R0和R3下得到当前用户的SID

最新推荐文章于 2021-04-12 11:59:57 发布
最新推荐文章于 2021-04-12 11:59:57 发布
阅读量1k 收藏
点赞数
分类专栏: Windows 系统编程 文章标签: token user winapi buffer string query

http://hi.baidu.com/sudami/blog/item/5ba21ceef587e1ffb3fb9541.html

(1.) R0下需要attach到一个用户进程,取其SID

NTSTATUS  
GetUserName(  
    char* a 
     ) 
/*++ 

作者: sudami 08/03/04 

参数: 
a - [IN] [OUT] 得到current user的注册表内容 
形式如下"\\REGISTRY\\USER\\S-XXX-XXX..." 

功能: 

--*/ 

     NTSTATUS status = STATUS_SUCCESS;  
    HANDLE         hProcess;  
    HANDLE         TokenHandle;  
    ULONG         ReturnLength;  
    ULONG       size; 
     UNICODE_STRING SidString; 
     PTOKEN_USER TokenInformation;  
    char SidStringBuffer[512]; 

     status = ZwOpenThreadTokenEx (NtCurrentThread(), 
                                   TOKEN_READ, 
                                  TRUE
                                   OBJ_KERNEL_HANDLE, 
                                   &TokenHandle); 

    if ( !NT_SUCCESS( status ) ) { 
         status = ZwOpenProcessTokenEx (NtCurrentProcess(), 
                                   TOKEN_READ, 
                                   OBJ_KERNEL_HANDLE, 
                                   &TokenHandle); 

        if ( !NT_SUCCESS( status )) { 
            return status; 
         } 
     } 

    // 获取token信息 
     size = 0x1000; 
     TokenInformation = ExAllocatePool( NonPagedPool, size ); 

    do { 
         status = NtQueryInformationToken( TokenHandle,  
                                         TokenUser,  
                                         TokenInformation,  
                                         size,  
                                         &ReturnLength ); 

        if (status == STATUS_BUFFER_TOO_SMALL) { 
             ExFreePool( TokenInformation ); 
             size *= 2; 
             TokenInformation = ExAllocatePool( NonPagedPool, size );  

         } else if ( !NT_SUCCESS (status) ) { 
             DbgPrint(" ZwQueryInformationToken error\n");  
             ExFreePool( TokenInformation );  
             ZwClose( TokenHandle );  

            return STATUS_UNSUCCESSFUL; 
         } 

     } while (status == STATUS_BUFFER_TOO_SMALL); 

     ZwClose( TokenHandle ); 

    RtlZeroMemory( SidStringBuffer, sizeof(SidStringBuffer) );  
     SidString.Buffer = (PWCHAR)SidStringBuffer;  
     SidString.MaximumLength = sizeof( SidStringBuffer );  

     status = RtlConvertSidToUnicodeString( &SidString,  
                         ((PTOKEN_USER)TokenInformation)->User.Sid,  
                        FALSE );  

     ExFreePool( TokenInformation );  
     DbgPrint("sudami's PC Name: %ws\n", SidStringBuffer); 
     a = SidStringBuffer; 
    return STATUS_SUCCESS;  
}

(2.) R3下方便很多:

int GetUserName ()
{
HANDLE hProcess = GetCurrentProcess();
if(!hProcess) {
   return 0;
}

HANDLE hToken;
if( !OpenProcessToken(hProcess, TOKEN_QUERY, &hToken) || !hToken ){
   CloseHandle(hProcess);
   return 0;
}

DWORD dwTemp = 0;
char tagTokenInfoBuf[256] = {0};
PTOKEN_USER tagTokenInfo = (PTOKEN_USER)tagTokenInfoBuf;
if( !GetTokenInformation( hToken, TokenUser, tagTokenInfoBuf, sizeof(tagTokenInfoBuf),\
   &dwTemp ) ) {
   CloseHandle(hToken);
   CloseHandle(hProcess);
   return 0;
}

typedef BOOL (WINAPI* PtrConvertSidToStringSid)(
   PSID Sid,
   LPTSTR* StringSid
   );


PtrConvertSidToStringSid dwPtr = (PtrConvertSidToStringSid)GetProcAddress( 
   LoadLibrary("Advapi32.dll"), "ConvertSidToStringSidA" );

LPTSTR MySid = NULL;
dwPtr( tagTokenInfo->User.Sid, (LPTSTR*)&MySid );

printf("sudami's PC Name:\n%s\n", MySid);
getchar ();
LocalFree( (HLOCAL)MySid );

CloseHandle(hToken);
CloseHandle(hProcess);

return 0;
}

-------------------------------------------------------------------------

或者attach到用户进程后,通过已经导出的RtlFormatCurrentUserKeyPath直接就可以得到了~o(*.*)0,再调用RtlAppendUnicodeToString 等来连接,比如修改IE首页。。。


less@more
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python的拥有者_如何在没有pywin32的情况下使用python确定Windows上的文件所有者
weixin_39926613的博客
12-14 180
下面使用ctypes调用GetNamedSecurityInfo.最初它跟随问题中链接的code snippet,但GetNamedSecurityInfo一般比GetFileSecurity更有用,特别是因为它与SetNamedSecurityInfo配对而不是过时的函数SetFileSecurity.ctypes和类import ctypes as ctypesfrom ctypes impo...
R0注入DLL到R3进程
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
10-30 3136
R0注入DLL到R3,貌似没有必要,也的确没有必要。以下代码只是为了验证R0调用NtQueueApcThread来注入DLL到R3进程中,没有什么神秘的东西,博大家一笑 #include   PVOID pfn_BaseDispatchApc = NULL; PVOID pfn_LoadLibraryA = NULL; PVOID
R0-R介绍以及windows下安装R
Jobar's life
06-19 324
1 什么是R以及CRAN R is ‘GNU S’, a freely available language and environment for statistical computing and graphics which provides a wide variety of statistical and graphical techniques: linear and nonline...
Windows NT内核函数大全
qq_42577465的博客
06-06 1511
Nt内核函数大全 NtLoadDriver服务控制管理器加载设备驱动. NtUnloadDriver服务控制管理器支持卸载指定的驱动程序. NtRegisterNewDevice加载新驱动文件. NtQueryIntervalProfile返回数据. NtSetIntervalProfile指定采样间隔. NtStartProfile开始取样. NtStopProfile停止采样...
oracle 根据sid psid,如何获得所有windows用户SID | 学步园
weixin_39866419的博客
04-12 82
如何获得所有windows用户SID Delphi / Windows SDK/APIhttp://www.delphi2007.net/DelphiAPI/html/delphi_20061110113225259.html有什么方法可以获得所有windows用户SID访问注册表最好是指针形式的sid{$EXTERNALSYM ConvertSidToStringSid}functio...
R0、R1、R2、R3寄存器实验.pdf
07-05
R0、R1、R2、R3寄存器实验.pdfR0、R1、R2、R3寄存器实验.pdfR0、R1、R2、R3寄存器实验.pdfR0、R1、R2、R3寄存器实验.pdfR0、R1、R2、R3寄存器实验.pdfR0、R1、R2、R3寄存器实验.pdfR0、R1、R2、R3寄存器实验.pdfR0、...
r3_2_r0.rar_RING0 RING3_ring0_zw r0 r3 ho
09-23
Windows2000 XP 从Ring3层进入Ring0层的一种方法
维宏等离子切割V9用户手册-R3
04-01
维宏等离子切割V9用户手册-R3.rar 介绍了关于维宏等离子切割V9用户手册-R3的详细说明,提供其它知识的技术资料的下载。
PICMG_COM_0R3.zip
04-23
PICMG COM 0R3
r3con1z3r-master.zip
01-06
r3con1z3r-master.zip
ZwSystemDebugControl函数
mergerly的专栏
01-25 3503
使用ZwSystemDebugControl,可以在ring3下读写内核空间虚拟内存 //读取 MEMORY_CHUNKS QueryBuff; DWORD *address2=new DWORD[dwServices]; QueryBuff.Address = dwKernelBase+dwKiServiceTable; QueryBuff.Data = address2;
自实现API, 过所有用户层HOOK
收集学习过程中对自己有帮助的牛人文章
12-10 1678
//绕过用户层HOOK,自实现API函数 //学习了郁金香驱动教学视频 043_绕过所有用户层HOOK(郁金香绕过的是FindWindow) //用相同的原理我实现了绕过SendMessageA() //实现过程中有一些感谢一并记录 //win xp x86 //__declspec(naked)作用: 生成纯汇编 #include #include //7C92E4F0 > 8BD4
绕过所有用户层HOOK
crkres9527
10-08 998
A、分析API函数原理    B、自写API函数    C、SYSENTER指令    D、硬编码_emit    E、模拟FindWindow函数    PUNICODE_STRING MOV EAX,117A 7C92E510 >  8BD4            MOV EDX,ESP 7C92E512    0F34            SYSENTER   ...
在内核中之获取HKEY_CURRENT_USER对应路径
125096
07-18 7353
在内核中操作注册表,HKEY_LOCAL_MACHINE的路径可以用\Registry\Machine来表示. HKEY_USERS可以用 \Registry\User表示. 而HKEY_CLASSES_ROOT和HKEY_CURRENT_CONFIG,HKEY_CURRENT_USER,在内核没有对应的路径来表示. 实际上HKEY_CLASSES_ROOT是链接到HKEY_L
如何在Windows NT中隐藏自己[转]
yingfox的专栏
11-13 897
导读:   =============================[ 在NT“盒子”里消失 ]=============================   如何在Windows NT中隐藏自己   --------------------------      作者:Holy_Father   版本:1.2 英语   日期:05.08.2003      翻译:pker / CVC
计算机组成原理R0R1R2R3寄存器实验
最新发布
04-12
计算机组成原理中的R0、R1、R2、R3寄存器是通用寄存器,用于存储临时数据和中间结果。这些寄存器在计算机的指令执行过程中起到了重要的作用。 R0、R1、R2、R3寄存器通常是32位或64位的寄存器,用于存储整数数据。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值