Q&A
前提・実現したいこと
こんにちは、初めて質問させていただきます。
今セキュリティの勉強として、プロセス情報について学んでいます。
今回質問させていただくのはwindows apiのフックに関してです。
プロセスの起動時から情報を取得するために、windows apiのcreateprocess()をフックしたいと思っています。
もちろん基本的なプログラミングはできます。
いろいろ調べていくうちにフックの仕組みは理解はできたのですが、フックの手順がわかりません。
ほとんど丸投げで申し訳ないのですが、フックの具体的な手順や参考になるサイトを教えていただけたら幸いです。
どうかご回答の程よろしくお願いいたします。
[追記]
カーネルモードドライバ用のAPIを使用する回答をいただいたのですが、ドライバーの作成の知識がないため難航しています。
具体的なドライバの作成方法を教えていただくことはできないでしょうか。
またはドライバーの作成が難題であるため、ドライバーを作成せずにフックを行うことはできないのでしょうか。
回答お願いします。
回答1件
0
解説とサンプルコードが以下にあります。
「Detecting Windows NT/2K process execution」
https://www.codeproject.com/Articles/2018/Detecting-Windows-NT-2K-process-execution
ユーザ登録すればソースコードがダウンロードできます。
https://www.codeproject.com/KB/threads/procmon/ProcMon.zip
PsSetCreateProcessNotifyRoutine という API を使っているのですが カーネルモードで動作する API なのでドライバーを書く必要があるようです。
zip に含まれている ProcObsrv.sys がドライバーです。
APIのドキュメントはこちら
「PsSetCreateProcessNotifyRoutine function」
https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/ntddk/nf-ntddk-pssetcreateprocessnotifyroutine
「PCREATE_PROCESS_NOTIFY_ROUTINE callback function」
https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/ntddk/nc-ntddk-pcreate_process_notify_routine
ntddk.h と NtosKrnl.lib は WDK に入っていると思います。(未確認)
「Windows Driver Kit (WDK) のダウンロード」
https://docs.microsoft.com/ja-jp/windows-hardware/drivers/download-the-wdk
#追記
ドライバーの作り方については
「初めてのドライバーの作成」
https://docs.microsoft.com/ja-jp/windows-hardware/drivers/gettingstarted/writing-your-first-driver
を紹介しておきます。(私もわからないですし)
ドライバーを使わない方法だと
(1) DLL インジェクション
プログラムの IAT(Import Address Table) を書き換えて、自分で用意した関数を呼ばせます。
CreteProcess と GetProcAddress が対象になります。
現状、32bit/64bit プロセスが混在する環境があるので対応が難しいと思います。
(2) CreateWindow を捕まえてお茶を濁す。
SetWindowsHookEx で WH_CBT フックを行います。
「280_アプリの起動と終了を知る WH_CBT フック」
http://mrxray.on.coocan.jp/Delphi/plSamples/280_HookCBTActivate.htm
実際にやっているのは CreateWindow の補足で、起動を補足しているわけではないです。
Delphi で書かれてますが、使っている API は参考になるかと。
投稿2019/12/02 14:38
編集2019/12/06 03:06
総合スコア2707
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2019/12/05 05:48