句柄降权保护自己

简介: 简述了句柄降权的原理和作用

句柄降权保护自己

概述:

通过句柄降权保护自己的内存

实验环境:

Windows7 x86 ,Windbg

前置条件:

必须要先看这篇文章https://www.52pojie.cn/thread-1770541-1-1.html,不看的话以下内容基本上是看不懂的

原理讲解:

私有句柄表中的值总共64bit位,高32bit位代表句柄拥有者对句柄对象的操作权限,低32bit位与运算上0xF是句柄对应的对象在内核中的地址,之所以与运算0xF是因为低32bit位中的最后3bit位为对象的三个属性。

速战速决:

根据上面所说的原理我们通过举例一个句柄值来操作便知道具体操作了,加入现在有个私有句柄表中的句柄值为000000039f026cc1`,那么此时00000003便是句柄拥有者的权限,权限有以下几种:

#define PROCESS_TERMINATE                  (0x0001)  
#define PROCESS_CREATE_THREAD              (0x0002)  
#define PROCESS_SET_SESSIONID              (0x0004)  
#define PROCESS_VM_OPERATION               (0x0008)  
#define PROCESS_VM_READ                    (0x0010)  
#define PROCESS_VM_WRITE                   (0x0020)  
#define PROCESS_DUP_HANDLE                 (0x0040)  
#define PROCESS_CREATE_PROCESS             (0x0080)  
#define PROCESS_SET_QUOTA                  (0x0100)  
#define PROCESS_SET_INFORMATION            (0x0200)  
#define PROCESS_QUERY_INFORMATION          (0x0400)  
#define PROCESS_SUSPEND_RESUME             (0x0800)  
#define PROCESS_QUERY_LIMITED_INFORMATION  (0x1000)  
#define PROCESS_SET_LIMITED_INFORMATION    (0x2000)  
#if (NTDDI_VERSION >= NTDDI_VISTA)
#define PROCESS_ALL_ACCESS        (STANDARD_RIGHTS_REQUIRED | SYNCHRONIZE | \0xFFFF)

当我们通过OpenProcess以多种权限申请打开进程时便将多种权限或运算就得到了我们想要的权限值,我们的目的是为了降低句柄拥有者对我们要保护的进程的操作权限,那最简单暴力的方法便是把高32bit位置0,直接让句柄拥有者对我们的进程失去所有权限。依然按照昨天必读那篇文章的保护进程123.exe来说,我们只需要在原判断成功123.exe进程对象句柄在其他进程里的时候把对应的句柄值的高32bit位置0就实现了,更改后的代码如下:

        count_2 = count_2 - 1;
        ULONG64 pTmpTableValue = 0;
        ULONG uHight32 = 0;
        ULONG uLow32 = 0;
        UCHAR uType = 0;
        PUCHAR pProcessName = NULL;
        ULONG uFindNum = 0;
        PULONG pTableAddr = 0;
        int iClearNum = 0;
        for (int i = 0; i < count_2-1; i++)
        {
   
   
                for (int j = 0; j < 512; j++)
                {
   
   
                        if (pOneTableCode[i] == 0)
                        {
   
   
                                break;
                        }
                        pTableAddr = ((PUCHAR)pOneTableCode[i] + j * 8);
                        pTmpTableValue = *((PULONG64)(pTableAddr));
                        uHight32 = pTmpTableValue >> 32;
                        uLow32 = pTmpTableValue & 0x00000000ffffffff;
                        uLow32 = uLow32 & 0xFFFFFFF8;
                        if (uLow32 != 0 && uLow32>0x80000000)
                        {
   
   

                                uType = *(PUCHAR)((PUCHAR)uLow32 + 0xc);
                                if (uType == 0x7)
                                {
   
   
                                        pProcessName = (PUCHAR)((PUCHAR)uLow32 + 0x18 + 0x16c);
                                        if (strcmp(pProcessName, "123.exe") == 0)
                                        {
   
   
                                                //高32bit位写为0
                                                RtlCopyMemory(pTableAddr, &iClearNum, 4);
                                                openflag++;
                                        }
                                        DbgPrintEx(77, 0, "[db][exeinfor]:Processname:%s\n", pProcessName);
                                }

                        }
                        uFindNum++;
                }
        }

结果:

因为123.exe的句柄拥有者有CE调试器,所以如果我们保护成功了的话,CE是无法正常访问123.exe的进程数据的,所以看图

11.png
22.png

结论:

句柄降权暴力有效,但是任然能被化解,攻防就像矛盾!

相关文章
|
11月前
|
存储 JavaScript 小程序
刷新网页后先前浏览位置不变的解决方案
我重新加载网页,刷新之后,滚动条依然定位在我刚刚浏览的位置,这个小功能感觉还不错,挺方便的。 具体是怎么实现的呢,去网上大概查了一下。 这个是使用滚动条属性scrollTop来实现的。
108 0
|
PHP 数据库
织梦DEDECMS自动内链一个关键字对应多个链接随机调用的设置方法
利用dedecsm织梦自动内链的时候,可能会有一个关键字对应多个网站,随机调用网址的需求,比如(织梦自动内链)这个关键词一些文章内链链接到网站的首页,一些链接到文章页,但是织梦中原带的功能,一个关键词只能加一个网址,网上找了很多办法也没有找到可用的,还好米米素材网懂一点点php,哪就自己动手吧。下面是织梦自动内链一个关键字对应多个链接,随机调用这些链接的解决办法。
|
Windows
小唐很疑惑?远程桌面客户端和服务器端都设定了允许本地磁盘映射,但看不见本地盘
小唐很疑惑?远程桌面客户端和服务器端都设定了允许本地磁盘映射,但看不见本地盘
201 0
关于MFC禁止窗口最大化按钮和禁止改变窗口大小
关于MFC禁止窗口最大化按钮和禁止改变窗口大小
307 0