Detours MicroSoft開源項目

一． Detours的原理 ---- 1． WIN32進程的記憶體管理 ---- 總所周知，WINDOWS NT實現了虛擬儲存空間，每一WIN32進程擁有4GB的虛存空間， 關於WIN32進程的虛存結構及其操作的具體細節請參閱WIN32 API手冊， 以下僅指出與Detours相關的幾點： ---- (1) 進程要執行的指令也放在虛存空間中 ---- (2) 可以使用QueryProtectEx函數把存放指令的頁面的許可權更改為可讀可寫可執行，再改寫其內容，從而修改正在啟動並執行程式 ---- (3) 可以使用VirtualAllocEx從一個進程為另一正啟動並執行進程分配虛存，再使用 QueryProtectEx函數把頁面的許可權更改為可讀可寫可執行，並把要執行的指令以二進位機器碼的形式寫入，從而為一個正在啟動並執行進程注入任意的代碼 ---- 2． 攔截WIN32 API的原理 ---- Detours定義了三個概念： ---- (1) Target函數：要攔截的函數，通常為Windows的API。 ---- (2) Trampoline函數：Target函數的複製品。因為Detours將會改寫Target函數，所以先把Target函數複製儲存好，一方面仍然儲存Target函數的程序呼叫語義，另一方面便於以後的恢複。 ---- (3) Detour 函數：用來替代Target函數的函數。 ---- Detours在Target函數的開頭加入JMP Address_of_ Detour_ Function指令（共5個位元組）把對Target函數的調用引導到自己的Detour函數， 把Target函數的開頭的5個位元組加上JMP Address_of_ Target _ Function+5作為Trampoline函數。例子如下： 攔截前：Target _ Function：  ；Target函數入口，以下為假想的常見的子程式入口代碼  push  ebp  mov  ebp,  esp  push  eax  push  ebx  Trampoline:  ；以下是Target函數的繼續部分  ……攔截後： Target _ Function：  jmp  Detour_Function  Trampoline:  ；以下是Target函數的繼續部分  ……  Trampoline_Function:  ; Trampoline函數入口, 開頭的5個位元組與Target函數相同  push  ebp  mov  ebp,  esp  push  eax  push  ebx  ；跳回去繼續執行Target函數  jmp  Target_Function+5---- 3． 為一個已在啟動並執行進程裝入一個DLL ---- 以下是其步驟： ---- (1) 建立一個ThreadFuction，內容僅是調用LoadLibrary。 ---- (2) 用VirtualAllocEx為一個已在啟動並執行進程分配一片虛存，並把許可權更改為可讀可寫可執行。 ---- (3) 把ThreadFuction的二進位機器碼寫入這片虛存。 ---- (4) 用CreateRemoteThread在該進程上建立一個線程，傳入前面分配的虛存的起始地址作為線程函數的地址，即可為一個已在啟動並執行進程裝入一個DLL。通過DllMain 即可在一個已在啟動並執行進程中運行自己的代碼。 二． Detours庫函數的用法 ---- 因為Detours軟體包並沒有附帶協助檔案，以下介面僅從剖析原始碼得出。 ---- 1． PBYTE WINAPI DetourFindFunction(PCHAR pszModule, PCHAR pszFunction) ---- 功能：從一DLL中找出一函數的入口地址 ---- 參數：pszModule是DLL名，pszFunction是函數名。 ---- 返回：名為pszModule的DLL的名為pszFunction的函數的入口地址 ---- 說明：DetourFindFunction除使用GetProcAddress外，還直接分析DLL的檔案頭，因此可以找到一些GetProcAddress找不到的函數入口。 ---- 2． DETOUR_TRAMPOLINE(trampoline_prototype, target_name) ---- 功能：該宏把名為target_name 的Target函數產生Trampoline函數，以後調用 trampoline_prototype在語義上等於調用Target函數。 ---- 3． BOOL WINAPI DetourFunctionWithTrampoline(PBYTE pbTrampoline, BYTE pbDetour) ---- 功能：用Detour 函數攔截Target函數 ---- 參數：pbTrampoline是DETOUR_TRAMPOLINE得到的trampoline_prototype，pbDetour是 Detour 函數的入口地址。 ---- 4． BOOL WINAPI DetourRemoveWithTrampoline(PBYTE pbTrampoline,PBYTE pbDetour) ---- 功能：恢複Target函數 ---- 參數：pbTrampoline是DETOUR_TRAMPOLINE得到的trampoline_prototype，pbDetour是 Detour 函數的入口地址。 ---- 5． BOOL WINAPI ContinueProcessWithDll(HANDLE hProcess, LPCSTR lpDllName) ---- 功能：為一個已在啟動並執行進程裝入一個DLL ---- 參數：hProcess是進程的控制代碼，lpDllName是要裝入的DLL名 三． 程式執行個體 ---- 以一個能使有“偵錯工具”的使用者權限的使用者成為系統管理員的程式做例子說明Detours 庫函數的用法。程式的設計思路是找一個以System帳號啟動並執行進程，如spoolss.exe, rpcss.exe, winlogon.exe, service.exe等，使用ContinueProcessWithDll在其中注入把目前使用者加入到 Administrators本機群組的DLL，因為該DLL在這些進程的安全上下文環境運行，所以有相應的許可權。 ---- 先編寫相應的DLL： /*admin.dll, 當進程裝入時會把名為szAccountName  的使用者加入到Administrators本機群組。*/#include #include #include #include /*以下建立一共用段實現進程間的資料通訊，  szAccountName 是使用者名稱，bPrepared說明  szAccountName是否已初始化。*/#pragma data_seg(".MYSHARE")BOOL bPrepared=FALSE;wchar_t szAccountName[100]={0};#pragma data_seg()#pragma comment(linker, "/SECTION:.MYSHARE,RWS")/*程式調用SetAccountName設定要加入到Administrators  本機群組的使用者名稱，並通知DllMain  已初始化szAccountName ，  以後被裝入時可調用ElevatePriv */__declspec(dllexport) VOID WINAPI  SetAccountName(wchar_t *Name){wcscpy(szAccountName,Name);bPrepared=TRUE;}/*把名為szAccountName的使用者加入  到Administrators本機群組*/__declspec(dllexport) VOID WINAPI ElevatePriv(){LOCALGROUP_MEMBERS_INFO_3 account;account.lgrmi3_domainandname=szAccountName;NetLocalGroupAddMembers(NULL,L"Administrators",3,(LPBYTE)&account,1);}__declspec(dllexport) ULONG WINAPIDllMain(HINSTANCE hInstance, DWORD dwReason, PVOID lpReserved){switch (dwReason) {  case DLL_THREAD_ATTACH:  if (bPrepared)    ElevatePriv();}return TRUE;} 程式如下：/*AddMeToAdministrators.exe 把目前使用者加入到  Administrators本機群組。使用方法為：（1）---- 運行工作管理員找到spoolss.exe或rpcss.exe或winlogon.exe或sevice.exe的進程ID （2）執行AddMeToAdministrators.exe procid, 其中procid為（1）記下的進程ID （3）簽退再簽到，運行使用者管理員，即可發現自己已在Administrators本機群組中。*/ #include #include #include #include #include extern VOID WINAPI SetAccountName(wchar_t *Name);/* GetCurrentUser得到自己的使用者名稱稱*/void GetCurrentUser(wchar_t *szName){  HANDLE hProcess, hAccessToken;  wchar_t InfoBuffer[1000],szAccountName[200],  szDomainName[200];  PTOKEN_USER pTokenUser = (PTOKEN_USER)InfoBuffer;  DWORD dwInfoBufferSize,dwAccountSize = 200,  dwDomainSize = 200;  SID_NAME_USE snu;  hProcess = GetCurrentProcess();  OpenProcessToken(hProcess,TOKEN_READ,&hAccessToken);  GetTokenInformation(hAccessToken,TokenUser,  InfoBuffer,      1000, &dwInfoBufferSize);  LookupAccountSid(NULL, pTokenUser->User.Sid,  szAccountName,      &dwAccountSize,szDomainName, &dwDomainSize, &snu);  wcscpy(szName,szDomainName);   wcscat(szName,L"\");  wcscat(szName,szAccountName);}/* EnablePrivilege啟用自己的“偵錯工具”的使用者權限*/BOOL EnablePrivilege(LPCTSTR szPrivName,BOOL fEnable) {HANDLE hToken;if (!OpenProcessToken(GetCurrentProcess(),             TOKEN_ADJUST_PRIVILEGES, &hToken))   return FALSE;TOKEN_PRIVILEGES tp;tp.PrivilegeCount = 1;LookupPrivilegeValue(NULL, szPrivName,&tp.Privileges[0].Luid);tp.Privileges[0].Attributes = fEnable ?SE_PRIVILEGE_ENABLED : 0;AdjustTokenPrivileges(hToken, FALSE, &tp,sizeof(tp), NULL, NULL);return((GetLastError() == ERROR_SUCCESS));}int WINAPI WinMain(HINSTANCE hinst, HINSTANCE hprev,LPSTR lpszCmdLine, int nCmdShow){INT argc;WCHAR **argv;argv = CommandLineToArgvW(GetCommandLineW(),&argc);INT nProcessId = -1;if (argc!=2){  wprintf(L"usage %s pid", argv[0]);  return 1;}nProcessId = _wtoi(argv[1]);printf("%d ",nProcessId);---- /*要成功執行ContinueProcessWithDll，要對winlogon.exe等進程的進程控制代碼有讀寫儲存空間內容和建立線程的許可權，EnablePrivilege使本進程有這樣的權利。*/ if (!EnablePrivilege(SE_DEBUG_NAME, TRUE)){  printf("AdjustTokenPrivilege Fail %u ",(UINT)GetLastError());  return 1;}HANDLE  gNewHandle = OpenProcess(PROCESS_ALL_ACCESS, TRUE, nProcessId); if (!gNewHandle){  printf("OpenProcess Fail %u ",(UINT)GetLastError());  return 1;}  wchar_t szName[100];GetCurrentUser(szName);SetAccountName(szName);If (!ContinueProcessWithDll(gNewHandle,L"c:\temp\admin.dll")) {  printf("ContinueProcessWithDll failed %u",(UINT)GetLastError());  return 3;}return 0;}---- 因為“偵錯工具”的使用者權限預設情況下僅賦予給管理員，因此並不會造成安全性漏洞。但該程式揭示出“偵錯工具”的使用者權限其實是至高無上的使用者權限，只能授予給可信使用者。 四． 結論 ---- Detours是一強大的工具，提供了簡單易用的函數介面來攔截WIN32 API調用和為一個已在啟動並執行進程裝入一個DLL。