强制运行受限程序

最新推荐文章于 2022-09-20 16:29:57 发布
最新推荐文章于 2022-09-20 16:29:57 发布
阅读量1.3k 收藏
点赞数
分类专栏: Windows Visual Basic
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzmzzff/article/details/80298323
版权
  运行一个EXE程序如果出现无法运行的情况,比如受限制或者程序被替换掉,一般有两种情况,第一种是外壳限制。双击一个程序通常调用Shell开头的函数来执行,比如ShellExecute,这个函数并非真正执行了EXE,而是会做出许多选择,例如是否被外壳限制(注册表RestrictRun项),检查文件的关联等。第二种是执行限制。当EXE文件关联被改变的情况下,Windows的任务管理器还是可以运行的,因为它用的是直接执行方式CreateProcess,所以它不会受到关联的影响。然而CreateProcess并非最底层,它也会被拦截,CreateProcess之后是CreateProcessInternal,后者会做各种检查,比如以下三种方式:

    1.映像劫持(IFEO) 
    这种技术如今已经过时了,在这里简单说一下。通过IFEO可以对目标程序进行Hook,原理是利用了Windows的调试机制。在执行一个程序时,系统会检查注册表中Image File Execution Options项,若存在同名程序,则放弃执行原程序,而用Debugger后面的程序用来调试原来的程序,这里实际上运行了调试器,原程序只是一个参数而已。系统不会检查是否循环调用,出现这种情况则会卡死直到超出路径最大长度进而出错。这种技术可以被病毒利用达到偷梁换柱的目的,也可以用来限制某个程序运行。关于IFEO有个错误的说法,说是以lpApplicationName方式运行EXE就不会被调试,事实证明这种方式无效,只要有debugger就会被调试,除非指定DEBUG_PROCESS或者DEBUG_ONLY_THIS_PROCESS。

    2.软件限制策略
    系统组策略中有一项叫软件限制策略,用于限制一个程序运行,可以根据路径限制,也可以根据文件MD5来限制。比如禁止一个路径规则?:\*就会限制运行所有程序。

    3.Manifest文件
    这是一个程序集文件,有些软件会带有一个这样的文件,文件命名方式是在原EXE文件名后加上个.Manifest后缀。大多数软件是没有这个文件的,如果在软件目录里建了一个这样的空文件或文件夹,那么软件运行时因为读取出错就会终止运行。这种方式作用同IFEO差不多,都可以根据文件名来限制其运行,只是不能替换文件。
    
    那么如何摆脱它们的限制呢?其实也很简单,通用调试CreateProcess会发现,中间会对上面的三者分别进程检查。检查的顺序是,软件限制策略->映像劫持->Manifest文件。首先是软件限制策略,执行到这一步系统会调用四个函数:SaferIdentifyLevel、SaferComputeTokenFromLevel、SaferCloseLevel和SaferRecordEventLogEntry。这4个函数位于advapi32.dll库中,其中SaferComputeTokenFromLevel比较关键,它的返回值决定了是去还是留,若返回0则表示校验失败,说明存在限制,若返回1代表校验成功,程序会往下执行。我们直接内部Hook掉SaferComputeTokenFromLevel返回1,便可无视软件限制策略。接下来再看映像劫持,程序之所以会被劫持是因为注册表中存在同名程序,所以系统势必会查询“Image File Execution Options”项,我们直接Hook掉ntdll.dll的NoOpenKey这个存根函数,一旦发现在查询IFEO就返回,程序就会跳过IFEO的检查了。其实这种方法比较烦琐一些,还有个更为简单的方法,ntdll.dll中有一个LdrQueryImageFileExecutionOptions函数,它负责管理IFEO,直接干掉它让它返回0即可。当然,如果还是感觉麻烦干脆如开头所说的直接在创建进程时加个DEBUG_PROCESS标志,运行后再结束调试即可。再来看最后一个,这个比较特别,因为我没有找到哪个函数在检查Manifest,找不到也无所谓,因为不管是什么函数在检查它,实质是要判断是否存在Manifest这个文件,系统一般会采用打开文件的方法来判断,也就是NtOpenFile,现在我们将NtOpenFile回调一下,只要监控到manifest则返回一个STATUS_OBJECT_NAME_NOT_FOUND,意思是没有找到对象名称,这样也就绕过了Manifest机制。剩余的就是系统的任务了,比如NtCreateSection、NtCreateProcessEx等等,到NtCreateProcessEx也就说明进程已经创建。

 

示例代码:

'Form1
Option Explicit

Private Sub cmdRun_Click()
        If txtRun.Text <> "" Then
                If RunExe(txtRun.Text) = False Then MsgBox "运行失败", vbCritical, ""
        End If
End Sub

Private Sub Form_Load()
        SetHook
End Sub

Private Sub Form_Unload(Cancel As Integer)
        UnHook
End Sub


'modHook.bas
'用于拦截本进程API

Option Explicit

Private Declare Function NtOpenFile Lib "NTDLL.DLL" (ByRef Filehandle As Long, _
                                                ByVal DesiredAccess As Long, _
                                                ByRef ObjectAttributes As OBJECT_ATTRIBUTES, _
                                                ByRef IoStatusBlock As IO_STATUS_BLOCK, _
                                                ByVal ShareAccess As Long, _
                                                ByVal OpenOptions As Long) As Long
Private Declare Sub CopyMemory Lib "kernel32" Alias "RtlMoveMemory" (pDest As Any, pSrc As Any, ByVal ByteLen As Long)
Private Declare Function GetCurrentProcess Lib "kernel32" () As Long

Private Const STATUS_OBJECT_NAME_NOT_FOUND = &HC0000034

Private Type IO_STATUS_BLOCK
        Status   As Long
        Information As Long
End Type

Private Type OBJECT_ATTRIBUTES
        Length   As Long
        RootDirectory   As Long
        ObjectName  As Long
        Attributes   As Long
        SecurityDescriptor   As Long
        SecurityQualityOfService   As Long
End Type

Private Hook_IFEO As clsHookInfo
Private Hook_Safer As clsHookInfo
Private Hook_Manifest As clsHookInfo

'Hook
Public Function SetHook()

        Dim hProcessCurrent As Long
        
        '定义两个Hook对象
        Set Hook_Safer = New clsHookInfo '用于拦截软件限制策略
        Set Hook_IFEO = New clsHookInfo '用于拦截IFEO
        Set Hook_Manifest = New clsHookInfo '用于拦截Manifest文件
        
        hProcessCurrent = GetCurrentProcess '得到当前进程
        
        '挂钩
        Hook_Safer.HookApi "advapi32.dll", "SaferComputeTokenFromLevel", GetFunAddr(AddressOf SaferComputeTokenFromLevelCallback), hProcessCurrent
        Hook_IFEO.HookApi "ntdll.dll", "LdrQueryImageFileExecutionOptions", GetFunAddr(AddressOf LdrQueryImageFileExecutionOptionsCallback), hProcessCurrent
        Hook_Manifest.HookApi "ntdll.dll", "NtOpenFile", GetFunAddr(AddressOf NtOpenFileCallback), hProcessCurrent
        
End Function

'函数地址
Public Function GetFunAddr(lngFunAddr As Long) As Long
        GetFunAddr = lngFunAddr
End Function

'SaferComputeTokenFromLevel回调
Public Function SaferComputeTokenFromLevelCallback(ByVal LevelHandle As Long, ByVal InAccessToken As Long, OutAccessToken As Long, ByVal dwFlags As Long, lpReserved As Long) As Long
        SaferComputeTokenFromLevelCallback = 1 '非0表示查询失败,以跳过策略检查
End Function

'LdrQueryImageFileExecutionOptions回调
Public Function LdrQueryImageFileExecutionOptionsCallback() As Long
        LdrQueryImageFileExecutionOptionsCallback = 0 '欺骗系统让它认为执行失败从而跳过映像劫持
End Function

'NtOpenFile回调
Public Function NtOpenFileCallback(Filehandle As Long, ByVal DesiredAccess As Long, ObjectAttributes As OBJECT_ATTRIBUTES, IoStatusBlock As IO_STATUS_BLOCK, ByVal ShareAccess As Long, ByVal OpenOptions As Long) As Long
        Dim lRetVal As Long
        Hook_Manifest.HookStatus False
        'Debug.Print ObjectAttrToName(ObjectAttributes)
        
        '如果是Manifest文件就改掉
        If LCase(Right$(ObjectAttrToName(ObjectAttributes), 9)) = LCase(".Manifest") Then
                lRetVal = STATUS_OBJECT_NAME_NOT_FOUND '返回值改为对象不存在
        Else
                lRetVal = NtOpenFile(Filehandle, DesiredAccess, ObjectAttributes, IoStatusBlock, ShareAccess, OpenOptions)
        End If
        Hook_Manifest.HookStatus True
        NtOpenFileCallback = lRetVal
End Function

'得到文件名称
Private Function ObjectAttrToName(ObjectAttr As OBJECT_ATTRIBUTES) As String
        Dim bytCode() As Byte
        Dim dwName As Long
        Dim dwLength As Integer
        CopyMemory dwLength, ByVal ObjectAttr.ObjectName, 2
        If dwLength > 0 Then
                CopyMemory dwName, ByVal ObjectAttr.ObjectName + 4, 4
                ReDim bytCode(dwLength - 1)
                CopyMemory bytCode(0), ByVal dwName, dwLength
                ObjectAttrToName = StrConv(StrConv(bytCode, vbUnicode), vbFromUnicode)
                ObjectAttrToName = Replace(ObjectAttrToName, "\??\", "")
        End If
        Erase bytCode
End Function

'删除Hook
Sub UnHook()
        Set Hook_Safer = Nothing
        Set Hook_IFEO = Nothing
        Set Hook_Manifest = Nothing
End Sub

 

'mod_RunEXE,运行EXE
Option Explicit

Private Declare Function NtClose Lib "NTDLL.DLL" (ByVal ObjectHandle As Long) As Long
Private Declare Function CreateProcessInternalA Lib "kernel32" (ByVal hToken As Long, _
                                                        ByVal lpApplicationName As String, _
                                                        ByVal lpCommandLine As String, _
                                                        lpProcessAttributes As Any, _
                                                        lpThreadAttributes As Any, _
                                                        ByVal bInheritHandles As Long, _
                                                        ByVal dwCreationFlags As Long, _
                                                        lpEnvironment As Any, _
                                                        ByVal lpCurrentDriectory As String, _
                                                        lpStartupInfo As STARTUPINFO, _
                                                        lpProcessInformation As PROCESS_INFORMATION, _
                                                        ByVal hNewToken As Long) As Long

Private Type PROCESS_INFORMATION
        hProcess As Long
        hThread As Long
        dwProcessId As Long
        dwThreadId As Long
End Type

Private Type STARTUPINFO
        cb As Long
        lpReserved As String
        lpDesktop As String
        lpTitle As String
        dwX As Long
        dwY As Long
        dwXSize As Long
        dwYSize As Long
        dwXCountChars As Long
        dwYCountChars As Long
        dwFillAttribute As Long
        dwFlags As Long
        wShowWindow As Integer
        cbReserved2 As Integer
        lpReserved2 As Long
        hStdInput As Long
        hStdOutput As Long
        hStdError As Long
End Type

'运行EXE程序
Public Function RunExe(ByVal szFileName As String) As Boolean
        Dim lRet As Long
        Dim lp As PROCESS_INFORMATION
        Dim si As STARTUPINFO
        si.cb = Len(si)
        lRet = CreateProcessInternalA(0&, vbNullString, szFileName, ByVal 0&, ByVal 0&, 0, &H80, ByVal 0&, vbNullString, si, lp, 0&)
        If lRet <> 0 Then
                NtClose lp.hThread
                NtClose lp.hProcess
                RunExe = True
        End If
End Function


'类模块clsHookInfo

Option Explicit

Private Declare Function WriteProcessMemory Lib "kernel32" (ByVal hProcess As Long, lpBaseAddress As Any, lpBuffer As Any, ByVal nSize As Long, lpNumberOfBytesWritten As Long) As Long
Private Declare Function LoadLibrary Lib "kernel32" Alias "LoadLibraryA" (ByVal lpLibFileName As String) As Long
Private Declare Function GetProcAddress Lib "kernel32" (ByVal hModule As Long, ByVal lpProcName As String) As Long
Private Declare Sub CopyMemory Lib "kernel32" Alias "RtlMoveMemory" (Destination As Any, Source As Any, ByVal Length As Long)

Private mbytOldCode(5)  As Byte
Private mbytNewCode(5)  As Byte
Private mlngFunAddr     As Long
Private mhProcess       As Long

Public Function HookApi(ByVal strDllName As String, ByVal strFunName As String, ByVal lngFunAddr As Long, ByVal hProcess As Long) As Boolean
        Dim hModule As Long, dwJmpAddr As Long
        mhProcess = hProcess
        hModule = LoadLibrary(strDllName)
        If hModule = 0 Then
                HookApi = False
                Exit Function
        End If
        mlngFunAddr = GetProcAddress(hModule, strFunName)
        If mlngFunAddr = 0 Then
                HookApi = False
                Exit Function
        End If
        CopyMemory mbytOldCode(0), ByVal mlngFunAddr, 6
        mbytNewCode(0) = &HE9
        dwJmpAddr = lngFunAddr - mlngFunAddr - 5
        CopyMemory mbytNewCode(1), dwJmpAddr, 4
        HookStatus True
        HookApi = True
End Function

Public Function HookStatus(ByVal blnIsHook As Boolean) As Boolean
        If blnIsHook Then
                If WriteProcessMemory(mhProcess, ByVal mlngFunAddr, mbytNewCode(0), 5, 0) <> 0 Then HookStatus = False '拦截
        Else
                If WriteProcessMemory(mhProcess, ByVal mlngFunAddr, mbytOldCode(0), 5, 0) <> 0 Then HookStatus = False '恢复
        End If
End Function

Private Sub Class_Terminate()
        HookStatus False
End Sub

 

2012-10-4
远方235
关注
专栏目录
程序运行的启动顺序、结束顺序、生命周期是怎样的?
小秋 AI SLAM 入门实战教程
12-01 826
程序的退出顺序是指程序在结束运行时执行的一系列步骤,这些步骤确保程序的有序和安全退出。在C++等高级编程语言中,这个过程通常包括以下几个关键阶段:执行完 函数中的最后一条语句:局部对象的析构:调用 (如果适用):调用注册的退出函数:静态和全局对象的析构:调用 (如果适用):程序终止:整个过程设计得非常精细,确保了资源的正确释放和程序状态的有序清理。这是C++语言管理资源和内存的关键部分,遵循这些规则可以避免许多常见的编程错误,如内存泄漏和资源争用。在C++中,程序的析构顺序是指程序终止时对象被销毁的顺序。
如何使用开源指令集体系 WAMR—A lightweight runtime for webassembly 快速地将WebAssembly程序转换为运行时环境?
最新发布
程序员光剑
10-09 764
WebAssembly(Wasm)是一个开源的指令集体系,其目的在于取代JavaScript等脚本语言。它主要基于栈机器结构,具备安全、高效、互通、可移植性等特点。但Wasm作为一种底层编程语言仍处于不成熟阶段,还没有被广泛应用,尤其是在边缘计算领域。WAMR是由宋净超、李松洪、崔维等人开发的一个WebAssembly运行时,目的是提供一个轻量级的运行时环境,使得嵌入式设备、移动终端等设备上可以执行WebAssembly程序。基于该运行时环境,WAMR提供了面向模块化设计的功能,允许用户自定义模块接口。
c语言程序强制运行,c语言程序用TC一运行就被强制关闭
weixin_36304352的博客
05-20 311
C:\ProgramFiles\MicrosoftVisualStudio\MyProjects\1\1。cpp(3):errorC2143:sy ')'before'new'C:\ProgramFiles\MicrosoftVisualStudio\MyProjects\1\1。cpp(3):errorC2143:sy ';'before'new'C:\ProgramFiles\Microsof...
《操作系统导论》知识总结 第六章 机制:受限直接执行
jzb的博客
05-12 754
在四章中已经知道,要实现 CPU 的虚拟化,操作系统就需要一些级机制以及一些高级智能。 我们将级机制称为机制(mechanism)。机制是一些级方法或协议,实现了所需的功能。 这一章我们介绍一种机制:受限直接执行 构建虚拟化时存在一些挑战: 性能:如何在不增加系统开销的情况下实现虚拟化? 控制权:如何有效地运行进程,同时保留对 CPU 的控制? 控制权对于操作系统尤为重要,因为操作系统负责资源管理。如果没有控制权,一个进程可以简单地无限制运行并接管机器,或访问没有权限的信息 直接运行协议 这个概念
【操作系统导论】机制:受限直接执行 | 中断处理 | 陷阱 | 协作方式 | 非协作方式 | 上下文切换
有道无术, 术尚可求。有术无道, 止于术。
09-20 870
本系列博客为复习操作系统导论的笔记,内容主要参考自: Remzi H. Arpaci-Dusseau and Andrea C. Arpaci-Dusseau, Operating Systems: Three Easy PiecesA. Silberschatz, P. Galvin, and G. Gagne,
OSTEP第六章:机制:受限直接执行
doreen211的博客
06-26 185
此系列主要完成操作系统导论(Operating Systems: Three Easy Pieces)的课后作业,还会涉及一些每章总结和感悟,大部分的题目都没有一个标准的答案,有争议和错误的地方欢迎同学们一起讨论。Website:http://www.ostep.org/Homework:https://github.com/remzi-arpacidusseau/ostep-homework/专栏:操作系统导论(ostep)本次作业是做一个测量。测量系统调用和上下文切换的成本(时间)。注意:用gettim
如何用命令行运行可执行程序.exe
一季南凉的博客
08-15 8736
也有可以在命令行编译运行程序的,得找到自己的编译器位置然后配置,如果想弄的可以百度这里主要是介绍如何运行可执行程序 在windows 系统中,开始菜单右键,点击运行,输入cmd (请务必采用这种方式打开命令行) 出现这种界面,>是命令提示符,将命令以及所要执行的命令的程序的位置写好,回车。 好处:如果你需要看程序运行时间,可是手动输入的时间也会记录在内,因此,让windows自动输入更准确 下面是代码示例和运行结果 #include<iostream> #include<time.
selinux限制linux程序运行,应用SELinux中的目标策略限制进程运行
weixin_36053084的博客
05-06 729
一、安装SELinux相关的安装包虽然在有的Linux发行套件中已经缺省安装了SELinux(例如Fedora 10和Red Hat Enterprise Linux 5、6),然而用户还是需要了解具体安装SELinux所需要的安装包,下面对他们进行简要介绍,主要包括如下几个部分:Policycoreutils:提供与SELinux相关的命令,比如semanage,restorecon,audit...
限制某个程序在规定时间内运行
12-24
这可以通过弹出对话框(`MessageBox.Show()`)来实现,向用户显示警告信息并通知他们受限程序已被终止。 6. **权限管理**:为了让程序能够控制其他进程,可能需要以管理员权限运行。在C#中,可以通过在应用程序配置...
强制复制软件
04-22
- **Raw File Copier Pro**:这很可能是软件的实际程序文件,用户可以通过解压并运行这个文件来启动软件。 “Raw File Copier Pro”作为一个专业的强制复制软件,其核心功能可能包括: 1. **深度扫描**:查找并处理...
Sandboxie按需HOOK
joinpark的专栏
02-11 401
很多hook,为了挂载一些函数会直接load相关的dll,然后加载。或者因为依赖关系的原因相应的dll会被加载,这有时候会导致有些进程加载一些不必要的dll。 我们看Sandboxie的处理。 Sandboxie对在初始化的时候挂载了 LdrQueryImageFileExecutionOptions 进程加载dll完成后会调用该函数,此时可根据当前加载的dll的信息,对该dll相关的函数进行hook。 _FX void Ldr_MyDllCallbackA(const CHAR *ImageN
(经典)详解WINDOWS映像劫持技术
yxyhack's blog
09-21 4871
一. 诡异的中毒现象在成品检验科文员办公室的一台电脑上折腾半个小时后,计算机维护部门的技术员只觉得眼皮不停狂跳,因为从刚开始接手这个任务开始,他就一直在做无用功:他随身带的U盘里引以为豪的众多维护工具包在这台机器上全军覆没,无论他直接在U盘上运行还是随便复制到哪个目录里,系统都是报告“找不到文件”或者直接没有运行起来的反应,他第一次感受到了恐惧,文件分明就好好的在眼皮底下,可它们就是“找不到”或死
C++ 利用管道操作本机命令行命令
qq490765184的博客
02-18 2538
目录 1.知识要点 1.1 进程创建与关闭 1.2 管道的创建与关闭 2.利用MFC创建命令行命令执行工具 2.1 界面创建 2.2 命令执行函数 2.3 测试 1.知识要点 1.1 进程创建与关闭 在C++中,创建一个进程,需要利用WINDOWS API函数,该函数的原型如下: BOOL CreateProcessA( LPCSTR ...
进程及线程创建流程
yaozhu88的专栏
12-08 1589
今天在MuseHero的博客看到的资料,先收藏下来,以后慢慢学习,顺便了解一下WINDOWS的进程机制。;进程创建过程开始 CreateProcessAcall   kernel32!CreateProcessA ;10个参数; BOOL WINAPI CreateProcess(;   __in_opt     LPCTSTR lpApplicationName,;   __inout_op
浅析Windows系统调用——2种切换到内核模式的方法
weixin_34391445的博客
11-08 922
首先总结2种切换到内核模式方法的各自流程,以 Windows API WriteFile() 调用为例:内存法(中断法):(用户模式)WriteFile() -> ntdll!NtWriteFile() -> ntdll!KiIntSystemCall() -> int 2Eh -> 查找 IDT (中断描述符表)的内存地址,偏移0x2E处 ->...
HOOK 文件保护,隐藏 禁止访问
Play up! 程序人生 ZQC
06-02 4280
三个主要的函数:NtQueryDirectoryFile、NtCreateFile、NtOpenFile, 其它函数定义未用,保留。   源码.h头文件PathProtect.h: #pragma once #include "APIHook.h" #include "FileInfoDef.h" //typedef用来声明自定义数据类型 typedef NTSTATUS (WINA
NT.dll
锄禾日当午
11-29 1749
打开NTDLL.dll,惊奇的发现原来CRT的许多基本函数居然都是在这里实现的!甚至包括qsort,ceil这样的函数,还有臭名昭著的 strcpy(严格来讲,这只能怪使用者不当心)。堆的释放,进城管理,似乎都是在这。于是,我决定,仔细察看以下它,这1410个函数是做什么的.   用户模式的代码在调用系统内核函数的时候,首先把一个叫做system call number的数放在EAX中,把参数放
关于强制程序以管理员方式运行的方法
zhuobattle的专栏
02-26 2834
本文介绍三种方法,第一种就是之前较老的编译器用的方法,目测是vs2005及以前的编译器 第一种: 在资源文件中加入: 1  24   "res\\win7admin.manifest" 你可以网上搜索下这个manifest文件,应该很多,这里不在讲述。 第二种: 修改编译选项,vs2010以后有这个选项(vs2008是否有,大家可以自行查看下) Link->清
VB代码示例:以用户身份执行外部程序的源码
- 安全管理:例如在服务中,以特定权限用户运行敏感操作,防止普通用户访问受限资源。 - 自动化测试或脚本:通过创建临时用户身份运行测试工具或命令行应用,模拟真实用户环境。 - 系统管理工具:编写用于管理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值