通过DuplicateHandle防止文件删除

最新推荐文章于 2019-02-27 18:34:07 发布
最新推荐文章于 2019-02-27 18:34:07 发布
阅读量991 收藏 1
点赞数
文章标签: null token system access query path
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SR0ad/article/details/8025276
版权

还是Ring3下的老代码,使用DuplicateHandle()获得文件句柄,复制到其他进程当中,在删除被保护文件时,会提示无法删除,在保护进程中打开。

Win XP下可以打开system进程,而这个进程PID是固定的数值4;但是Win 7下却无法打开system进程,提权后也无法打开,所以这里将句柄复制到winlogon.exe进行保护。

#include <windows.h>
#include <Psapi.h>  
#include <stdio.h>
#pragma comment(lib,"Psapi.lib")  
#pragma comment(lib, "Advapi32.lib") 

VOID EnablePriv()  
{  
	HANDLE hToken;  
	if (OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &hToken))  
	{  
		TOKEN_PRIVILEGES tkp;  
		LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &tkp.Privileges[0].Luid);     
		tkp.PrivilegeCount = 1;  
		tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;  
		AdjustTokenPrivileges(hToken, FALSE, &tkp, sizeof(tkp), NULL, NULL);  
		printf("EnablePriv Ok\n");  
		return ;  
	}  
	printf("EnablePriv Error\n");  
} 


DWORD GetProcessIdByName(CHAR *ProcessName)  
{  
	DWORD   ProcessArray[1024], ArraySize, ReturnSize;  
	HANDLE  hProcess;  
	HMODULE hModule;  
	CHAR    NormalName[MAX_PATH] = {"UnknownProcess"};  

	if(!EnumProcesses(ProcessArray, sizeof(ProcessArray), &ArraySize))  
	{  
		return -1;    
	}  
	ReturnSize = ArraySize/sizeof(DWORD);  

	for(unsigned int i=0; i<ReturnSize; i++)  
	{  
		hProcess = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, FALSE, ProcessArray[i]);  
		if(hProcess)  
		{  
			if(EnumProcessModules(hProcess, &hModule, sizeof(hModule), &ArraySize))  
			{  
				GetModuleBaseName(hProcess, hModule, NormalName, sizeof(NormalName));  
				if(!strcmp(NormalName, ProcessName))    
				{  
					CloseHandle(hProcess);  
					return ProcessArray[i];  
				}  
			}  
		}  
	}  
	CloseHandle(hProcess);  
	return 0;  
}  

BOOL OccupyFile(CHAR * FileName, CHAR *ProcessName)
{
	BOOL bRet;
	EnablePriv();
	HANDLE hProcess = OpenProcess(PROCESS_DUP_HANDLE, FALSE, 4);    
	if (hProcess == NULL)   
	{
		printf("OpenProcess PID=4 Error\n");  
		hProcess = OpenProcess(PROCESS_DUP_HANDLE, FALSE, GetProcessIdByName(ProcessName));        
		if (hProcess == NULL)
		{
			printf("OpenProcess PID=ProcessName Error\n");  
			return FALSE;
		}
	}

	HANDLE hFile;
	HANDLE hTargetHandle;

	hFile = CreateFile(FileName, GENERIC_READ, 0, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL); 
	if (hFile == INVALID_HANDLE_VALUE)
	{
		printf("CreateFile Error\n");  
		CloseHandle(hProcess);
		return FALSE;
	}

	bRet = DuplicateHandle(GetCurrentProcess(), hFile, hProcess, &hTargetHandle, 
						   0, FALSE, DUPLICATE_SAME_ACCESS | DUPLICATE_CLOSE_SOURCE);

	CloseHandle( hProcess );

	return bRet;
}

int main()
{
	OccupyFile("c:\\t.txt", "winlogon.exe");
	return 0;
}


SR0ad
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
内核对象 复制对象句柄 DuplicateHandle 跨进程边界共享内核对象
c++基础
09-19 2166
Windows API List System Services Windows System Information Handles and Objects Handles and Object Reference Handle and Object Functions DuplicateHandle// 跨进程边界共享内核对象;
易语言DumpFile文件占坑
07-20
在"文件占坑"这一概念中,可能是指在硬盘上预先创建一个文件,以预留空间或防止其他程序占用特定位置,这在某些特定的文件系统操作或程序设计中可能会用到。 在易语言中,以上四个API函数通常需要通过“外部调用”...
DuplicateHandle
dclutwoku16741537的博客
03-02 246
功能:将一个进程内的伪句柄,转化为可以用来进程间通信的实句柄 BOOL DuplicateHandle( HANDLE hSourceProcessHandle, HANDLE hSourceHandle, HANDLE hTargetProcessHandle, LPHANDLE lpTargetHandle, DWORD dwDesiredAccess, BOOL bI...
duplicatehandle()
coder
04-07 954
   BOOL DuplicateHandle(   HANDLE hSourceProcessHandle,  // handle to the source process   HANDLE hSourceHandle,         // handle to duplicate   HANDLE hTargetProcessHandle,  // handle to process 
DuplicateHandle用法
weixin_30339457的博客
06-08 117
The DuplicateHandlefunction creates a duplicate handle. The returned duplicate is in the caller's process space.(从当前进程复制句柄到其他进程空间) 示例代码: 1 //ALL of the following code is executed by Process S. ...
delfiles_delphi_粉碎文件_
10-01
综上所述,通过掌握Delphi中的进程、线程、句柄管理和文件操作技术,我们可以构建一个类似于360粉碎文件的工具,它能处理那些被其他进程占用的文件,提供更强大的文件删除功能。这样的工具对于系统维护和数据清理...
易语言文件占位
07-22
文件占位是操作系统中的一种技术,用于预留磁盘空间,防止其他程序在同一位置写入数据,确保文件的完整性和一致性。在易语言中,实现文件占位可能需要编写特定的代码逻辑,通过创建一个空文件并设置其大小,预先占用...
window拷贝被占用文件,比如注册表文件
07-24
当一个文件被某个进程打开并使用时,Windows会锁定该文件防止其他进程进行读写操作,以确保数据的一致性和完整性。但是,在某些情况下,我们需要在不关闭相关进程的情况下复制这个文件,这需要特殊的处理方式。 ...
DuplicateHandle进程间应用监控例子
06-01
DuplicateHandle进程间应用监控例子 里面有问题的话修改函数cb为以下就正常了 procedure cb(AIdx:integer); begin closehandle(gh); TerminateProcess(getcurrentprocess, 0); end;
在不同的过程中,使用DuplicateHandle(...)函数如何共享一个句柄?
04-04
首先,如果您是新手,我建议您避免在进程之间共享文件和任何句柄重复:1)这些相关技术不太容易理解; 2)它们不安全; 3)这不是推荐的做法; 建议的做法应保持...
DuplicateHandle的应用
11-09 1358
假设一个进程拥有对一个文件映射对象的读写权限,在程序中的某个位置,我们要调用一个函数,并希望它对文件映射对象进行只读访问。为了使应用程序变得更健壮,可以使用DuplicateHandle为现有的对象创建一个新句柄,并确保这个新句柄有只读权限。然后,把这个只读句柄传给函数。采取这种方式,函数中的代码绝对不会对文件映射对象执行意外的写入操作。代码示例如下: int WINAPI _tWinMain(
利用DuplicateHandle()无驱动的另类读写内存方法,理论上可以过游戏保护读写
CalvinXu
02-27 6088
突发奇想出的原创思路,在理论上经过完善应该可以做到过游戏保护无驱动读写内存 首先看一下MSDN对这个函数的定义 BOOL DuplicateHandle( HANDLE hSourceProcessHandle, HANDLE hSourceHandle, HANDLE hTargetProcessHandle, LPHANDLE lpTargetHandle, ...
ring3层一种占用文件的方法(DuplicateHandle以后,把占用文件的句柄丢给系统进程,导致被占用)
dolphin98629的专栏
12-15 334
前段时间,一个测试工程师问我关于怎样长时间的占用一个文件,而使别的程序无法再访问这个文件,想起以前很多病毒木马经常劫持hosts文件不放,除非你找到占用文件的程序,并强行结束掉,否则怎么也访问不了hosts文件,病毒通过劫持这个文件来达到劫持你的域名的目的,很有可能你输入了www.baidu.com,访问的却是一个带颜色的网站,并稀里哗啦在后台下了上百个病毒,扯远了,呵呵。     其实sdk里...
Windows内核对象(3) -- DuplicateHandle实现文件占用
热门推荐
while(1) { smile(); }
01-26 12万+
DuplicateHandle的用法参考:http://blog.csdn.net/china_jeffery/article/details/79171307 实现的原理大致就是,通过DuplicateHandle拷贝文件句柄给另外一个进程(一般是系统进程),因为系统进程不会被关闭,所以达到了占用某个文件,不让其他进程删除、读取、写入等。 因为需要拷贝文件句柄给系统进程,所以涉及到打开系统
DuplicateHandle 函数的使用----翻译
商少
09-14 2289
原文地址https://msdn.microsoft.com/zh-cn/library/windows/desktop/ms724251(v=vs.85).aspxBOOL WINAPI DuplicateHandle( _In_ HANDLE hSourceProcessHandle, _In_ HANDLE hSourceHandle, _In_ HANDLE h
DuplicateHandle 伪句柄 与 实句柄的应用
weixin_33918114的博客
01-16 175
如果把GetCurrentThread()返回值传递给一个HANDLE句柄,用它进行ResumeThread,结果肯定不是我们想要的。下面的例子详细描述了伪句柄的调用结果: #include "stdafx.h" #include <stdio.h> #include <iostream> #include <windows.h> #inclu...
使用DuplicateHandle方法,通过互斥锁名解锁统一进程 CreateMutex创建的锁
最新发布
05-30
可以使用DuplicateHandle方法来复制一个句柄,并且将其作为参数传递给ReleaseMutex函数,从而实现解锁CreateMutex创建的锁。具体步骤如下: 1. 使用OpenMutex函数打开原始互斥锁并获取其句柄。 2. 使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值