• [转]远程注入DLL : 取得句柄的令牌 OpenProcessToken()


    http://hi.baidu.com/43755979/blog/item/3ac19711ea01bdc4a6ef3f6a.html

    要对一个任意进程(包括系统安全进程和服务进程)进行指定了写相关的访问权的 OpenProcess操作,只要当前进程具有SeDeDebug权限就可以了。要是一个用户是Administrator或是被给予了相应的权限,就可 以具有该权限。可是,就算我们用Administrator帐号对一个系统安全进程执行 OpenProcess(PROCESS_ALL_ACCESS,FALSE,     dwProcessID)还是会遇到“访问拒绝”的错误。什么原因呢?原来在默认的情况下进程的一些访问权限是没有被使能(Enabled)的,所以我们 要做的首先是使能这些权限。与此相关的一些API函数有OpenProcessToken、LookupPrivilegevalue、 AdjustTokenPrivileges。我们要修改一个进程的访问令牌,首先要获得进程访问令牌的句柄,这可以通过 OpenProcessToken得到,函数的原型如下:

    函数原形如下:
    BOOL OpenProcessToken(
        HANDLE ProcessHandle,
        DWORD DesiredAccess,
        PHANDLE TokenHandle
    );
    参数说明:
    ProcessHandle是要修改访问权限的进程句柄;
    DesiredAccess指定你所需要的操作类型;
    TokenHandle是返回的访问令牌指针;

    第一参数是要修改访问权限的进程句柄;第三个参数就是返回的访问令牌指针;第二个参数指定你要进行的操作类型,如要修改令牌我们要指定第二个参数为 TOKEN_ADJUST_PRIVILEGES(其它一些参数可参考Platform     SDK)。通过这个函数我们就可以得到当前进程的访问令牌的句柄(指定函数的第一个参数为GetCurrentProcess()就可以了)。接着我们可 以调用AdjustTokenPrivileges对这个访问令牌进行修改。AdjustTokenPrivileges的原型如下:
    BOOL     AdjustTokenPrivileges(
                HANDLE    TokenHandle,                               //     handle     to     token
                BOOL    DisableAllPrivileges,                 //     disabling     option
                PTOKEN_PRIVILEGES    NewState,               //     privilege     information
                DWORD    BufferLength,                               //     size     of     buffer
                PTOKEN_PRIVILEGES    PreviousState,     //     original     state     buffer
                PDWORD    ReturnLength                               //     required     buffer     size
    );
    第一个参数是访问令牌的句柄;第二个参数决定是进行权限修改还是除能(Disable)所有权限;第三个参数指明要修改的权限,是一个指向 TOKEN_PRIVILEGES结构的指针,该结构包含一个数组,数据组的每个项指明了权限的类型和要进行的操作;     第四个参数是结构PreviousState的长度,如果PreviousState为空,该参数应为NULL;第五个参数也是一个指向 TOKEN_PRIVILEGES结构的指针,存放修改前的访问权限的信息,可空;最后一个参数为实际PreviousState结构返回的大小。在使用 这个函数前再看一下TOKEN_PRIVILEGES这个结构,其声明如下:

    typedef     struct     _TOKEN_PRIVILEGES     {   
                DWORD     PrivilegeCount;   
                LUID_AND_ATTRIBUTES     Privileges[];   
    }     TOKEN_PRIVILEGES,     *PTOKEN_PRIVILEGES;   
    PrivilegeCount指的数组原素的个数,接着是一个LUID_AND_ATTRIBUTES类型的数组,再来看一下LUID_AND_ATTRIBUTES这个结构的内容,声明如下:

    typedef     struct     _LUID_AND_ATTRIBUTES     {   
                LUID         Luid;   
                DWORD       Attributes;   
    }     LUID_AND_ATTRIBUTES,     *PLUID_AND_ATTRIBUTES

    第二个参数就指明了我们要进行的操作类型,有三个可选项:     SE_PRIVILEGE_ENABLED、SE_PRIVILEGE_ENABLED_BY_DEFAULT、 SE_PRIVILEGE_USED_FOR_ACCESS。要使能一个权限就指定Attributes为SE_PRIVILEGE_ENABLED。第 一个参数就是指权限的类型,是一个LUID的值,LUID就是指locally     unique     identifier,我想GUID大家是比较熟悉的,和GUID的要求保证全局唯一不同,LUID只要保证局部唯一,就是指在系统的每一次运行期间保证 是唯一的就可以了。另外和GUID相同的一点,LUID也是一个64位的值,相信大家都看过GUID那一大串的值,我们要怎么样才能知道一个权限对应的 LUID值是多少呢?这就要用到另外一个API函数LookupPrivilegevalue,其原形如下:

    BOOL     LookupPrivilegevalue(
                LPCTSTR     lpSystemName,       //     system     name
                LPCTSTR     lpName,                   //     privilege     name
                PLUID     lpLuid                         //     locally     unique     identifier
    );
    第一个参数是系统的名称,如果是本地系统只要指明为NULL就可以了,第三个参数就是返回LUID的指针,第二个参数就是指明了权限的名称,如“SeDebugPrivilege”。在Winnt.h中还定义了一些权限名称的宏,如:

    #define     SE_BACKUP_NAME                   TEXT("SeBackupPrivilege")

    #define     SE_RESTORE_NAME                 TEXT("SeRestorePrivilege")

    #define     SE_SHUTDOWN_NAME               TEXT("SeShutdownPrivilege")

    #define     SE_DEBUG_NAME                     TEXT("SeDebugPrivilege")

    这样通过这三个函数的调用,我们就可以用OpenProcess(PROCESS_ALL_ACCESS,FALSE,     dwProcessID)来打获得任意进程的句柄,并且指定了所有的访问权。

    http://hi.baidu.com/43755979/blog/item/73b35eddcbaab7db8d1029e2.html

    没错,现在讨论的就是传说中的远程注入技术,目前一种非常流行的隐藏技术,因为它没有进程,是通过远程插入线程调用DLL文件实现的!在这里先说一 下.dll文件,.dll文件,其实就是动态连接库,它里面装封了提供.exe文件调用的函数,一般情况下,双击它,是不能运行它的,它只能由.exe来 调用,于是就有了远程注入了,原理很简单:我们把后门的主要功能写成一个函数,然后装封到.dl文件中,然后再另外写一个执行文件来启动它,这样就不会有 后门的进程了。那远程注入又指什么呢?这个问题问得好,一般情况下,每个进程都有自己的私有空间,理论上,别的进程是不允许对这个私人空间进行操作的,但 是,我们可以利用一些方法进入这个空间并进行操作,将自己的代码写入正在运行的进程中,于是就有了远程注入了。 
    对dll后门的编写就不作过多的讨论了,现在来看实现注入功能的可执行文件的编写: 
    用到的函数有: 
    OpenProcessToken(); 
    LookupPrivilegeValue(); 
    AdjustTokenPrivileges(); 
    OpenProcess(); 
    VirtualAllocEx(); 
    WriteProcessMemory(); 
    GetProcAddress(); 
    CreateRemoteThread();

    先简单的介绍以下这些函数的作用,因为我们要操作的是系统中的其他进程,如果没有足够的系统权限,我们是无法写入甚至连读取其它进程的内存地址的,所以我们就需要提升自己的权限,用到以下3个函数 
    OpenProcessToken();                          //打开进程令牌 
    LookupPrivilegeValue();                   //返回一个本地系统独一无二的ID,用于系统权限更改 
    AdjustTokenPrivileges(); //从英文意思也能看出它是更改进程权限用的吧?

    进入宿主进程的内存空间 
    在拥有了进入宿主进程空间的权限之后,我们就需要在其内存加入让它加载我们后门的代码了,用LoadLibraryA()函数就可以加载我们的DLL了, 它只需要DLL文件的路径就可以了,在这里我们要把DLL文件的路径写入到宿主的内存空间里,因为DLL的文件路径并不存在于宿主进程内存空间了,用到的 函数有: 
    OpenProcess();//用于修改宿主进程的一些属性,详细参看MSDN 
    VirtualAllocEx();//用于在宿主内存空间中申请内存空间以写入DLL的文件名 
    WriteProcessMemory();//往申请到的空间中写入DLL的文件名

    在宿主中启动新的线程 
    用的是LoadLibraryA()函数来加载,但在使用LoadLibraryA()之前必须知道它的入口地址,所以用GetProcAdress来获 得它的入口地址,有了它的地址以后,就可以用CreateRemoteThread()函数来启动新的线程了,到次,整个注入过程完成,不过还不非常完 善,这就留给聪明的你来完成了;)。 
    简单的例子:

    #include <windows.h> 
    #include <iostream.h>

    int EnableDebugPriv(const char * name) 

                               HANDLE hToken; 
                               TOKEN_PRIVILEGES tp; 
                               LUID luid; 
                               //打开进程令牌环 
                               OpenProcessToken(GetCurrentProcess(), 
                                               TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY, 
                                               &hToken); 
                               //获得进程本地唯一ID 
                               LookupPrivilegeValue(NULL,name,&luid) ;
         
                               tp.PrivilegeCount = 1; 
                               tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED; 
                               tp.Privileges[0].Luid = luid; 
                               //调整权限 
                               AdjustTokenPrivileges(hToken,0,&tp,sizeof(TOKEN_PRIVILEGES),NULL,NULL); 
                               return 0; 
    }

    //*****************************************************************************************************************************

    BOOL InjectDll(const char *DllFullPath, const DWORD dwRemoteProcessId) 

                               HANDLE hRemoteProcess; 
                               EnableDebugPriv(SE_DEBUG_NAME); 
                               //打开远程线程 
                               hRemoteProcess = OpenProcess( PROCESS_ALL_ACCESS, FALSE, dwRemoteProcessId );

                               char *pszLibFileRemote;

                               //使用VirtualAllocEx函数在远程进程的内存地址空间分配DLL文件名空间 
                               pszLibFileRemote = (char *) VirtualAllocEx( hRemoteProcess, NULL, lstrlen(DllFullPath)+1, 
                                                       MEM_COMMIT, PAGE_READWRITE);

                               //使用WriteProcessMemory函数将DLL的路径名写入到远程进程的内存空间 
                               WriteProcessMemory(hRemoteProcess, 
                                           pszLibFileRemote, (void *) DllFullPath, lstrlen(DllFullPath)+1, NULL);

    //##############################################################################
                               //计算LoadLibraryA的入口地址 
                               PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE) 
                                       GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryA"); 
                               //(关于GetModuleHandle函数GetProcAddress函数)

                               //启动远程线程LoadLibraryA,通过远程线程调用创建新的线程 
                               HANDLE hRemoteThread; 
                               if( (hRemoteThread = CreateRemoteThread( hRemoteProcess, NULL, 0, pfnStartAddr, pszLibFileRemote, 0, NULL) ) == NULL) 
                               { 
                                   cout<<"注入线程失败!"<<endl; 
                                   return FALSE; 
                               } 
    //##############################################################################

                               /*
                               // 在//###…..//###里的语句也可以用如下的语句代替:
                                DWORD dwID;
                                LPVOID pFunc = LoadLibraryA;
                                HANDLE hRemoteThread = CreateRemoteThread(hRemoteProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pFunc, pszLibFileRemote, 0, &dwID );
                                //是不是感觉简单了很多
                               */

                                 // 释放句柄

                               CloseHandle(hRemoteProcess);
                               CloseHandle(hRemoteThread);

                               return TRUE; 
    }

    //*****************************************************************************************************************************

    int main()

                               InjectDll("c:zrqfzr.dll",3060) ;//这个数字是你想注入的进程的ID号 
                               return 0; 
    }

  • 相关阅读:
    使用 CountDownLatch 控制多个线程执行顺序
    define 与 inline
    虚函数 纯虚函数 抽象方法 接口
    [转]Android 超高仿微信图片选择器 图片该这么加载
    Android ImageView src与backgroud
    Android View绘制原理分析
    Android 5.0 Default SMS App以及运营商授权SMS App
    Android 5.0 双卡信息管理分析
    Android 5.1 AOSP 源码获取
    Android 5.0 Uicc框架分析
  • 原文地址:https://www.cnblogs.com/shangdawei/p/4077757.html
Copyright © 2020-2023  润新知