📄 788.html
字号:
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html>
<head>
<title>安全稳定的实现进线程监控 </title>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<meta name="Keywords" content="安全焦点, xfocus, 陷阱网络, honeynet, honeypot, 调查取证, forensic, 入侵检测, intrusion detection, 无线安全, wireless security, 安全论坛, security forums, 安全工具, security tools, 攻击程序, exploits, 安全公告, security advisories, 安全漏洞, security vulnerabilities, 安全教程, security tutorials, 安全培训, security training, 安全帮助, security help, 安全标准, security standards, 安全代码, security code, 安全资源, security resources, 安全编程, security programming, 加密, cryptography," />
<link rel="stylesheet" href="../../css/plone.css" type="text/css">
</head>
<body bgcolor="#FFFFFF" text="#000000">
<div class="top">
<div class="searchBox">
<form name="searchform" action="http://www.google.com/search" method="get">
<input type="hidden" name="domains" value="www.xfocus.net">
<input type="hidden" name="sitesearch" value="www.xfocus.net">
<input type="text" name="q" size="20">
<input type="submit" name="btnG" value="Google Search">
</form>
</div>
<img src="../../images/logo.gif" border="0" width="180" height="80" alt="xfocus logo">
<img src="../../images/title.gif" border="0" width="230" height="20" alt="xfocus title">
</div>
<div class="tabs">
<a href="../../index.html" class="plain">首页</a>
<a href="../../releases/index.html" class="plain">焦点原创</a>
<a href="../../articles/index.html" class="selected">安全文摘</a>
<a href="../../tools/index.html" class="plain">安全工具</a>
<a href="../../vuls/index.html" class="plain">安全漏洞</a>
<a href="../../projects/index.html" class="plain">焦点项目</a>
<a href="https://www.xfocus.net/bbs/index.php?lang=cn" class="plain">焦点论坛</a>
<a href="../../about/index.html" class="plain">关于我们</a>
</div>
<div class="personalBar">
<a href='https://www.xfocus.net/php/add_article.php'>添加文章</a> <a href='http://www.xfocus.org/'>English Version</a>
</div>
<table class="columns">
<tr>
<td class="left">
<div class="box">
<h5> 文章分类 </h5>
<div class="body">
<div class="content odd">
<div style="white-space: nowrap;">
<img src='../../images/folder_icon.gif' border='0'> <a href='../../articles/4.html'>专题文章</a><br><img src='../../images/folder_icon.gif' border='0'> <a href='../../articles/2.html'>漏洞分析</a><br><img src='../../images/folder_icon.gif' border='0'> <a href='../../articles/3.html'>安全配置</a><br><img src='../../images/folder_icon.gif' border='0'> <a href='../../articles/1.html'>黑客教学</a><br><img src='../../images/folder_icon.gif' border='0'> <a href='../../articles/5.html'><b>编程技术 <<</b></a><br><img src='../../images/folder_icon.gif' border='0'> <a href='../../articles/7.html'>工具介绍</a><br><img src='../../images/folder_icon.gif' border='0'> <a href='../../articles/6.html'>火墙技术</a><br><img src='../../images/folder_icon.gif' border='0'> <a href='../../articles/8.html'>入侵检测</a><br><img src='../../images/folder_icon.gif' border='0'> <a href='../../articles/9.html'>破解专题</a><br><img src='../../images/folder_icon.gif' border='0'> <a href='../../articles/11.html'>焦点公告</a><br><img src='../../images/folder_icon.gif' border='0'> <a href='../../articles/12.html'>焦点峰会</a><br>
</div>
</div>
</div>
</div>
<div class="box">
<h5> 文章推荐 </h5>
<div class="body">
<div class="content odd">
<img src='../../images/document_icon.gif' border='0'> <a href='../../articles/200408/733.html'>补丁管理最佳安全实践之资产评估</a><br><img src='../../images/document_icon.gif' border='0'> <a href='../../articles/200404/689.html'>国内网络安全风险评估市场与技术操作</a><br><img src='../../images/document_icon.gif' border='0'> <a href='../../articles/200410/743.html'>协作的信息系统风险评估</a><br>
</div>
</div>
</div>
</td>
<td class="main">
<h1>安全稳定的实现进线程监控</h1><br>创建时间:2005-03-24<br>文章属性:原创<br>文章提交:<a href='https://www.xfocus.net/bbs/index.php?lang=cn&act=Profile&do=03&MID=35303'>suei8423</a> (suei8423_at_163.com)<br><br>安全稳定的实现进线程监控<br />
<br />
作者:ZwelL<br />
<br />
用PsSetCreateProcessNotifyRoutine,PsSetCreateThreadNotifyRoutine来进行进程线程监控我想大家已经都非常熟练了.sinister在<<编写进程/线程监视器>>一文中已经实现得很好了.前一段时间看到网上有人在研究监视远线程的文章,比较有意思.就写代码玩一玩.这之中就出现了一些问题.比方说直接用sinister的代码的话,是不能动态卸载的,因为他在安装了进线程监视函数后没有进行清除动作,造成在动态卸载时蓝屏,BUGCHECK为0x000000ce,错误码为:DRIVER_UNLOADED_WITHOUT_CANCELLING_PENDING_OPERATIONS.很显然,在驱动退出后,一些进线程操作仍然在访问原来的地址,造成出错.在XP后,微软给出了一个函数PsRemoveCreateThreadNotifyRoutine用来清除线程监视函数(清除进程监视的就是PsSetCreateProcessNotifyRoutine).我一直奇怪ICESWORD在2000中是怎么做到进线程监视的.后来才发现,在运行icesword后释放出一个detport.sys文件,然后一直在系统中存在着没有卸载掉.只是把它隐藏了而已^_^.这不是个好消息,难道我为了测试一个驱动,测试一次就得重启一次吗?呵呵,肯定不是啊,所以想办法搞定它.<br />
<br />
我们来看一下进线程监视在底层是如何实现的,在win2000源代码中先找到创建线程的函数实现:<br />
//////////////////////////////////////////////////////////////////////////////////////////////////////<br />
//<br />
// \win2k\private\ntos\ps\create.h<br />
//<br />
//////////////////////////////////////////////////////////////////////////////////////////////////////<br />
NTSTATUS<br />
PspCreateThread(<br />
...<br />
...<br />
)<br />
{<br />
...<br />
if (PspCreateProcessNotifyRoutineCount != 0) { //首先调用进程监控函数<br />
ULONG i;<br />
for (i=0; i<PSP_MAX_CREATE_PROCESS_NOTIFY; i++) {<br />
if (PspCreateProcessNotifyRoutine[i] != NULL) {<br />
(*PspCreateProcessNotifyRoutine[i])( Process->InheritedFromUniqueProcessId,<br />
Process->UniqueProcessId,<br />
TRUE<br />
);<br />
}<br />
}<br />
}<br />
<br />
}<br />
...<br />
...<br />
if (PspCreateThreadNotifyRoutineCount != 0) {<br />
ULONG i;<br />
<br />
for (i=0; i<PSP_MAX_CREATE_THREAD_NOTIFY; i++) { //再调用线程监控函数<br />
if (PspCreateThreadNotifyRoutine[i] != NULL) {<br />
(*PspCreateThreadNotifyRoutine[i])( Thread->Cid.UniqueProcess,<br />
Thread->Cid.UniqueThread,<br />
TRUE<br />
);<br />
}<br />
}<br />
}<br />
...<br />
...<br />
}<br />
<br />
从上面可以看到,在每创建一个线程后会调用PspCreateProcessNotifyRoutine[i]地址指向的函数.而PsSetCreateThreadNotifyRoutine的作用就是将PspCreateThreadNotifyRoutine[i]数组设置值,该值就是监视函数的地址.<br />
<br />
NTSTATUS<br />
PsSetCreateThreadNotifyRoutine(<br />
IN PCREATE_THREAD_NOTIFY_ROUTINE NotifyRoutine<br />
)<br />
{<br />
ULONG i;<br />
NTSTATUS Status;<br />
<br />
Status = STATUS_INSUFFICIENT_RESOURCES;<br />
for (i = 0; i < PSP_MAX_CREATE_THREAD_NOTIFY; i += 1) {<br />
if (PspCreateThreadNotifyRoutine[i] == NULL) {<br />
PspCreateThreadNotifyRoutine[i] = NotifyRoutine;<br />
PspCreateThreadNotifyRoutineCount += 1;<br />
Status = STATUS_SUCCESS;<br />
break;<br />
}<br />
}<br />
<br />
return Status;<br />
}<br />
上面的一些结构如下:<br />
//////////////////////////////////////////////////////////////////////////////////////////////////////<br />
//<br />
// \win2k\private\ntos\ps\psp.h<br />
//<br />
//////////////////////////////////////////////////////////////////////////////////////////////////////<br />
#define PSP_MAX_CREATE_THREAD_NOTIFY 8 //最大监视数目<br />
<br />
ULONG PspCreateThreadNotifyRoutineCount; //用来记数<br />
PCREATE_THREAD_NOTIFY_ROUTINE PspCreateThreadNotifyRoutine[ PSP_MAX_CREATE_THREAD_NOTIFY ]; //函数地址数组<br />
<br />
而PCREATE_THREAD_NOTIFY_ROUTINE定义如下:<br />
typedef<br />
VOID<br />
(*PCREATE_THREAD_NOTIFY_ROUTINE)(<br />
IN HANDLE ProcessId,<br />
IN HANDLE ThreadId,<br />
IN BOOLEAN Create<br />
);<br />
<br />
相应的,进程的结构也是一样的.<br />
通过上面,我们可以看到,只要我们找出该函数数组地址,在我们退出驱动时先将其全部清零,清零的大小为PSP_MAX_CREATE_THREAD_NOTIFY,<br />
这样的话下一次的进线程操作就不会调用这个函数指针了.也就让系统回到正常,我们再通过PsSetCreateProcessNotifyRoutine来验证一下:<br />
<br />
NTSTATUS<br />
PsSetCreateProcessNotifyRoutine(<br />
IN PCREATE_PROCESS_NOTIFY_ROUTINE NotifyRoutine,<br />
IN BOOLEAN Remove<br />
⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -