NtCreateUserProcess Post
1.0.0
NtCreateUserProcess 和 CsrClientCallServer 适用于主流 Windows x64 版本。
重新实现: NtCreateUserProcess->BasepConstructSxsCreateProcessMessage->
->CsrCaptureMessageMultiUnicodeStringsInPlace->CsrClientCallServer
这个项目可能没什么用,但学习起来也很有用!
我会尝试修复一些已知的错误,欢迎任何问题、建议和拉动:)
我将主要尝试支持从 win 7 到 win 11 的所有 Windows x64 版本。
NtCreateUserProcess-Native 支持标准 IO 重定向。
NtCreateUserProcess-Native 是本机版本,删除了 BasepConstructSxsCreateProcessMessage、RtlCreateProcessParametersEx、CsrCaptureMessageMultiUnicodeStringsInPlace... 只是阻止任何函数挂钩?
NtCreateUserProcess-Native 是为了 OPSEC、RedTeam 目的而创建的。
我已在 NtCreateUserProcess-Native Project Settings 中启用 CFG。
本项目没有计划支持AppX Package。
我即将完成 Windows 21H* 的 CreateProcessInternalW 的逆向工程,
但需要一些改进,结构,数据类型...,我需要更多时间...
尝试使用 CreateProcessInternalW-Full 代替
希望后面的CreateProcessInternalW项目能够帮助你获得不一样的知识和理解,
重新实现以支持 AppX、16 位 RaiseError、.bat && .cmd 文件。
在 Direct-NtCreateUserProcess 和 D0pam1ne705 的文章发布后,
我想我还应该分享我的 CreateProcessInternalW 逆向工程结果(无需保密)。
与他的反向路线不同,我没有对ALPC和csrss.exe进行内核调试,
但主要取决于IDA和内存分析参数。
NtCreateUserProcess-Post.exe(图像路径)
(NtCreateUserProcess-Post 暂时弃用???我很懒......ovO)
(默认为C:WindowsSystem32dfrgui.exe,无特殊ImagePath)
(1)NtCreateUserProcess-Post.exe
(2) NtCreateUserProcess-Post.exe C:WindowsSystem32notepad.exe
(3) NtCreateUserProcess-Post.exe C:WindowsSystem32taskmgr.exe
(4) NtCreateUserProcess-Post.exe “C:Program Files (x86)MicrosoftEdgeApplicationmsedge.exe”
等等...
C:WindowsSystem32DisplaySwitch.exe
“C:Program FilesGoogleChromeApplicationchrome.exe”
C:WindowsSystem32Magnify.exe
......
NtCreateUserProcess-Native.exe (-c ImagePath) (-i InteractType)
(NtCreateUserProcess-Native 已支持标准文件 IO 重定向!)
-i 0:(默认)不会使用任何交互模式,例如 CREATE_NEW_CONSOLE
-i 1:通过 AttributeList 的 StdHandle,如 bInheritHandles = FALSE
-i 2:使用 CurrentProcessParameters 值设置 ProcessParameters Std 输入、输出、OutError,例如 bInheritHandles = TRUE
(默认为C:WindowsSystem32dfrgui.exe,无需特殊参数)
(1)NtCreateUserProcess-Native.exe
(2) NtCreateUserProcess-Native.exe -c C:Windowssystem32cmd.exe -i 1
(3)NtCreateUserProcess-Native.exe -c "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe" -i 2
(4) NtCreateUserProcess-Native.exe -c "C:Program FilesGoogleChromeApplicationchrome.exe" -i 0
......
Visual Studio 2022(Visual Studio 2019 应该可以)
释放x64
好吧,如果您认为这个复杂且多余,请尝试本机版NtCreateUserProcess-Native
注意:在 Windows 11 上,notepad.exe 是 AppX,因此它不起作用
Windows 11 23H2 Insider x64 (26020.1000)
Windows 11 21H2 x64 (22000.613)
Windows 10 21H2 x64 (19044.1706)
Windows 10 21H1 x64 (19043.1023)
Windows 10 2004 x64 (19041.264)
Windows 10 1909 x64 (18363.2274)
Windows Server 2019 x64 (17763.107)
Windows 10 1709 x64 (16299.125)
Windows 10 1703 x64 (15063.2078)
Windows Server 2016 x64 (14393.5066)
Windows 10 1607 x64 (14393.447)
Windows 10 1511 x64 (10586.164)
Windows 10 1507 x64 (10240)
Windows Server 2012 R2 x64 (9600)
Windows Server 2012 x64 (9200)
Windows Server 2008 R2 x64 (7601)
Windows 7 SP1 x64 (7601)
Windows Server 2008 R2 x64(7600)
Windows Server 2008 x64(6002)
Windows Vista SP2 x64 (6002)
Windows Vista x64 (6000)
1:https://github.com/Microwave89/createuserprocess
2:https://github.com/PorLaCola25/PPID-Spoofing
3:https://github.com/processhacker/processhacker
4:https://www.geoffchappell.com/studies/windows/win32/csrsrv/api/apireqst/api_msg.htm
5:https://github.com/leecher1337/ntvdmx64
6:https://github.com/klezVirus/SysWhispers3
7:https://bbs.pediy.com/thread-207429.htm
8:https://doxygen.reactos.org
9:https://github.com/waleedassar/NativeDebugger
10:https://stackoverflow.com/questions/69599435/running-programs-using-rtlcreateuserprocess-only-works-occasionally
11: https://medium.com/philip-tsukerman/activation-contexts-a-love-story-5f57f82bccd
12:https://github.com/ShashankKumarSaxena/nt5src
13:https://github.com/D4stiny/spectre
14:https://github.com/x64dbg/TitanEngine
15:https://github.com/x64dbg/ScyllaHide
16: https://github.com/deroko/activationcontext
17: https://medium.com/philip-tsukerman/activation-contexts-a-love-story-5f57f82bccd
18: https://wasm.in/threads/csrclientcallserver-v-windows-7.29743/
19:https://bbs.csdn.net/topics/360229611
20:https://www.exploit-db.com/exploits/46712
11:https://googleprojectzero.github.io/0days-in-the-wild/0day-RCAs/2020/CVE-2020-1027.html
22:https://ii4gsp.tistory.com/288
23:https://www.unknowncheats.me/forum/c-and-c-/121045-ntdll-module-callback.html
