zoukankan      html  css  js  c++  java
  • 逆向对抗技术之ring3解除文件句柄,删除文件

    一丶简介

    这些问题主要是工作中会遇到.包括后面的逆向对抗技术.有的可能只会提供思路.并且做相应的解决与对抗.

    二丶实战 + 环境模拟

    1.环境模拟.

    假设现在有一个进程.打开了你的文件.而你现在无法关系.

    其中一个原因就是句柄被占用了. 因为句柄占用的原因你无法删除.

    这里遇到了句柄占用.所以采用解除句柄的方法.

    无法删除例子如下.

    2.删除原理

    我自己闪现了一个解除文件句柄并删除文件的方法. 需要使用未公开的API

    原理很简单.主要是使用 ZwQueryObject的 2号功能获取句柄类型. 使用1号功能获取句柄对象文件名. 使用DuplicateHandle 传入DUPLICATE_CLOSE_SOURCE宏在拷贝的时候关闭其句柄占用.

    步骤:

    1.随便打开一个文件.获取其文件句柄在操作系统的中类型
    2.打开进程.使用查询句柄个数(这步可以略过,不查询)
    3.循环拷贝进程句柄,拷贝成功的使用 ZwQueryObject的2号功能遍历出文件名
    4.解析文件名是否跟你要解除的文件名一样.
    4.1 如果一样.则调用DuplicateHandle. 传入DUPLICATE_CLOSE_SOURCE

    3.代码实现

    1.查询文件句柄类型

    setp 1. 随便打开一个文件根据文件句柄查询文件类型号.

    
     DWORD dwSystemFileHandleType = 0;
        TCHAR szPath[MAX_PATH] = { 0 };
        GetModuleFileName(GetModuleHandle(NULL), szPath, MAX_PATH * sizeof(TCHAR));
        HANDLE hFile = CreateFile(szPath, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, 0, NULL);
        if (INVALID_HANDLE_VALUE == hFile)
            return 0;
        dwSystemFileHandleType = NatHndGetHandleTypeWithHandle(hFile);
    

    NatHndGetHandleTypeWithHandle 内部实现.
    因为自己封装在项目工程中.所以直接拿出来了.想要自己用自己需要改改.

    这个函数主要作用就是用 ZwQueryObject的2号功能.遍历出文件类型号.

    USHORT CNativeApiManger::NatHndGetHandleTypeWithHandle(HANDLE handle)
    {
    
        if (INVALID_HANDLE_VALUE == handle || 0 == handle)
            return 0;
        if (NULL == m_ZwQueryObject)
            return 0;
    
        PfnZwQueryObject CurZwQueryObject = NULL;
        CurZwQueryObject = reinterpret_cast<PfnZwQueryObject>(m_ZwQueryObject);
        if (CurZwQueryObject == NULL)
            return 0;
    
        char * pBuffer = new char[0x300];
        ULONG uRetSize = 0;
        OBJECT_INFORMATION_CLASS ob = ObjectTypeInformation;
        CurZwQueryObject(handle, ob, pBuffer, 0x300, &uRetSize);
        USHORT Type = 0;
        PPUBLIC_OBJECT_TYPE_INFORMATION PtypeInfo = reinterpret_cast<PPUBLIC_OBJECT_TYPE_INFORMATION>(pBuffer);  //查询类型信息
        Type = PtypeInfo->MaintainTypeList;
        delete[] pBuffer;
    
        return Type;
     
    }
    
    

    2.打开进程获得进程句柄

    
    HANDLE hProcess;
    hProcess = OpenProcess(PROCESS_ALL_ACCESS,FALSE, dwPid);
    

    3.遍历进程拷贝句柄.判断文件类型过滤.关闭句柄

    这个属于核心代码

    
    HANDLE hTarHandle;
        for (int i = 0; i < 0x40000; i++) //65535
        {
            if (NatHndDuplicateHandle(hProcess, (HANDLE)i, GetCurrentProcess(), &hTarHandle, 0, 0, 2))
            {
                //成功了.查询类型信息
    
                char * pBuffer = new char[0x300]();
                ULONG uRetSize = 0;
                OBJECT_INFORMATION_CLASS ob = ObjectTypeInformation;
                ZwQueryObject((HANDLE)hTarHandle, ob, pBuffer, 0x300, &uRetSize);
    
                PPUBLIC_OBJECT_TYPE_INFORMATION PtypeInfo = reinterpret_cast<PPUBLIC_OBJECT_TYPE_INFORMATION>(pBuffer);  //查询类型信息
                PtypeInfo->MaintainTypeList;
    
                if (PtypeInfo->MaintainTypeList == dwSystemFileHandleType)
                {
                    //是文件.尝试使用DumpLicateHandle 传入DUPLICATE_CLOSE_SOURCE 来关闭.
                    //psOpt.HndDuplicateHandle(hProcess, (HANDLE)i, GetCurrentProcess(), NULL, 0, 0, DUPLICATE_CLOSE_SOURCE);
    
                    //如果是是文件.查询其文件名.
                    OBJECT_INFORMATION_CLASS ob = ObjectFileInformation;
                    char * Buffer1 = new char[0x100];
                    memset(Buffer1, 0, 0x100);
                    ZwQueryObject(hTarHandle, ob, Buffer1, 0x100, &uRetLength);
                    POBJECT_NAME_INFORMATION pFileInfo = reinterpret_cast<POBJECT_NAME_INFORMATION>(Buffer1);
                    PWSTR pszBuffer = new wchar_t[0x255]();
    
                    char szBuffer[0x256] = { 0 };
                    if (pFileInfo->Name.Buffer == 0)
                        continue;
                    memcpy(pszBuffer, pFileInfo->Name.Buffer, pFileInfo->Name.Length);
    
                    WideCharToMultiByte(CP_ACP, 0, pszBuffer, 0X256 * sizeof(TCHAR), szBuffer, 0x256, 0, 0);
                    string str = szBuffer;
                    str.substr(str.find_last_of("\"));
                    if (str.find(OccFileName) != string::npos)
                    {
                        //关闭其句柄
                        NatHndDuplicateHandle(hProcess, (HANDLE)i, GetCurrentProcess(), NULL, 0, 0, DUPLICATE_CLOSE_SOURCE);
                        CloseHandle(hProcess);
                        return TRUE;
                    }
    
                }
    
            }
        }
        CloseHandle(hProcess);
    
        return FALSE;
    
    

    NatHndDuplicateHandle其实内部就是对 DuplicateHandle 函数的封装.

    关于结构网上也很多.我这里也直接进行拷贝了.
    .h跟.cpp都提供一下.看的容易.

    链接:https://pan.baidu.com/s/1ct-kNoe1Sr1j9LjM9sflCA
    提取码:nxo3

  • 相关阅读:
    360随身WiFi使用问题解决,无法在没有网络的电脑上使用
    np问题(大数阶乘取模)
    传球(概率问题)
    区间平均值(逆序对)
    完全平方数最大
    计算毫秒
    祖玛游戏
    后缀最大值
    Blah数集(双指针单调队列)
    逢低吸纳(最长下降子序列+方案数+高精度)
  • 原文地址:https://www.cnblogs.com/iBinary/p/11414236.html
Copyright © 2011-2022 走看看