(此方案完全可行,只是我忘掉了一步)
虽然Vista之后版本有进程创建回调函数的Ex版,而且Ex版可以拦截进程创建,
但是由于在Ex版回调函数内用第三个参数的最后一个元素来阻止进程创建的话,可能会出现弹框,所以不安全,所以这个方案可行性不高。
(这里说的不安全,是说可以被用户层看到这个弹框,可以被发现,处理麻烦,如果是用户自己设置的拦截,那么根本不需要通知用户,如果是我们自己做拦截,就不该让用户发现,
不管怎么说,这个弹框都是不应该出现的。)
所以,我想了这个方案,不知道是否可行,先纪录下这个方案。
步骤:
1:注册进程创建回调,以及镜像加载回调,普通版本就可以了,不需要Ex版,这样从XP开始的所有版本就都兼容了。
2:当一个进程被创建的时候,进程创建回调会被调用,而且create参数应该为 1,
这时,纪录进程的全部信息,保存在安全的位置(设备扩展),由于进程可能很多,所以需要用链表
要保存的信息包括,进程ID,进程文件路径,以及一个进程创建标志flage,可以设置为0
3:进程创建回调被调用之后,紧接着被调用的就是镜像加载回调,而第一个被加载的镜像,就是那个可执行文件,
也就是说,当镜像加载回调被触发的时候,根据进程ID,去设备扩展里面的链表中找到这个进程ID,判断它的flage是否为0
如果为0的话,修改flage为1,标志已经被处理过了(安全起见也可以判断镜像名字)
镜像加载回调的第三个参数可以得到镜像基址,根据基址,然后分析一下PE,得到OEP的RVA,加上基址,得到VA,
这里是重点,把VA的第一个字节数据记录下来,保存在链表中,然后修改VA的第一个字节为 C3 ,也就是 retn
这样,可以保证,进程的主线程刚刚启动,就返回了
为什么要保存VA的数据,这就是下面说的
(一般来说,其实可以用类似 0x00400000 这种默认的建议加载地址来做判断可执行文件的镜像基址的,
但是这样做不安全,因为可执行文件也可以有重定向表,这样基址就是可变的了,所以还是需要用第一次加载的方式,来寻找可执行文件的镜像基址)
4:由于执行进程创建回调、镜像加载回调的时候,镜像只是被映射到了内存,并不是被写入到内存中的,所以对内存的修改会直接影响到可执行文件
这时,就要对原始文件做一个修复,
修复的时机就是在进程退出的时候,也就是进程加载回调第二次被调用的时候,也就是create参数为0的时候,根据当前进程ID,去设备扩展里面寻找进程路径
根据分析PE文件,得到OEP的RVA,然后找到它的位置,修改第一字节,第一字节是什么?前面已经记录下来了。
到此为止,一套使用进程回调来拦截进程的工作就完成了。
这只是个构想,不知道能否实现,准备验证一下。