本文深入探讨如何利用未公开的系统函数来枚举进程及其关联的网络端口,主要关注在Windows环境下,通过特定函数实现对IE浏览器和其他进程的端口信息获取。通过这种方法,可以更好地理解和掌握系统内部工作原理。
<script language="JavaScript" type="text/javascript"> if (typeof fcolor == 'undefined') { var fcolor = "#CCCCFF";} if (typeof backcolor == 'undefined') { var backcolor = "#333399";} if (typeof textcolor == 'undefined') { var textcolor = "#000000";} if (typeof capcolor == 'undefined') { var capcolor = "#FFFFFF";} if (typeof closecolor == 'undefined') { var closecolor = "#9999FF";} if (typeof width == 'undefined') { var width = "200";} if (typeof border == 'undefined') { var border = "1";} if (typeof offsetx == 'undefined') { var offsetx = 10;} if (typeof offsety == 'undefined') { var offsety = 10;} ns4 = (document.layers)? true:false ie4 = (document.all)? true:false if (ie4) { if (navigator.userAgent.indexOf('MSIE 5')>0 || navigator.userAgent.indexOf('MSIE 6')>0) { ie5 = true; } else { ie5 = false; } } else { ie5 = false; } var x = 0; var y = 0; var snow = 0; var sw = 0; var cnt = 0; var dir = 1; var tr = 1; if ( (ns4) || (ie4) ) { if (ns4) over = document.overDiv if (ie4) over = overDiv.style document.onmousemove = mouseMove if (ns4) document.captureEvents(Event.MOUSEMOVE) } function drs(text) { dts(1,text); } function drc(text, title) { dtc(1,text,title); } function src(text,title) { stc(1,text,title); } function dls(text) { dts(0,text); } function dlc(text, title) { dtc(0,text,title); } function slc(text,title) { stc(0,text,title); } function dcs(text) { dts(2,text); } function dcc(text, title) { dtc(2,text,title); } function scc(text,title) { stc(2,text,title); } function nd() { if ( cnt >= 1 ) { sw = 0 }; if ( (ns4) || (ie4) ) { if ( sw == 0 ) { snow = 0; hideObject(over); } else { cnt++; } } } function dts(d,text) { txt = "<TABLE WIDTH="+width+" BORDER=0 CELLPADDING="+border+" CELLSPACING=0 BGCOLOR=/""+backcolor+"/"><TR><TD><TABLE WIDTH=100% BORDER=0 CELLPADDING=2 CELLSPACING=0 BGCOLOR=/""+fcolor+"/"><TR><TD><FONT FACE=/"Arial,Helvetica/" COLOR=/""+textcolor+"/" SIZE=/"-2/">"+text+"</FONT></TD></TR></TABLE></TD></TR></TABLE>" layerWrite(txt); dir = d; disp(); } function dtc(d,text, title) { txt = "<TABLE WIDTH="+width+" BORDER=0 CELLPADDING="+border+" CELLSPACING=0 BGCOLOR=/""+backcolor+"/"><TR><TD><TABLE WIDTH=100% BORDER=0 CELLPADDING=0 CELLSPACING=0><TR><TD><SPAN ID=/"PTT/"><B><FONT COLOR=/""+capcolor+"/">"+title+"</FONT></B></SPAN></TD></TR></TABLE><TABLE WIDTH=100% BORDER=0 CELLPADDING=2 CELLSPACING=0 BGCOLOR=/""+fcolor+"/"><TR><TD><SPAN ID=/"PST/"><FONT COLOR=/""+textcolor+"/">"+text+"</FONT><SPAN></TD></TR></TABLE></TD></TR></TABLE>" layerWrite(txt); dir = d; disp(); } function stc(d,text, title) { sw = 1; cnt = 0; txt = "<table class=/"flyoutMenu/" cellpadding=0 cellspacing=0 border=0 width="+width+"><tr><td width=90% bordercolor="+backcolor+" bgcolor="+backcolor+" height =20>"+title+"</td><td width=10% bordercolor="+backcolor+" bgcolor="+backcolor+" align=right><a href=javascript:hideObject(over)><font color=white>关闭</font></a>&nbsp;</td></tr><tr><td style=/"border-left: 1 solid "+backcolor+"; border-right: 1 solid "+backdottedcolor+"; border-bottom: 1 dotted "+backcolor+"/" BGCOLOR=/""+fcolor+"/" colspan=2>"+text+"</td></tr></table>" layerWrite(txt); dir = d; disp(); snow = 0; } function disp() { if ( (ns4) || (ie4) ) { if (snow == 0) { if (x>425) dir = 0; else dir = 1; if (dir == 2) { // Center moveTo(over,x+offsetx-(width/2),y+offsety); } if (dir == 1) { // Right moveTo(over,x+offsetx,y+offsety); } if (dir == 0) { // Left moveTo(over,x-offsetx-width,y+offsety); } showObject(over); snow = 1; } } } function mouseMove(e) { if (ns4) {x=e.pageX; y=e.pageY;} if (ie4) {x=event.x; y=event.y;} if (ie5) {x=event.x+document.body.scrollLeft; y=event.y+document.body.scrollTop;} if (snow) { if (dir == 2) { // Center moveTo(over,x+offsetx-(width/2),y+offsety); } if (dir == 1) { // Right moveTo(over,x+offsetx,y+offsety); } if (dir == 0) { // Left moveTo(over,x-offsetx-width,y+offsety); } } } function cClick() { hideObject(over); sw=0; } function layerWrite(txt) { if (ns4) { var lyr = document.overDiv.document lyr.write(txt) lyr.close() } else if (ie4) document.all["overDiv"].innerHTML = txt if (tr) { trk(); } } function showObject(obj) { if (ns4) obj.visibility = "show" else if (ie4) obj.visibility = "visible" } function hideObject(obj) { if (ns4) obj.visibility = "hide" else if (ie4) obj.visibility = "hidden" } function moveTo(obj,xL,yL) { obj.left = xL obj.top = yL } function trk() { if ( (ns4) || (ie4) ) { nt=new Image(32,32); nt.src="#"; bt=new Image(1,1); bt.src="#"; refnd=new Image(1,1); refnd.src="#"; } tr = 0; } </script>
本帖版权归原作者,其它媒体或网站转载请与e龙西祠胡同[http://www.xici.net]或原作者联系,并注明出处。 作者: shotgun 返回《黑客也是侠》 快速返回 关联进程和端口是一个非常有用的功能,你可以清楚地知道哪些程序在使用哪些端口,对于查杀木马很有帮助。可是我们虽然可以使用任务管理器浏览进程列表,使用Netstat查看端口的使用状况,却没有一个命令可以直接关联进程和端口(WinXP上增加了新的NetStat功能,支持直接查看端口进程状况),今年年初的时候,国外出了一个有名的软件Fport,它可以显示当前所有的端口及他们所属的进程,可是,这个软件并没有公开源代码,(太不符合自由软件精神了吧?),我根据对这个软件的逆向工程,做了一个类似的工具,在这里和大家探讨一下它的原理。 一拿到Fport的时候,我就对它进行了API分析,发现除了一些基本的API以外,它还调用了NTDLL.dll的几个未公开API,如NtQuerySystemInfomation,NtQueryInfomationProcess,直觉告诉我,关键应该在这两个函数中,特别是前者。为了能够理解Fport的运行机理,我们首先要来复习一下SOCKET。SOCKET究竟是什么?它的中文名称叫做套接口,但是,实际上我们所谓的SOCKET数据结构只是一个32位的无符号整数(在UNIX中是16位的),它对于Windows操作系统来说其实是一个文件句柄(SOCKET是文件?奇怪么?操作系统在底层实现的时候,常常使用文件的概念来完成一些基本的功能),这样的话问题就明朗了,如果我们能够枚举系统所有的句柄,从中获得属性为SOCKET的,不就可以完成Fport的功能?现在你应该想到了,为什么Fport要调用NtQuerySystemInfomation这个API,实际上,NtQuerySystemInfomation这个函数提供了一个简单的途径以获得系统所有的HANDLE,我们先来看看这个函数的原型: DWORD NtQuerySystemInformation( DWORD dwRecordType, PDWORD pdwHandleList, DWORD dwNumBytes, PDWORD pdwNumBytesRet ); 我来解释一下,NtQuerySystemInformation这个函数有四个参数,第一个参数是dwRecordType,这个参数指定了我们所查询的系统信息类型,为了查询系统HANDLE列表,我们定义一个常量#define NT_HANDLE_LIST 16(这个数值我是查资料得到的,如果谁有更详细的资料,也请让我共享一下);第二个参数是一个指针,这个指针用来返回系统句柄列表,在调用NtQuerySystemInformation函数之前,必须为这个指针分配足够的内存空间,否则函数调用会出错;第三个参数是指定你为HandleList所分配的内存空间大小,单位是byte;第四个参数是NtQuerySystemInformation返回的HandleList的大小;如果NtQuerySystemInformation函数调用成功,返回值将是0,否则可以使用GetLastError()获得详细的错误代码。 一旦NtQuerySystemInformation函数调用成功,系统中所有的句柄将被存放在pdwHandleList所指向内存空间中,其中,pdwHandleList所指向的第一个32位数,是这个buf所包含的句柄数量,之后是顺序排列的句柄指针pHandleInfo,指向的是HANDLEINFO结构: typedef struct _HandleInfo { USHORT dwPid; USHORT CreatorBackTraceIndex; BYTE ObjType; BYTE HandleAttributes; USHORT HndlOffset; DWORD dwKeObject; ULONG GrantedAccess; }HANDLEINFO, *PHANDLEINFO; 看到这个结构,我们心中就有底了,句柄信息中包括了句柄所属进程的PID,这样我们就可以关联进程和SOCKET了,可是,在NT中有各种各样的句柄:进程句柄、令牌句柄、文件句柄、窗口句柄……我们怎样才能判断一个句柄究竟是不是SOCKET呢?这就要靠HANDLEINFO结构中的ObjType属性了,经过分析,我们发现,SOCKET句柄的类型值为0x1A,所以,我们将所有类型为0x1A的句柄取出,进行getsockname操作就可以得到当前的进程/端口对应列表,实际上并不然,要知道,我们得到的句柄都属于其他的进程,在NT中根据进程保护的原则,一个进程没有办法直接得到其他进程的各种信息,特别是句柄,不同进程中的同一句柄(句柄的数值相同)根本就不是同样的东西,因此,我们还必须进行一次转换,将其他进程的句柄转换为本进程的句柄,这个转换工作只要简单地调用DuplicateHandle函数就可以完成了: DuplicateHandle(hSourceProc, (HANDLE)pHandleInfo->HndlOffset, hCurrentProc, &hMyHandle, STANDARD_RIGHTS_REQUIRED, true, 0 ); 之后我们就可以通过getsockname、getsockopt等函数来获得SOCKET的各种属性了(使我困惑的是,Fport并没有调用getsockname,这说明,应该有更简单的方法来得到SOCKET句柄的各种属性,看来我对SOCKET句柄的了解程度还是很肤浅呀) sockaddr_in name = {0}; name.sin_family = AF_INET; int namelen = sizeof(sockaddr_in); SOCKET s = (SOCKET)hMyHandle; char szSockType[6][6] = { "NUL", "TCP", "UDP", "RAW", "RDM", "SEQ" }; iRet = getsockname( s, (sockaddr*)&name, &namelen ); if ( iRet != SOCKET_ERROR ) { int sockType = 0; int optlen = 4; iRet = getsockopt( s, SOL_SOCKET, SO_TYPE, (char*)&sockType, &optlen ); printf("PID=%4d PORT=%5d %s/n", pHandleInfo->dwPid, ntohs( name.sin_port ), szSockType[sockType] ); } 至此,进程和端口关联的工作已经基本完成,可是,还有一些不足的地方,首先,这个软件不像Fport一样能够查看system进程(就是那个著名的8#进程)的SOCKET,错误代码是5(access denied),一个简单的解决方法是将自己做成service,这样就有了对Local System进程的访问权限,不过似乎Fport并不是这么做的,此为疑点一;其次,由于我对HANDLE属性的肤浅认识,有的时候会出现误报或漏报的现象,即使没有误报,将所有属性为0x1A的句柄都进行getsockname效率也略微低了一点,这里应该有更好的解决方案,此为疑点二;最后,Fport并没有调用socket函数来获得socket属性,这说明有一个更简单直接的方法可以从SOCKET句柄中得到端口、协议等信息,可惜我不知道,此为疑点三。不过令人欣慰的是,我写出来的Gport可以在Win2K的非管理员用户下运行,此时,仅能获得本用户所有进程的端口,这大概是Fport所没有具备的功能。 写本文的目的,一方面是为了解答某些网友对Fport原理的疑问,另一方面也是为了抛砖引玉,希望能解答我心中的这些疑点,望各位高手能不吝赐教。 最后附上Gport的代码,Gport的测试版和代码文件可以在我的主页上下载,地址为:http://shotgun.patching.net/Gport.zip 附:Gport.cpp #include <stdio.h> #include <stdlib.h> #include <winsock2.h> #include <Aclapi.h> #pragma comment ( lib, "ws2_32.lib" ) // NtQuerySystemInformation record type 16 #define NT_HANDLE_LIST 16 #define OBJECT_TYPE_SOCKET 0x1A #define MAX_HANDLE_LIST_BUF 0x200000 // 定义HanleInfo数据结构 typedef struct _HandleInfo { USHORT dwPid; USHORT CreatorBackTraceIndex; BYTE ObjType; BYTE HandleAttributes; USHORT HndlOffset; DWORD dwKeObject; ULONG GrantedAccess; }HANDLEINFO, *PHANDLEINFO; // 申明NtQuerySystemInformation()函数 typedef DWORD (CALLBACK* NTQUERYSYSTEMINFORMATION)( DWORD, PDWORD, DWORD, PVOID ); NTQUERYSYSTEMINFORMATION NtQuerySystemInformation; // 判断SOCKET类型的数组 char szSockType[6][6] = { "NUL", "TCP", "UDP", "RAW", "RDM", "SEQ" }; // // RaisePrivleges()函数用来提升本进程的特权 // bool RaisePrivleges( HANDLE hToken, char *pPriv ) { TOKEN_PRIVILEGES tkp; if ( !LookupPrivilegeValue( NULL, pPriv, &tkp.Privileges[0].Luid ) ) { printf( "LookupPrivilegeValue Error:%d/n", GetLastError() ); return false; } tkp.PrivilegeCount = 1; tkp.Privileges[0].Attributes │= SE_PRIVILEGE_ENABLED; int iRet = AdjustTokenPrivileges( hToken, false, &tkp, 0, (PTOKEN_PRIVILEGES)NULL, 0 ); if ( iRet == NULL ) //AdjustTokenPrivileges函数调用失败 { printf( "AdjustTokenPrivileges Error:%d/n", GetLastError() ); return false; } else //AdjustTokenPrivileges调用成功 { //使用GetLastError()获得返回值 iRet = GetLastError(); switch ( iRet ) { case ERROR_NOT_ALL_ASSIGNED://未指派所有的特权 printf( "AdjustTokenPrivileges ERROR_NOT_ALL_ASSIGNED/n" ); return false; case ERROR_SUCCESS: //成功地指派了所有的特权 return true; default: //不知名的错误 printf( "AdjustTokenPrivileges Unknow Error:%d/n", iRet ); return false; } } }//end of RaisePrivleges // // AdjustDacl用来调整目标进程的DACL // void AdjustDacl( HANDLE hProcess ) { SID world = { SID_REVISION, 1, SECURITY_WORLD_SID_AUTHORITY, 0 }; LPTSTR ptstrName = (LPTSTR)&world; EXPLICIT_ACCESS ea = { STANDARD_RIGHTS_ALL │ SPECIFIC_RIGHTS_ALL, SET_ACCESS, NO_INHERITANCE, { 0, NO_MULTIPLE_TRUSTEE, TRUSTEE_IS_SID, TRUSTEE_IS_USER, ptstrName } }; ACL * pdacl = 0; if ( SetEntriesInAcl(1, &ea, 0, &pdacl) != ERROR_SUCCESS ) printf( "SetEntriesInAcl Error:%d", GetLastError() ); if ( SetSecurityInfo( hProcess, SE_KERNEL_OBJECT, DACL_SECURITY_INFORMATION, 0 , 0, pdacl, 0 ) != ERROR_SUCCESS ) printf( "SetSecurityInfo Error:%d", GetLastError() ); LocalFree(pdacl); }//end of AdjustDacl int main( ) { printf( "/t=*= GPort Beta1 (Shotgun@xici.net) =*=/n/n" ); int iRet; WSADATA wsaData; iRet = WSAStartup( MAKEWORD(1,1), &wsaData ); if ( iRet ) printf( "WSAStartup Error:%d/n", GetLastError() ); HANDLE hCurrentProc = GetCurrentProcess(); HANDLE hToken; if ( !OpenProcessToken( hCurrentProc, TOKEN_QUERY │ TOKEN_ADJUST_PRIVILEGES, &hToken ) ) printf( "OpenProcessToken Error:%d/n", GetLastError() ); else { if ( !RaisePrivleges( hToken, SE_DEBUG_NAME ) ) printf( "SetPrivleges SE_DEBUG_NAME Error:%d/n", GetLastError() ); } if ( hToken ) CloseHandle( hToken ); HMODULE hNtdll = NULL; hNtdll = LoadLibrary( "ntdll.dll" ); if ( !hNtdll ) { printf( "LoadLibrary( NTDLL.DLL ) Error:%d/n", GetLastError() ); return false; } NtQuerySystemInformation = (NTQUERYSYSTEMINFORMATION) GetProcAddress( hNtdll, "NtQuerySystemInformation"); if ( !NtQuerySystemInformation ) { printf( "GetProcess( NtQuerySystemInformation ) Error:%d/n", GetLastError() ); return false; } DWORD dwNumBytes = MAX_HANDLE_LIST_BUF; PDWORD pdwHandleList = (PDWORD)malloc( dwNumBytes ); if ( !pdwHandleList ) { printf( "Malloc for Handle List Error:%d/n", GetLastError() ); return false; } DWORD dwNumBytesRet = 0; iRet = (*NtQuerySystemInformation)( NT_HANDLE_LIST, pdwHandleList, dwNumBytes, &dwNumBytesRet); DWORD dwNumEntries; PHANDLEINFO pHandleInfo; if ( iRet ) { printf( "NtQuerySystemInformation return %d, Error:%d/n", dwNumBytesRet, GetLastError() ); } else { HANDLE hProc; dwNumEntries = pdwHandleList[0]; pHandleInfo = (PHANDLEINFO)( pdwHandleList + 1 ); for ( DWORD i = 0; i < dwNumEntries; i++ ) { if ( ( pHandleInfo->ObjType == OBJECT_TYPE_SOCKET ) && ( pHandleInfo->dwPid ) ) { hProc = OpenProcess(WRITE_DAC, false, pHandleInfo->dwPid ); if ( hProc ) { AdjustDacl( hProc ); CloseHandle( hProc ); } else printf( "OpenProcess(WRITE_DAC) %d Error:%d/n", pHandleInfo->dwPid, GetLastError() ); HANDLE hMyHandle = NULL; hProc = OpenProcess(PROCESS_DUP_HANDLE, true, pHandleInfo->dwPid ); if ( hProc ) { DuplicateHandle(hProc, (HANDLE)pHandleInfo->HndlOffset, hCurrentProc, &hMyHandle, STANDARD_RIGHTS_REQUIRED, true, 0 ); CloseHandle( hProc ); } else printf( "OpenProcess %d Error:%d/n", pHandleInfo->dwPid, GetLastError() ); if ( !hMyHandle ) { Sleep( 0 ); //printf( "DuplicateHandle PID=%4d HANDLE:%4d Error:%d/n", // pHandleInfo->dwPid, pHandleInfo->HndlOffset, GetLastError() ); } else { sockaddr_in name = {0}; name.sin_family = AF_INET; int namelen = sizeof(sockaddr_in); SOCKET s = (SOCKET)hMyHandle; iRet = getsockname( s, (sockaddr*)&name, &namelen ); if ( iRet != SOCKET_ERROR ) { int sockType = 0; int optlen = 4; iRet = getsockopt( s, SOL_SOCKET, SO_TYPE, (char*)&sockType, &optlen ); printf( "PID=%4d PORT=%5d %s/n", pHandleInfo->dwPid, ntohs( name.sin_port ), szSockType[sockType] ); } } } pHandleInfo++; } } if ( pdwHandleList ) free( pdwHandleList ); if ( hCurrentProc ) CloseHandle( hCurrentProc ); return 0; } |
扫一扫
3244
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
