利用未公开函数枚举进程及其关联的端口系列之(二)转

利用未公开函数枚举进程及其关联的端口系列之(二)转
2011年12月20日
  http://blog.csdn.net/civet148/article/details/5629 50 关联进程和端口是一个非常有用的功能,你可以清楚地知道哪些程序在使用哪些端口,对于查杀木马很有帮助。可是我们虽然可以使用任务管理器浏览进程列表,使用Netstat查看端口的使用状况,却没有一个命令可以直接关联进程和端口(WinXP上增加了新的NetStat功能,支持直接查看端口进程状况),今年年初的时候,国外出了一个有名的软件Fport,它可以显示当前所有的端口及他们所属的进程,可是,这个软件并没有公开源代码,(太不符合自由软件精神了吧?),我根据对这个软件的逆向工程,做了一个类似的工具,在这里和大家探讨一下它的原理。
  一拿到Fport的时候,我就对它进行了API分析,发现除了一些基本的API以外,它还调用了NTDLL.dll的几个未公开API,如NtQuerySystemInfomation,NtQueryInfomationProcess,直觉告诉我,关键应该在这两个函数中,特别是前者。为了能够理解Fport的运行机理,我们首先要来复习一下SOCKET。SOCKET究竟是什么?它的中文名称叫做套接口,但是,实际上我们所谓的SOCKET数据结构只是一个32位的无符号整数(在UNIX中是16位的),它对于Windows操作系统来说其实是一个文件句柄(SOCKET是文件?奇怪么?操作系统在底层实现的时候,常常使用文件的概念来完成一些基本的功能),这样的话问题就明朗了,如果我们能够枚举系统所有的句柄,从中获得属性为SOCKET的,不就可以完成Fport的功能?现在你应该想到了,为什么Fport要调用NtQuerySystemInfomation这个API,实际上,NtQuerySystemInfomation这个函数提供了一个简单的途径以获得系统所有的HANDLE,我们先来看看这个函数的原型:
  DWORD NtQuerySystemInformation( DWORD dwRecordType,
  PDWORD pdwHandleList,
  DWORD dwNumBytes,
  PDWORD pdwNumBytesRet );
  我来解释一下,NtQuerySystemInformation这个函数有四个参数,第一个参数是dwRecordType,这个参数指定了我们所查询的系统信息类型,为了查询系统HANDLE列表,我们定义一个常量#define NT_HANDLE_LIST 16(这个数值我是查资料得到的,如果谁有更详细的资料,也请让我共享一下);第二个参数是一个指针,这个指针用来返回系统句柄列表,在调用NtQuerySystemInformation函数之前,必须为这个指针分配足够的内存空间,否则函数调用会出错;第三个参数是指定你为HandleList所分配的内存空间大小,单位是byte;第四个参数是NtQuerySystemInformation返回的HandleList的大小;如果NtQuerySystemInformation函数调用成功,返回值将是0,否则可以使用GetLastError()获得详细的错误代码。
  一旦NtQuerySystemInformation函数调用成功,系统中所有的句柄将被存放在pdwHandleList所指向内存空间中,其中,pdwHandleList所指向的第一个32位数,是这个buf所包含的句柄数量,之后是顺序排列的句柄指针pHandleInfo,指向的是HANDLEINFO结构:
  typedef struct _HandleInfo
  {
  USHORT dwPid;
  USHORT CreatorBackTraceIndex;
  BYTE ObjType;
  BYTE HandleAttributes;
  USHORT HndlOffset;
  DWORD dwKeObject;
  ULONG GrantedAccess;
  }HANDLEINFO, *PHANDLEINFO;
  看到这个结构,我们心中就有底了,句柄信息中包括了句柄所属进程的PID,这样我们就可以关联进程和SOCKET了,可是,在NT中有各种各样的句柄:进程句柄、令牌句柄、文件句柄、窗口句柄……我们怎样才能判断一个句柄究竟是不是SOCKET呢?这就要靠HANDLEINFO结构中的ObjType属性了,经过分析,我们发现,SOCKET句柄的类型值为0x1A,所以,我们将所有类型为0x1A的句柄取出,进行getsockname操作就可以得到当前的进程/端口对应列表,实际上并不然,要知道,我们得到的句柄都属于其他的进程,在NT中根据进程保护的原则,一个进程没有办法直接得到其他进程的各种信息,特别是句柄,不同进程中的同一句柄(句柄的数值相同)根本就不是同样的东西,因此,我们还必须进行一次转换,将其他进程的句柄转换为本进程的句柄,这个转换工作只要简单地调用DuplicateHandle函数就可以完成了:
  DuplicateHandle(hSourceProc,
  (HANDLE)pHandleInfo->HndlOffset, hCurrentProc, &hMyHandle, STANDARD_RIGHTS_REQUIRED, true, 0 ); 之后我们就可以通过getsockname、getsockopt等函数来获得SOCKET的各种属性了(使我困惑的是,Fport并没有调用getsockname,这说明,应该有更简单的方法来得到SOCKET句柄的各种属性,看来我对SOCKET句柄的了解程度还是很肤浅呀)
  sockaddr_in name = {0};
  name.sin_family = AF_INET;
  int namelen = sizeof(sockaddr_in);
  SOCKET s = (SOCKET)hMyHandle;
  char szSockType[6][6] = { "NUL", "TCP", "UDP", "RAW", "RDM", "SEQ" };
  iRet = getsockname( s, (sockaddr*)&name, &namelen );
  if ( iRet != SOCKET_ERROR )
  {
  int sockType = 0;
  int optlen = 4;
  iRet = getsockopt( s, SOL_SOCKET, SO_TYPE, (char*)&sockType, &optlen );
  printf("PID=%4d PORT=%5d %s/n", pHandleInfo->dwPid,
  ntohs( name.sin_port ), szSockType[sockType] );
  }
  至此,进程和端口关联的工作已经基本完成,可是,还有一些不足的地方,首先,这个软件不像Fport一样能够查看system进程(就是那个著名的8#进程)的SOCKET,错误代码是5(access denied),一个简单的解决方法是将自己做成service,这样就有了对Local System进程的访问权限,不过似乎Fport并不是这么做的,此为疑点一;其次,由于我对HANDLE属性的肤浅认识,有的时候会出现误报或漏报的现象,即使没有误报,将所有属性为0x1A的句柄都进行getsockname效率也略微低了一点,这里应该有更好的解决方案,此为疑点二;最后,Fport并没有调用socket函数来获得socket属性,这说明有一个更简单直接的方法可以从SOCKET句柄中得到端口、协议等信息,可惜我不知道,此为疑点三。不过令人欣慰的是,我写出来的Gport可以在Win2K的非管理员用户下运行,此时,仅能获得本用户所有进程的端口,这大概是Fport所没有具备的功能。
  写本文的目的,一方面是为了解答某些网友对Fport原理的疑问,另一方面也是为了抛砖引玉,希望能解答我心中的这些疑点,望各位高手能不吝赐教。
  最后附上Gport的代码,Gport的测试版和代码文件可以在我的主页上下载,地址为:http://shotgun.patching.net/Gport.zip
  附:Gport.cpp
  #include #include #include #include #pragma comment ( lib, "ws2_32.lib" ) // NtQuerySystemInformation record type 16 #define NT_HANDLE_LIST 16 #define OBJECT_TYPE_SOCKET0x1A #define MAX_HANDLE_LIST_BUF0x200000 // 定义HanleInfo数据结构
  typedef struct _HandleInfo
  {
  USHORT dwPid;
  USHORT CreatorBackTraceIndex;
  BYTE ObjType;
  BYTE HandleAttributes;
  USHORT HndlOffset;
  DWORD dwKeObject;
  ULONG GrantedAccess;
  }HANDLEINFO, *PHANDLEINFO;
  // 申明NtQuerySystemInformation()函数
  typedef DWORD (CALLBACK* NTQUERYSYSTEMINFORMATION)( DWORD, PDWORD, DWORD, PVOID );
  NTQUERYSYSTEMINFORMATION NtQuerySystemInformation;
  // 判断SOCKET类型的数组
  char szSockType[6][6] = { "NUL", "TCP", "UDP", "RAW", "RDM", "SEQ" };
  // // RaisePrivleges()函数用来提升本进程的特权
  //
  bool RaisePrivleges( HANDLE hToken, char *pPriv )
  {
  TOKEN_PRIVILEGES tkp;
  if ( !LookupPrivilegeValue( NULL, pPriv, &tkp.Privileges[0].Luid ) )
  {
  printf( "LookupPrivilegeValue Error:%d/n", GetLastError() );
  return false;
  }
  tkp.PrivilegeCount = 1;
  tkp.Privileges[0].Attributes │= SE_PRIVILEGE_ENABLED;
  int iRet = AdjustTokenPrivileges(hToken,
  false,
  &tkp,
  0,
  (PTOKEN_PRIVILEGES)NULL,
  0 );
  if ( iRet == NULL ) //AdjustTokenPrivileges函数调用失败 { printf( "AdjustTokenPrivileges Error:%d/n", GetLastError() ); return false; } else //AdjustTokenPrivileges调用成功
  { //使用GetLastError()获得返回值
  iRet = GetLastError();
  switch ( iRet )
  {
  case ERROR_NOT_ALL_ASSIGNED://未指派所有的特权
  printf( "AdjustTokenPrivileges ERROR_NOT_ALL_ASSIGNED/n" );
  return false;
  case ERROR_SUCCESS: //成功地指派了所有的特权
  return true;
  default: //不知名的错误
  printf( "AdjustTokenPrivileges Unknow Error:%d/n", iRet );
  return false;
  }
  }
  }//end of RaisePrivleges
  // // AdjustDacl用来调整目标进程的DACL
  //
  void AdjustDacl( HANDLE hProcess )
  {
  SID world = { SID_REVISION, 1, SECURITY_WORLD_SID_AUTHORITY, 0 };
  LPTSTR ptstrName = (LPTSTR)&world;
  EXPLICIT_ACCESS ea =
  {
  STANDARD_RIGHTS_ALL │ SPECIFIC_RIGHTS_ALL,
  SET_ACCESS,
  NO_INHERITANCE,
  {
  0, NO_MULTIPLE_TRUSTEE,
  TRUSTEE_IS_SID,
  TRUSTEE_IS_USER,
  ptstrName
  }
  };
  ACL * pdacl = 0;
  if ( SetEntriesInAcl(1, &ea, 0, &pdacl) != ERROR_SUCCESS )
  printf( "SetEntriesInAcl Error:%d", GetLastError() ); if ( SetSecurityInfo( hProcess, SE_KERNEL_OBJECT, DACL_SECURITY_INFORMATION, 0 , 0, pdacl, 0 ) != ERROR_SUCCESS ) printf( "SetSecurityInfo Error:%d", GetLastError() ); LocalFree(pdacl); }//end of AdjustDacl int main( ) { printf( "/t=*= GPort Beta1 (Shotgun@xici.net) =*=/n/n" ); int iRet; WSADATA wsaData; iRet = WSAStartup( MAKEWORD(1,1), &wsaData ); if ( iRet ) printf( "WSAStartup Error:%d/n", GetLastError() ); HANDLE hCurrentProc = GetCurrentProcess(); HANDLE hToken; if ( !OpenProcessToken(hCurrentProc, TOKEN_QUERY │ TOKEN_ADJUST_PRIVILEGES, &hToken ) ) printf( "OpenProcessToken Error:%d/n", GetLastError() ); else { if ( !RaisePrivleges( hToken, SE_DEBUG_NAME ) ) printf( "SetPrivleges SE_DEBUG_NAME Error:%d/n", GetLastError() ); } if ( hToken ) CloseHandle( hToken ); HMODULE hNtdll = NULL; hNtdll = LoadLibrary( "ntdll.dll" ); if ( !hNtdll ) { printf( "LoadLibrary( NTDLL.DLL ) Error:%d/n", GetLastError() ); return false; } NtQuerySystemInformation = (NTQUERYSYSTEMINFORMATION) GetProcAddress( hNtdll,"NtQuerySystemInformation"); if ( !NtQuerySystemInformation ) { printf( "GetProcess( NtQuerySystemInformation ) Error:%d/n", GetLastError() ); return false; } DWORD dwNumBytes = MAX_HANDLE_LIST_BUF; PDWORD pdwHandleList = (PDWORD)malloc( dwNumBytes ); if ( !pdwHandleList ) { printf( "Malloc for Handle List Error:%d/n", GetLastError() ); return false; } DWORD dwNumBytesRet = 0; iRet = (*NtQuerySystemInformation)(NT_HANDLE_LIST, pdwHandleList, dwNumBytes, &dwNumBytesRet); DWORD dwNumEntries; PHANDLEINFO pHandleInfo; if ( iRet ) { printf( "NtQuerySystemInformation return %d, Error:%d/n", dwNumBytesRet, GetLastError() ); } else { HANDLE hProc; dwNumEntries = pdwHandleList[0]; pHandleInfo = (PHANDLEINFO)( pdwHandleList + 1 ); for ( DWORD i = 0; i ObjType == OBJECT_TYPE_SOCKET ) && ( pHandleInfo->dwPid ) ) { hProc = OpenProcess(WRITE_DAC, false, pHandleInfo->dwPid ); if ( hProc ) { AdjustDacl( hProc ); CloseHandle( hProc ); } else printf( "OpenProcess(WRITE_DAC) %d Error:%d/n", pHandleInfo->dwPid, GetLastError() ); HANDLE hMyHandle = NULL; hProc = OpenProcess(PROCESS_DUP_HANDLE, true, pHandleInfo->dwPid ); if ( hProc ) { DuplicateHandle(hProc, (HANDLE)pHandleInfo->HndlOffset, hCurrentProc, &hMyHandle, STANDARD_RIGHTS_REQUIRED, true, 0 ); CloseHandle( hProc ); } else printf( "OpenProcess %d Error:%d/n", pHandleInfo->dwPid, GetLastError() ); if ( !hMyHandle ) { Sleep( 0 ); //printf( "DuplicateHandle PID=%4d HANDLE:%4d Error:%d/n", // pHandleInfo->dwPid, pHandleInfo->HndlOffset, GetLastError() ); } else { sockaddr_in name = {0}; name.sin_family = AF_INET; int namelen = sizeof(sockaddr_in); SOCKET s = (SOCKET)hMyHandle; iRet = getsockname( s, (sockaddr*)&name, &namelen ); if ( iRet != SOCKET_ERROR ) { int sockType = 0; int optlen = 4; iRet = getsockopt( s, SOL_SOCKET, SO_TYPE, (char*)&sockType, &optlen ); printf( "PID=%4d PORT=%5d %s/n", pHandleInfo->dwPid, ntohs( name.sin_port ), szSockType[sockType] ); } } } pHandleInfo++; } } if ( pdwHandleList ) free( pdwHandleList ); if ( hCurrentProc ) CloseHandle( hCurrentProc ); return 0; }
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值