通过挂钩NtCreateSection监控可执行模块

通过挂钩 NtCreateSection 监控可执行模块

在 Win32 中，我们使用 CreateFileMapping 来创建映射文件对象，函数原型如下：

HANDLE CreateFileMapping(

HANDLE hFile,  // handle to file to map

LPSECURITY_ATTRIBUTES lpFileMappingAttributes, // optional security attributes

DWORD flProtect,   // protection for mapping object

DWORD dwMaximumSizeHigh,     // high-order 32 bits of object size

DWORD dwMaximumSizeLow, // low-order 32 bits of object size

LPCTSTR lpName     // name of file-mapping object

);

这个函数会调用 Native Api(Ntdll.dll) 中的 ZwCreateSection （ NtCreateSection ）函数，而后者又通过系统调用 Ntoskrnl.exe 中的 NtCreateSection 函数，其函数原型如下：

NTSTATUS

NtCreateSection(

OUT PHANDLE  SectionHandle ,

IN ACCESS_MASK  DesiredAccess ,

IN POBJECT_ATTRIBUTES  ObjectAttributes OPTIONAL,

IN PLARGE_INTEGER  MaximumSize OPTIONAL,

IN ULONG  SectionPageProtection ,

IN ULONG  AllocationAttributes ,

IN HANDLE  FileHandle OPTIONAL

);

不仅是用户创建的映射文件， Windows 加载所有的可执行模块，包括 EXE 文件、 DLL 文件等都使用了此函数（博文《使用 Native Api 创建进程》就曾调用），只是在参数 SectionPageProtection 和 AllocationAttributes 与普通的映射文件有所区别：

根据这个特点，我们可以通过挂钩 NtCreateSection 函数来截获所有将要加载的可执行模块的文件名称（关于如何获取文件名称，可以参看博文《获取文件对象的名称》）反馈给用户。用户根据文件路径、文件的 MD5 或其他信息来判断是否允许该模块的加载。

(AllocationAttributes == 0X1000000) && (SectionPageProtection & PAGE_EXECUTE)

参考文章：

1. Hooking the native API and controlling process creation on a system-wide basis

（ http://www.codeproject.com/KB/system/soviet_protector.aspx ）

2. 天书夜读