修改window进程访问权限
修改访问权限
使用CreateRemoteThread植入DLL时,必须应用程序的权限。
插入的程序每次操作目标进程的虚拟空间,调用CreateRemoteThread 的时候,都先调用OpenProcess打开这个进程,将PROCESS_ALL_ACCESS 标志作为参数传递,得到这个进程最大的访问权限。
所有受限的进程都是操作系统的一部分,普通的应用程序不应该有权去操作OS。要访问,调用的进程必须有调试的特权。
逻辑描述:
(1) 获取进程的访问令牌的句柄(OpenProcess(PROCESS_ALL_ACCESS,FALSE, dwProcessID)来打获得任意进程的句柄.并且指定了所有的访问权),得到hToken。
(2) 使用LookupPrivilegeValue 函数取得描述特定特权级的LUID(本地唯一标识)。
(3) 使用AdjustTokenPrivilege调整访问令牌特技级别。
(4) 关闭进程访问令牌句柄。
OpenProcessToken
要对一个任意进程(包括系统安全进程和服务进程)进行指定了写相关的访问权的OpenProcess操作,只要当前进程具有SeDeDebug权限就可以了。要是一个用户是Administrator或是被给予了相应的权限,就可以具有该权限。可是,就算我们用Administrator帐号对一个系统安全进程执行OpenProcess(PROCESS_ALL_ACCESS,FALSE, dwProcessID)还是会遇到“访问拒绝”的错误。什么原因呢?原来在默认的情况下进程的一些访问权限是没有被使能(Enabled)的,所以我们要做的首先是使能这些权限。与此相关的一些API函数有OpenProcessToken,
LookupPrivilegevalue,
AdjustTokenPrivileges。
我们要修改一个进程的访问令牌,首先要获得进程访问令牌的句柄,这可以通过OpenProcessToken得到,函数的原型如下:
BOOL OpenProcessToken(
__in HANDLE ProcessHandle, //要修改访问权限的进程句柄(GetCurrentProcess())
__in DWORD DesiredAccess, //指定你要进行的操作类型
__out PHANDLE TokenHandle //返回的访问令牌指针
);
接着我们可以调用AdjustTokenPrivileges对这个访问令牌进行修改。AdjustTokenPrivileges的原型如下:
BOOL AdjustTokenPrivileges(
HANDLE TokenHandle, // 访问令牌的句柄
BOOL DisableAllPrivileges, // 决定是进行权限修改还是除能(Disable)所有权限
PTOKEN_PRIVILEGES NewState, // 修改的权限,是一个指向TOKEN_PRIVILEGES结构的指针,该结构包含一个数组,数据组的每个项指明了权限的类型和要进行的操作
DWORD BufferLength, // 结构PreviousState的长度,如果PreviousState为空,该参数应为NULL
PTOKEN_PRIVILEGES PreviousState, // TOKEN_PRIVILEGES结构的指针,存放修改前的访问权限的信息,可空
PDWORD ReturnLength // 实际PreviousState结构返回的大小
);
在使用这个函数前再看一下TOKEN_PRIVILEGES这个结构,其声明如下:
typedef struct _TOKEN_PRIVILEGES {
DWORD PrivilegeCount; // 数组元素的个数
LUID_AND_ATTRIBUTES Privileges[]; //LUID_AND_ATTRIBUTES类型的数组
} TOKEN_PRIVILEGES, *PTOKEN_PRIVILEGES;
LUID_AND_ATTRIBUTES这个结构的内容,声明如下:
typedef struct _LUID_AND_ATTRIBUTES {
LUID Luid; //权限的类型,是一个LUID的值(locally unique identifier)
DWORD Attributes; //操作类型
} LUID_AND_ATTRIBUTES, *PLUID_AND_ATTRIBUTES
操作类型,有三个可选项:
SE_PRIVILEGE_ENABLED、SE_PRIVILEGE_ENABLED_BY_DEFAULT、SE_PRIVILEGE_USED_FOR_ACCESS。
我们要怎么样才能知道一个权限对应的LUID值是多少呢?这就要用到另外一个API函数LookupPrivilegevalue,其原形如下:
BOOL LookupPrivilegevalue(
LPCTSTR lpSystemName, // 系统的名称(本地系统只要指明为NULL)
LPCTSTR lpName, // 权限的名称(SeDebugPrivilege)
PLUID lpLuid // LUID的指针
);
在Winnt.h中还定义了一些权限名称的宏,如:
#define SE_BACKUP_NAME TEXT("SeBackupPrivilege")
#define SE_RESTORE_NAME TEXT("SeRestorePrivilege")
#define SE_SHUTDOWN_NAME TEXT("SeShutdownPrivilege")
#define SE_DEBUG_NAME TEXT("SeDebugPrivilege")
例子:
TOKEN_PRIVILEGES TP;
HANDLE hToken;
LUID luid;
if( !OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY, &hToken))
{
printf("OpenProcessToken error:%u\n", GetLastError());
return FALSE;
}
if(!( LookupPrivilegeValue(NULL, lpszPrivilege, &luid)))
{
printf("LookupPrivilege error: %u\n", GetLastError());
return FASLE;
}
TP.PrivilegeCount = 1;
TP.Proivileges[0] = luid;
if( bEnalePrivilege )
{
TP.Privilege[0].Attributes = SE_PRIVILEGE_ENABLEED;
}
else
{
TP.Privilege[0].Attributes = 0;
}
if( !AdjustTokenPrivilege(hToken, FALSE, &TP, sizeof(TOKEN_PRIVILEGES), (PTOKEN_PRIVILEGEES)NULL, (PDWORD)NULL))
{
printf("AdjustTokenPrivilege error:%u\n", GetLastError());
return FALSE;
}
if( GetLastError() == ERROR_NOT_ALL_ASSIGNED)
{
printf("The token does not havespecified Privilege:%u\n");
return FASLE;
}
