R3文件占坑大法

最新推荐文章于 2021-04-29 13:46:19 发布
最新推荐文章于 2021-04-29 13:46:19 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: Windows系统

本文来自PEDIY

 

 1 #include <windows.h>
 2 #include <stdio.h>
 3 
 4 BOOL OccupyFile( LPCTSTR lpFileName );
 5 
 6 
 7 int main()
 8 {
 9     OccupyFile(L"C:\\1.txt");
10     system("pause");
11     return 0;
12 }
13 
14 
15 void RaiseToDebugP()
16 {
17     HANDLE hToken;
18     HANDLE hProcess = GetCurrentProcess();
19     if ( OpenProcessToken(hProcess, TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken) )
20     {
21         TOKEN_PRIVILEGES tkp;
22         if ( LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &tkp.Privileges[0].Luid) )
23         {
24             tkp.PrivilegeCount = 1;
25             tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
26 
27             BOOL bREt = AdjustTokenPrivileges(hToken, FALSE, &tkp, 0, NULL, 0) ;
28         }
29         CloseHandle(hToken);
30     }    
31 }
32 
33 BOOL OccupyFile( LPCTSTR lpFileName )
34 {
35     BOOL    bRet;
36 
37     RaiseToDebugP();
38 
39     HANDLE hProcess = OpenProcess( PROCESS_DUP_HANDLE, FALSE, 4);    // 4为system进程号
40 
41     if ( hProcess == NULL )
42     {
43         hProcess = OpenProcess( PROCESS_DUP_HANDLE, FALSE, 8);        // 2K下是 8??
44 
45         if ( hProcess == NULL )
46             return FALSE;
47     }
48 
49     HANDLE hFile;
50     HANDLE hTargetHandle;
51 
52     hFile = CreateFile( lpFileName, GENERIC_READ, 0, NULL, CREATE_ALWAYS,FILE_ATTRIBUTE_NORMAL, NULL);    
53 
54 
55     if ( hFile == INVALID_HANDLE_VALUE )
56     {
57         CloseHandle( hProcess );
58         return FALSE;
59     }
60 
61     bRet = DuplicateHandle( GetCurrentProcess(), hFile, hProcess, &hTargetHandle, 
62         0, FALSE, DUPLICATE_SAME_ACCESS|DUPLICATE_CLOSE_SOURCE);
63 
64     CloseHandle( hProcess );
65 
66     return bRet;
67 }

The DuplicateHandle function duplicates an object handle. The duplicate handle refers to the same object as the original handle.Therefore, any changes to the object are reflected through both handles.For example, the current file mark for a file handle is always the same for both handles.
BOOL DuplicateHandle(
  HANDLE hSourceProcessHandle,  // handle to source process
  HANDLE hSourceHandle,         // handle to duplicate
  HANDLE hTargetProcessHandle,  // handle to target process
  LPHANDLE lpTargetHandle,      // duplicate handle
  DWORD dwDesiredAccess,        // requested access
  BOOL bInheritHandle,          // handle inheritance option
  DWORD dwOptions               // optional actions
);
hTargetProcessHandle 
Handle to the process that is to receive the duplicated handle. The handle must have PROCESS_DUP_HANDLE access. 

==============

其实就是把该文件的句柄(真正的句柄)复制给了system进<vb_highlight>程。更详细的东西可以查看windows programming application。

==============

函数比较:

GetCurrentProcess():

GetCurrentProcess得到得到的称之为"伪句柄"
只是一个标识,你可以发现,其实就是返回$FFFFFFFF,
每个进<vb_highlight>程得句柄都是一样得,只是实用于进<vb_highlight>程内部得使用.
如果你想得到实际得句柄,在进<vb_highlight>程间进行通讯,必需要进行转化,
调用DuplicateHandle,注意,得实句柄使用完成以后,你必须要调用CloseHandle去关闭.
其实,你应该明白了为何"伪句柄"得存在,就是使用简单,不用关闭,
不会造成内存泄漏.

同样道理,GetCurrentThread也是伪句柄,其值永远是$FFFFFFFE,只是适用于线内部得使用.


DuplicateHandle() :

在系统中,对象分两类:核心对象和用户对象.如进<vb_highlight>程对象,线对象,文件映射 
对象等就是核心对象;而向窗口,菜单等都是用户对象. 
两者是有差别的,用于标示用户对象的句柄是系统唯一的,也就是说,一个进<vb_highlight>程 
完全可以对另外一个进<vb_highlight>程中的用户对象进行操作,比如两个进<vb_highlight>程间通信的方法之一, 
就是发送消息.正是由于窗口是用户对象,所以句柄是系统唯一,通过FindWindow(), 
得到另外一个进<vb_highlight>程的窗口句柄,然后用SendMessage(),让hWnd的窗口过来处理消 
息,实现了进<vb_highlight>程间的通信.因此,对于用户对象,你根本不用DuplicateHandle(),直接 
把句柄拿来用就行了. 
而核心对象则不一样.核心对象是为了加强系统的稳定性,因此,核心对象句柄是 
进<vb_highlight>程相关的,在每一个进<vb_highlight>程中都有一个核心对象表,每一个对象的索引(不完全是)作为内和对象的句柄,从而实现进<vb_highlight>程相关.同一个对象在不同的进<vb_highlight>程中可能有不同的索引,即句柄.对核心对象进行操作时,系统还要进行安全检验,看一下你是否有权来操作这个对象.因此你不能同用户对象一样,直接把句柄拿过来用.比方说,你想操作另一个进<vb_highlight>程中的文件映射对象,这个文件映射对象句柄在那个进<vb_highlight>程中假设是0x000001,但在你的进<vb_highlight>程中,很有可能0x00000001时表示另一个核心对象,此时的操作就永远不会成功,甚至会产生灾难性的后果.此时,就有必要用DuplicateHandle().

BMOP
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
文件占坑(VB)
12-11
文件文件夹均可,用进程System占用。欢迎下载,免资源分。
SeDuMi1.1R3_安装文件.zip
03-12
SeDuMi,全称为“Second-...其内点法求解策略保证了高效的计算,而版本1.1R3的更新可能包括性能优化、稳定性提升和用户友好性的增强。对于使用MATLAB进行优化工作的科研人员和工程师来说,这是一个非常有价值的资源。
文件占坑大法
weixin_34185364的博客
08-23 134
#include <windows.h> BOOL OccupyFile( LPCTSTR lpFileName ); int main() { OccupyFile("c:\\aaa111.txt"); return 0; } void RaiseToDebugP() { HANDLE hToken; HANDLE hProcess = GetCurrentPro...
ring3文件占坑大法
05-08 1116
#include BOOL OccupyFile( LPCTSTR lpFileName );int main(){    OccupyFile("c://aaa111.txt");    return 0;}void RaiseToDebugP(){    HANDLE hToken;    HANDLE hProcess = GetCurrentProcess();    if ( OpenP
文件占坑
weixin_34261739的博客
08-02 137
DuplicateHandle函数学习到的知识。其实我们在使用函数GetCurrentProcess获得的句柄值是虚假的句柄值。如果我们需要在进程之间通信使用这些句柄的话,就需要将其转换。下边的是MSDN上面的解释:The pseudo handle need not be closed when it is no longer needed. Calling the Cl...
文件占坑,防止删除大法
饭特稀 的专栏
01-01 1176
exe文件占坑://////////////////////////////////////////////////////////////////////////////#include //提权函数void RaiseToDebugP(){HANDLE hToken;HANDLE hProcess = GetCurrentProcess();if ( OpenProcessToke
外星人ALW15R3颜色配置文件
09-04
可通过颜色管理软件,添加该资源调整PC显示颜色。这个是ALW15R3的颜色配置文件
cAXA2011 R3破解文件
01-29
下载解压后拷贝至安装目录的BIN文件夹下覆盖原文件即可解除30天的功能限制
小米路由器3C-R3L固件BIN文件
10-27
小米路由器3C-R3L固件BIN文件是用于更新或恢复小米路由器3C-R3L设备操作系统的软件包。固件是嵌入式系统的核心,它控制着路由器的所有硬件功能,包括网络连接、数据处理、无线信号发射和接收等。在本文中,我们将...
ring3层一种占用文件的方法(DuplicateHandle以后,把占用文件的句柄丢给系统进程,导致被占用)
dolphin98629的专栏
12-15 332
前段时间,一个测试工程师问我关于怎样长时间的占用一个文件,而使别的程序无法再访问这个文件,想起以前很多病毒木马经常劫持hosts文件不放,除非你找到占用文件的程序,并强行结束掉,否则怎么也访问不了hosts文件,病毒通过劫持这个文件来达到劫持你的域名的目的,很有可能你输入了www.baidu.com,访问的却是一个带颜色的网站,并稀里哗啦在后台下了上百个病毒,扯远了,呵呵。     其实sdk里...
ring3层一种占用文件的方法
magictong的专栏
09-17 2285
前段时间,一个测试工程师问我关于怎样长时间的占用一个文件,而使别的程序无法再访问这个文件,想起以前很多病毒木马经常劫持hosts文件不放,除非你找到占用文件的程序,并强行结束掉,否则怎么也访问不了hosts文件,病毒通过劫持这个文件来达到劫持你的域名的目的,很有可能你输入了www.baidu.com,访问的却是一个带颜色的网站,并稀里哗啦在后台下了上百个病毒,扯远了,呵呵。    其实sdk里
占坑
夏至是个程序媛
04-02 145
占坑
linux的内核空间占用,前言因为linux内核一直在更新,更新后,旧的内核就不在使用,但旧的内核文件还在boot里面,占据着空间,更新几次过后boot分区就会被占满,显示boot磁盘...
weixin_36209030的博客
04-29 249
前言因为linux内核一直在更新,更新后,旧的内核就不在使用,但旧的内核文件还在boot里面,占据着空间,更新几次过后boot分区就会被占满,显示boot磁盘空间不足。解决办法将不用的内核文件删除,释放空间。步骤如下一、查看已安装的内核dpkg --get-selections |grep linux-imageeason@eason:~$ dpkg --get-selections |grep ...
DuplicateHandle用法
huanggang982的专栏
05-04 2060
The DuplicateHandlefunction creates a duplicate handle. The returned duplicate is in the caller's process space.(从当前进程复制句柄到其他进程空间) //ALL of the following code is executed by Process S. //Create a
建立一个不能打开的文件占坑)---C语言高级API调用
思重的专栏
07-27 694
建立一个不能打开的文件。当你看懂这段代码,就是一次质的改变。 源自 windows 核心编程 扩展... #include void RaiseToDebugP() { /* GetCurrentProcessID 得到当前进程的ID OpenProcessToken 得到进程的令牌句柄 LookupPrivilegeValue 查询进程的权限
文件占坑,逃过360等垃圾软件的查杀。
08-08 281
原理是以独占的方式打开文件,再把文件句柄复制到另一个程序中去,达到本程序退出后目标文件仍被打开的目的这是delphi代码:program createfile;uses Windows, SysUtils;//提权函数procedure SetPrivilege;var TPPrev, TP: TTokenPrivileges; TokenHandle:
阻止删除文件(文件占坑)+nevergone逆向代码一份
daiafei
03-25 3752
文章来源:http://forum.eviloctal.com/thread-32738-1-3.html 信息来源:邪恶八进制信息安全团队(www.eviloctal.com) 逆向作者:nevergone 作者:Written by 风泽(EvilHsu)[E.S.T] 真正的技术作者是DebugMan上《ring3文件占坑大法》的作者。 介绍: dhfile是参
C++解除文件占用
linuxsmallping的专栏
06-22 7272
1.解除文件占用,其过程比较简单,当然在寻找这个过程还是吃了不少苦头的,首先呢,我们需要,遍历系统中所有的文件句柄该过程呢,就要是检测句柄类型,如果是28,则可以认为是文件,然后检测先该文件名是不是我们需要的,如果是我们需要的,则要记录下该句柄的ProcessId,然后再打开该进程,然后向该进程中注入远程线程,关掉该文件即可 现在呢,实现了,可以遍历系统中所有正在使用的文件
r3live调参在哪个文件
最新发布
11-24
R3Live中,调参可以在主配置文件中进行。主要的配置文件通常是一个文本文件,其文件名可能是r3live.conf或者类似的名称。在该文件中,可以找到各种参数和选项,用于对R3Live进行调参和配置。这些参数可能涉及到...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值