这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行,并且会进一步补充知识点。第三篇文章主要介绍木马病毒启动技术,包括创建进程API、突破SESSION0隔离、内存加载详解,希望对您有所帮助。 病毒木马植入模块成功植入用户计算机后,便会开启攻击模块来对用户计算机数据实施窃取和回传等操作。通常植入和攻击是分开在不同模块之中的,这里的模块指的是DLL、exe或其他加密的PE文件等。只有当前植入模块成功执行后,方可继续执行攻击模块,同时会删除植入模块的数据和文件。 模块化开发的好处不单单是便于开发管理,同时也可以减小因某一模块的失败而导致整个程序暴露的可能性。本文重点介绍病毒木马启动技术,包括:
作者的github资源: 声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。 前文学习:
前文欣赏: 在一个进程中创建并启动一个新进程,无论是对于病毒木马程序还是普通的应用程序而言,这都是一个常见的技术。比如我前面文章介绍的WannaCry,蠕虫初始化操作后,它会创建局域网或公网传播的进程,在一系列操作后通过APC注入将生成的dll注入到系统进程lsass.exe,接着释放资源mssecsvc.exe,最后释放勒索程序tasksche.exe。 启动进程最简单的方法是直接通过调用WIN32 API函数创建新进程,用户层上提供,微软提供了函数来实现创建进程,包括: 这些函数除了创建进程外,还能执行CMD命令等功能,接着我们将详细介绍使用WinExec、ShellExecute、CreateProcess函数来创建进程。参考以下文档和这本书籍: (1) WinExec函数 参数: 返回值: 用途:
(2) ShellExecute函数 参数: 返回值: 注意,可以用此函数打开或搜索一个外壳文件夹。打开文件夹或搜索文件夹可用下面的形式: 用途:
(3) CreateProcess函数 参数: 返回值: 用途: (1) WinExec 第二步,新建源文件“main.cpp”。 第三步,编写如下代码,直接调用WinExec函数创建进程。 在上述代码中,WinExec函数只有两个参数,第一个参数指定程序路径或者CMD命令行,第二个参数指定显示方式。若返回结果大于31,则表示WinExec执行成功。显示结果如下图所示,成功打开计算器程序(calc.exe)。注意,该EXE文件需要提前放置该工程文件夹中。
编程过程中会遇到各种错误,请大家一定实际去编写代码,学会谷歌百度独立解决。 比如”const char *”类型的实参与“LPCWSTR”类型的形参不兼容,这是由于字符编码问题引起的,VC6 默认使用的 MBCS(多字节字符集) 编码,而VS2010及高版本VS默认使用Unicode编码。 解决方法有四种: 第二个常见错误是“C4996 ‘strcpy’: This function or variable may be unsafe. Consider using strcpy_s instead. To disable deprecation, use _CRT_SECURE_NO_WARNINGS. See online help for details. ”。 解决方法如下: (2) ShellExecute 输出结果如下图所示,成功打开了TXT文件。ShellExecute函数不仅可以运行EXE文件,也可以运行已经关联的文件,包括打开网页、发送邮件、以默认方式打开文件、打开目录、打印文件等。若返回值大于32,则表示执行成功,否则执行失败。 (3) ShellExcuteEx 完整代码如下: 运行结果如下图所示,成功打开了TXT文件和默认360浏览器。 (4) CreateProcess 最终运行程序显示如下图所示的效果,与WinExec和ShellExecute函数相比而言,CreateProcess函数的参数更多,使用起来更复杂。我们重点关注5个参数: 该部分主要通过调用WinExec函数、ShellExecute函数,以及CreateProcess函数来创建进程,实现程序的关键是对函数参数的理解。其中,除了进程路径参数较为重要之外,窗口显示方式也值得注意。 对WinExec和ShellExecute函数设置为SW_HIDE方式可隐藏运行程序窗口,并且成功隐藏执行CMD命令的窗口,对于其他程序窗口不能成功隐藏。而CreateProcess函数在指定窗口显示方式的时候,需要在STARTUPINFO结构体中将启用标志设置为STARTF_USESHOWWINDOW,表示wShowWindows成员显示方式有效。然后将wShowWindow置为SW_HIDE隐藏窗口,创建方式为CREATE_NEW_CONSOLE创建一个新控制台,这样可以成功隐藏执行CMD命令行的窗口,而其他程序窗口则不能成功隐藏。 如果在一个进程中想要创建以隐藏方式运行的进程,即隐藏进程窗口,则可以通过SendMessage向窗口发送SW_HIDE隐藏消息,也可以通过ShowWindow函数设置SW_HIDE来使窗口影藏。这两种实现方式的前提是已获取了窗口的句柄。 总之,WinExec只用于可执行文件,虽然使用方便,但是函数较老。ShellExcute函数可以通过Windows外壳打开任意文件,非可执行文件自动通过关联程序打开对应的可执行文件,区别不大,不过ShellExcute可以指定运行时的工作路径。WinExec必须得到GetMessage或超时之后才返回,而ShellExcute和CreateProcess都是无需等待直接返回的。 病毒木马通常会把自己注入系统服务进程或是伪装成系统服务进程,并运行在SESSION 0中。 处于SESSION 0中的程序能正常执行普通程序的绝大部分操作,但是个别操作除外。例如处于SESSION 0中的系统服务进程,无法与普通用户进程通信,不能通过Windows消息机制进行通信,更不能创建普通的用户进程。 那么,什么是Session 0隔离呢? 将服务和用户应用程序一起在Session 0中运行会导致安全风险,因为服务会使用提升后的权限运行,而用户应用程序使用用户特权(大部分都是非管理员用户)运行,这会使得恶意软件以某个服务为攻击目标,通过“劫持”该服务,达到提升自己权限级别的目的。 从Windows Vista开始,只有服务可以托管到Session 0中,用户应用程序和服务之间会被隔离,并需要运行在用户登录到系统时创建的后续会话中。例如第一个登录的用户创建 Session 1,第二个登录的用户创建Session 2,以此类推,如下图所示。 使用不同会话运行的实体(应用程序或服务)如果不将自己明确标注为全局命名空间,并提供相应的访问控制设置,将无法互相发送消息,共享UI元素,或共享内核对象。这一过程如下图所示,这就是所谓的Session 0隔离。 虽然Windows 7及以上版本的SESSION 0给服务层和应用层间的通信造成了很大的难度,这并不代表没有办法实现服务层与应用层的通信与交互。微软提供了一系列以WTS(Windows Terminal Service,Windows终端服务)开头的函数,从而可以完成服务层与应用层的交互。接下来,我们将突破SESSION 0隔离,在服务程序中创建用户桌面进程。 (1) WTSGetActiveConsoleSessionId函数 返回值:
(2) WTSQueryUserToken函数 参数: 返回值:
(3) DuplicateTokenEx函数 参数: 返回值:
(4) CreateEnvironmentBlock函数 参数: 返回值:
(5) CreateProcessAsUser函数 参数: 返回值: 由于SESSION 0的隔离,使得在系统服务进程内不能直接调用CreateProcess等函数创建进程,而只能通过CreateProcessAsUser函数来创建。这样,创建的进程才会显示UI界面,与用户进行交互。 在SESSION 0中创建用户桌面进程具体的实现流程如下。 经过上述操作后,就完成了用户桌面进程的创建。但是,上述方法创建的用户桌面进程并没有继承服务的系统权限,只有普通权限。要想创建一个有系统权限的子进程,这可以通过设置进程访问令牌的安全描述符来实现,具体步骤此处不进行详细介绍。
代码实现: 同时,为了将测试程序加载到服务进程中,还需要开发一个服务加载器CreateServerLoader.exe。在 main 函数中,设置服务入口点函数,成为服务程序,并在服务程序中调用上述封装好的函数进行测试。
CreateServerLoader程序
第二步,为程序添加对应的CPP文件和头文件。 添加的文件如下图所示,如果没有自带的stdafx.h文件,均可以自行创建。
第三步,撰写相关代码如下。 CreateServerLoader.cpp ServiceOperate.h 推荐大家从作者Github下载完整代码或私信我发给你,更推荐大家手动编写,理解过程。
第四步,如果在撰写代码过程中出现错误,请学会百度解决。如
CreateProcessAsUser_Test01程序
第二步,为程序添加对应的CPP文件和头文件。添加的文件如下图所示,如果没有自带的stdafx.h文件,均可以自行创建。
第三步,撰写相关代码如下。 核心代码CreateUserProcess函数则为突破SESSION 0隔离创建用户进程。然后将运行的EXE文件放置在同一个文件夹下,接着以管理员身份运行“CreateServerLoader.exe”即可。 服务加载器CreateServerLoader.exe会将CreateProcessAsUser_Test01.exe程序加载为服务进程,从而执行创建用户进程的代码。服务加载器提示创建和启动服务成功后,立即成功显示对话框和启动程序,而且窗口界面也成功显示。 然后,使用进程查看器ProcessExplorer.exe查看CreateProcessAsUser_Test.exe进程以及520.exe进程的SESSION值,如下图所示,CreateProcessAsUser_Test.exe进程处于SESSION 0,而520.exe处于SESSION 1。 PS:然而,作者运行时遇到各种错误,如“StartService fails with Error Code is 1053”等,我是真的菜!
最后简单总结下,突破SESSION 0会话隔离创建用户进程,要求程序处于SESSION 0会发才会有效。创建服务程序,需要在main中设置服务程序入口点函数,这样才能成功为程序创建系统服务。该程序的实现关键是调用CreateProcessAsUser函数。需要程序创建并复制一个新的访问令牌,并获取访问令牌的进程环境块信息。 同时,本文介绍的方法并没有对进程访问令牌进行设置,所以导致创建出来的用户桌面进程是用户默认权限而已,并没有继承SYSTEM权限。大家也可以通过挂钩CreateProcessAsUser函数监控进程创建。 很多病毒木马都具有模拟PE加载器的功能,它们把DLL或者exe等PE文件从内存中直接加载到病毒木马的内存中去执行,不需要通过LoadLibrary等现成的API函数去操作,以此躲过杀毒软件的拦截检测。 这种技术当然有积极的一面。假如程序需要动态调用DLL文件,内存加载运行技术可以把这些DLL作为资源插入到自己的程序中。此时直接在内存中加载运行即可,不需要再将DLL释放到本地。 本部分针对DLL和exe这两种PE文件进行介绍,分别剖析如何直接从内存中加载运行。这两种文件具体的实现原理相同,只需掌握其中一种,另一种也就容易掌握了。 要想完全理解透彻内存直接加载运行技术,需要对PE文件结构有比较详细的了解,至少要了解PE格式的导入表、导出表以及重定位表的具体操作过程。因为内存直接加载运行技术的核心就是模拟PE加载器加载PE文件的过程,也就是对导入表、导出表以及重定位表的操作过程。 作者之前的博客详细讲解过PE文件的结构: 那么程序需要进行哪些操作便可以直接从内存中加载运行DLL或是exe文件呢?以加载DLL为例介绍。 完成上述操作之后,DLL加载工作才算完成,接下来便是获取入口地址并跳转执行以便完成启动。具体的实现流程总结如下: 首先,在DLL文件中,根据PE结构获取其加载映像的大小SizeOfImage,并根据SizeOfImage在自己的程序中申请可读、可写、可执行的内存,那么这块内存的首地址就是DLL的加载基址。 其次,根据DLL中的PE结构获取其映像对齐大小SectionAlignment,然后把DLL文件数据按照SectionAlignment复制到上述申请的可读、可写、可执行的内存中。 接下来,根据PE结构的重定位表,重新对重定位表进行修正。然后,根据PE结构的导入表,加载所需的DLL,并获取导入函数的地址并写入导入表中。 接着,修改DLL的加载基址ImageBase。最后,根据PE结构获取DLL的入口地址,然后构造并调用DllMain函数,实现DLL加载。 而exe文件相对于DLL文件实现原理唯一的区别就在于构造入口函数的差别,exe不需要构造DllMain函数,而是根据PE结构获取exe的入口地址偏移AddressOfEntryPoint并计算出入口地址,然后直接跳转到入口地址处执行即可。 要特别注意的是,对于exe文件来说,重定位表不是必需的,即使没有重定位表,exe也可正常运行。因为对于exe进程来说,进程最早加载的模块是exe模块,所以它可以按照默认的加载基址加载到内存。对于那些没有重定位表的程序,只能把它加载到默认的加载基址上。如果默认加载基址已被占用,则直接内存加载运行会失败。 核心代码如下,推荐大家去github下载代码阅读。推荐两篇文章: 于如何修改重定位表、导入表以及遍历导出表等操作在此就不详细说明,读者直接阅读代码即可,代码中均有详细的注释说明。直接内存加载运行TestDll.dll文件,若成功执行TestDll.dll入口处的弹窗代码,弹窗提示则说明加载运行成功,如下图所示。 该部分知识对于初学者来说,理解起来比较复杂。但是,只要熟悉PE结构,这个程序理解起来就会容易得多。对于重定位表、导入表,以及导出表部分的具体操作并没有详细讲解。如果没有了解PE结构,那么理解起来会有些困难;如果了解了PE结构,那么就很容易理解该部分知识。 可以通过暴力枚举PE结构特征头的方法,来枚举进程中加载的所有模块,它与通过正常方法获取到的模块信息进行比对,从而判断是否存在可疑的PE文件。 写到这里,这篇文章就介绍完毕,希望对您有所帮助,最后进行简单的总结下。 学安全一年,认识了很多安全大佬和朋友,希望大家一起进步。这篇文章中如果存在一些不足,还请海涵。作者作为网络安全初学者的慢慢成长路吧!希望未来能更透彻撰写相关文章。同时非常感谢参考文献中的安全大佬们的文章,深知自己很菜,得努力前行。 (By:Eastmount 2020-07-26 星期一 晚上9点写于武汉 https://blog.csdn.net/eastmount/ ) 参考文献:
文章目录
软件安全:https://github.com/eastmountyxz/Software-Security-Course
其他工具:https://github.com/eastmountyxz/NetworkSecuritySelf-study
Windows-Hacker:https://github.com/eastmountyxz/Windows-Hacker-Exp
[网络安全自学篇] 一.入门笔记之看雪Web安全学习及异或解密示例
[网络安全自学篇] 二.Chrome浏览器保留密码功能渗透解析及登录加密入门笔记
[网络安全自学篇] 三.Burp Suite工具安装配置、Proxy基础用法及暴库示例
[网络安全自学篇] 四.实验吧CTF实战之WEB渗透和隐写术解密
[网络安全自学篇] 五.IDA Pro反汇编工具初识及逆向工程解密实战
[网络安全自学篇] 六.OllyDbg动态分析工具基础用法及Crakeme逆向
[网络安全自学篇] 七.快手视频下载之Chrome浏览器Network分析及Python爬虫探讨
[网络安全自学篇] 八.Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具
[网络安全自学篇] 九.社会工程学之基础概念、IP获取、IP物理定位、文件属性
[网络安全自学篇] 十.论文之基于机器学习算法的主机恶意代码
[网络安全自学篇] 十一.虚拟机VMware+Kali安装入门及Sqlmap基本用法
[网络安全自学篇] 十二.Wireshark安装入门及抓取网站用户名密码(一)
[网络安全自学篇] 十三.Wireshark抓包原理(ARP劫持、MAC泛洪)及数据流追踪和图像抓取(二)
[网络安全自学篇] 十四.Python攻防之基础常识、正则表达式、Web编程和套接字通信(一)
[网络安全自学篇] 十五.Python攻防之多线程、C段扫描和数据库编程(二)
[网络安全自学篇] 十六.Python攻防之弱口令、自定义字典生成及网站暴库防护
[网络安全自学篇] 十七.Python攻防之构建Web目录扫描器及ip代理池(四)
[网络安全自学篇] 十八.XSS跨站脚本攻击原理及代码攻防演示(一)
[网络安全自学篇] 十九.Powershell基础入门及常见用法(一)
[网络安全自学篇] 二十.Powershell基础入门及常见用法(二)
[网络安全自学篇] 二十一.GeekPwn极客大赛之安全攻防技术总结及ShowTime
[网络安全自学篇] 二十二.Web渗透之网站信息、域名信息、端口信息、敏感信息及指纹信息收集
[网络安全自学篇] 二十三.基于机器学习的恶意请求识别及安全领域中的机器学习
[网络安全自学篇] 二十四.基于机器学习的恶意代码识别及人工智能中的恶意代码检测
[网络安全自学篇] 二十五.Web安全学习路线及木马、病毒和防御初探
[网络安全自学篇] 二十六.Shodan搜索引擎详解及Python命令行调用
[网络安全自学篇] 二十七.Sqlmap基础用法、CTF实战及请求参数设置(一)
[网络安全自学篇] 二十八.文件上传漏洞和Caidao入门及防御原理(一)
[网络安全自学篇] 二十九.文件上传漏洞和IIS6.0解析漏洞及防御原理(二)
[网络安全自学篇] 三十.文件上传漏洞、编辑器漏洞和IIS高版本漏洞及防御(三)
[网络安全自学篇] 三十一.文件上传漏洞之Upload-labs靶场及CTF题目01-10(四)
[网络安全自学篇] 三十二.文件上传漏洞之Upload-labs靶场及CTF题目11-20(五)
[网络安全自学篇] 三十三.文件上传漏洞之绕狗一句话原理和绕过安全狗(六)
[网络安全自学篇] 三十四.Windows系统漏洞之5次Shift漏洞启动计算机
[网络安全自学篇] 三十五.恶意代码攻击溯源及恶意样本分析
[网络安全自学篇] 三十六.WinRAR漏洞复现(CVE-2018-20250)及恶意软件自启动劫持
[网络安全自学篇] 三十七.Web渗透提高班之hack the box在线靶场注册及入门知识(一)
[网络安全自学篇] 三十八.hack the box渗透之BurpSuite和Hydra密码爆破及Python加密Post请求(二)
[网络安全自学篇] 三十九.hack the box渗透之DirBuster扫描路径及Sqlmap高级注入用法(三)
[网络安全自学篇] 四十.phpMyAdmin 4.8.1后台文件包含漏洞复现及详解(CVE-2018-12613)
[网络安全自学篇] 四十一.中间人攻击和ARP欺骗原理详解及漏洞还原
[网络安全自学篇] 四十二.DNS欺骗和钓鱼网站原理详解及漏洞还原
[网络安全自学篇] 四十三.木马原理详解、远程服务器IPC$漏洞及木马植入实验
[网络安全自学篇] 四十四.Windows远程桌面服务漏洞(CVE-2019-0708)复现及详解
[网络安全自学篇] 四十五.病毒详解及批处理病毒制作(自启动、修改密码、定时关机、蓝屏、进程关闭)
[网络安全自学篇] 四十六.微软证书漏洞CVE-2020-0601 (上)Windows验证机制及可执行文件签名复现
[网络安全自学篇] 四十七.微软证书漏洞CVE-2020-0601 (下)Windows证书签名及HTTPS网站劫持
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
[网络安全自学篇] 四十九.Procmon软件基本用法及文件进程、注册表查看
[网络安全自学篇] 五十.虚拟机基础之安装XP系统、文件共享、网络快照设置及Wireshark抓取BBS密码
[网络安全自学篇] 五十一.恶意样本分析及HGZ木马控制目标服务器
[网络安全自学篇] 五十二.Windows漏洞利用之栈溢出原理和栈保护GS机制
[网络安全自学篇] 五十三.Windows漏洞利用之Metasploit实现栈溢出攻击及反弹shell
[网络安全自学篇] 五十四.Windows漏洞利用之基于SEH异常处理机制的栈溢出攻击及shell提取
[网络安全自学篇] 五十五.Windows漏洞利用之构建ROP链绕过DEP并获取Shell
[网络安全自学篇] 五十六.i春秋老师小白渗透之路及Web渗透技术总结
[网络安全自学篇] 五十七.PE文件逆向之什么是数字签名及Signtool签名工具详解(一)
[网络安全自学篇] 五十八.Windows漏洞利用之再看CVE-2019-0708及Metasploit反弹shell
[网络安全自学篇] 五十九.Windows漏洞利用之MS08-067远程代码执行漏洞复现及shell深度提权
[网络安全自学篇] 六十.Cracer第八期——(2)五万字总结Linux基础知识和常用渗透命令
[网络安全自学篇] 六十一.PE文件逆向之数字签名详细解析及Signcode、PEView、010Editor、Asn1View等工具用法(二)
[网络安全自学篇] 六十二.PE文件逆向之PE文件解析、PE编辑工具使用和PE结构修改(三)
[网络安全自学篇] 六十三.hack the box渗透之OpenAdmin题目及蚁剑管理员提权(四)
[网络安全自学篇] 六十四.Windows漏洞利用之SMBv3服务远程代码执行漏洞(CVE-2020-0796)复现及详解
[网络安全自学篇] 六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)
[网络安全自学篇] 六十六.Vulnhub靶机渗透之DC-1提权和Drupal漏洞利用(二)
[网络安全自学篇] 六十七.WannaCry勒索病毒复现及分析(一)Python利用永恒之蓝及Win7勒索加密
[网络安全自学篇] 六十八.WannaCry勒索病毒复现及分析(二)MS17-010利用及病毒解析
[网络安全自学篇] 六十九.宏病毒之入门基础、防御措施、自发邮件及APT28样本分析
[网络安全自学篇] 七十.WannaCry勒索病毒复现及分析(三)蠕虫传播机制分析及IDA和OD逆向
[网络安全自学篇] 七十一.深信服之外部威胁防护和勒索病毒对抗
[网络安全自学篇] 七十二.逆向分析之OllyDbg动态调试工具(一)基础入门及TraceMe案例分析
[网络安全自学篇] 七十三.WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读
[网络安全自学篇] 七十四.APT攻击检测溯源与常见APT组织的攻击案例
[网络安全自学篇] 七十五.Vulnhub靶机渗透之bulldog信息收集和nc反弹shell(三)
[网络安全自学篇] 七十六.逆向分析之OllyDbg动态调试工具(二)INT3断点、反调试、硬件断点与内存断点
[网络安全自学篇] 七十七.恶意代码与APT攻击中的武器(强推Seak老师)
[网络安全自学篇] 七十八.XSS跨站脚本攻击案例及总结(二)
[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
[网络安全自学篇] 八十.WHUCTF之WEB类解题思路WP(代码审计、文件包含、过滤绕过、SQL注入)
[网络安全自学篇] 八十一.WHUCTF之WEB类解题思路WP(文件上传漏洞、冰蝎蚁剑、反序列化phar)
[网络安全自学篇] 八十二.WHUCTF之隐写和逆向类解题思路WP(文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析)
[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
[网络安全自学篇] 八十四.《Windows黑客编程技术详解》之VS环境配置、基础知识及DLL延迟加载详解
[网络安全自学篇] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局钩子、远线程钩子、突破Session 0注入、APC注入)
[网络安全自学篇] 八十六.威胁情报分析之Python抓取FreeBuf网站APT文章(上)
[网络安全自学篇] 八十七.恶意代码检测技术详解及总结
[网络安全自学篇] 八十八.基于机器学习的恶意代码检测技术详解
[网络安全自学篇] 八十九.PE文件解析之通过Python获取时间戳判断软件来源地区
[网络安全自学篇] 九十.远控木马详解及APT攻击中的远控
[网络安全自学篇] 九十一.阿里云搭建LNMP环境及实现PHP自定义网站IP访问 (1)
[渗透&攻防] 一.从数据库原理学习网络攻防及防止SQL注入
[渗透&攻防] 二.SQL MAP工具从零解读数据库及基础用法
[渗透&攻防] 三.数据库之差异备份及Caidao利器
[渗透&攻防] 四.详解MySQL数据库攻防及Fiddler神器分析数据包
一.创建进程API
1.函数介绍
运行指定的应用程序。UINT WINAPI WinExec( _In_ LPCSTR lpCmdLine, _In_ UINT uCmdShow );
如果函数调用成功,则返回值大于31;若函数调用失败,则返回值为下列之一:
值
含义
0
系统内存或资源已耗尽
ERROR_BAD_FORMAT
EXE文件无效(非Win32.EXE或.EXE影像错误)
ERROR_FILE_NOT_FOUND
指定的文件未找到
ERROR_PATH_NOT_FOUND
指定的路径未找到
虽然Microsoft认为WinExec已过时,但是在许多时候,简单的WinExec函数仍是运行新程序的最好方式。简单地传送作为第一个参数的命令行,接着决定如何显示程序(第二个参数)就能实现。通常将其设置为SW_SHOW,也可尝试SW_MINIMIZED或 SW_MAXIMIZED。WinExec不允许用CreateProcess获得的所有选项,而它的确简单。
运行一个外部程序或者打开一个已注册的文件、目录或者打印一个文件等,并对外部程序进行一定程序的控制。HINSTANCE ShellExecute( HWND hwnd, LPCTSTR lpOperation, LPCTSTR lpFile, LPCTSTR lpParameters, LPCTSTR lpDirectory, INT nShowCmd );
– open打开指定项目
– print打印指定文件
– edit启动编辑器并编辑文档内容
– explore搜索指定文件夹,find在指定目录启动搜索
ShellExecute(handle, NULL, path_to_folder, NULL, NULL, SW_SHOWNORMAL); ShellExecute(handle, "open", path_to_folder, NULL, NULL, SW_SHOWNORMAL); ShellExecute(handle, "explore", path_to_folder, NULL, NULL, SW_SHOWNORMAL);
ShellExecute命令虽已过时但易于得到。该命令向命令解释程序提出打开、浏览或打印文档或文件夹的请求,虽然可以用ShellExecute运行程序,但通常只发送文档名,而命令解释程序则决定要运行那个程序。另外在打开目录文件夹时,ShellExecute命令非常有用。
创建一个新进程及主线程,新进程在调用进程的安全的上下文中运行。BOOL CreateProcess( LPCTSTR lpApplicationName, LPTSTR lpCommandLine, LPSECURITY_ATTRIBUTES lpProcessAttributes, LPSECURITY_ATTRIBUTES lpThreadAttributes, BOOL bInheritHandles, DWORD dwCreationFlags, LPVOID lpEnvironment, LPCTSTR lpCurrentDirectory, LPSTARTUPINFO lpStartupInfo, LPPROCESS_INFORMATION lpProcessInformation );
ShellExecute和WinExec命令用于简单的作业。如果要完全控制一个新进程,就必须调用CreateProcess。
2.编程实现
第一步,新建C++空项目,项目名称为“CreateProcess01”。#include<windows.h> #include<string.h> #include<iostream> using namespace std; //创建进程 bool CreateProcess_WinExec(char* name) { UINT uiRet = 0; uiRet = WinExec(name, SW_SHOW); switch (uiRet) { case 0:{ cout << "The system is out of memory or resources." << endl; return false; } case ERROR_BAD_FORMAT:{ cout << "The.exe file is invalid." << endl; return false; } case ERROR_FILE_NOT_FOUND:{ cout << "The specified file was not found." << endl; return false; } case ERROR_PATH_NOT_FOUND:{ cout << "The specified path was not found." << endl; return false; } default: break; } return true; } //主函数 int main(int argc, char* argv[]) { char name[20]; strcpy(name, "calc.exe"); cout << "Opening with WinExecn" << endl; if (CreateProcess_WinExec(name)) { MessageBoxA(NULL, "Process created successfully!", NULL, MB_OK); } return 0; }
_CRT_SECURE_NO_WARNINGS
_CRT_SECURE_NO_DEPRECATE
_CRT_NONSTDC_NO_DEPRECATE
同样的不步骤我们实现ShellExecute函数,它会打开文本文件,注意TXT文件需要放到同一个目录下。#include<windows.h> #include<string.h> #include<iostream> using namespace std; //主函数 int main(int argc, char* argv[]) { cout << "Opening with ShellExecuten" << endl; HINSTANCE hInstance = 0; hInstance = ShellExecute(NULL, TEXT("open"), TEXT("test.txt"), NULL, NULL, SW_SHOW); if ((DWORD)hInstance > 32) { MessageBoxA(NULL, "Process created successfully!", NULL, MB_OK); } else { MessageBoxA(NULL, "Fail!", NULL, MB_OK); } return 0; }
同时,作者补充ShellExcuteEx()函数,它相对于ShellExcute()函数而言,采用了结构体传递参数,使得函数调用简洁了很多。函数原型:BOOL ShellExecuteEx( _Inout_ SHELLEXECUTEINFO *pExecInfo );
#include<windows.h> #include<string.h> #include<iostream> #include <tchar.h> using namespace std; //打开TXT文件 bool CreateProcess_ShellExecuteEX() { SHELLEXECUTEINFO ShellInfo; memset(&ShellInfo, 0, sizeof(ShellInfo)); ShellInfo.cbSize = sizeof(ShellInfo); ShellInfo.hwnd = NULL; ShellInfo.lpVerb = _T("open"); ShellInfo.lpFile = _T("test.txt"); ShellInfo.nShow = SW_SHOWNORMAL; ShellInfo.fMask = SEE_MASK_NOCLOSEPROCESS; BOOL bResult = ShellExecuteEx(&ShellInfo); return true; } //打开浏览器 bool CreateProcess_ShellExecuteEx_Web() { SHELLEXECUTEINFO ShellInfo; memset(&ShellInfo, 0, sizeof(ShellInfo)); ShellInfo.cbSize = sizeof(ShellInfo); ShellInfo.hwnd = NULL; ShellInfo.lpVerb = _T("open"); ShellInfo.lpFile = _T("https://www.baidu.com/"); ShellInfo.nShow = SW_SHOWNORMAL; ShellInfo.fMask = SEE_MASK_NOCLOSEPROCESS; BOOL bResult = ShellExecuteEx(&ShellInfo); return true; } //主函数 int main(int argc, char* argv[]) { cout << "Opening with ShellExecuten" << endl; if (CreateProcess_ShellExecuteEX()) { MessageBoxA(NULL, "Process created successfully!", NULL, MB_OK); } else { MessageBoxA(NULL, "Fail!", NULL, MB_OK); } if (CreateProcess_ShellExecuteEx_Web()) { MessageBoxA(NULL, "Process created successfully!", NULL, MB_OK); } else { MessageBoxA(NULL, "Fail!", NULL, MB_OK); } return 0; }
CreateProcess()函数是当前主流的创建进程的函数,具体代码如下:#include<windows.h> #include<string.h> #include<iostream> #include <tchar.h> using namespace std; bool CreateProcess_CreateProcess() { PROCESS_INFORMATION pi; //进程信息 STARTUPINFO si; //进程启动信息 memset(&si, 0, sizeof(STARTUPINFO)); si.cb = sizeof(si); si.wShowWindow = SW_SHOW; si.dwFlags = STARTF_USESHOWWINDOW; //指定wShowWindow成员有效 BOOL bRet = FALSE; bRet = ::CreateProcess(_T("calc.exe"), NULL, NULL, FALSE, NULL, NULL, NULL, NULL, &si, &pi); if (bRet) { //不适用的句柄最好关掉 ::CloseHandle(pi.hThread); ::CloseHandle(pi.hProcess); return TRUE; } return FALSE; } //主函数 int main(int argc, char* argv[]) { cout << "Opening with ShellExecuten" << endl; if (CreateProcess_CreateProcess()) { MessageBoxA(NULL, "Process created successfully!", NULL, MB_OK); } else { MessageBoxA(NULL, "Fail!", NULL, MB_OK); } return 0; }
3.简单小结
二.突破SESSION 0隔离创建进程
1.SESSION 0隔离
前一篇文章 “注入技术详解”我普及过,在Windows XP、Windows Server 2003,以及更老版本的Windows操作系统中,服务和应用程序使用相同的会话(Session)运行,而这个会话是由第一个登录到控制台的用户启动的。该会话就叫做Session 0,如下图所示,在Windows Vista之前,Session 0不仅包含服务,也包含标准用户应用程序。
2.函数介绍
检索控制台会话的标志服Session Id,控制台会话是当前连接到物理控制台的会话。DWORD WTSGetActiveConsoleSessionId (VOID)
获取由Session Id指定的登录用户的主访问令牌,要想成功调用次功能,则调用应用程序必须在本地系统账户的上下文中运行,并具有SE_TCB_NAME特权。BOOL WTSQueryUserToken( ULONG SessionId, PHANDLE phToken );
如果函数成功,则返回值非零,phToken参数指向用户的主令牌;如果函数失败,则返回值为零。
创建一个新的访问令牌,它与现有令牌重复,此功能可以创建主令牌或模拟令牌。BOOL WINAPI DuplicateTokenEx( _in_ HANDLE hExistingToken, _in_ DWORD dwDesiredAccess, _in_opt_ LPSECURITY_ATTRIBUTES lpTokenAttributes, _in_ SECURITY_IMPERSONATION_LEVEL ImpersonationLevel, _in_ TOKEN_TYPE TokenType, _out_ PHANDLE phNewToken );
如果函数成功,则返回值一个非零值;如果函数失败,则返回值为零。
创建指定用户的环境变量,然后可以将此块传递给CreateProcessAsUser函数。BOOL CreateEnvironmentBlock( LPVOID *lpEnvironment, HANDLE hToken, BOOL bInherit );
如果函数成功,则返回TRUE;如果函数失败,则返回FALSE。
创建一个新进程及主线程,新进程在由指定令牌的用户安全上下文中运行。BOOL WINAPI CreateProcessAsUser( _In_opt_ HANDLE hToken, _In_opt_ LPCTSTR lpApplicationName, _Inout_opt_ LPTSTR lpCommandLine, _In_opt_ LPSECURITY_ATTRIBUTES lpProcessAttributes, _In_opt_ LPSECURITY_ATTRIBUTES lpThreadAttributes, _In_ BOOL bInheritHandles, _In_ DWORD dwCreationFlags, _In_opt_ LPVOID lpEnvironment, _In_opt_ LPCTSTR lpCurrentDirectory, _In_ LPSTARTUPINFO lpStartupInfo, _Out_ LPPROCESS_INFORMATION lpProcessInformation );
如果函数成功,则返回TRUE;如果函数失败,则返回FALSE。
3.编程实现
因为程序要实现的是突破SESSION 0会话隔离,在系统服务程序中创建用户桌面进程。程序必须要注册成为一个系统服务进程,这样才处于SESSION 0会话中。服务程序的入口点与普通程序的入口点不同,需要通过调用函数StartServiceCtrlDispatcher来设置服务入口点函数。
第一步,创建控制台应用程序“CreateServerLoader”。
ServerOperate.cpp #include "ServiceOperate.h" #include "stdafx.h" #undef UNICODE void ShowError(char* lpszText) { char szErr[MAX_PATH] = { 0 }; ::wsprintf(szErr, "%s Error!nError Code Is:%dn", lpszText, ::GetLastError()); #ifdef _DEBUG ::MessageBox(NULL, szErr, "ERROR", MB_OK | MB_ICONERROR); #endif } // 0 加载服务 1 启动服务 2 停止服务 3 删除服务 BOOL SystemServiceOperate(char* lpszExePath, int iOperateType) { BOOL bRet = TRUE; char szName[MAX_PATH] = { 0 }; ::lstrcpy(szName, lpszExePath); // 过滤掉文件目录,获取文件名 ::PathStripPath(szName); SC_HANDLE shOSCM = NULL, shCS = NULL; SERVICE_STATUS ss; DWORD dwErrorCode = 0; BOOL bSuccess = FALSE; // 打开服务控制管理器数据库 shOSCM = ::OpenSCManager(NULL, NULL, SC_MANAGER_ALL_ACCESS); if (!shOSCM) { ShowError("OpenSCManager"); return FALSE; } if (0 != iOperateType) { // 打开一个已经存在的服务 shCS = OpenService(shOSCM, szName, SERVICE_ALL_ACCESS); if (!shCS) { ShowError("OpenService"); ::CloseServiceHandle(shOSCM); shOSCM = NULL; return FALSE; } } switch (iOperateType) { case 0: { // 创建服务 // SERVICE_AUTO_START 随系统自动启动 // SERVICE_DEMAND_START 手动启动 shCS = ::CreateService(shOSCM, szName, szName, SERVICE_ALL_ACCESS, SERVICE_WIN32_OWN_PROCESS | SERVICE_INTERACTIVE_PROCESS, SERVICE_AUTO_START, SERVICE_ERROR_NORMAL, lpszExePath, NULL, NULL, NULL, NULL, NULL); if (!shCS) { ShowError("CreateService"); bRet = FALSE; } break; } case 1: { // 启动服务 if (!::StartService(shCS, 0, NULL)) { ShowError("StartService"); bRet = FALSE; } break; } case 2: { // 停止服务 if (!::ControlService(shCS, SERVICE_CONTROL_STOP, &ss)) { ShowError("ControlService"); bRet = FALSE; } break; } case 3: { // 删除服务 if (!::DeleteService(shCS)) { ShowError(TEXT("DeleteService")); bRet = FALSE; } break; } default: break; } // 关闭句柄 if (shCS) { ::CloseServiceHandle(shCS); shCS = NULL; } if (shOSCM) { ::CloseServiceHandle(shOSCM); shOSCM = NULL; } return bRet; }
// ServiceLoader.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include "ServiceOperate.h" int _tmain(int argc, _TCHAR* argv[]) { BOOL bRet = FALSE; char szExePath[] = "CreateProcessAsUser_Test01.exe"; // 加载服务 bRet = SystemServiceOperate(szExePath, 0); if (bRet) { printf("INSTALL OK.n"); } else { printf("INSTALL ERROR.n"); } // 启动服务 bRet = SystemServiceOperate(szExePath, 1); if (bRet) { printf("START OK.n"); } else { printf("START ERROR.n"); } system("pause"); // 停止服务 bRet = SystemServiceOperate(szExePath, 2); if (bRet) { printf("STOP OK.n"); } else { printf("STOP ERROR.n"); } // 卸载服务 bRet = SystemServiceOperate(szExePath, 3); if (bRet) { printf("UNINSTALL OK.n"); } else { printf("UNINSTALL ERROR.n"); } return 0; }
#ifndef _SERVICE_OPERATE_H_ #define _SERVICE_OPERATE_H_ #include <Windows.h> #include <Shlwapi.h> #pragma comment(lib, "Shlwapi.lib") // 0 加载服务 1 启动服务 2 停止服务 3 删除服务 BOOL SystemServiceOperate(char* lpszDriverPath, int iOperateType); #endif
“const char *”类型的实参与“LPCWSTR”类型的形参不兼容。
第一步,创建控制台应用程序“CreateProcessAsUser_Test01”。
CreateProcessAsUser_Test01.cpp// CreateProcessAsUser_Test.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include <Windows.h> #include <UserEnv.h> #include <WtsApi32.h> #pragma comment(lib, "UserEnv.lib") #pragma comment(lib, "WtsApi32.lib") // 服务入口函数以及处理回调函数 void __stdcall ServiceMain(DWORD dwArgc, char* lpszArgv); void __stdcall ServiceCtrlHandle(DWORD dwOperateCode); void DoTask(); // 显示消息对话框 void ShowMessage(TCHAR* lpszMessage, TCHAR* lpszTitle); // 创建用户进程 BOOL CreateUserProcess(char* lpszFileName); // 全局变量 char g_szServiceName[MAX_PATH] = "CreateProcessAsUser_Test01.exe"; // 服务名称 SERVICE_STATUS g_ServiceStatus = { 0 }; SERVICE_STATUS_HANDLE g_ServiceStatusHandle = { 0 }; int _tmain(int argc, _TCHAR* argv[]) { // 注册服务入口函数 SERVICE_TABLE_ENTRY stDispatchTable[] = { { g_szServiceName, (LPSERVICE_MAIN_FUNCTION)ServiceMain }, { NULL, NULL } }; ::StartServiceCtrlDispatcher(stDispatchTable); return 0; } void __stdcall ServiceMain(DWORD dwArgc, char* lpszArgv) { g_ServiceStatus.dwServiceType = SERVICE_WIN32; g_ServiceStatus.dwCurrentState = SERVICE_START_PENDING; g_ServiceStatus.dwControlsAccepted = SERVICE_ACCEPT_STOP; g_ServiceStatus.dwWin32ExitCode = 0; g_ServiceStatus.dwServiceSpecificExitCode = 0; g_ServiceStatus.dwCheckPoint = 0; g_ServiceStatus.dwWaitHint = 0; g_ServiceStatusHandle = ::RegisterServiceCtrlHandler(g_szServiceName, ServiceCtrlHandle); g_ServiceStatus.dwCurrentState = SERVICE_RUNNING; g_ServiceStatus.dwCheckPoint = 0; g_ServiceStatus.dwWaitHint = 0; ::SetServiceStatus(g_ServiceStatusHandle, &g_ServiceStatus); // 自己程序实现部分代码放在这里 DoTask(); } void __stdcall ServiceCtrlHandle(DWORD dwOperateCode) { switch (dwOperateCode) { case SERVICE_CONTROL_PAUSE: { // 暂停 g_ServiceStatus.dwCurrentState = SERVICE_PAUSED; break; } case SERVICE_CONTROL_CONTINUE: { // 继续 g_ServiceStatus.dwCurrentState = SERVICE_RUNNING; break; } case SERVICE_CONTROL_STOP: { // 停止 g_ServiceStatus.dwWin32ExitCode = 0; g_ServiceStatus.dwCurrentState = SERVICE_STOPPED; g_ServiceStatus.dwCheckPoint = 0; g_ServiceStatus.dwWaitHint = 0; ::SetServiceStatus(g_ServiceStatusHandle, &g_ServiceStatus); break; } case SERVICE_CONTROL_INTERROGATE: { // 询问 break; } default: break; } } void DoTask() { // 自己程序实现部分代码放在这里 // 显示对话框 ShowMessage("Hi EastmountnThis is From Session 0 Service!n", "HELLO"); // 创建用户桌面进程 CreateUserProcess("calc.exe"); } void ShowMessage(TCHAR* lpszMessage, TCHAR* lpszTitle) { // 获取当前的Session ID DWORD dwSessionId = ::WTSGetActiveConsoleSessionId(); // 显示消息对话框 DWORD dwResponse = 0; ::WTSSendMessage(WTS_CURRENT_SERVER_HANDLE, dwSessionId, lpszTitle, (1 + ::lstrlen(lpszTitle)), lpszMessage, (1 + ::lstrlen(lpszMessage)), 0, 0, &dwResponse, FALSE); } // 突破SESSION 0隔离创建用户进程 BOOL CreateUserProcess(char* lpszFileName) { BOOL bRet = TRUE; DWORD dwSessionID = 0; HANDLE hToken = NULL; HANDLE hDuplicatedToken = NULL; LPVOID lpEnvironment = NULL; STARTUPINFO si = { 0 }; PROCESS_INFORMATION pi = { 0 }; si.cb = sizeof(si); do { // 获得当前Session ID dwSessionID = ::WTSGetActiveConsoleSessionId(); // 获得当前Session的用户令牌 if (FALSE == ::WTSQueryUserToken(dwSessionID, &hToken)) { ShowMessage("WTSQueryUserToken", "ERROR"); bRet = FALSE; break; } // 复制令牌 if (FALSE == ::DuplicateTokenEx(hToken, MAXIMUM_ALLOWED, NULL, SecurityIdentification, TokenPrimary, &hDuplicatedToken)) { ShowMessage("DuplicateTokenEx", "ERROR"); bRet = FALSE; break; } // 创建用户Session环境 if (FALSE == ::CreateEnvironmentBlock(&lpEnvironment, hDuplicatedToken, FALSE)) { ShowMessage("CreateEnvironmentBlock", "ERROR"); bRet = FALSE; break; } // 在复制的用户Session下执行应用程序,创建进程 if (FALSE == ::CreateProcessAsUser(hDuplicatedToken, lpszFileName, NULL, NULL, NULL, FALSE, NORMAL_PRIORITY_CLASS | CREATE_NEW_CONSOLE | CREATE_UNICODE_ENVIRONMENT, lpEnvironment, NULL, &si, &pi)) { ShowMessage("CreateProcessAsUser", "ERROR"); bRet = FALSE; break; } } while (FALSE); // 关闭句柄, 释放资源 if (lpEnvironment) { ::DestroyEnvironmentBlock(lpEnvironment); } if (hDuplicatedToken) { ::CloseHandle(hDuplicatedToken); } if (hToken) { ::CloseHandle(hToken); } return bRet; }
三.内存直接加载运行
1.实现原理
2.编程实现
// 模拟LoadLibrary加载内存DLL文件到进程中 // lpData: 内存DLL文件数据的基址 // dwSize: 内存DLL文件的内存大小 // 返回值: 内存DLL加载到进程的加载基址 LPVOID MmLoadLibrary(LPVOID lpData, DWORD dwSize) { LPVOID lpBaseAddress = NULL; // 获取镜像大小 DWORD dwSizeOfImage = GetSizeOfImage(lpData); // 在进程中开辟一个可读、可写、可执行的内存块 lpBaseAddress = ::VirtualAlloc(NULL, dwSizeOfImage, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE); if (NULL == lpBaseAddress) { ShowError("VirtualAlloc"); return NULL; } ::RtlZeroMemory(lpBaseAddress, dwSizeOfImage); // 将内存DLL数据按SectionAlignment大小对齐映射到进程内存中 if (FALSE == MmMapFile(lpData, lpBaseAddress)) { ShowError("MmMapFile"); return NULL; } // 修改PE文件重定位表信息 if(FALSE == DoRelocationTable(lpBaseAddress)) { ShowError("DoRelocationTable"); return NULL; } // 填写PE文件导入表信息 if (FALSE == DoImportTable(lpBaseAddress)) { ShowError("DoImportTable"); return NULL; } //修改页属性。应该根据每个页的属性单独设置其对应内存页的属性。 //统一设置成一个属性PAGE_EXECUTE_READWRITE DWORD dwOldProtect = 0; if (FALSE == ::VirtualProtect(lpBaseAddress, dwSizeOfImage, PAGE_EXECUTE_READWRITE, &dwOldProtect)) { ShowError("VirtualProtect"); return NULL; } // 修改PE文件加载基址IMAGE_NT_HEADERS.OptionalHeader.ImageBase if (FALSE == SetImageBase(lpBaseAddress)) { ShowError("SetImageBase"); return NULL; } // 调用DLL的入口函数DllMain,函数地址即为PE文件的入口点IMAGE_NT_HEADERS.OptionalHeader.AddressOfEntryPoint if (FALSE == CallDllMain(lpBaseAddress)) { ShowError("CallDllMain"); return NULL; } return lpBaseAddress; }
四.总结
[1] https://github.com/eastmountyxz/Windows-Hacker-Exp/blob/master/4.启动技术
[2] WINEXEC, SHELLEXECUTE, CREATEPROCESS – 篱笆博客
[3] https://docs.microsoft.com/en-us/previous-versions/aa908775(v=msdn.10)
[4] https://docs.microsoft.com/zh-cn/windows/win32/api/winbase/nf-winbase-winexec
[5] https://docs.microsoft.com/en-us/windows/win32/api/wtsapi32/nf-wtsapi32-wtsqueryusertoken
[6] https://docs.microsoft.com/zh-cn/windows/win32/api/winsvc/nf-winsvc-startservicew
[7] Windows创建进程 – m_buddy
[8] 关于“Error: “const char *” 类型的实参与 “LPCWSTR”类型的形参不兼容”错误的解决方案
[9] 穿透Session 0 隔离(一)- 李敬然老师
[10] C++创建Windows后台服务程序 – blade1080
[11] 系统权限服务创建桌面进程(进程也是系统权限)
[12] 突破Session0隔离在系统服务程序中创建用户桌面进程
[13] DLL内存加载 – 墨鱼菜鸡
[14] 内存直接加载运行DLL文件 – 自己的小白
本网页所有视频内容由 imoviebox边看边下-网页视频下载, iurlBox网页地址收藏管理器 下载并得到。
ImovieBox网页视频下载器 下载地址: ImovieBox网页视频下载器-最新版本下载
本文章由: imapbox邮箱云存储,邮箱网盘,ImageBox 图片批量下载器,网页图片批量下载专家,网页图片批量下载器,获取到文章图片,imoviebox网页视频批量下载器,下载视频内容,为您提供.
阅读和此文章类似的: 全球云计算