больше времени...
Вместо этого попробуйте CreateProcessInternalW-Full.
Надеюсь, что последующий проект CreateProcessInternalW поможет вам получить новые знания и понимание.
которые переопределяются для поддержки AppX, 16-битного файла RaiseError, .bat && .cmd.
После выпуска Direct-NtCreateUserProcess и статьи D0pam1ne705,
Думаю, мне также следует поделиться результатами обратного проектирования CreateProcessInternalW (нет необходимости хранить это в тайне).
В отличие от его обратного пути, я не проводил отладку ядра ALPC и csrss.exe,
но в основном зависит от IDA и параметра анализа памяти.
NtCreateUserProcess-Post.exe (ImagePath)
(NtCreateUserProcess-Post временно устарел??? Я ленив... ovO)
(По умолчанию — C:WindowsSystem32dfrgui.exe без специального ImagePath)
(1) NtCreateUserProcess-Post.exe
(2) NtCreateUserProcess-Post.exe C:WindowsSystem32notepad.exe
(3) NtCreateUserProcess-Post.exe C:WindowsSystem32taskmgr.exe
(4) NtCreateUserProcess-Post.exe «C:Program Files (x86)MicrosoftEdgeApplicationmsedge.exe»
и так далее...
C:WindowsSystem32DisplaySwitch.exe
«C:Program FilesGoogleChromeApplicationchrome.exe»
C:WindowsSystem32Magnify.exe
......
NtCreateUserProcess-Native.exe (-c ImagePath) (-i InteractType)
(Стандартное перенаправление ввода-вывода файлов уже поддерживается в NtCreateUserProcess-Native!)
-i 0: (по умолчанию) Ни один из режимов взаимодействия не будет использоваться, например CREATE_NEW_CONSOLE.
-i 1: StdHandle через AttributeList, например bInheritHandles = FALSE
-i 2: установить ProcessParameters Std Input, Output, OutError со значением CurrentProcessParameters, например bInheritHandles = TRUE
(По умолчанию — C:WindowsSystem32dfrgui.exe без специального аргумента)
(1) NtCreateUserProcess-Native.exe
(2) NtCreateUserProcess-Native.exe -c C:Windowssystem32cmd.exe -i 1
(3) NtCreateUserProcess-Native.exe -c «C:WindowsSystem32WindowsPowerShellv1.0powershell.exe» -i 2
(4) NtCreateUserProcess-Native.exe -c «C:Program FilesGoogleChromeApplicationchrome.exe» -i 0
......
Visual Studio 2022 (Visual Studio 2019 должна работать)
Релиз x64
Что ж, если вы считаете, что это сложно и избыточно, попробуйте Native Edition NtCreateUserProcess-Native.
Примечание. В Windows 11 notepad.exe — это AppX, поэтому он не работает.
Windows 11 23H2 Insider x64 (26020.1000)
Windows 11 21H2 x64 (22000.613)
Windows 10 21H2 x64 (19044.1706)
Windows 10 21H1 x64 (19043.1023)
Windows 10 2004 x64 (19041.264)
Windows 10 1909 x64 (18363.2274)
Windows Server 2019 x64 (17763.107)
Windows 10 1709 x64 (16299.125)
Windows 10 1703 x64 (15063.2078)
Windows Server 2016 x64 (14393.5066)
Windows 10 1607 x64 (14393.447)
Windows 10 1511 x64 (10586.164)
Windows 10 1507 x64 (10240)
Windows Server 2012 R2 x64 (9600)
Windows Сервер 2012 x64 (9200)
Windows Server 2008 R2 x64 (7601)
Windows 7 с пакетом обновления 1 x64 (7601)
Windows Server 2008 R2 x64 (7600)
Windows Server 2008 x64 (6002)
Windows Vista SP2 x64 (6002)
Windows Vista x64 (6000)
1: https://github.com/Microwave89/createuserprocess
2: https://github.com/PorLaCola25/PPID-Spoofing
3: https://github.com/processhacker/processhacker
4: https://www.geoffchappell.com/studies/windows/win32/csrsrv/api/apireqst/api_msg.htm
5: https://github.com/leecher1337/ntvdmx64
6: https://github.com/klezVirus/SysWhispers3
7: https://bbs.pediy.com/thread-207429.htm
8: https://doxygen.reactos.org
9: https://github.com/waleedassar/NativeDebugger
10: https://stackoverflow.com/questions/69599435/running-programs-using-rtlcreateuserprocess-only-works-иногда
11: https://medium.com/philip-tsukerman/activation-contexts-a-love-story-5f57f82bccd
12: https://github.com/ShashankKumarSaxena/nt5src
13: https://github.com/D4stiny/spectre
14: https://github.com/x64dbg/TitanEngine
15: https://github.com/x64dbg/ScyllaHide
16: https://github.com/deroko/activationcontext
17: https://medium.com/philip-tsukerman/activation-contexts-a-love-story-5f57f82bccd
18: https://wasm.in/threads/csrclientcallserver-v-windows-7.29743/
19: https://bbs.csdn.net/topics/360229611
20: https://www.exploit-db.com/exploits/46712
11: https://googleprojectzero.github.io/0days-in-the-wild/0day-RCA/2020/CVE-2020-1027.html.
22: https://ii4gsp.tistory.com/288
23: https://www.unknowncheats.me/forum/c-and-c-/121045-ntdll-module-callback.html
