现在HOOK越来越普遍,很多恶意程序通用hook用户进程的关机函数禁止关机,有些则是hook winlogon.exe的关机函数,因为进程的调用关机函数会最终给winlogon.exe发送关机消息。所以在用户层实现关机已经越来越不安全了。内核驱动禁止关机也不是很安全,通过windbg可以发现xuetr.exe禁止关机的原理是对NtShutdownSystem调用的SeSinglePrivilegeCheck(权限检查)函数进行call hook。不管了,毕竟玩驱的也不是等闲之辈。我们可以经常遇到在DriverEntry调用NtShutdownSystem可以正常关机重启,但是通过ioctl关机重启失效了,NtShutdownSystem的返回值是STATUS_PRIVILEGE_NOT_HELD,也就是权限不足,看来需要提权。提权函数如下:
void AdjustPriv(ULONG ulSe)
{
NTSTATUS nts = 0;
TOKEN_PRIVILEGES TokenPrivileges;
HANDLE tokenHandle;
nts = ZwOpenProcessToken(NtCurrentProcess(),TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY,&tokenHandle);
if (NT_SUCCESS(nts))
{
TokenPrivileges.PrivilegeCount = 1;
TokenPrivileges.Privileges[0].Luid = RtlConvertUlongToLuid(ulSe);
TokenPrivileges.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
nts = ZwAdjustPrivilegesToken(