基于USBDeview的自制USB设备监管系统实现(4)——Guard Process

最新推荐文章于 2021-08-27 12:47:23 发布
最新推荐文章于 2021-08-27 12:47:23 发布
阅读量692 收藏 2
点赞数
分类专栏: C C++ 信息化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kingfox/article/details/90046366
版权
C++ 同时被 3 个专栏收录
18 篇文章 2 订阅
订阅专栏
C
10 篇文章 0 订阅
订阅专栏
信息化
3 篇文章 0 订阅
订阅专栏

Guard Process是一个守护进程,目的是为了防止用户有意或无意间终止常驻的usbdeview进程。本文中,这个守护进程命名为USB Monitor Service(以下简称“ums”),做为Windows系统服务运行。

ums会定时扫描系统进程,检查usbdeivew进程是否处于运行中。若发现当前进程列表中没有usbdeview,则会自主运行usbdeview.exe。以下是ums的完整源代码:

/**
  * USB Monitor Service是个一Windows系统服务程序,这个程序定时检查usbdeview.exe进程是否处于
  * 运行状态,如果未发现此进程,则启动该进程。
  * 可以用sc create binPath= ums.exe命令来讲USB Monitor Service注册为系统服务,并用sc start ums
  * 来启动该服务。
  */
#include <time.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <windows.h>
#include <tlhelp32.h>
#include <wtsapi32.h>
#include <winnt.h>
#include <winbase.h>
#include <userenv.h>

#define __USE_CREATE_PROCESS__

#define __MAX_MSG_LENGTH__ 256

const char __configFilename[] = "ums.ini";
const char __sleepPeriodKey[] = "SLEEPPERIOD";
const char __logFileKey[] = "LOGFILE";
const char __serviceNameKey[] = "SERVICENAME";
const char __monitorNameKey[] = "MONITORNAME";
const char __monitorFilenameKey[] = "MONITORFILENAME";

typedef struct __tagServiceConfig
{
   DWORD sleepPeriod;
   char logFile[MAX_PATH + 1];
   char serviceName[__MAX_MSG_LENGTH__];
   char monitorName[__MAX_MSG_LENGTH__];
   char monitorFilename[MAX_PATH + 1];
} ServiceConfig;

ServiceConfig serviceConfig =
{
   5000,
   ".\\ums.log",
   "USB Monitor Service",
   "usb monitor",
   "usbdeview.exe"
};

unsigned int count = 0;
SERVICE_STATUS serviceStatus;
SERVICE_STATUS_HANDLE servStatusHandle;
char modulePath[MAX_PATH + 1] = "\0";
char fullPath[MAX_PATH + 1] = "\0";
char invokeCommand[MAX_PATH + 1] = "\0";
char errMsg[__MAX_MSG_LENGTH__] = "\0";

#ifdef __cplusplus
extern "C" {
#endif // __cplusplus

int writeLog(const char logMsg[]);
int initService();
void servMain(int argc, char *argv[]);
void controlHandler(DWORD request);
BOOL searchProcess(const char procName[]);
void getPath(char fullPath[], char path[]);
unsigned long invokeProcess(char cmd[]);
int loadConfig(const char configFile[], ServiceConfig *config);
void strupr(char str[]);
// mingw的h文件中并未声明WTSGetActiveConsoleSessionId函数,因此需要手工声明。
// WTSGetActiveConsoleSessionId仅能用于C++。
WINBASEAPI DWORD WINAPI WTSGetActiveConsoleSessionId(VOID);

#ifdef __cplusplus
}
#endif // __cplusplus

int main(int argc, char *argv[])
{
   GetModuleFileName(NULL, fullPath, MAX_PATH);
   getPath(fullPath, modulePath);
   sprintf(fullPath, "%s\%s", modulePath, __configFilename);
   loadConfig(fullPath, &serviceConfig);

   SERVICE_TABLE_ENTRY serviceTables[2];
   serviceTables[0].lpServiceName = (LPSTR)serviceConfig.serviceName;
   serviceTables[0].lpServiceProc = (LPSERVICE_MAIN_FUNCTION)servMain;
   serviceTables[1].lpServiceName = NULL;
   serviceTables[1].lpServiceProc = NULL;
   StartServiceCtrlDispatcher(serviceTables);

   return 0;
}

int writeLog(const char logMsg[])
{
   int error = 1;
   sprintf(fullPath, "%s\%s", modulePath, serviceConfig.logFile);
   FILE *ofp = fopen(fullPath, "a");
   time_t currTime = time(NULL);
   struct tm *logTime = localtime(&currTime);
   if (ofp != NULL)
   {
      fprintf(ofp, "%04d-%02d-%02d %02d:%02d:%02d%c",
           logTime->tm_year + 1900, logTime->tm_mon + 1, logTime->tm_mday,
           logTime->tm_hour, logTime->tm_min, logTime->tm_sec, '|');
      fprintf(ofp, "%s\n", logMsg);
      fclose(ofp);
      error = 0;
   }

   return error;
}

int initService()
{
   int result = writeLog("Service Started.");
   return result;
}

void servMain(int argc, char* argv[])
{
   unsigned long count = 0;
   char msgBuf[64];

   serviceStatus.dwServiceType = SERVICE_WIN32_OWN_PROCESS | SERVICE_INTERACTIVE_PROCESS;
   serviceStatus.dwCurrentState = SERVICE_START_PENDING;
   serviceStatus.dwControlsAccepted = SERVICE_ACCEPT_STOP | SERVICE_ACCEPT_SHUTDOWN;
   serviceStatus.dwWin32ExitCode = 0;
   serviceStatus.dwServiceSpecificExitCode = 0;
   serviceStatus.dwCheckPoint = 0;
   serviceStatus.dwWaitHint = 0;

   servStatusHandle = RegisterServiceCtrlHandler(serviceConfig.serviceName, (LPHANDLER_FUNCTION)controlHandler);
   if (servStatusHandle == (SERVICE_STATUS_HANDLE)0)
   {  // Registering Control Handler failed
      return;
   }

   int error = initService();
   if (error)
   {
      serviceStatus.dwCurrentState = SERVICE_STOPPED;
      serviceStatus.dwWin32ExitCode = -1;
      SetServiceStatus(servStatusHandle, &serviceStatus);

      return;
   }

   serviceStatus.dwCurrentState = SERVICE_RUNNING;
   SetServiceStatus(servStatusHandle, &serviceStatus);

   while(serviceStatus.dwCurrentState == SERVICE_RUNNING)
   {
      count ++;
      BOOL procExist = searchProcess(serviceConfig.monitorFilename);
      if (!procExist)
      {
         sprintf(msgBuf, "%08lu, %s not exists.", count, serviceConfig.monitorName);
         writeLog(msgBuf);
         sprintf(invokeCommand, "%s%s", modulePath, serviceConfig.monitorFilename);
         writeLog(invokeCommand);
         invokeProcess(invokeCommand);
      }
      Sleep(serviceConfig.sleepPeriod);
   }
}

void controlHandler(DWORD request)
{
   switch(request)
   {
      case SERVICE_CONTROL_STOP:
         writeLog("Service Stopped.");
         serviceStatus.dwCurrentState = SERVICE_STOPPED;
         serviceStatus.dwWin32ExitCode = 0;
         SetServiceStatus(servStatusHandle, &serviceStatus);
         break;

      case SERVICE_CONTROL_SHUTDOWN:
         writeLog("Service Stopped.");
         serviceStatus.dwCurrentState = SERVICE_STOPPED;
         serviceStatus.dwWin32ExitCode = 0;
         SetServiceStatus(servStatusHandle, &serviceStatus);
         break;

      default:
         SetServiceStatus(servStatusHandle, &serviceStatus);
         break;
   }

   return;
}

BOOL searchProcess(const char procName[])
{
   BOOL walkCode, found = FALSE;
   PROCESSENTRY32 pe;
   // writeLog("get processes snapshot.");
   HANDLE snapshotHandle = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
   if (snapshotHandle == INVALID_HANDLE_VALUE)
   {
      writeLog("can't get process snapshot.");
      return FALSE;
   }

   pe.dwSize = sizeof(pe);
   walkCode = Process32First(snapshotHandle, &pe);
   while(walkCode)
   {
      int equal = strcmp(pe.szExeFile, serviceConfig.monitorFilename);
      if (equal == 0)
      {
         found = TRUE;
         break;
      }
      walkCode = Process32Next(snapshotHandle, &pe);
   }
   CloseHandle(snapshotHandle);

   return found;
}

void getPath(char fullPath[], char path[])
{
   if (path != NULL)
   {
      char *occur = strrchr(fullPath, '\\');
      memset(path, 0, strlen(fullPath));
      strncpy(path, fullPath, strlen(fullPath) - strlen(occur) + 1);
   }
}

unsigned long invokeProcess(char cmd[])
{
   unsigned long errorCode = 0;
   HANDLE hTokenThis = NULL;
   HANDLE hTokenDup = NULL;
   BOOL bResult = FALSE;
   HANDLE hThisProcess = GetCurrentProcess();
   bResult = OpenProcessToken(hThisProcess, TOKEN_ALL_ACCESS, &hTokenThis);
   if (!bResult)
   {
      errorCode = GetLastError();
      return errorCode;
   }

   bResult = DuplicateTokenEx(hTokenThis, MAXIMUM_ALLOWED, NULL, SecurityIdentification, TokenPrimary, &hTokenDup);
   if (!bResult)
   {
      errorCode = GetLastError();
      return errorCode;
   }

   DWORD dwSessionId = WTSGetActiveConsoleSessionId();
   bResult = SetTokenInformation(hTokenDup, TokenSessionId, &dwSessionId, sizeof(DWORD));
   if (!bResult)
   {
      errorCode = GetLastError();
      return errorCode;
   }

   STARTUPINFO si;
   PROCESS_INFORMATION pi;
   ZeroMemory(&si, sizeof(STARTUPINFO));
   ZeroMemory(&pi, sizeof(PROCESS_INFORMATION));
   si.cb = sizeof(STARTUPINFO);
   si.dwFlags = STARTF_USESHOWWINDOW;
   si.wShowWindow = SW_SHOWNORMAL;

   LPVOID pEnv = NULL;
   DWORD dwCreationFlag = NORMAL_PRIORITY_CLASS | CREATE_NEW_CONSOLE | CREATE_UNICODE_ENVIRONMENT;

   bResult = CreateEnvironmentBlock(&pEnv, hTokenDup, FALSE);
   if (!bResult)
   {
      errorCode = GetLastError();
      return errorCode;
   }

   bResult = CreateProcessAsUser(hTokenDup, NULL, cmd, NULL, NULL, FALSE, dwCreationFlag, pEnv, NULL, &si, &pi);
   if (!bResult)
   {
      errorCode = GetLastError();
      return errorCode;
   }
   return errorCode;
}

int loadConfig(const char configFile[], ServiceConfig *config)
{
   int loadCode = 0;
   const char splitter = '=';

   char *valuePtr;
   char key[32];
   char buffer[__MAX_MSG_LENGTH__];
   FILE *cfgFp = fopen(configFile, "r");
   if (cfgFp != NULL)
   {
      loadCode = 0;
      do {
         fscanf(cfgFp, "%s", buffer);
         valuePtr = strchr(buffer, splitter);
         if (valuePtr == NULL)
         {
            loadCode = -2;
            break;
         }
         *valuePtr = '\0';
         valuePtr ++;
         // strncpy(key, buffer, strlen(buffer) - strlen(valuePtr) + 1);
         strcpy(key, buffer);
         strupr(key);
         if (!strcmp(key, __sleepPeriodKey))
         {
            config->sleepPeriod = strtoul(valuePtr, NULL, 10);
         }
         else if (!strcmp(key, __logFileKey))
         {
            strcpy(config->logFile, valuePtr);
         }
         else if (!strcmp(key, __serviceNameKey))
         {
            strcpy(config->serviceName, valuePtr);
         }
         else if (!strcmp(key, __monitorNameKey))
         {
            strcpy(config->monitorName, valuePtr);
         }
         else if (!strcmp(key, __monitorFilenameKey))
         {
            strcpy(config->monitorFilename, valuePtr);
         }
         else
         {
            loadCode = -2;
            break;
         }
      } while(!feof(cfgFp));
      fclose(cfgFp);
   }
   else
   {
      loadCode = -1;
      sprintf(buffer, "load config file %s error: %d", __configFilename, loadCode);
      writeLog(buffer);
   }

   return loadCode;

}

void strupr(char str[])
{
   int length = strlen(str);
   for(int index = 0; index < length; index ++)
   {
      if ((str[index] >= 'a') && (str[index] <= 'z'))
      {
         str[index] -= 0x20;
      }
   }
}

这里使用了Windows Service程序的编写方法,main函数只是用于注册服务信息,真正的服务入口是servMain函数。servMain函数将controlHandler注册为Windows服务事件处理程序,然后循环检查当前系统进程列表中是否包含usbdeview.exe进程。如果发现未包含usbdeview.exe进程,则在日志文件中写入一条异常记录,并调用invokeProcess函数试图运行usbdeview工具。

由于usm是作为系统服务运行,无法直接操作桌面,所以如果invokeProcess简单地调用Windows提供的创建进程API CreateProcess来创建usbdeview.exe的话,你会发现这个进程确实被创建了,但是却无法显示其GUI界面。所以,invoke必须调用CreateProcessAsUser接口来创建usbdeview进程。这也是为什么invokeProcess那么啰嗦的原因。

usm目前的实现还是比较简单的,往后还可以添加更多的保护能力,比如校验usbdeview.exe和udl.exe是否为原装的(免得被PC终端用户偷偷替换掉),想办法别别让用户把ums的服务给停掉或者卸载掉,……等等。

狐帝
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
USBViewer源码
11-16
“查看痕迹”可显示本机使用过的U盘、移动硬盘等的使用痕迹   “生成报告”可以将本机的U盘使用记录导出……另存为“UsbViewer-日期+时间.txt”,当然也可以保存成电子表格的格式。   “清除痕迹”可将本机USB移动存储设备的使用记录一键清除。     ·删除所选痕迹:删掉您选择的单条记录     ·删除全部痕迹:删除所有使用记录     ·删除所选列表:在导出的报表中,不显示这条记录。   本键请谨慎点击。   “关于”可看到开发商,也就是我们的相关信息   “系统退出”不用多说了吧?
USBDeview2.29中文版(USB查看器).rar
09-03
软件介绍: USBDeview.exe可以显示已经连接到计算机USB上的所有设备,显示设备类型名称及描述信息,显示设备是否已经连接上。在丢的设备上可断开/卸载所选设备,禁用或设备所选设备,可在注册表编辑器中打开,打开驱动或自动播放。可将所有设备导出为HTML格式网页报告以供查看。这个是绿色版本不用安装就能使用。
usbdeview_usb_
10-04
USB设备管理工具,可以清理USB设备痕迹
强大的USB 查看工具,绝对不是USBView
09-05
USBDeview v1.25 Copyright (c) 2006 - 2008 Nir Sofer Web Site: http://www.nirsoft.net Description =========== USBDeview is a small utility that lists all USB devices that currently connected to your computer, as well as all USB devices that you previously used. For each USB device, exteneded information is displayed: Device name/description, device type, serial number (for mass storage devices), the date/time that device was added, VendorID, ProductID, and more... USBDeview also allows you to uninstall USB devices that you previously used, and disconnect USB devices that are currently connected to your computer. You can also use USBDeview on a remote computer, as long as you login to that computer with admin user.
真正的usbview源代码
10-25
真正的usbview源代码,带所需头文件及Lib,找了半天,在pudn中找到的,大家共享。 在vc6中link有错,不知为什么;在vs2008中编译通过。
USBDeview——USB设备检测和管理工具
11-23
USBDeview是一款小巧免费的USB设备检测和管理工具,功能颇为强大,可以列出当前连接到你的计算机上或者曾经连接到你的计算机上的所有USB设备以及相关信息,并能进行相应的管理操作。
UsbDeview USB设备资源查看
最新发布
01-30
USBDeview is a small utility that lists all USB devices that currently connected to your computer, as well as all USB devices that you previously used. For each USB device, extended information is ...
检测USB设备连接记录(USBDeview) v2.79.rar
07-09
USBDeview可列出当前连接到计算机上或者曾经连接过的 USB 设备的实用工具。根据列出的设备的名称和描述,可以选择断开或者卸载列表当中的任何设备,以及导出该列表为 Text/HTML 或者 XML 格式。USBDeview 还可以被...
usbdeview 查看电脑使用过的usb设备的历史
06-19
可以查看电脑使用过的USB设备。如果被人在您的电脑上插过u盘的usb设备,您可以随时查看。
USBDeview v2.80.zip
07-14
USBDeview是一款简单好用的列出当前连接到你的计算机上或者曾经连接到你的计算机上的所有usb设备的小型实用工具。软件不仅可以列出的设备的名称和描述,还能显示串口号,设备添加的日期以及最后连接的日期,VendorID 以及其它信息。用户还可以选择断开或者卸载列表当中的任何设备,以及导出该列表为 Text/HTML 或者 XML 格式。USBDeview 还可以被用于从一台远程计算机(需要访问权)通过命令行收集 USB 设备。软件界面美观简洁、简单全面、实用方便,可快速上手,轻轻松松完成日常usb设备管理功能,真正做到简单全面实用。是用户实现usb设备管理功能的好帮手。 USBDeview截图
usbdeview 软件
03-02
管理usb接口
monitor的用法Linux,usb monitor使用方法
weixin_39818550的博客
05-13 512
以下内容在内核的文档目录下:Documentation/usb/usbmon.txt* IntroductionThe name "usbmon" in lowercase refers to a facility in kernel which isused to collect traces of I/O on the USB bus. This function is analogousto...
Android 下的usb框架及功能点
u011279649的专栏
12-19 2660
有关USB android框架的链接 http://blog.sina.com.cn/s/articlelist_1627432177_0_1.html ICS4.0下Framework层的usb框架             Android 下的usb主要工作还是在android的framework层。主要有以下几个文件: 1.1UsbDeviceManager.java/高
实用工具软件远古大神Nir Sofer,数百款短小精悍便携工具,从Win2000到Win10通吃
二进制模----细微行动改变影响世界
08-27 3344
Nir Sofer对Windows API , C++,.NET的熟悉程度,让我想起了圣斗士攻打黄金十二宫遇到的最接近神的人沙迦。作者简介: Nir Sofer创建了一个网站NirSoft。数百款小软件都在这个网站上分享了。在NirSoft,没有 CTO 也没有 CEO,没有秘书,没有开发团队,也没有租用的办公室。整个网站和所有的软件,都是由Nir Sofer开发。NirSoft 不是全职工作,但Nir Sofer利用所有空闲时间维护和发展此网站。维护这个网站的时间用于添加新的工具,添加功能到现...
USBDeview U盘记录查询
业精于勤,荒于嬉;行成于思,毁于随。
01-17 1502
usbdeview.exe是一款简单易用的最新可以列出当前连接到你的计算机上或者曾经连接到你的计算机上的所有 USB设备的小型实用工具。 根据列出的设备的名称和描述,该软件显示了串口号(如果提供),设备添加的日期以及最后连接的日期,VendorID 以及其它信息。你还可以选择断开或者卸载列表当中的任何设备,以及导出该列表为 Text/HTML 或者 XML 格式。USBDeview 还可以被用于...
基于USBDeview自制USB设备监管系统实现(1)——系统架构
kingfox的专栏
09-21 687
现在各企业对于信息系统中的信息安全都开始重视,对于USB接口的移动设备监管也越发严格。市面上有很多平台化的USB设备监管工具,多数是包含在主计审计系统中的一项功能。不过这些商业化的工具平台价钱都很贵,在企业里完整部署的话少则数十万元,多则上百万元,对中小企业来说是一笔不小的开销。另外,主机审计工具出于自我防护的需要,一般都要接管/注入操作系统内核,弄得不好就会影响到终端的稳定性。而某些靠行政力量...
windows系统深度清理usb设备使用痕迹的工具
06-06
目前市场上有许多USB设备管理软件,如USBDeview、Device Cleanup Tool、USB Oblivion等,但是在Windows系统中自带的磁盘清理工具Disk Cleanup也可以协助清理USB设备痕迹。以下是使用Disk Cleanup清理USB设备痕迹的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值