NtCreateUserProcess Post
1.0.0
NtCreateUserProcess 和 CsrClientCallServer 適用於主流 Windows x64 版本。
重新實作: NtCreateUserProcess->BasepConstructSxsCreateProcessMessage->
->CsrCaptureMessageMultiUnicodeStringsInPlace->CsrClientCallServer
這個項目可能沒什麼用,但學習起來也很有用!
我會嘗試修復一些已知的錯誤,歡迎任何問題、建議和拉動:)
我將主要嘗試支援從 win 7 到 win 11 的所有 Windows x64 版本。
NtCreateUserProcess-Native 支援標準 IO 重定向。
NtCreateUserProcess-Native 是本機版本,刪除了 BasepConstructSxsCreateProcessMessage、RtlCreateProcessParametersEx、CsrCaptureMessageMultiUnicodeStringsInPlace... 只是封鎖任何函數掛鉤?
NtCreateUserProcess-Native 是為了 OPSEC、RedTeam 目的而建立的。
我已在 NtCreateUserProcess-Native Project Settings 中啟用 CFG。
本項目沒有計劃支援AppX Package。
我即將完成 Windows 21H* 的 CreateProcessInternalW 的逆向工程,
但需要一些改進,結構,資料類型...,我需要更多時間...
嘗試使用 CreateProcessInternalW-Full 代替
希望後面的CreateProcessInternalW計畫能幫助你獲得不一樣的知識與理解,
重新實作以支援 AppX、16 位元 RaiseError、.bat && .cmd 檔案。
在 Direct-NtCreateUserProcess 和 D0pam1ne705 的文章發布後,
我想我也應該分享我的 CreateProcessInternalW 逆向工程結果(無需保密)。
與他的反向路線不同,我沒有對ALPC和csrss.exe進行核心調試,
但主要取決於IDA和記憶體分析參數。
NtCreateUserProcess-Post.exe(映像路徑)
(NtCreateUserProcess-Post 暫時棄用???我很懶......ovO)
(預設為C:WindowsSystem32dfrgui.exe,無特殊ImagePath)
(1)NtCreateUserProcess-Post.exe
(2) NtCreateUserProcess-Post.exe C:WindowsSystem32notepad.exe
(3) NtCreateUserProcess-Post.exe C:WindowsSystem32taskmgr.exe
(4) NtCreateUserProcess-Post.exe “C:Program Files (x86)MicrosoftEdgeApplicationmsedge.exe”
等等...
C:WindowsSystem32DisplaySwitch.exe
“C:Program FilesGoogleChromeApplicationchrome.exe”
C:WindowsSystem32Magnify.exe
.....
NtCreateUserProcess-Native.exe (-c ImagePath) (-i InteractType)
(NtCreateUserProcess-Native 已支援標準文件 IO 重定向!)
-i 0:(預設)不會使用任何互動模式,例如 CREATE_NEW_CONSOLE
-i 1:透過 AttributeList 的 StdHandle,如 bInheritHandles = FALSE
-i 2:使用 CurrentProcessParameters 值設定 ProcessParameters Std 輸入、輸出、OutError,例如 bInheritHandles = TRUE
(預設為C:WindowsSystem32dfrgui.exe,無需特殊參數)
(1)NtCreateUserProcess-Native.exe
(2) NtCreateUserProcess-Native.exe -c C:Windowssystem32cmd.exe -i 1
(3)NtCreateUserProcess-Native.exe -c "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe" -i 2
(4) NtCreateUserProcess-Native.exe -c "C:Program FilesGoogleChromeApplicationchrome.exe" -i 0
.....
Visual Studio 2022(Visual Studio 2019 應該可以)
釋放x64
好吧,如果您認為這個複雜且多餘,請嘗試本機版NtCreateUserProcess-Native
注意:在 Windows 11 上,notepad.exe 是 AppX,因此它不起作用
Windows 11 23H2 Insider x64 (26020.1000)
Windows 11 21H2 x64 (22000.613)
Windows 10 21H2 x64 (19044.1706)
Windows 10 21H1 x64 (19043.1023)
Windows 10 2004 x64 (19041.264)
Windows 10 1909 x64 (18363.2274)
Windows Server 2019 x64 (17763.107)
Windows 10 1709 x64 (16299.125)
Windows 10 1703 x64 (15063.2078)
Windows Server 2016 x64 (14393.5066)
Windows 10 1607 x64 (14393.447)
Windows 10 1511 x64 (10586.164)
Windows 10 1507 x64 (10240)
Windows Server 2012 R2 x64 (9600)
Windows Server 2012 x64 (9200)
Windows Server 2008 R2 x64 (7601)
Windows 7 SP1 x64 (7601)
Windows Server 2008 R2 x64(7600)
Windows Server 2008 x64(6002)
Windows Vista SP2 x64 (6002)
Windows Vista x64 (6000)
1:https://github.com/Microwave89/createuserprocess
2:https://github.com/PorLaCola25/PPID-Spoofing
3:https://github.com/processhacker/processhacker
4:https://www.geoffchappell.com/studies/windows/win32/csrsrv/api/apireqst/api_msg.htm
5:https://github.com/leecher1337/ntvdmx64
6:https://github.com/klezVirus/SysWhispers3
7:https://bbs.pediy.com/thread-207429.htm
8:https://doxygen.reactos.org
9:https://github.com/waleedassar/NativeDebugger
10:https://stackoverflow.com/questions/69599435/running-programs-using-rtlcreateuserprocess-only-works-occasionally
11: https://medium.com/philip-tsukerman/activation-contexts-a-love-story-5f57f82bccd
12:https://github.com/ShashankKumarSaxena/nt5src
13:https://github.com/D4stiny/spectre
14:https://github.com/x64dbg/TitanEngine
15:https://github.com/x64dbg/ScyllaHide
16: https://github.com/deroko/activationcontext
17: https://medium.com/philip-tsukerman/activation-contexts-a-love-story-5f57f82bccd
18: https://wasm.in/threads/csrclientcallserver-v-windows-7.29743/
19:https://bbs.csdn.net/topics/360229611
20:https://www.exploit-db.com/exploits/46712
11:https://googleprojectzero.github.io/0days-in-the-wild/0day-RCAs/2020/CVE-2020-1027.html
22:https://ii4gsp.tistory.com/288
23:https://www.unknowncheats.me/forum/c-and-c-/121045-ntdll-module-callback.html
