[网络安全自学篇] 九十二.《Windows黑客编程技术详解》之病毒启动技术创建进程API、突破SESSION0隔离、内存加载详解(3)

荒凉一梦 提交于 2020-08-11 03:09:21

这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点。第三篇文章主要介绍木马病毒启动技术,包括创建进程API、突破SESSION0隔离、内存加载详解,希望对您有所帮助。

病毒木马植入模块成功植入用户计算机后,便会开启攻击模块来对用户计算机数据实施窃取和回传等操作。通常植入和攻击是分开在不同模块之中的,这里的模块指的是DLL、exe或其他加密的PE文件等。只有当前植入模块成功执行后,方可继续执行攻击模块,同时会删除植入模块的数据和文件。

模块化开发的好处不单单是便于开发管理,同时也可以减小因某一模块的失败而导致整个程序暴露的可能性。本文重点介绍病毒木马启动技术,包括:

  • 创建进程API:介绍使用WinExec、ShellExecute以及CreateProcess创建进程
  • 突破SESSION 0隔离创建进程:主要通过CreateProcessAsUser函数实现用户进程创建
  • 内存直接加载运行:模拟PE加载器,直接将DLL和exe等PE文件加载到内存并启动运行

在这里插入图片描述


作者的github资源:
软件安全:https://github.com/eastmountyxz/Software-Security-Course
其他工具:https://github.com/eastmountyxz/NetworkSecuritySelf-study
Windows-Hacker:https://github.com/eastmountyxz/Windows-Hacker-Exp



声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。

前文学习:
[网络安全自学篇] 一.入门笔记之看雪Web安全学习及异或解密示例
[网络安全自学篇] 二.Chrome浏览器保留密码功能渗透解析及登录加密入门笔记
[网络安全自学篇] 三.Burp Suite工具安装配置、Proxy基础用法及暴库示例
[网络安全自学篇] 四.实验吧CTF实战之WEB渗透和隐写术解密
[网络安全自学篇] 五.IDA Pro反汇编工具初识及逆向工程解密实战
[网络安全自学篇] 六.OllyDbg动态分析工具基础用法及Crakeme逆向
[网络安全自学篇] 七.快手视频下载之Chrome浏览器Network分析及Python爬虫探讨
[网络安全自学篇] 八.Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具
[网络安全自学篇] 九.社会工程学之基础概念、IP获取、IP物理定位、文件属性
[网络安全自学篇] 十.论文之基于机器学习算法的主机恶意代码
[网络安全自学篇] 十一.虚拟机VMware+Kali安装入门及Sqlmap基本用法
[网络安全自学篇] 十二.Wireshark安装入门及抓取网站用户名密码(一)
[网络安全自学篇] 十三.Wireshark抓包原理(ARP劫持、MAC泛洪)及数据流追踪和图像抓取(二)
[网络安全自学篇] 十四.Python攻防之基础常识、正则表达式、Web编程和套接字通信(一)
[网络安全自学篇] 十五.Python攻防之多线程、C段扫描和数据库编程(二)
[网络安全自学篇] 十六.Python攻防之弱口令、自定义字典生成及网站暴库防护
[网络安全自学篇] 十七.Python攻防之构建Web目录扫描器及ip代理池(四)
[网络安全自学篇] 十八.XSS跨站脚本攻击原理及代码攻防演示(一)
[网络安全自学篇] 十九.Powershell基础入门及常见用法(一)
[网络安全自学篇] 二十.Powershell基础入门及常见用法(二)
[网络安全自学篇] 二十一.GeekPwn极客大赛之安全攻防技术总结及ShowTime
[网络安全自学篇] 二十二.Web渗透之网站信息、域名信息、端口信息、敏感信息及指纹信息收集
[网络安全自学篇] 二十三.基于机器学习的恶意请求识别及安全领域中的机器学习
[网络安全自学篇] 二十四.基于机器学习的恶意代码识别及人工智能中的恶意代码检测
[网络安全自学篇] 二十五.Web安全学习路线及木马、病毒和防御初探
[网络安全自学篇] 二十六.Shodan搜索引擎详解及Python命令行调用
[网络安全自学篇] 二十七.Sqlmap基础用法、CTF实战及请求参数设置(一)
[网络安全自学篇] 二十八.文件上传漏洞和Caidao入门及防御原理(一)
[网络安全自学篇] 二十九.文件上传漏洞和IIS6.0解析漏洞及防御原理(二)
[网络安全自学篇] 三十.文件上传漏洞、编辑器漏洞和IIS高版本漏洞及防御(三)
[网络安全自学篇] 三十一.文件上传漏洞之Upload-labs靶场及CTF题目01-10(四)
[网络安全自学篇] 三十二.文件上传漏洞之Upload-labs靶场及CTF题目11-20(五)
[网络安全自学篇] 三十三.文件上传漏洞之绕狗一句话原理和绕过安全狗(六)
[网络安全自学篇] 三十四.Windows系统漏洞之5次Shift漏洞启动计算机
[网络安全自学篇] 三十五.恶意代码攻击溯源及恶意样本分析
[网络安全自学篇] 三十六.WinRAR漏洞复现(CVE-2018-20250)及恶意软件自启动劫持
[网络安全自学篇] 三十七.Web渗透提高班之hack the box在线靶场注册及入门知识(一)
[网络安全自学篇] 三十八.hack the box渗透之BurpSuite和Hydra密码爆破及Python加密Post请求(二)
[网络安全自学篇] 三十九.hack the box渗透之DirBuster扫描路径及Sqlmap高级注入用法(三)
[网络安全自学篇] 四十.phpMyAdmin 4.8.1后台文件包含漏洞复现及详解(CVE-2018-12613)
[网络安全自学篇] 四十一.中间人攻击和ARP欺骗原理详解及漏洞还原
[网络安全自学篇] 四十二.DNS欺骗和钓鱼网站原理详解及漏洞还原
[网络安全自学篇] 四十三.木马原理详解、远程服务器IPC$漏洞及木马植入实验
[网络安全自学篇] 四十四.Windows远程桌面服务漏洞(CVE-2019-0708)复现及详解
[网络安全自学篇] 四十五.病毒详解及批处理病毒制作(自启动、修改密码、定时关机、蓝屏、进程关闭)
[网络安全自学篇] 四十六.微软证书漏洞CVE-2020-0601 (上)Windows验证机制及可执行文件签名复现
[网络安全自学篇] 四十七.微软证书漏洞CVE-2020-0601 (下)Windows证书签名及HTTPS网站劫持
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
[网络安全自学篇] 四十九.Procmon软件基本用法及文件进程、注册表查看
[网络安全自学篇] 五十.虚拟机基础之安装XP系统、文件共享、网络快照设置及Wireshark抓取BBS密码
[网络安全自学篇] 五十一.恶意样本分析及HGZ木马控制目标服务器
[网络安全自学篇] 五十二.Windows漏洞利用之栈溢出原理和栈保护GS机制
[网络安全自学篇] 五十三.Windows漏洞利用之Metasploit实现栈溢出攻击及反弹shell
[网络安全自学篇] 五十四.Windows漏洞利用之基于SEH异常处理机制的栈溢出攻击及shell提取
[网络安全自学篇] 五十五.Windows漏洞利用之构建ROP链绕过DEP并获取Shell
[网络安全自学篇] 五十六.i春秋老师分享小白渗透之路及Web渗透技术总结
[网络安全自学篇] 五十七.PE文件逆向之什么是数字签名及Signtool签名工具详解(一)
[网络安全自学篇] 五十八.Windows漏洞利用之再看CVE-2019-0708及Metasploit反弹shell
[网络安全自学篇] 五十九.Windows漏洞利用之MS08-067远程代码执行漏洞复现及shell深度提权
[网络安全自学篇] 六十.Cracer第八期——(2)五万字总结Linux基础知识和常用渗透命令
[网络安全自学篇] 六十一.PE文件逆向之数字签名详细解析及Signcode、PEView、010Editor、Asn1View等工具用法(二)
[网络安全自学篇] 六十二.PE文件逆向之PE文件解析、PE编辑工具使用和PE结构修改(三)
[网络安全自学篇] 六十三.hack the box渗透之OpenAdmin题目及蚁剑管理员提权(四)
[网络安全自学篇] 六十四.Windows漏洞利用之SMBv3服务远程代码执行漏洞(CVE-2020-0796)复现及详解
[网络安全自学篇] 六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)
[网络安全自学篇] 六十六.Vulnhub靶机渗透之DC-1提权和Drupal漏洞利用(二)
[网络安全自学篇] 六十七.WannaCry勒索病毒复现及分析(一)Python利用永恒之蓝及Win7勒索加密
[网络安全自学篇] 六十八.WannaCry勒索病毒复现及分析(二)MS17-010利用及病毒解析
[网络安全自学篇] 六十九.宏病毒之入门基础、防御措施、自发邮件及APT28样本分析
[网络安全自学篇] 七十.WannaCry勒索病毒复现及分析(三)蠕虫传播机制分析及IDA和OD逆向
[网络安全自学篇] 七十一.深信服分享之外部威胁防护和勒索病毒对抗
[网络安全自学篇] 七十二.逆向分析之OllyDbg动态调试工具(一)基础入门及TraceMe案例分析
[网络安全自学篇] 七十三.WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读
[网络安全自学篇] 七十四.APT攻击检测溯源与常见APT组织的攻击案例
[网络安全自学篇] 七十五.Vulnhub靶机渗透之bulldog信息收集和nc反弹shell(三)
[网络安全自学篇] 七十六.逆向分析之OllyDbg动态调试工具(二)INT3断点、反调试、硬件断点与内存断点
[网络安全自学篇] 七十七.恶意代码与APT攻击中的武器(强推Seak老师)
[网络安全自学篇] 七十八.XSS跨站脚本攻击案例分享及总结(二)
[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
[网络安全自学篇] 八十.WHUCTF之WEB类解题思路WP(代码审计、文件包含、过滤绕过、SQL注入)
[网络安全自学篇] 八十一.WHUCTF之WEB类解题思路WP(文件上传漏洞、冰蝎蚁剑、反序列化phar)
[网络安全自学篇] 八十二.WHUCTF之隐写和逆向类解题思路WP(文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析)
[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
[网络安全自学篇] 八十四.《Windows黑客编程技术详解》之VS环境配置、基础知识及DLL延迟加载详解
[网络安全自学篇] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局钩子、远线程钩子、突破Session 0注入、APC注入)
[网络安全自学篇] 八十六.威胁情报分析之Python抓取FreeBuf网站APT文章(上)
[网络安全自学篇] 八十七.恶意代码检测技术详解及总结
[网络安全自学篇] 八十八.基于机器学习的恶意代码检测技术详解
[网络安全自学篇] 八十九.PE文件解析之通过Python获取时间戳判断软件来源地区
[网络安全自学篇] 九十.远控木马详解及APT攻击中的远控
[网络安全自学篇] 九十一.阿里云搭建LNMP环境及实现PHP自定义网站IP访问 (1)



























































































前文欣赏:
[渗透&攻防] 一.从数据库原理学习网络攻防及防止SQL注入
[渗透&攻防] 二.SQL MAP工具从零解读数据库及基础用法
[渗透&攻防] 三.数据库之差异备份及Caidao利器
[渗透&攻防] 四.详解MySQL数据库攻防及Fiddler神器分析数据包





一.创建进程API

在一个进程中创建并启动一个新进程,无论是对于病毒木马程序还是普通的应用程序而言,这都是一个常见的技术。比如我前面文章介绍的WannaCry,蠕虫初始化操作后,它会创建局域网或公网传播的进程,在一系列操作后通过APC注入将生成的dll注入到系统进程lsass.exe,接着释放资源mssecsvc.exe,最后释放勒索程序tasksche.exe。

在这里插入图片描述

启动进程最简单的方法是直接通过调用WIN32 API函数创建新进程,用户层上提供,微软提供了函数来实现创建进程,包括:

  • WinExec
  • ShellExecute
  • CreateProcess

这些函数除了创建进程外,还能执行CMD命令等功能,接着我们将详细介绍使用WinExec、ShellExecute、CreateProcess函数来创建进程。参考以下文档和这本书籍:


1.函数介绍

(1) WinExec函数
运行指定的应用程序。

UINT WINAPI WinExec(
  _In_  LPCSTR lpCmdLine,
  _In_  UINT uCmdShow
);

参数:

  • lpCmdLine:指向一个空结束的字符串,串中包含将要执行的应用程序的命令行(文件名加上可选参数)。
  • uCmdShow:定义Windows应用程序的窗口如何显示,SW_HIDE表示隐藏窗口并激活其他窗口;SW_SHOWNORMAL表示激活并显示一个窗口。

返回值:
如果函数调用成功,则返回值大于31;若函数调用失败,则返回值为下列之一:

含义
0 系统内存或资源已耗尽
ERROR_BAD_FORMAT EXE文件无效(非Win32.EXE或.EXE影像错误)
ERROR_FILE_NOT_FOUND 指定的文件未找到
ERROR_PATH_NOT_FOUND 指定的路径未找到

用途:
虽然Microsoft认为WinExec已过时,但是在许多时候,简单的WinExec函数仍是运行新程序的最好方式。简单地传送作为第一个参数的命令行,接着决定如何显示程序(第二个参数)就能实现。通常将其设置为SW_SHOW,也可尝试SW_MINIMIZED或 SW_MAXIMIZED。WinExec不允许用CreateProcess获得的所有选项,而它的确简单。


(2) ShellExecute函数
运行一个外部程序或者打开一个已注册的文件、目录或者打印一个文件等,并对外部程序进行一定程序的控制。

HINSTANCE ShellExecute(
	HWND hwnd, 
	LPCTSTR lpOperation, 
	LPCTSTR lpFile, 
	LPCTSTR lpParameters, 
	LPCTSTR lpDirectory, 
	INT nShowCmd
);  

参数:

  • hwnd:指向父窗口的窗口句柄,此窗口接收应用程序产生的任何信息框。
  • lpOperation:一个空结束的字符串地址,此字符串指定要执行的操作。常用的操作字符串包括:
    – open打开指定项目
    – print打印指定文件
    – edit启动编辑器并编辑文档内容
    – explore搜索指定文件夹,find在指定目录启动搜索



  • lpFile:一个空结束的字符串地址,此字符串指定要打开或打印的文件或者是要打开或搜索的文件夹。
  • lpParameters:假如参数lpFile指定一个可执行文件,lpParameters则是一个空结束的字符串地址,此字符串指定要传递给应用程序的参数。假如lpFile指定一个文档文件,lpParameters应为NULL。
  • lpDirectory:一个空结束的字符串地址,此字符串指定默认目录。
  • nShowCmd:假如lpFile指定一个可执行文件,nShowCmd表明应用程序打开时如何显示。假如lpFile指定一个文档文件,nShowCmd应为空。

返回值:

  • 若函数调用成功,则返回值大于32,否则为一个小于等于32的错误值。

注意,可以用此函数打开或搜索一个外壳文件夹。打开文件夹或搜索文件夹可用下面的形式:

ShellExecute(handle, NULL, path_to_folder, NULL, NULL, SW_SHOWNORMAL); 
ShellExecute(handle, "open", path_to_folder, NULL, NULL, SW_SHOWNORMAL); 
ShellExecute(handle, "explore", path_to_folder, NULL, NULL, SW_SHOWNORMAL); 

用途:
ShellExecute命令虽已过时但易于得到。该命令向命令解释程序提出打开、浏览或打印文档或文件夹的请求,虽然可以用ShellExecute运行程序,但通常只发送文档名,而命令解释程序则决定要运行那个程序。另外在打开目录文件夹时,ShellExecute命令非常有用。


(3) CreateProcess函数
创建一个新进程及主线程,新进程在调用进程的安全的上下文中运行。

BOOL CreateProcess(
 LPCTSTR lpApplicationName,
 LPTSTR lpCommandLine,
 LPSECURITY_ATTRIBUTES lpProcessAttributes, 
 LPSECURITY_ATTRIBUTES lpThreadAttributes, 
 BOOL bInheritHandles, 
 DWORD dwCreationFlags,
 LPVOID lpEnvironment, 
 LPCTSTR lpCurrentDirectory, 
 LPSTARTUPINFO lpStartupInfo, 
 LPPROCESS_INFORMATION lpProcessInformation 
); 

参数:

  • lpApplicationName:指向一个以空结尾的串,指定了要执行的模块.
  • lpCommandLine:指向一个以空结尾的串,该串定义了要执行的命令行。
  • lpProcessAttributes:指向一个SECURITY_ATTRIBUTES结构,该结构决定了返回的句柄是否可被子进程继承。
  • lpThreadAttributes:指向一个SECURITY_ATTRIBUTES结构,该结构决定了返回的句柄是否可被子进程继承。
  • bInheritHandles,:表明新进程是否从调用进程继承句柄。
  • dwCreationFlags:定义控制优先类和进程创建的附加标志。
  • lpEnvironment:指向一个新进程的环境块。
  • lpCurrentDirectory:指向一个以空结尾的串,该串定义了子进程的当前驱动器和当前目录。
  • lpStartupInfo:指向一个STARTUPINFO结构,该结构定义了新进程的主窗口将如何显示。
  • lpProcessInformation:指向PROCESS_INFORMATION结构,该结构接受关于新进程的表示信息。

返回值:

  • 若函数调用成功,则返回值不为0;若函数调用失败,返回值为0。

用途:
ShellExecute和WinExec命令用于简单的作业。如果要完全控制一个新进程,就必须调用CreateProcess。



2.编程实现

(1) WinExec
第一步,新建C++空项目,项目名称为“CreateProcess01”。

在这里插入图片描述

第二步,新建源文件“main.cpp”。

在这里插入图片描述

第三步,编写如下代码,直接调用WinExec函数创建进程。

#include<windows.h>
#include<string.h>
#include<iostream>
using namespace std;

//创建进程
bool CreateProcess_WinExec(char* name)
{
	UINT uiRet = 0;
	uiRet = WinExec(name, SW_SHOW);	
	switch (uiRet)
	{
		case 0:{
			cout << "The system is out of memory or resources." << endl;
			return false;
		}
		case ERROR_BAD_FORMAT:{
			cout << "The.exe file is invalid." << endl;
			return false;
		}
		case ERROR_FILE_NOT_FOUND:{
			cout << "The specified file was not found." << endl;
			return false;
		}
		case ERROR_PATH_NOT_FOUND:{
			cout << "The specified path was not found." << endl;
			return false;
		}
		default:
			break;
		}

	return true;
}

//主函数
int main(int argc, char* argv[])
{
	char name[20];
	strcpy(name, "calc.exe");

	cout << "Opening with WinExec\n" << endl;
	if (CreateProcess_WinExec(name)) {
		MessageBoxA(NULL, "Process created successfully!", NULL, MB_OK);
	}

	return 0;
}

在上述代码中,WinExec函数只有两个参数,第一个参数指定程序路径或者CMD命令行,第二个参数指定显示方式。若返回结果大于31,则表示WinExec执行成功。显示结果如下图所示,成功打开计算器程序(calc.exe)。注意,该EXE文件需要提前放置该工程文件夹中。

在这里插入图片描述


编程过程中会遇到各种错误,请大家一定实际去编写代码,学会谷歌百度独立解决。 比如"const char *"类型的实参与“LPCWSTR”类型的形参不兼容,这是由于字符编码问题引起的,VC6 默认使用的 MBCS(多字节字符集) 编码,而VS2010及高版本VS默认使用Unicode编码。

在这里插入图片描述

解决方法有四种:

  • 配置属性-常规-字符集-Unicode
  • MessageBox修改为MessageBoxA函数:MessageBoxA(NULL,“nihao”,“ahfdkj”,MB_OK);
  • 强制增加“L”进行转换:MessageBox(NULL,L"nihao",L"ahfdkj",MB_OK);
  • 强制增加TEXT函数转换:MessageBox(NULL, TEXT(“nihao”), TEXT(“ahfdkj”), MB_OK);

第二个常见错误是“C4996 ‘strcpy’: This function or variable may be unsafe. Consider using strcpy_s instead. To disable deprecation, use _CRT_SECURE_NO_WARNINGS. See online help for details. ”。

在这里插入图片描述

解决方法如下:

  • 项目->项目属性->C/C+±>预处理器->预处理器定义
  • 编辑中添加下面内容
    _CRT_SECURE_NO_WARNINGS
    _CRT_SECURE_NO_DEPRECATE
    _CRT_NONSTDC_NO_DEPRECATE


  • Debug和Release都需要添加

在这里插入图片描述

在这里插入图片描述



(2) ShellExecute
同样的不步骤我们实现ShellExecute函数,它会打开文本文件,注意TXT文件需要放到同一个目录下。

#include<windows.h>
#include<string.h>
#include<iostream>
using namespace std;

//主函数
int main(int argc, char* argv[])
{
	cout << "Opening with ShellExecute\n" << endl;

	HINSTANCE hInstance = 0;
    hInstance = ShellExecute(NULL, TEXT("open"), TEXT("test.txt"), NULL, NULL, SW_SHOW);
	if ((DWORD)hInstance > 32) {
		MessageBoxA(NULL, "Process created successfully!", NULL, MB_OK);
	}
	else {
		MessageBoxA(NULL, "Fail!", NULL, MB_OK);
	}

	return 0;
}

输出结果如下图所示,成功打开了TXT文件。ShellExecute函数不仅可以运行EXE文件,也可以运行已经关联的文件,包括打开网页、发送邮件、以默认方式打开文件、打开目录、打印文件等。若返回值大于32,则表示执行成功,否则执行失败。

在这里插入图片描述



(3) ShellExcuteEx
同时,作者补充ShellExcuteEx()函数,它相对于ShellExcute()函数而言,采用了结构体传递参数,使得函数调用简洁了很多。函数原型:

BOOL ShellExecuteEx(
  _Inout_ SHELLEXECUTEINFO *pExecInfo
);

完整代码如下:

#include<windows.h>
#include<string.h>
#include<iostream>
#include <tchar.h>
using namespace std;

//打开TXT文件
bool CreateProcess_ShellExecuteEX()
{
	SHELLEXECUTEINFO ShellInfo;
	memset(&ShellInfo, 0, sizeof(ShellInfo));
	ShellInfo.cbSize = sizeof(ShellInfo);
	ShellInfo.hwnd = NULL;
	ShellInfo.lpVerb = _T("open");
	ShellInfo.lpFile = _T("test.txt");
	ShellInfo.nShow = SW_SHOWNORMAL;
	ShellInfo.fMask = SEE_MASK_NOCLOSEPROCESS;
	BOOL bResult = ShellExecuteEx(&ShellInfo);
	return true;
}

//打开浏览器
bool CreateProcess_ShellExecuteEx_Web()
{
	SHELLEXECUTEINFO ShellInfo;
	memset(&ShellInfo, 0, sizeof(ShellInfo));
	ShellInfo.cbSize = sizeof(ShellInfo);
	ShellInfo.hwnd = NULL;
	ShellInfo.lpVerb = _T("open");
	ShellInfo.lpFile = _T("https://www.baidu.com/");
	ShellInfo.nShow = SW_SHOWNORMAL;
	ShellInfo.fMask = SEE_MASK_NOCLOSEPROCESS;
	BOOL bResult = ShellExecuteEx(&ShellInfo);
	return true;
}

//主函数
int main(int argc, char* argv[])
{
	cout << "Opening with ShellExecute\n" << endl;

	if (CreateProcess_ShellExecuteEX()) {
		MessageBoxA(NULL, "Process created successfully!", NULL, MB_OK);
	}
	else {
		MessageBoxA(NULL, "Fail!", NULL, MB_OK);
	}

	if (CreateProcess_ShellExecuteEx_Web()) {
		MessageBoxA(NULL, "Process created successfully!", NULL, MB_OK);
	}
	else {
		MessageBoxA(NULL, "Fail!", NULL, MB_OK);
	}
	return 0;
}

运行结果如下图所示,成功打开了TXT文件和默认360浏览器。

在这里插入图片描述

在这里插入图片描述



(4) CreateProcess
CreateProcess()函数是当前主流的创建进程的函数,具体代码如下:

#include<windows.h>
#include<string.h>
#include<iostream>
#include <tchar.h>
using namespace std;

bool CreateProcess_CreateProcess()
{
	PROCESS_INFORMATION pi;	                   //进程信息
	STARTUPINFO si;			                   //进程启动信息
	memset(&si, 0, sizeof(STARTUPINFO));
	si.cb = sizeof(si);
	si.wShowWindow = SW_SHOW;
	si.dwFlags = STARTF_USESHOWWINDOW;        //指定wShowWindow成员有效
	BOOL bRet = FALSE;
	bRet = ::CreateProcess(_T("calc.exe"), NULL, NULL, FALSE, NULL, NULL, NULL, NULL, &si, &pi);
	if (bRet) {
		//不适用的句柄最好关掉
		::CloseHandle(pi.hThread);
		::CloseHandle(pi.hProcess);
		return TRUE;
	}
	return FALSE;
}

//主函数
int main(int argc, char* argv[])
{
	cout << "Opening with ShellExecute\n" << endl;

	if (CreateProcess_CreateProcess()) {
		MessageBoxA(NULL, "Process created successfully!", NULL, MB_OK);
	}
	else {
		MessageBoxA(NULL, "Fail!", NULL, MB_OK);
	}
	return 0;
}

最终运行程序显示如下图所示的效果,与WinExec和ShellExecute函数相比而言,CreateProcess函数的参数更多,使用起来更复杂。我们重点关注5个参数:

  • 执行模块名称的参数lpApplicationName
  • 执行命令行的参数lpCommandLine
  • 控制进程优先级和创建进程标志的参数dwCreationFlags
  • 指向STARTUPINFO信息结构的参数lpStartupInfo
  • 指向PROCESS_INFORMATION信息结构的参数lpProcessInformation

在这里插入图片描述



3.简单小结

该部分主要通过调用WinExec函数、ShellExecute函数,以及CreateProcess函数来创建进程,实现程序的关键是对函数参数的理解。其中,除了进程路径参数较为重要之外,窗口显示方式也值得注意。

对WinExec和ShellExecute函数设置为SW_HIDE方式可隐藏运行程序窗口,并且成功隐藏执行CMD命令的窗口,对于其他程序窗口不能成功隐藏。而CreateProcess函数在指定窗口显示方式的时候,需要在STARTUPINFO结构体中将启用标志设置为STARTF_USESHOWWINDOW,表示wShowWindows成员显示方式有效。然后将wShowWindow置为SW_HIDE隐藏窗口,创建方式为CREATE_NEW_CONSOLE创建一个新控制台,这样可以成功隐藏执行CMD命令行的窗口,而其他程序窗口则不能成功隐藏。

如果在一个进程中想要创建以隐藏方式运行的进程,即隐藏进程窗口,则可以通过SendMessage向窗口发送SW_HIDE隐藏消息,也可以通过ShowWindow函数设置SW_HIDE来使窗口影藏。这两种实现方式的前提是已获取了窗口的句柄。

总之,WinExec只用于可执行文件,虽然使用方便,但是函数较老。ShellExcute函数可以通过Windows外壳打开任意文件,非可执行文件自动通过关联程序打开对应的可执行文件,区别不大,不过ShellExcute可以指定运行时的工作路径。WinExec必须得到GetMessage或超时之后才返回,而ShellExcute和CreateProcess都是无需等待直接返回的。



二.突破SESSION 0隔离创建进程

1.SESSION 0隔离

病毒木马通常会把自己注入系统服务进程或是伪装成系统服务进程,并运行在SESSION 0中。 处于SESSION 0中的程序能正常执行普通程序的绝大部分操作,但是个别操作除外。例如处于SESSION 0中的系统服务进程,无法与普通用户进程通信,不能通过Windows消息机制进行通信,更不能创建普通的用户进程。

那么,什么是Session 0隔离呢?
前一篇文章 “注入技术详解”我普及过,在Windows XP、Windows Server 2003,以及更老版本的Windows操作系统中,服务和应用程序使用相同的会话(Session)运行,而这个会话是由第一个登录到控制台的用户启动的。该会话就叫做Session 0,如下图所示,在Windows Vista之前,Session 0不仅包含服务,也包含标准用户应用程序。

在这里插入图片描述

将服务和用户应用程序一起在Session 0中运行会导致安全风险,因为服务会使用提升后的权限运行,而用户应用程序使用用户特权(大部分都是非管理员用户)运行,这会使得恶意软件以某个服务为攻击目标,通过“劫持”该服务,达到提升自己权限级别的目的。

从Windows Vista开始,只有服务可以托管到Session 0中,用户应用程序和服务之间会被隔离,并需要运行在用户登录到系统时创建的后续会话中。例如第一个登录的用户创建 Session 1,第二个登录的用户创建Session 2,以此类推,如下图所示。

在这里插入图片描述

使用不同会话运行的实体(应用程序或服务)如果不将自己明确标注为全局命名空间,并提供相应的访问控制设置,将无法互相发送消息,共享UI元素,或共享内核对象。这一过程如下图所示,这就是所谓的Session 0隔离。

在这里插入图片描述

虽然Windows 7及以上版本的SESSION 0给服务层和应用层间的通信造成了很大的难度,这并不代表没有办法实现服务层与应用层的通信与交互。微软提供了一系列以WTS(Windows Terminal Service,Windows终端服务)开头的函数,从而可以完成服务层与应用层的交互。接下来,我们将分享突破SESSION 0隔离,在服务程序中创建用户桌面进程。



2.函数介绍

(1) WTSGetActiveConsoleSessionId函数
检索控制台会话的标志服Session Id,控制台会话是当前连接到物理控制台的会话。

DWORD WTSGetActiveConsoleSessionId (VOID)

返回值:

  • 如果函数执行成功,则返回连接到物理控制台的会话标识符
  • 如果没有连接到物理控制台的话,如物理控制台会话正在附加或分离,则此函数返回0xFFFFFFFF

(2) WTSQueryUserToken函数
获取由Session Id指定的登录用户的主访问令牌,要想成功调用次功能,则调用应用程序必须在本地系统账户的上下文中运行,并具有SE_TCB_NAME特权。

BOOL WTSQueryUserToken(
  ULONG   SessionId,
  PHANDLE phToken
);

参数:

  • SessionId:远程桌面服务会话标识符,在服务上下文中运行的任何程序都具有一个值为0的会话标识符。
  • phToken:如果该功能成功,则会收到一个指向登录用户令牌句柄的指针。注意,必须用CloseHandle函数才能关闭该句柄。

返回值:
如果函数成功,则返回值非零,phToken参数指向用户的主令牌;如果函数失败,则返回值为零。


(3) DuplicateTokenEx函数
创建一个新的访问令牌,它与现有令牌重复,此功能可以创建主令牌或模拟令牌。

BOOL WINAPI DuplicateTokenEx(
	_in_	HANDLE	hExistingToken,
	_in_	DWORD	dwDesiredAccess,
	_in_opt_ LPSECURITY_ATTRIBUTES lpTokenAttributes,
	_in_	SECURITY_IMPERSONATION_LEVEL ImpersonationLevel,
	_in_	TOKEN_TYPE	TokenType,
	_out_	PHANDLE	phNewToken 
);

参数:

  • hExistingToken:使用TOKEN_DUPLICATE访问权限打开访问令牌的句柄。
  • dwDesiredAccess:指定新令牌的请求访问权限,要想请求对调用者有效的所有访问权限,请指定MAXIMUM_ALLOWED。
  • lpTokenAttributes:指向SECURITY_ATTRIBUTES结构的指针,该结构指定新令牌的安全描述符,并确定子进程是否可以继承令牌。
  • ImpersonationLevel:指定SECURITY_IMPERSONATION_LEVEL枚举中指示新令牌模拟级别的值。
  • TokenType:包括两个值,TokenPrimary表示新令牌可以在CreateProcessAsUser函数中使用的主令牌;TokenImpersonation表示新令牌是一个模拟令牌。
  • phNewToken:指向接收新令牌的HANDLE变量的指针。新令牌使用完成后,调用CloseHandle函数来关闭令牌句柄。

返回值:
如果函数成功,则返回值一个非零值;如果函数失败,则返回值为零。


(4) CreateEnvironmentBlock函数
创建指定用户的环境变量,然后可以将此块传递给CreateProcessAsUser函数。

BOOL CreateEnvironmentBlock(
  LPVOID *lpEnvironment,
  HANDLE hToken,
  BOOL   bInherit
);

参数:

  • lpEnvironment:该函数返回时,已接收到指向新环境模块的指针。
  • hToken:Logon为用户,从LogonUser函数返回。如果是主令牌,则令牌必须具有TOKEN_QUERY和TOKEN_DUPLICATE访问权限。如果是模拟令牌,则必须具有TOKEN_QUERY权限。如果此参数为NULL,则返回的环境块包含系统变量。
  • bInherit:指定是否可以继承当前进程的环境。如果该值为TRUE,则该进程将继承当前进程的环境;如果此值为FALSE,则该进程不会继承当前进程的环境。

返回值:
如果函数成功,则返回TRUE;如果函数失败,则返回FALSE。


(5) CreateProcessAsUser函数
创建一个新进程及主线程,新进程在由指定令牌的用户安全上下文中运行。

BOOL WINAPI CreateProcessAsUser(
	_In_opt_    HANDLE                hToken,
	_In_opt_    LPCTSTR               lpApplicationName,
	_Inout_opt_ LPTSTR                lpCommandLine,
	_In_opt_    LPSECURITY_ATTRIBUTES lpProcessAttributes,
	_In_opt_    LPSECURITY_ATTRIBUTES lpThreadAttributes,
	_In_        BOOL                  bInheritHandles,
	_In_        DWORD                 dwCreationFlags,
	_In_opt_    LPVOID                lpEnvironment,
	_In_opt_    LPCTSTR               lpCurrentDirectory,
	_In_        LPSTARTUPINFO         lpStartupInfo,
	_Out_       LPPROCESS_INFORMATION lpProcessInformation
);

参数:

  • hToken:表示用户主令牌的句柄。
  • lpApplicationName:要执行模块的名称。
  • lpCommandLine:要执行的命令行。
  • lpProcessAttributes:指向SECURITY_ATTRIBUTES结构的指针,该结构指定新进程对象的安全描述符。
  • lpThreadAttributes:指向SECURITY_ATTRIBUTES结构的指针,该结构指定新线程对象的安全描述符。
  • dwCreationFlags:控制优先级和进程创建的标志。
  • lpEnvironment:指向新进程环境块的指针。
  • lpCurrentDirectory:指向进程当前目录的完整路径。

返回值:
如果函数成功,则返回TRUE;如果函数失败,则返回FALSE。



3.编程实现

由于SESSION 0的隔离,使得在系统服务进程内不能直接调用CreateProcess等函数创建进程,而只能通过CreateProcessAsUser函数来创建。这样,创建的进程才会显示UI界面,与用户进行交互。

在SESSION 0中创建用户桌面进程具体的实现流程如下。

  • 首先,调用WTSGetActiveConsoleSessionId函数来获取当前程序的会话ID,即SESSION Id。调用该函数不需要任何参数,直接返回Session Id,根据Session Id继续调用WTSQueryUserToken函数来检索用户令牌,并获取丢赢得用户令牌句柄。在不需要使用用户令牌句柄时,可以调用CloseHandle函数来释放句柄。
  • 其次,使用DuplicateTokenEx函数创建一个新令牌,并复制上面获取的用户令牌。设置新令牌的访问权限为MAMIMUM_ALLOWED,这表示获取所有令牌权限。新访问令牌的模拟级别为SecurityIndentifiction,而且令牌类型为TokenPromary,这表示新令牌是可以在CreateProcessAsUser函数中使用的主令牌。
  • 最后,根据新令牌调用CreateEnvironmentBlock函数创建一个环境块,用来传递给CreateProcessAsUser使用。在不需要使用进程环境块时,可以通过调用DestroyEnvironmentBlock函数进行释放。获取环境块后,就可以调用CreateProcessAsUser来创建用户桌面进程。CreateProcessAsUser函数的用法以及参数的含义与CreateProcess函数的用法和参数的含义类似。新令牌句柄作为用户主令牌的句柄,指定创建进程的路径,设置优先级和创建标志,设置STARTUPINFO结构信息,获取PROCESS_INFORMATION结构信息。

经过上述操作后,就完成了用户桌面进程的创建。但是,上述方法创建的用户桌面进程并没有继承服务的系统权限,只有普通权限。要想创建一个有系统权限的子进程,这可以通过设置进程访问令牌的安全描述符来实现,具体步骤此处不进行详细介绍。


代码实现:
因为程序要实现的是突破SESSION 0会话隔离,在系统服务程序中创建用户桌面进程。程序必须要注册成为一个系统服务进程,这样才处于SESSION 0会话中。服务程序的入口点与普通程序的入口点不同,需要通过调用函数StartServiceCtrlDispatcher来设置服务入口点函数。

同时,为了将测试程序加载到服务进程中,还需要开发一个服务加载器CreateServerLoader.exe。在 main 函数中,设置服务入口点函数,成为服务程序,并在服务程序中调用上述封装好的函数进行测试。

  • 首先,以管理员身份运行服务加载器CreateServerLoader.exe,这样服务加载器会将CreateProcessAsUser_Test.exe程序加载为服务进程,便会执行上述创建用户进程的代码。
  • 接着,服务加载器提示创建和启动服务成功后,立即成功显示对话框和启动程序,而且窗口界面也成功显示。

CreateServerLoader程序
第一步,创建控制台应用程序“CreateServerLoader”。

在这里插入图片描述


第二步,为程序添加对应的CPP文件和头文件。

在这里插入图片描述

添加的文件如下图所示,如果没有自带的stdafx.h文件,均可以自行创建。

在这里插入图片描述


第三步,撰写相关代码如下。
ServerOperate.cpp


#include "ServiceOperate.h"
#include "stdafx.h"

#undef UNICODE

void ShowError(char* lpszText)
{
	char szErr[MAX_PATH] = { 0 };
	::wsprintf(szErr, "%s Error!\nError Code Is:%d\n", lpszText, ::GetLastError());
#ifdef _DEBUG
	::MessageBox(NULL, szErr, "ERROR", MB_OK | MB_ICONERROR);
#endif
}

// 0 加载服务    1 启动服务    2 停止服务    3 删除服务
BOOL SystemServiceOperate(char* lpszExePath, int iOperateType)
{
	BOOL bRet = TRUE;
	char szName[MAX_PATH] = { 0 };

	::lstrcpy(szName, lpszExePath);
	// 过滤掉文件目录,获取文件名
	::PathStripPath(szName);

	SC_HANDLE shOSCM = NULL, shCS = NULL;
	SERVICE_STATUS ss;
	DWORD dwErrorCode = 0;
	BOOL bSuccess = FALSE;
	// 打开服务控制管理器数据库
	shOSCM = ::OpenSCManager(NULL, NULL, SC_MANAGER_ALL_ACCESS);
	if (!shOSCM)
	{
		ShowError("OpenSCManager");
		return FALSE;
	}

	if (0 != iOperateType)
	{
		// 打开一个已经存在的服务
		shCS = OpenService(shOSCM, szName, SERVICE_ALL_ACCESS);
		if (!shCS)
		{
			ShowError("OpenService");
			::CloseServiceHandle(shOSCM);
			shOSCM = NULL;
			return FALSE;
		}
	}

	switch (iOperateType)
	{
		case 0:
		{
			// 创建服务
			// SERVICE_AUTO_START   随系统自动启动
			// SERVICE_DEMAND_START 手动启动
			shCS = ::CreateService(shOSCM, szName, szName,
				SERVICE_ALL_ACCESS,
				SERVICE_WIN32_OWN_PROCESS | SERVICE_INTERACTIVE_PROCESS,
				SERVICE_AUTO_START,
				SERVICE_ERROR_NORMAL,
				lpszExePath, NULL, NULL, NULL, NULL, NULL);
			if (!shCS)
			{
				ShowError("CreateService");
				bRet = FALSE;
			}
			break;
		}
		case 1:
		{
			// 启动服务
			if (!::StartService(shCS, 0, NULL))
			{
				ShowError("StartService");
				bRet = FALSE;
			}
			break;
		}
		case 2:
		{
			// 停止服务
			if (!::ControlService(shCS, SERVICE_CONTROL_STOP, &ss))
			{
				ShowError("ControlService");
				bRet = FALSE;
			}
			break;
		}
		case 3:
		{
			// 删除服务
			if (!::DeleteService(shCS))
			{
				ShowError(TEXT("DeleteService"));
				bRet = FALSE;
			}
			break;
		}
		default:
			break;
		}
		// 关闭句柄
		if (shCS)
		{
			::CloseServiceHandle(shCS);
			shCS = NULL;
		}
		if (shOSCM)
		{
			::CloseServiceHandle(shOSCM);
			shOSCM = NULL;
		}

	return bRet;
}

CreateServerLoader.cpp

// ServiceLoader.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include "ServiceOperate.h"

int _tmain(int argc, _TCHAR* argv[])
{
	BOOL bRet = FALSE;
	char szExePath[] = "CreateProcessAsUser_Test01.exe";

	// 加载服务
	bRet = SystemServiceOperate(szExePath, 0);
	if (bRet)
	{
		printf("INSTALL OK.\n");
	}
	else
	{
		printf("INSTALL ERROR.\n");
	}
	// 启动服务
	bRet = SystemServiceOperate(szExePath, 1);
	if (bRet)
	{
		printf("START OK.\n");
	}
	else
	{
		printf("START ERROR.\n");
	}
	system("pause");

	// 停止服务
	bRet = SystemServiceOperate(szExePath, 2);
	if (bRet)
	{
		printf("STOP OK.\n");
	}
	else
	{
		printf("STOP ERROR.\n");
	}

	// 卸载服务
	bRet = SystemServiceOperate(szExePath, 3);
	if (bRet)
	{
		printf("UNINSTALL OK.\n");
	}
	else
	{
		printf("UNINSTALL ERROR.\n");
	}

	return 0;
}

ServiceOperate.h

#ifndef _SERVICE_OPERATE_H_
#define _SERVICE_OPERATE_H_

#include <Windows.h>
#include <Shlwapi.h>
#pragma comment(lib, "Shlwapi.lib")

// 0 加载服务    1 启动服务    2 停止服务    3 删除服务
BOOL SystemServiceOperate(char* lpszDriverPath, int iOperateType);

#endif

推荐大家从作者Github下载完整代码或私信我发给你,更推荐大家手动编写,理解过程。


第四步,如果在撰写代码过程中出现错误,请学会百度解决。如
"const char *"类型的实参与“LPCWSTR”类型的形参不兼容。

在这里插入图片描述

  • 在VS中依次点击“配置属性->高级->字符集->使用多字节字符集”。
  • 在VS中依次点击“项目->属性->C/C++>语言->符合模式”,将原来的“是”改为“否”即可。
  • 单击确定即可,再次编译就不会再出现此类错误提示了,注意Debug和Release模式要选择好,建议两个都进行设置。

在这里插入图片描述

在这里插入图片描述


CreateProcessAsUser_Test01程序
第一步,创建控制台应用程序“CreateProcessAsUser_Test01”。

在这里插入图片描述


第二步,为程序添加对应的CPP文件和头文件。添加的文件如下图所示,如果没有自带的stdafx.h文件,均可以自行创建。

在这里插入图片描述


第三步,撰写相关代码如下。
CreateProcessAsUser_Test01.cpp

// CreateProcessAsUser_Test.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <Windows.h>

#include <UserEnv.h>
#include <WtsApi32.h>
#pragma comment(lib, "UserEnv.lib")
#pragma comment(lib, "WtsApi32.lib")


// 服务入口函数以及处理回调函数
void __stdcall ServiceMain(DWORD dwArgc, char* lpszArgv);
void __stdcall ServiceCtrlHandle(DWORD dwOperateCode);
void DoTask();
// 显示消息对话框
void ShowMessage(TCHAR* lpszMessage, TCHAR* lpszTitle);
// 创建用户进程
BOOL CreateUserProcess(char* lpszFileName);

// 全局变量
char g_szServiceName[MAX_PATH] = "CreateProcessAsUser_Test01.exe";    // 服务名称 
SERVICE_STATUS g_ServiceStatus = { 0 };
SERVICE_STATUS_HANDLE g_ServiceStatusHandle = { 0 };


int _tmain(int argc, _TCHAR* argv[])
{
	// 注册服务入口函数
	SERVICE_TABLE_ENTRY stDispatchTable[] = { { g_szServiceName, (LPSERVICE_MAIN_FUNCTION)ServiceMain }, { NULL, NULL } };
	::StartServiceCtrlDispatcher(stDispatchTable);

	return 0;
}

void __stdcall ServiceMain(DWORD dwArgc, char* lpszArgv)
{
	g_ServiceStatus.dwServiceType = SERVICE_WIN32;
	g_ServiceStatus.dwCurrentState = SERVICE_START_PENDING;
	g_ServiceStatus.dwControlsAccepted = SERVICE_ACCEPT_STOP;
	g_ServiceStatus.dwWin32ExitCode = 0;
	g_ServiceStatus.dwServiceSpecificExitCode = 0;
	g_ServiceStatus.dwCheckPoint = 0;
	g_ServiceStatus.dwWaitHint = 0;

	g_ServiceStatusHandle = ::RegisterServiceCtrlHandler(g_szServiceName, ServiceCtrlHandle);

	g_ServiceStatus.dwCurrentState = SERVICE_RUNNING;
	g_ServiceStatus.dwCheckPoint = 0;
	g_ServiceStatus.dwWaitHint = 0;
	::SetServiceStatus(g_ServiceStatusHandle, &g_ServiceStatus);

	// 自己程序实现部分代码放在这里
	DoTask();
}

void __stdcall ServiceCtrlHandle(DWORD dwOperateCode)
{
	switch (dwOperateCode)
	{
		case SERVICE_CONTROL_PAUSE:
		{
			// 暂停
			g_ServiceStatus.dwCurrentState = SERVICE_PAUSED;
			break;
		}
		case SERVICE_CONTROL_CONTINUE:
		{
			// 继续
			g_ServiceStatus.dwCurrentState = SERVICE_RUNNING;
			break;
		}
		case SERVICE_CONTROL_STOP:
		{
			// 停止
			g_ServiceStatus.dwWin32ExitCode = 0;
			g_ServiceStatus.dwCurrentState = SERVICE_STOPPED;
			g_ServiceStatus.dwCheckPoint = 0;
			g_ServiceStatus.dwWaitHint = 0;
			::SetServiceStatus(g_ServiceStatusHandle, &g_ServiceStatus);
			break;
		}
		case SERVICE_CONTROL_INTERROGATE:
		{
			// 询问
			break;
		}
		default:
			break;
		}
}

void DoTask()
{
	// 自己程序实现部分代码放在这里
	// 显示对话框
	ShowMessage("Hi Eastmount\nThis is From Session 0 Service!\n", "HELLO");
	// 创建用户桌面进程
	CreateUserProcess("calc.exe");
}

void ShowMessage(TCHAR* lpszMessage, TCHAR* lpszTitle)
{
	// 获取当前的Session ID
	DWORD dwSessionId = ::WTSGetActiveConsoleSessionId();
	// 显示消息对话框
	DWORD dwResponse = 0;
	::WTSSendMessage(WTS_CURRENT_SERVER_HANDLE, dwSessionId,
		lpszTitle, (1 + ::lstrlen(lpszTitle)),
		lpszMessage, (1 + ::lstrlen(lpszMessage)),
		0, 0, &dwResponse, FALSE);
}

// 突破SESSION 0隔离创建用户进程
BOOL CreateUserProcess(char* lpszFileName)
{
	BOOL bRet = TRUE;
	DWORD dwSessionID = 0;
	HANDLE hToken = NULL;
	HANDLE hDuplicatedToken = NULL;
	LPVOID lpEnvironment = NULL;
	STARTUPINFO si = { 0 };
	PROCESS_INFORMATION pi = { 0 };
	si.cb = sizeof(si);

	do
	{
		// 获得当前Session ID
		dwSessionID = ::WTSGetActiveConsoleSessionId();

		// 获得当前Session的用户令牌
		if (FALSE == ::WTSQueryUserToken(dwSessionID, &hToken))
		{
			ShowMessage("WTSQueryUserToken", "ERROR");
			bRet = FALSE;
			break;
		}

		// 复制令牌
		if (FALSE == ::DuplicateTokenEx(hToken, MAXIMUM_ALLOWED, NULL,
			SecurityIdentification, TokenPrimary, &hDuplicatedToken))
		{
			ShowMessage("DuplicateTokenEx", "ERROR");
			bRet = FALSE;
			break;
		}

		// 创建用户Session环境
		if (FALSE == ::CreateEnvironmentBlock(&lpEnvironment,
			hDuplicatedToken, FALSE))
		{
			ShowMessage("CreateEnvironmentBlock", "ERROR");
			bRet = FALSE;
			break;
		}

		// 在复制的用户Session下执行应用程序,创建进程
		if (FALSE == ::CreateProcessAsUser(hDuplicatedToken,
			lpszFileName, NULL, NULL, NULL, FALSE,
			NORMAL_PRIORITY_CLASS | CREATE_NEW_CONSOLE | CREATE_UNICODE_ENVIRONMENT,
			lpEnvironment, NULL, &si, &pi))
		{
			ShowMessage("CreateProcessAsUser", "ERROR");
			bRet = FALSE;
			break;
		}
	} while (FALSE);

	// 关闭句柄, 释放资源
	if (lpEnvironment)
	{
		::DestroyEnvironmentBlock(lpEnvironment);
	}
	if (hDuplicatedToken)
	{
		::CloseHandle(hDuplicatedToken);
	}
	if (hToken)
	{
		::CloseHandle(hToken);
	}
	return bRet;
}

核心代码CreateUserProcess函数则为突破SESSION 0隔离创建用户进程。然后将运行的EXE文件放置在同一个文件夹下,接着以管理员身份运行“CreateServerLoader.exe”即可。

在这里插入图片描述

在这里插入图片描述

服务加载器CreateServerLoader.exe会将CreateProcessAsUser_Test01.exe程序加载为服务进程,从而执行创建用户进程的代码。服务加载器提示创建和启动服务成功后,立即成功显示对话框和启动程序,而且窗口界面也成功显示。

在这里插入图片描述

然后,使用进程查看器ProcessExplorer.exe查看CreateProcessAsUser_Test.exe进程以及520.exe进程的SESSION值,如下图所示,CreateProcessAsUser_Test.exe进程处于SESSION 0,而520.exe处于SESSION 1。

在这里插入图片描述

PS:然而,作者运行时遇到各种错误,如“StartService fails with Error Code is 1053”等,我是真的菜!

在这里插入图片描述


最后简单总结下,突破SESSION 0会话隔离创建用户进程,要求程序处于SESSION 0会发才会有效。创建服务程序,需要在main中设置服务程序入口点函数,这样才能成功为程序创建系统服务。该程序的实现关键是调用CreateProcessAsUser函数。需要程序创建并复制一个新的访问令牌,并获取访问令牌的进程环境块信息。

同时,本文介绍的方法并没有对进程访问令牌进行设置,所以导致创建出来的用户桌面进程是用户默认权限而已,并没有继承SYSTEM权限。大家也可以通过挂钩CreateProcessAsUser函数监控进程创建。



三.内存直接加载运行

很多病毒木马都具有模拟PE加载器的功能,它们把DLL或者exe等PE文件从内存中直接加载到病毒木马的内存中去执行,不需要通过LoadLibrary等现成的API函数去操作,以此躲过杀毒软件的拦截检测。

这种技术当然有积极的一面。假如程序需要动态调用DLL文件,内存加载运行技术可以把这些DLL作为资源插入到自己的程序中。此时直接在内存中加载运行即可,不需要再将DLL释放到本地。

本部分针对DLL和exe这两种PE文件进行介绍,分别剖析如何直接从内存中加载运行。这两种文件具体的实现原理相同,只需掌握其中一种,另一种也就容易掌握了。

1.实现原理

要想完全理解透彻内存直接加载运行技术,需要对PE文件结构有比较详细的了解,至少要了解PE格式的导入表、导出表以及重定位表的具体操作过程。因为内存直接加载运行技术的核心就是模拟PE加载器加载PE文件的过程,也就是对导入表、导出表以及重定位表的操作过程。

作者之前的博客详细讲解过PE文件的结构:

在这里插入图片描述

那么程序需要进行哪些操作便可以直接从内存中加载运行DLL或是exe文件呢?以加载DLL为例介绍。

  • 首先要把DLL文件按照映像对齐大小映射到内存中,切不可直接将DLL文件数据存储到内存中。因为根据PE结构的基础知识可知,PE文件有两个对齐字段,一个是映像对齐大小SectionAlignment,另一个是文件对齐大小FileAlignment。其中,映像对齐大小是PE文件加载到内存中所用的对齐大小,而文件对齐大小是PE文件存储在本地磁盘所用的对齐大小。一般文件对齐大小会比映像对齐大小要小,这样文件会变小,以此节省磁盘空间。
  • 然而,成功映射内存数据之后,在DLL程序中会存在硬编码数据,硬编码都是以默认的加载基址作为基址来计算的。由于DLL可以任意加载到其他进程空间中,所以DLL的加载基址并非固定不变。当改变加载基址的时候,硬编码也要随之改变,这样DLL程序才会计算正确。但是,如何才能知道需要修改哪些硬编码呢?换句话说,如何知道硬编码的位置?答案就藏在PE结构的重定位表中,重定位表记录的就是程序中所有需要修改的硬编码的相对偏移位置。
  • 根据重定位表修改硬编码数据后,这只是完成了一半的工作。DLL作为一个程序,自然也会调用其他库函数,例如MessageBox。那么DLL如何知道MessageBox函数的地址呢?它只有获取正确的调用函数地址后,方可正确调用函数。PE结构使用导入表来记录PE程序中所有引用的函数及其函数地址。
  • 在DLL映射到内存之后,需要根据导入表中的导入模块和函数名称来获取调用函数的地址。若想从导入模块中获取导出函数的地址,最简单的方式是通过GetProcAddress函数来获取。但是为了避免调用敏感的WIN32 API函数而被杀软拦截检测,本书采用直接遍历PE结构导出表的方式来获取导出函数地址,这要求读者熟悉导出表的具体操作原理。

完成上述操作之后,DLL加载工作才算完成,接下来便是获取入口地址并跳转执行以便完成启动。具体的实现流程总结如下:

  • 首先,在DLL文件中,根据PE结构获取其加载映像的大小SizeOfImage,并根据SizeOfImage在自己的程序中申请可读、可写、可执行的内存,那么这块内存的首地址就是DLL的加载基址。

  • 其次,根据DLL中的PE结构获取其映像对齐大小SectionAlignment,然后把DLL文件数据按照SectionAlignment复制到上述申请的可读、可写、可执行的内存中。

  • 接下来,根据PE结构的重定位表,重新对重定位表进行修正。然后,根据PE结构的导入表,加载所需的DLL,并获取导入函数的地址并写入导入表中。

  • 接着,修改DLL的加载基址ImageBase。最后,根据PE结构获取DLL的入口地址,然后构造并调用DllMain函数,实现DLL加载。

而exe文件相对于DLL文件实现原理唯一的区别就在于构造入口函数的差别,exe不需要构造DllMain函数,而是根据PE结构获取exe的入口地址偏移AddressOfEntryPoint并计算出入口地址,然后直接跳转到入口地址处执行即可。

要特别注意的是,对于exe文件来说,重定位表不是必需的,即使没有重定位表,exe也可正常运行。因为对于exe进程来说,进程最早加载的模块是exe模块,所以它可以按照默认的加载基址加载到内存。对于那些没有重定位表的程序,只能把它加载到默认的加载基址上。如果默认加载基址已被占用,则直接内存加载运行会失败。



2.编程实现

核心代码如下,推荐大家去github下载代码阅读。推荐两篇文章:


// 模拟LoadLibrary加载内存DLL文件到进程中
// lpData: 内存DLL文件数据的基址
// dwSize: 内存DLL文件的内存大小
// 返回值: 内存DLL加载到进程的加载基址
LPVOID MmLoadLibrary(LPVOID lpData, DWORD dwSize)
{
	LPVOID lpBaseAddress = NULL;

	// 获取镜像大小
	DWORD dwSizeOfImage = GetSizeOfImage(lpData);

	// 在进程中开辟一个可读、可写、可执行的内存块
	lpBaseAddress = ::VirtualAlloc(NULL, dwSizeOfImage, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
	if (NULL == lpBaseAddress)
	{
		ShowError("VirtualAlloc");
		return NULL;
	}
	::RtlZeroMemory(lpBaseAddress, dwSizeOfImage);

	// 将内存DLL数据按SectionAlignment大小对齐映射到进程内存中
	if (FALSE == MmMapFile(lpData, lpBaseAddress))
	{
		ShowError("MmMapFile");
		return NULL;
	}

	// 修改PE文件重定位表信息
	if(FALSE == DoRelocationTable(lpBaseAddress))
	{
		ShowError("DoRelocationTable");
		return NULL;
	}

	// 填写PE文件导入表信息
	if (FALSE == DoImportTable(lpBaseAddress))
	{
		ShowError("DoImportTable");
		return NULL;
	}

	//修改页属性。应该根据每个页的属性单独设置其对应内存页的属性。
	//统一设置成一个属性PAGE_EXECUTE_READWRITE
	DWORD dwOldProtect = 0;
	if (FALSE == ::VirtualProtect(lpBaseAddress, dwSizeOfImage, PAGE_EXECUTE_READWRITE, &dwOldProtect))
	{
		ShowError("VirtualProtect");
		return NULL;
	}

	// 修改PE文件加载基址IMAGE_NT_HEADERS.OptionalHeader.ImageBase
	if (FALSE == SetImageBase(lpBaseAddress))
	{
		ShowError("SetImageBase");
		return NULL;
	}

	// 调用DLL的入口函数DllMain,函数地址即为PE文件的入口点IMAGE_NT_HEADERS.OptionalHeader.AddressOfEntryPoint
	if (FALSE == CallDllMain(lpBaseAddress))
	{
		ShowError("CallDllMain");
		return NULL;
	}

	return lpBaseAddress;
}

于如何修改重定位表、导入表以及遍历导出表等操作在此就不详细说明,读者直接阅读代码即可,代码中均有详细的注释说明。直接内存加载运行TestDll.dll文件,若成功执行TestDll.dll入口处的弹窗代码,弹窗提示则说明加载运行成功,如下图所示。

在这里插入图片描述

在这里插入图片描述

该部分知识对于初学者来说,理解起来比较复杂。但是,只要熟悉PE结构,这个程序理解起来就会容易得多。对于重定位表、导入表,以及导出表部分的具体操作并没有详细讲解。如果没有了解PE结构,那么理解起来会有些困难;如果了解了PE结构,那么就很容易理解该部分知识。

可以通过暴力枚举PE结构特征头的方法,来枚举进程中加载的所有模块,它与通过正常方法获取到的模块信息进行比对,从而判断是否存在可疑的PE文件。



四.总结

写到这里,这篇文章就介绍完毕,希望对您有所帮助,最后进行简单的总结下。

  • 创建进程API:介绍使用WinExec、ShellExecute以及CreateProcess创建进程
  • 突破SESSION 0隔离创建进程:主要通过CreateProcessAsUser函数实现用户进程创建
  • 内存直接加载运行:模拟PE加载器,直接将DLL和exe等PE文件加载到内存并启动运行

学安全一年,认识了很多安全大佬和朋友,希望大家一起进步。这篇文章中如果存在一些不足,还请海涵。作者作为网络安全初学者的慢慢成长路吧!希望未来能更透彻撰写相关文章。同时非常感谢参考文献中的安全大佬们的文章分享,深知自己很菜,得努力前行。

(By:Eastmount 2020-07-26 星期一 晚上9点写于武汉 http://blog.csdn.net/eastmount/ )



参考文献:
[1] https://github.com/eastmountyxz/Windows-Hacker-Exp/blob/master/4.启动技术
[2] WINEXEC, SHELLEXECUTE, CREATEPROCESS - 篱笆博客
[3] https://docs.microsoft.com/en-us/previous-versions/aa908775(v=msdn.10)
[4] https://docs.microsoft.com/zh-cn/windows/win32/api/winbase/nf-winbase-winexec
[5] https://docs.microsoft.com/en-us/windows/win32/api/wtsapi32/nf-wtsapi32-wtsqueryusertoken
[6] https://docs.microsoft.com/zh-cn/windows/win32/api/winsvc/nf-winsvc-startservicew
[7] Windows创建进程 - m_buddy
[8] 关于“Error: “const char *” 类型的实参与 "LPCWSTR"类型的形参不兼容”错误的解决方案
[9] 穿透Session 0 隔离(一)- 李敬然老师
[10] C++创建Windows后台服务程序 - blade1080
[11] 系统权限服务创建桌面进程(进程也是系统权限)
[12] 突破Session0隔离在系统服务程序中创建用户桌面进程
[13] DLL内存加载 - 墨鱼菜鸡
[14] 内存直接加载运行DLL文件 - 自己的小白














































易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!