用DETOURS库获取NT管理员权限

最新推荐文章于 2022-09-08 19:24:25 发布
VIP文章 最新推荐文章于 2022-09-08 19:24:25 发布 1034 收藏 1
文章标签: winapi dll prototype function api token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FBStudio/article/details/4146
版权
用DETOURS库获取NT管理员权限
陈志敏
---- Detours是微软开发的一个函数库(源代码可在http://research.microsoft.com/sn/detours 免费获得), 用于修改运行中的程序在内存中的影像,从而即使没有源代码也能改变程序的行为。具体用途是:

拦截WIN32 API调用,将其引导到自己的子程序,从而实现WIN32 API的定制。
为一个已在运行的进程创建一新线程,装入自己的代码并运行。
---- 本文将简介Detours的原理,Detours库函数的用法, 并利用Detours库函数在Windows NT上编写了一个程序,该程序能使有“调试程序”的用户权限的用户成为系统管理员,附录利用Detours库函数修改该程序使普通用户即可成为系统管理员(在NT4 SP3上)。

一. Detours的原理

---- 1. WIN32进程的内存管理

---- 总所周知,WINDOWS NT实现了虚拟存储器,每一WIN32进程拥有4GB的虚存空间, 关于WIN32进程的虚存结构及其操作的具体细节请参阅WIN32 API手册, 以下仅指出与Detours相关的几点:

---- (1) 进程要执行的指令也放在虚存空间中
---- (2) 可以使用QueryProtectEx函数把存放指令的页面的权限更改为可读可写可执行,再改写其内容,从而修改正在运行的程序
---- (3) 可以使用VirtualAllocEx从一个进程为另一正运行的进程分配虚存,再使用 QueryProtectEx函数把页面的权限更改为可读可写可执行,并把要执行的指令以二进制机器码的形式写入,从而为一个正在运行的进程注入任意的代码

---- 2. 拦截WIN32 API的原理

---- Detours定义了三个概念:

---- (1) Target函数:要拦截的函数,通常为Windows的API。
---- (2) Trampoline函数:Target函数的复制品。因为Detours将会改写Target函数,所以先把Target函数复制保存好,一方面仍然保存Target函数的过程调用语义,另一方面便于以后的恢复。
---- (3) Detour 函数:用来替代Target函数的函数。

---- Detours在Target函数的开头加入JMP Address_of_ Detour_ Function指令(共5个字节)把对Target函数的调用引导到自己的Detour函数, 把Target函数的开头的5个字节加上JMP Address_of_ Target _ Function+5作为Trampoline函数。例子如下:

拦截前:Target _ Function:
  ;Target函数入口,以下为假想的常见的子程序入口代码
  push  ebp
  mov  ebp,  esp
  push  eax
  push  ebx
  Trampoline:
  ;以下是Target函数的继续部分
  ……

拦截后: Target _ Function:
最低0.47元/天 解锁文章
阅读终点,创作起航,您可以撰写心得或摘录文章要点写篇博文。去创作
FBStudio
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
易语言源码微软detours易语言演示源码.rar
03-30
易语言源码微软detours易语言演示源码.rar
Windows Practice_Dll&Hook_DetourHook
艺术人生的专栏
10-03 578
DetoursDetours是经过微软认证的一个开源软件,下载地址,虽然是开源软件,但是它又分成了两个版本,分别是: Detours Professional 3.0 is available for commercial use. Detours Express 3.0 is available for immediate download under a no-fee license for r
Detours Express源码(微软API HOOK)
xingzheouc的专栏
07-02 471
Detours Express源码(微软API HOOK)   2011-08-08 09:59:49|  分类: VC编程|举报|字号 订阅      下载LOFTER客户端 Detours是微软开发的一个函数, 用于修改运行中的程序在内存中的影像,从而即使
detours和劫持实现代码.rar
04-02
detours和劫持实现代码
detours钩子的简单使用
tutucoo
12-24 4154
detours是微软的钩子,以下是简单的使用 #include "pch.h" #include <Windows.h> #include "detours.h" #include <stdio.h> #pragma comment(lib,"detours.lib") static int(WINAPI* OLD_MessageBoxW)(HWND hWnd, LP...
易语言微软detours演示
07-21
易语言微软detours演示源码,微软detours演示,取函数地址Ex,Call,asm_CALLSub,UnHOOK,HOOKFunc,HOOKAPI,CallFunc,LoadLibraryA,GetProcAddress,LocalSize_STARTUPINFO,NewMSGB
Detours express3.0在VS2013中编译生产
厦门智创科技
06-02 1149
detour是微软提供的hook,其实hook过程原理基本一样,只是微软做了封装和相关的冲突检查,所以这种api hook稳定些。 用detour进行hook必须先部署Detour, 电脑环境:win7 32bit 1.从http://research.microsoft.com/sn/detours下载detour professional 3.0,现在好像只有Exp
Detour hookx64编译
weixin_43885541的博客
11-19 451
Detours是经过微软认证的一个开源HookDetours在GitHub上,网址为 https://github.com/Microsoft/Detours 对于64位编译,找到64位的编译工具,打开–vs2015 x64本机工具命令提示符 在提示符下进入Detours下载目录,如:D:\Downloads\Detours-master\src 输入nmake编译,编译完成后lib在D:\Downloads\Detours-master\lib.X64下,头文件在D:\Downloads\Deto
Detours支持
07-24
Detours支持
Detour开发包之API拦截技术(转载)
johns78的专栏
11-02 530
标 题: 微软研究院Detour开发包之API拦截技术作 者: shangzh时 间: 2007-01-29,16:03链 接: http://bbs.pediy.com/showthread.php?t=38759我们截获函数执行最直接的目的就是为函数增添功能,修改返回值,或者为调试以及性能测试加入附加的代码,或者截获函数的输入输出作研究,破解使用。通过访问源代码,我们可以轻而易举的使用重建
detours express3.0(微软hook封装
06-02
VS2013编译最新版detours,可直接下载使用。
Detours框架实现原理探究
linlin003的专栏
09-08 865
Hook API在自动化测试、性能分析以及安全攻防领域有着广泛的应用。 Detours 作为微软研发并开源的API HOOK框架,在微软内部以及业界有着广泛的使用
windows - Hook技术介绍
tuan8888888的博客
10-13 1256
hook 介绍 Hook技术被广泛应用于安全的多个领域,比如杀毒软件的主动防御功能,涉及到对一些敏感API的监控,就需要对这些API进行Hook;窃取密码的木马病毒,为了接收键盘的输入,需要Hook键盘消息;甚至是Windows系统及一些应用程序,在打补丁时也需要用到Hook技术。接下来,我们就来学习Hook技术的原理。 分类 1、 SetWindowsHookEx Windows下的应用程序大部分都是基于消息机制的,它们都会有一个消息过程函数,根据不同的消息完成不同的功能。Windows操作系统提供的钩
Detours使用方法,简单明了
weixin_43414877的博客
08-14 5557
什么是Detours detours是微软提供的一套工具,主要用于win32 API的拦截。 准备工作(环境) 首先下载detours的资源,地址:https://github.com/microsoft/detours 下载到本地后解压至任意文件夹; 打开cmd终端进到这个文件夹下,键入nmake; 编译完成后: 新建一个工程,将include中的detours.h移动至工程文件下; 将lib.X64(X86也有对应目录)下的detours.lib移动至工程文件下; 示例代码: #include &l
detours介绍与使用
顺其自然~专栏
06-29 3393
Detours 是Microsoft开发一个,下载地址http://research.microsoft.com/en-us/projects/detours/,它具有两方面的功能: 1 拦截x86机器上的任意的win32 API函数。 2 插入任意的数据段到PE文件中,修改DDL文件的导入表。 Detours可以拦截任意的API调用,拦截代码是在动态运行时加载的。Detours替换目标API最前面的几条指令,使其无条件的跳转到用户提供的拦截函数。被替换的API函数的前几条指令被保存到tram
detours源码分析
cbh84663973的专栏
12-09 2790
Detours Express源码(微软API HOOK) 2010-03-31 16:57 Detours是微软开发的一个函数, 用于修改运行中的程序在内存中的影像,从而即使没有源代码也能改变程序的行为。具体用途是:  拦截WIN32 API调用,将其引导到自己的子程序,从而实现WIN32 API的定制。  为一个已在运行的进程创建一新线程,装入自己的代码
每日一练10月1.docx
最新发布
10-02
每日一练10月1.docx
detours 4.0.1 professional
08-01
detours 4.0.1 professional是一款功能强大的软件。它是一个编码工具,主要用于Windows操作系统的二进制重定向和代码操纵。通过使用detours 4.0.1 professional,用户可以在不改变原始二进制代码的情况下,对已经编译好的应用程序进行扩展和定制。 detours 4.0.1 professional具有多种功能和特点。首先,它提供了一个简单易用的API,使开发人员可以通过自定义设置,获取对应用程序中函数的控制权。这意味着开发人员可以在运行时修改任意函数的行为,实现一些特殊需求或功能扩展。 其次,detours 4.0.1 professional支持二进制代码注入技术。这种技术使得开发人员可以将自定义代码注入到其他应用程序中运行,以实现一些特定的功能需求。同时,detours 4.0.1 professional还提供了一套强大的调试工具,可以检测并解决注入过程中可能出现的问题,提高代码质量和稳定性。 此外,detours 4.0.1 professional还支持多种扩展功能,如对64位应用程序的支持、在运行时对代码进行动态修改、对系统函数进行篡改等。这些功能使得开发人员可以更加灵活地处理各类编码需求。 总的来说,detours 4.0.1 professional是一款强大的编码工具,适用于Windows操作系统。它提供了丰富的功能和特点,使得开发人员可以更加自由地定制和修改已编译的应用程序,满足不同的编码需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FBStudio

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值