关于进程间的访问权限等进程间控制资料收集

最新推荐文章于 2023-05-24 15:49:28 发布
最新推荐文章于 2023-05-24 15:49:28 发布
阅读量911 收藏 1
点赞数
分类专栏: 应用底层 文章标签: table object null struct token 数据结构

http://www.vckbase.com/

DUPLICATEHANDLE函数可以实现将同步内核对象被拷贝并且将原内核对象关闭, 从而达到可以自由控制内核对象的目的, 这可以实现使得只能单一启用的进程成为多启用的进程的目的。

实现方法:

只要用钩子WH_GETMESSAGE挂钩并实现如下代码即可

LRESULT HookProc(int code, WPARAM wParam, LPARAM lParam)    
{   
  STARTUPINFO startUpInfo;
 GetStartupInfo(&startUpInfo);

 char str[MAX_PATH];
 LPSTR lpStr = startUpInfo.lpTitle;
 if (!g_bFounded)
 {
  if (lpStr != NULL)
  {
   _splitpath(lpStr,NULL, NULL, str, NULL);

   DWORD iStrLen = MAX_PATH;
   DWORD dwRegType = 0;
   RegQueryValueExA(HKEY_CURRENT_USER, "PeHook//HookedProcessName", NULL, &dwRegType, (LPBYTE)g_strAppName, &iStrLen);
   if (strcmp(str,/*"wmplayer"*/g_strAppName) == 0)
   {
    HANDLE hToken;
    TOKEN_PRIVILEGES tp;
    DWORD rl;
    BOOL Result = FALSE;

    //打开进程令牌环
    OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken);

    //获得进程本地唯一ID
    if (LookupPrivilegeValueA(NULL, "SeDebugPrivilege", &tp.Privileges[0].Luid) )
    {
     tp.PrivilegeCount = 1;
     tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
     //调整权限
     Result = AdjustTokenPrivileges(hToken, false, &tp, sizeof(tp), NULL, &rl);
    }

    if (Result)
    {
     char  buffer[200];
     HANDLE hSrcProc = GetCurrentProcess();
     DWORD dwError = GetLastError();
     HANDLE hSrcHandle = (HANDLE)0x38;
     HANDLE hCurProc= GetCurrentProcess();
     HANDLE hTargetHandle = 0;
     BOOL bRet = DuplicateHandle(hSrcProc, hSrcHandle, hCurProc, &hTargetHandle, DUPLICATE_SAME_ACCESS, FALSE, DUPLICATE_CLOSE_SOURCE);
     
     if (bRet)
     {
      CloseHandle(hTargetHandle);
      g_bFounded = TRUE;
     }

}

}
 return CallNextHookEx(glhHook,code,wParam,lParam);
}
/

资料:

CSDN: http://cache.baidu.com/c?m=9f65cb4a8c8507ed4fece76310408a23450add306ac0d0622e95c51484642c1d1020fefa7a65505584d87f6001ad4356e8e4732f77552fa0edca9f3caaace22238f92123716c913164c46da5dc3624d651e14de8df0e97bfe74392b9a3a4c82520dd52756df1fa9c290a03bb1be76246&p=8e6ed55f86cc4bf30be2943848&user=baidu

CSDN:  http://cache.baidu.com/c?m=9f65cb4a8c8507ed4fece7631046893b4c4380146d96864968d4e414c4224627003ab8f12422141980852d3d5aeb1e41eaf234762a0022aa98cb9549dcba902f2b8e3034074fc70358c75cf28b102a9660d007a9b81897adf74684afa2808e05048b12127bf0e78c2e1715ba39a7486ab4f08e48640252edb17225a2082068de&p=c933891985cc44f508e2937c505d&user=baidu

 

简单算法遍历PspCidTable句柄表

ULONG GetPspCidTable()
{
  ULONG PspCidTable=0;
  ULONG FuncAddr=NULL;
  UNICODE_STRING FuncName={0};
  
  RtlInitUnicodeString(&FuncName,L"PsLookupProcessByProcessId");
  FuncAddr=(ULONG)MmGetSystemRoutineAddress(&FuncName);
  for (;;FuncAddr++)
  {
    if ((0x35ff==(*(PUSHORT)FuncAddr)) && (0xe8==(*(PUCHAR)(FuncAddr+6))))
    {  
      PspCidTable=*(PULONG)(FuncAddr+2);
      break;
    }  
    
  }
  return PspCidTable;
}

#define OBJECT_BODY_TO_TYPE 0x10
//从3级表开始遍历
ULONG BrowseTableL3(ULONG TableAddr)
{
  ULONG Object=0;
  ULONG ItemCount=511;

  do 
  {
    TableAddr+=8;
    Object=*(PULONG)TableAddr;
    Object&=0xfffffff8;
    
    if (Object==0)
    {
      continue;
    }
    if ((*PsProcessType)==(*(PULONG)(Object-OBJECT_BODY_TO_TYPE)))
    {
      KdPrint(("%s",PsGetProcessImageFileName((PEPROCESS)Object)));
    }    
  } while (--ItemCount>0);
  
  return 0;
}

//从二级表开始遍历
ULONG BrowseTableL2(ULONG TableAddr)
{
  do 
  {
    BrowseTableL3(*(PULONG)TableAddr);
    TableAddr+=4;
  } while ((*(PULONG)TableAddr)!=0);

  return 0;
}

//从1级表开始遍历
ULONG BrowseTableL1(ULONG TableAddr)
{
  do 
  {
    BrowseTableL2(*(PULONG)TableAddr);
    TableAddr+=4;
  } while ((*(PULONG)TableAddr)!=0);

  return 0;
}

VOID RefreshProcessByPspCidTable()
{
  ULONG PspCidTable=0;
  ULONG HandleTable=0;
  ULONG TableCode=0;
  ULONG flag=0;

  PspCidTable=GetPspCidTable();
  HandleTable=*(PULONG)PspCidTable;
  TableCode=*(PULONG)HandleTable;
  flag=TableCode&3;
  TableCode&=0xfffffffc;  
  
  switch (flag)
  {
  case 0:
    BrowseTableL3(TableCode);
    break;
  case 1:
    BrowseTableL2(TableCode);
    break;
  case 2:
    BrowseTableL1(TableCode);
    break;    
  }
  
  
}

劫持内核句柄

2009-06-17 10:42:42  www.hackbase.com  来源: 看雪
  Sysnap 2009,6  为什么需要 句柄?   句柄只是对对像的引用,当我们进入 内核时,获取 对象显然是很简单,但为什么还需要 句柄  呢? 应该说我们需要 句柄做为参数调用API. 因为直接操作 对象,可能会涉及到许多的 ...
  Sysnap 2009,6
  为什么需要 句柄?
   句柄只是对对像的引用,当我们进入 内核时,获取 对象显然是很简单,但为什么还需要 句柄
  呢? 应该说我们需要 句柄做为参数调用API. 因为直接操作 对象,可能会涉及到许多的未导
  出的东西,如果自己实现的话是不大现实,而调用标准的 内核API又很多时候依赖于 句柄,但
  又很多时候因为种种原因,我们得不到 句柄,这里我们将探讨下怎样获取一个有用的 句柄.
  任何问题欢迎指正: http://hi.baidu.com/sysnap/blog
  1 句柄的创建
  ObpCreateHandle 这个函数会判断AccessMode,如果是用户态的,那PVOID ObjectTable;
  ObjectTable = PsGetCurrentProcess()->ObjectTable
  如果是在驱动中打开 句柄,则ObjectTable = ObpKernelHandleTable;
  ObpKernelHandleTable是一个指向HANDLE_TABLE的指针,在系统中并没有导出
  接着便会ATTACH 到SYSTEM进程..
  调用ObpIncrementHandleCount增添Object引用数,这个地方我们慢点再考虑有没必要做一
  些工作.
  调用ExCreateHandle 创建 句柄,ExCreateHandle中调用
   分配一个HANDLE_TABLE_ENTRY和一个 句柄,这个 句柄的值的产生是在
  ///ExpAllocateHandleTableEntry中完成的.
  ExpAllocateHandleTableEntry 是 句柄分配的核心,也涉及到了相关的数据结构.但这里我
  们可以不用管它.
  我们只需要知道ObpCreateHandle会给我们返回一和 句柄,并且会在ObjectTable新添加一
  个HANDLE_TABLE_ENTRY
  lkd> dt _HANDLE_TABLE_ENTRY
  nt!_HANDLE_TABLE_ENTRY
  +0x000 Object           : Ptr32 Void
  HANDLE_TABLE_ENTRY 就包含有我们的Object了.
  2 句柄到OBJECT的映射
  这里涉及到了 句柄表的格式,关于 句柄表,网上已经有相关的文章讨论了,这里将不再说
  typedef struct _EXHANDLE
  {
  union
  {
  struct
  {
  ULONG TagBits : 02;
  ULONG Index   : 30;
  };
  HANDLE GenericHandleOverlay;
  };
  } EXHANDLE, *PEXHANDLE;
  可以看出,一个类型为HANDLE的,其实分为俩部分,TagBits和Index,具体干什么,请看下面
  的函数
  PHANDLE_TABLE_ENTRY
  LookupHandleTableEntry(
  IN PXP_HANDLE_TABLE HandleTable,
  IN EXHANDLE         Handle
  )
  {
  ULONG i, j, k;
  PHANDLE_TABLE_ENTRY Entry = NULL;
  ULONG TableCode = HandleTable->TableCode& ~TABLE_LEVEL_MASK;
  i = (Handle.Index >> 17) &0x1FF;
  j = (Handle.Index >> 9)  &0x1FF;
  k = (Handle.Index)       &0x1FF;
  switch (HandleTable->TableCode &TABLE_LEVEL_MASK)
  {
  case 0 :
  Entry = &((PHANDLE_TABLE_ENTRY)TableCode)[k];
  break;
  case 1 :
  if (((PVOID *)TableCode)[j])
  {
  Entry = &((PHANDLE_TABLE_ENTRY *)TableCode)[j][k];
  }
  break;
  case 2 :
  if (((PVOID *)TableCode)[i])
  if (((PVOID **)TableCode)[i][j])
  {
  Entry = &((PHANDLE_TABLE_ENTRY **)TableCode)[i][j][k];
  }
  break;
  }
  return Entry;
  }
  这样的话我们就可以根据HANDLE..获取到HANDLE_TABLE_ENTRY从而得到Object
  上面的函数只适合XP和2003
  3 句柄的权限
  如果我们想修改某个 句柄的权限,可以通过HANDLE_TABLE_ENTRY::GrantedAccess
  4ObOpenObjectByPointer
  ObReferenceObjectByPointer添加计数
  ObpCreateHandle 句柄的创建
  5怎样伪造.
  比如我们想伪造一个XX.EXE进程的 句柄.
  1首先我们需要确定 ObpKernelHandleTable
  DWORD dwObpKernelHandleTable = 0;
  PVOID lpPsSystemObject = (PVOID)PsGetCurrentProcess();
  dwObpKernelHandleTable = *(DWORD*)((DWORD)lpPsSystemObject +
  gdwObjectTableOffset);
  2 ObOpenObjectByPointer 打开explorer.exe (这里随便找个没保护的进程就可以)
  获取 句柄 hProcess
  3 用某些办法获取XX.EXE 的进程 对象EPROCESS
  4 用hProcess为参数调用,LookupHandleTableEntry得到一个指向PHANDLE_TABLE_ENTRY的
  指针pEntry
  这个时候pEntry->Object应该就是 explorer.exe的EPRCESS
  5 修改pEntry->Object = XX.EXE的EPROCESS
  这样我们就完成了HANDLE和OBJECT的劫持..
  这都是主要步骤,其中有些细节问题需要注意,比如增加 对象句柄数啊等等.
  6 有效果吗?
  我们知道大部分 内核API都会以一个HANDLE做为参数的,其内部基本都是调用了
  ObReferenceObjectByHandle来定位 对象,我们分析下ObReferenceObjectByHandle就知道
  我们的劫持是否有用了.
  很显然ObReferenceObjectByHandle是根据 HANDLE_TABLE来把 句柄转化为 对象,过程简单
  为 handle--->> pEntry->Object
  所以劫持是成功的.
tomorrowsprogress
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
对象管理---4
For Geek
05-28 365
几个常用的内核函数 在Windows的内核管理层(Executive),对象管理是个很重要的机制。Windows对象管理中,有些著作喜欢将其称为"子系统",其实也就是内核管理层。下面讲介绍几个常用的内核中对象管理的函数。 ObReferenceObjectByHandle 这个函数根据Handle,返回一个该Handle对应的对象。 // // Converts to and from a K...
cmd操作命令和linux命令大全收集
04-24
dir 查看文件,参数:/Q显示文件及目录属系统哪个用户,/T:C显示文件创建时,/T:A显示文件上次被访问时,/T:W上次被修改时 date /t 、 time /t 使用此参数即“DATE/T”、“TIME/T”将只显示当前日期和时,...
ExpLookupHandleTableEntry
求索
04-18 1654
ExpLookupHandleTableEntry
Windows 10 X64 内核对象句柄解析
最新发布
vs2008ASPNET的专栏
05-24 1181
fweWindows 很多API函数都会创建和使用句柄(传入参数),句柄代一个内核对象的内存地址,每个进程都有一个句柄,它保存着进程拥有的句柄,内核也有一个句柄 PspCidTable,它保存着整个系统的句柄。0xffff8d85`570ff000 notepad.exe句柄地址,低两位为0 示是1级。(句柄项>>0x10)&0xfffffffffffffff0 = 对象地址(低位)句柄地址+(进程ID>>0xa*8)-1。从内核句柄项中解析出内核对象地址。由上内核函数逆向可知。
Win10遍历句柄+修改权限过Callback保护
xlaomlng的博客
05-26 3047
本帖转载于http://www.m5home.com/bbs/thread-8847-1-1.html 本想发到看雪,但自己太菜,看雪“牛人”又太多,想想还是发到紫水晶吧。 感谢 TA 的 WIN64 教程带我走上驱动之路,想想除了个 VIP 账号就没教过学费,以后多在论坛发帖来回报一下吧。 正篇: XP 和 Win7 上关于句柄的文章不少,一点不懂的朋友请自行百度谷歌搜索,方法没变,依旧使用 ...
深入理解句柄
rongwenbin的专栏
02-26 3508
设计到句柄的有以下这些概念 HANDLE_TABLE HANDLE_TABLE结构体中的TableCode变量 实际上啊,TableCode是指向句柄项第一个句柄项的指针(NULL句柄项) TableCode就是HANDLE_TABLE_ENTRY的指针 但是,当有两级以上时,这个时候就不是了,先来搞定最简单的。 HANDLE_TABLE_ENTRY:句柄项 对象头_OB
Android自主学习项目报告(一).doc
03-09
ContentProvider用于进程共享数据。 线性布局---LinearLayout 格布局---TableLayout 相对布局---RelativeLayout 帧布局---FrameLayout 网格布局---GridLayout 绝对布局---AbsoluteLayout (5)Activity的两种...
windowsnt 技术内幕
04-09
4.0 Windows NT网络协议简介 MUP简介 Multiple Provider Router简介 理解传输驱动动器接口(TDI) 理解文件系统驱动器 理解分布式处理 理解进行进程通信机制 访问文件和打印资源 分布式文件和打印资源 分布式文件...
asp.net知识库
06-18
Coalesys PanelBar + R.a.d Treeview +Xml 构建的Asp.net 菜单和权限管理模块 突破屏蔽限制,自己的网站使劲弹新IE窗口 对页面SCROLLING的CSS不能生效原因 .Net 中IE使用WinForm控件的使用心得。 动态加载用户控件的...
UNIX 高级教程系统技术内幕
11-12
6.3 System V 的进程通信 6.3.1 公共元素 6.3.2 信号量 6.3.3 消息队列 6.3.4 共享内存 6.3.5 讨论 6.4 Mach IPC 6.4.1 基本概念 6.5 消息 6.5.1 消息的数据结构 6.5.2 消息传递接口 6.6 端口 6.6.1 端口名字空 ...
操作系统之进程
clky00的博客
06-04 199
  进程由程序段+数据段+PCB构成的。PCB是进程存在的唯一标志。进程进程实体的运行过程,是系统进行资源分配的一个独立单位。   线程是一个基本的cpu执行单位,也是程序执行流中的最小单位。引入线程后,线程作为cpu调度最小单位,而进程是资源分配最小单位。   **同步:**并发性带来了异步性,有时需要通过进程同步来解决这种异步问题。有的进程需要相互配合地完成工作,各进程的工作推进需要遵循一定的先后顺序。   **互斥:**对临界资源的访问,需要互斥的进行。即一段时内只允许一个进程访问该资源。  
进程访问临界区及其CPU的占用情况
weixin_45926574的博客
04-14 681
如果一个进程正在访问临界资源时被中断,并且中断是由于该进程正在等待I/O操作而引起的,那么在这段时内,该进程仍然占用着处理器。
用户句柄的遍历
Mikasys的博客
10-20 533
私有句柄 _HANDLE_TABLE_ENTRY的Object直接指向_OBJECT_HEADER不用减 #include <ntifs.h> //一个页最大容纳的_HANDLE_TABLE_ENTRY #define MAX_ENTRY_COUNT (0x1000/sizeof(HANDLE_TABLE_ENTRY)) //未公开未文档化 typedef PVOID(NTAPI *OBGETOBJECTTYPE)(IN PVOID pObject); EXTERN_C NTKERNE
windbg学习笔记 FOR 内核调试(三) --进程句柄HANDLE_TABLE
tomorrowsprogress的专栏
08-24 1717
windbg学习笔记 FOR 内核调试(三) --进程句柄HANDLE_TABLE                                       想当年 初学核编 , 阅读第三章的内核对象的时候跟看天书没什么感觉 死命在想到底内核对象 , 句柄是个什么东西 干嘛用的 于是我们工作室的老大就对我说 这篇看过就过了 学到后面你自然会明白的     我想也是 ,
PsLookupProcessByProcessId的执行流程
yaneng的专栏
06-18 2750
本来偶在学习内核线程调度的东西,发现里面有关于HANDLE_TABLE的知识.于是参照WRK把附带的一些东西深入学习了一下子--关于PsLookupProcessByProcessId的执行流程[写点心得存档,供以后学习的同学参考.老鸟飘过~]本来偶在学习内核线程调度的东西,发现里面有关于HANDLE_TABLE的知识.于是参照WRK把附带的一些东西深入学习了一下子--
pid的后2位是无效的 在查询pspcidtable的时候 ExpLookupHandleTableEntry 函数会自动把pid的后两位置成0(Handle.TagBits = 0;就是这句!!)
Sunny_wwc的专栏
02-07 1663
<br />PHANDLE_TABLE_ENTRY<br />ExpLookupHandleTableEntry (<br />    IN PHANDLE_TABLE HandleTable,<br />    IN EXHANDLE tHandle<br />    )<br />/*++<br />Routine Description:<br />    This routine looks up and returns the table entry for the<br />    specif
《windows内核情景分析》句柄和句柄
strongxu的专栏
10-10 843
    每个进程都有个句柄,在EPROCESS结构的0xc4偏移处的ObjectTable,类型为_HANDLE_TABLE,用来指向本进程的句柄   第一项TableCode是个指针数组,对应为HANDLE_TABLE_ENTRY数据结构,每个有效的句柄都对应着(某个)句柄中的一个项     项的第一项Object指向某个对象的头部,而该项在句柄中的位置则取
【Windows内核编程】Win10/Win11通过PspCidTable取得EProcess
懵逼树上懵逼果
08-04 851
在内核RING0层运用PspCidTable枚举可能被隐藏、断链的进程,得到EPROCESS对象
HANDLE-->HANDLE_TABLE_ENTRY
SUNE__学无止境
12-16 763
0
推荐linux进程通信的相关资料
04-21
您可以看一下以下内容: 1.《UNIX环境高级编程》中...3. Linux IPC(Inter-Process Communication,进程通信) 相关的系统调用手册 4. Linux 的 socket 库,如使用 TCP/IP 或 UDP 作为通信方式 请问还有其他问题吗?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值