ring3层一种占用文件的方法(DuplicateHandle以后,把占用文件的句柄丢给系统进程,导致被占用)

最新推荐文章于 2022-07-22 10:04:15 发布
最新推荐文章于 2022-07-22 10:04:15 发布
阅读量332 收藏
点赞数
分类专栏: 程序设计 Other 文章标签: windows DuplicateHandle

前段时间,一个测试工程师问我关于怎样长时间的占用一个文件,而使别的程序无法再访问这个文件,想起以前很多病毒木马经常劫持hosts文件不放,除非你找到占用文件的程序,并强行结束掉,否则怎么也访问不了hosts文件,病毒通过劫持这个文件来达到劫持你的域名的目的,很有可能你输入了www.baidu.com,访问的却是一个带颜色的网站,并稀里哗啦在后台下了上百个病毒,扯远了,呵呵。

    其实sdk里面有个API能够使你在ring3层通过拷贝文件句柄给另外一个进程的方式来达到占用某个文件的目录(ring3层就是应用层),编程实现也不难,不过可能有些用户权限不够,访问不了某些系统进程,这在开始就要有一个提权限的过程了。

    提权限的代码如下:

  1. // -------------------------------------------------------------------------
  2. // 函数       : RaiseToDebugP
  3. // 功能       : 提升进程权限到debug权限
  4. // 返回值  : void 
  5. // 附注       : 该函数就是提升调用进程的权限到DEBUG权限
  6. // -------------------------------------------------------------------------
  7. void RaiseToDebugP()
  8. {
  9.     HANDLE hToken;
  10.  
  11.     // 获取当前进程句柄
  12.     HANDLE hProcess = GetCurrentProcess();
  13.  
  14.     // 打开当前进程的Token,就是一个权限令牌,第二个参数可以用TOKEN_ALL_ACCESS
  15.     if (OpenProcessToken(hProcess, TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))
  16.     {
  17.         TOKEN_PRIVILEGES tkp;
  18.         if (LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &tkp.Privileges[0].Luid))
  19.         {
  20.             tkp.PrivilegeCount = 1;
  21.             tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
  22.             
  23.             //通知系统修改进程权限
  24.             BOOL bREt = AdjustTokenPrivileges(hToken, FALSE, &tkp, 0, NULL, 0) ;
  25.         }
  26.         CloseHandle(hToken);
  27.     }   
  28. }

    再调用下面的代码之前,先调用上面的函数。

    关键地方就是DuplicateHandle这个API的使用,它的具体功能和使用方法大家可以去查MSDN,这里我就不说了,下面的代码有详细的代码说明,关键是首先要找一个系统的常驻进程像system,svchost.exe和system idle process之类的,然后打开一个文件,在把这个文件的句柄拷贝给这个系统进程,这样在自身进程退出之后,某个系统进程仍然持有这个文件的句柄,这样其他的进程再去打开的时候就会被拒绝了。

  1. // -------------------------------------------------------------------------
  2. // 函数       : OccupyFile
  3. // 功能       : 打开一个文件句柄,然后和system进程共享该句柄
  4. // 返回值  : BOOL 
  5. // 参数       : LPCTSTR lpFileName
  6. // 附注       : 
  7. // -------------------------------------------------------------------------
  8. BOOL OccupyFile(LPCTSTR lpFileName)
  9. {
  10.     BOOL    bRet;
  11.    
  12.     // 提升权限
  13.     RaiseToDebugP();
  14.  
  15.     // 打开syetem进程,2000下PID是8,没有去看,也许吧,打开的时候必须赋予PROCESS_DUP_HANDLE权限
  16.     HANDLE hProcess = OpenProcess(PROCESS_DUP_HANDLE, FALSE, 5776);    // 4为system进程号
  17.     if (hProcess == NULL)
  18.     {
  19.         hProcess = OpenProcess(PROCESS_DUP_HANDLE, FALSE, 8);
  20.         if (hProcess == NULL)
  21.             return FALSE;
  22.     }
  23.  
  24.     HANDLE hFile;
  25.     HANDLE hTargetHandle;
  26.  
  27.     // 创建一个文件,当然这个文件可以是本来就存在的
  28.     hFile = CreateFile(lpFileName, GENERIC_READ | GENERIC_EXECUTE | GENERIC_WRITE, 0, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);   
  29.  
  30.  
  31.     if (hFile == INVALID_HANDLE_VALUE)
  32.     {
  33.         // 文件创建或打开失败
  34.         CloseHandle( hProcess );
  35.         return FALSE;
  36.     }
  37.  
  38.     // 这个是关键的API调用了,复制句柄操作
  39.     // 这里复制句柄的这个API还有些其他的用法,可以获取当前进程或线程的真实句柄
  40.     bRet = DuplicateHandle(GetCurrentProcess(),                                 // 拥有源句柄的那个进程的句柄,这里就是当前进程
  41.                             hFile,                                              // 指定对象的句柄,也就是要拷贝的句柄
  42.                             hProcess,                                           // 即将拥有新对象句柄的一个进程的句柄,这是是system进程的句柄
  43.                             &hTargetHandle,                                     // 指定用于装载新句柄的一个长整型变量
  44.                             0,                                                  // 新句柄的安全访问级别
  45.                             FALSE,                                              // 是否可以继承
  46.                             DUPLICATE_SAME_ACCESS | DUPLICATE_CLOSE_SOURCE      // 
  47.                             );
  48.  
  49.     CloseHandle(hProcess);
  50.     return bRet;
  51. }

 

    vista下system的进程ID不是4,如果想结束文件被占有,可以使用unlock,pocessxp之类的小工具,vista下面比较奇怪的是,直接用unlock还要重启后才能有效果。

http://blog.csdn.net/magictong/article/details/2944076

dolphin98629
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
如何操作被占用文件三法
张彤的专栏
09-23 880
无疑我们中的很多人都会遇到需要读写被其它进程占用文件的情况,比如说在编写 backup 程序或是 trojan 的时候。能从系统中抽出 SAM 文件,或是读取其它某些用标准方法无法成功访问的文件显然是件不错的事情。比如说当用标志 dwShareMode = 0 打开文件时,其它进程就不能对它进行访问了。一个很好的例子就是网络寻呼机程序 Miranda。这个程序在自己工作的时候不允许别人打开自己的
ring3文件占坑大法
05-08 1116
#include BOOL OccupyFile( LPCTSTR lpFileName );int main(){    OccupyFile("c://aaa111.txt");    return 0;}void RaiseToDebugP(){    HANDLE hToken;    HANDLE hProcess = GetCurrentProcess();    if ( OpenP
数,文件占用
zzq的博客
07-22 184
数,文件占用
ring3层一种占用文件方法
magictong的专栏
09-17 2285
前段时间,一个测试工程师问我关于怎样长时间的占用一个文件,而使别的程序无法再访问这个文件,想起以前很多病毒木马经常劫持hosts文件不放,除非你找到占用文件的程序,并强行结束掉,否则怎么也访问不了hosts文件,病毒通过劫持这个文件来达到劫持你的域名的目的,很有可能你输入了www.baidu.com,访问的却是一个带颜色的网站,并稀里哗啦在后台下了上百个病毒,扯远了,呵呵。    其实sdk里
R3文件占坑大法
XboxMicro
02-26 1569
本文来自PEDIY   1 #include 2 #include 3 4 BOOL OccupyFile( LPCTSTR lpFileName ); 5 6 7 int main() 8 { 9 OccupyFile(L"C:\\1.txt"); 10 system("pause"); 11 return 0; 12 } 13
window拷贝被占用文件,比如注册表文件
07-24
在Windows操作系统中,有时我们需要复制或移动一个正在被其他程序使用的文件,比如注册表文件(.reg),但系统通常会阻止这种操作,因为文件正在被占用。为了克服这个限制,我们可以利用特定的技术来实现占用文件的...
易语言枚举进程所有句
07-16
易语言枚举进程所有句源码,枚举进程所有句,获取系统所有句信息,获取句名,获取句类型,获取句引用数,List,Count,GetItem,GetCurrentProcessId,GetCurrentProcess,RtlMoveMemory_SYSTEM_HANDLE_INFORMATION...
在不同的过程中,使用DuplicateHandle(...)函数如何共享一个句
04-04
DuplicateHandle()函数是Windows API中提供的一种机制,用于在两个进程间复制一个已有的句。这个函数的主要作用是允许一个进程(源进程)将其拥有的句复制给另一个进程(目标进程),使得目标进程也能访问同一...
易语言枚举进程所有句信息的代码
08-26
`ZwQuerySystemInformation`函数用于查询系统信息,包括进程的句信息,而`DuplicateHandle`用于复制一个句,`OpenProcess`用于打开指定进程,`CloseHandle`用于关闭句,`ZwQueryObject`可以查询对象的详细信息...
delfiles_delphi_粉碎文件_
10-01
综上所述,通过掌握Delphi中的进程、线程、句管理和文件操作技术,我们可以构建一个类似于360粉碎文件的工具,它能处理那些被其他进程占用文件,提供更强大的文件删除功能。这样的工具对于系统维护和数据清理...
文件占坑,防止删除大法
饭特稀 的专栏
01-01 1176
exe文件占坑://////////////////////////////////////////////////////////////////////////////#include //提权函数void RaiseToDebugP(){HANDLE hToken;HANDLE hProcess = GetCurrentProcess();if ( OpenProcessToke
通过DuplicateHandle防止文件删除
SR0ad的涅盘地
09-27 986
还是Ring3下的老代码,使用DuplicateHandle()获得文件,复制到其他进程当中,在删除被保护文件时,会提示无法删除,在保护进程中打开。 Win XP下可以打开system进程,而这个进程PID是固定的数值4;但是Win 7下却无法打开system进程,提权后也无法打开,所以这里将句复制到winlogon.exe进行保护。 #include #include #i
占坑
夏至是个程序媛
04-02 145
占坑
DuplicateHandle
dclutwoku16741537的博客
03-02 243
功能:将一个进程内的伪句,转化为可以用来进程间通信的实句 BOOL DuplicateHandle( HANDLE hSourceProcessHandle, HANDLE hSourceHandle, HANDLE hTargetProcessHandle, LPHANDLE lpTargetHandle, DWORD dwDesiredAccess, BOOL bI...
Windows API之DuplicateHandle
weixin_34400525的博客
10-30 349
    在进程之间共享内核对象句的一种方法DuplicateHandle   简单地说,该函数取得某个进程表中的一个表项,然后把它拷贝到另一个进程的句表中。       BOOL WINAPI DuplicateHandle(   __in HANDLE hSourceProcessHandle,   __in HANDLE hSourceH...
Process相关函数
weixin_40332490的博客
04-09 1949
函数功能 用来创建一个新的进程和它的主线程,这个新进程运行指定的可执行文件。 基本原理 执行一个外部程序实质上可以认为就是创建一个进程 windows系统下创建一个进程意味着: ① 创建一个内核对象:内核对象是windows系统用于管理进程的一个工具,可以认为是一个数据结构。 ② 创建一个地址空间:用于存放可执行文件的代码和数据 当调用CreateProcess()时,windows会自动创建一个...
OpenProcess()函数
热门推荐
夜空中最亮的星
10-06 5万+
通过一个进程关闭另外一个进程的时候,一般的做法就是枚举系统打开的所用进程的标识符(PID),使用OpenProcess函数获得进程的句,该函数可以通过第一个参数来设置句的新的访问权限(不清楚句是不是和原来的一模一样?有待证明和学习),比如如果打开的句不具备终止句的权限,直线终止进程操作会失败,返回的错误代码为5(意思为拒绝访问)。通过获得的句就可以获得进程名字(通过GetModuleB
文件占用问题排查经历
m0_53246313的博客
03-22 3892
记录一次文件占用的排查过程。 问题现象 部署服务器的虚拟机,文件数每天都会增加,最终文件数耗尽,服务无法正常工作。 排查过程 1. lsof 查看文件占用文件数 由于文件数的增加,只在应用启动后开始,可以定位问题是由于应用引起。 通过【lsof -p 进程号】命令,查看进程文件占用。 发现大量的文件为: java 116023 root 7485u sock 0,7 0t0 282463093 protocol:TCPv6 这意味着文件占用来自于套接字,即连接请求。
R3下,遍历所有进程的伪句表,关闭指定句
被遗弃的庸才博客
10-20 1543
之所以产生这个想法,是在删除文件的时候有时会提示文件占用了,然后让我们先关闭之后在来删除,但是我怎么知道哪个进程打开了我的文件? 于是就去网上了找了一份代码然后改了改,接着来说说是怎么实现功能的。首先我们需要遍历所有的进程,所有要找到遍历进程的代码。 //遍历进程 WCHAR * szServerName = NULL; HANDLE WtsServerHandle = WTSOp...
使用DuplicateHandle方法,通过互斥锁名解锁统一进程 CreateMutex创建的锁
最新发布
05-30
可以使用DuplicateHandle方法来复制一个句,并且将其作为参数传递给ReleaseMutex函数,从而实现解锁CreateMutex创建的锁。具体步骤如下: 1. 使用OpenMutex函数打开原始互斥锁并获取其句。 2. 使用...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值