windows进程提权(C语言实现)

转载:https://www.jianshu.com/p/c0d48a675e55

问题

在枚举/结束系统进程或操作系统服务时，会出现权限不足而失败的情况，这时就需要提升自己进程到系统权限

前置知识

windows的每个用户登录系统后，系统会产生一个访问令牌（access token），其中关联了当前用户的权限信息，用户登录后创建的每一个进程都含有用户access token的拷贝，当进程试图执行某些需要特殊权限的操作或是访问受保护的内核对象时，系统会检查其acess token中的权限信息以决定是否授权操作。Administrator组成员的access token中会含有一些可以执行系统级操作的特权（privileges） ，如终止任意进程、关闭/重启系统、加载设备驱动和更改系统时间等，不过这些特权默认是被禁用的，当Administrator组成员创建的进程中包含一些需要特权的操作时，进程必须首先打开这些禁用的特权以提升自己的权限，否则系统将拒绝进程的操作。注意，非Administrator组成员创建的进程无法提升自身的权限，因此下面提到的进程均指Administrator组成员创建的进程。（命令行输入net user可查看或net user 具体用户名称）

Windows以字符串的形式表示系统特权，如“SeCreatePagefilePrivilege”表示该特权用于创建页面文件，“SeDebugPrivilege”表示该特权可用于调试及更改其它进程的内存，为了便于在代码中引用这些字符串，微软在winnt.h中定义了一组宏，如 #define SE_DEBUG_NAME TEXT("SeDebugPrivilege")。完整的特权列表可以查阅msdn的security一章。虽然Windows使用字符串表示特权，但查询或更改特权的API需要LUID来引用相应的特权，LUID表示local unique identifier，它是一个64位值，在当前系统中是唯一的。为了提升进程权限到指定的特权，我们必须先找到该特权对应的LUID，这时要调用LookupPrivilegeValue函数。

简介

要对一个任意进程（包括系统安全进程和服务进程）进行指定了写相关的访问权的OpenProcess操作，只要当前进程具有SeDeDebug权限就可以了。要是一个用户是Administrator或是被给予了相应的权限，就可以具有该权限。可是，就算我们用Administrator帐号对一个系统安全进程执OpenProcess(PROCESS_ALL_ACCESS,FALSE, dwProcessID)还是会遇到“访问拒绝”的错误。什么原因呢？原来在默认的情况下进程的一些访问权限是没有被启用（Enabled）的，所以我们要做的首先是启用这些权限。

流程

1.打开进程访问令牌
2.取得特权的LUID值
3.调整访问令牌特权值

使用函数

OpenProcessToken();
LookupPrivilegeValue();
AdjustTokenPrivileges();

函数介绍及大致流程

首先要获得进程访问令牌的句柄，这可以通过OpenProcessToken得到，函数的原型如下：

BOOL OpenProcessToken(

HANDLE ProcessHandle, //要修改访问权限的进程句柄

DWORD DesiredAccess, //要对令牌进行何种操作

PHANDLE TokenHandle //返回的访问令牌指针

)；

第一参数是要修改访问权限的进程句柄；第三个参数就是返回的访问令牌指针；第二个参数指定你要进行的操作类型，如要修改访问令牌的特权，我们要指定第二个参数TOKEN_ADJUST_PRIVILEGES。通过这个函数我们就可以得到当前进程的访问令牌的句柄（指定函数的第一个参数为GetCurrentProcess()就可以了）。接着我们可以调用AdjustTokenPrivileges对这个访问令牌进行修改。
AdjustTokenPrivileges的原型如下：

BOOL AdjustTokenPrivileges(
HANDLE TokenHandle, // handle to token
BOOL DisableAllPrivileges, // disabling option
PTOKEN_PRIVILEGES NewState, // privilege information
DWORD BufferLength, // size of buffer
PTOKEN_PRIVILEGES PreviousState, // original state buffer
PDWORD ReturnLength // required buffer size
);

第一个参数是访问令牌的句柄；第二个参数决定是进行权限修改还是丧失（Disable）所有权限；第三个参数指明要修改的权限，是一个指向TOKEN_PRIVILEGES结构的指针，该结构包含一个数组，数据组的每个项指明了权限的类型和要进行的操作; 第四个参数是结构PreviousState 指针所指向的缓冲区的大小，如果PreviousState参数为空，该参数应为NULL；第五个参数也是一个指向TOKEN_PRIVILEGES结构的指针，存放修改前的访问权限的信息，可空；最后一个参数为实际PRIVILEGES NewState结构返回的大小。在使用这个函数前再看一下TOKEN_PRIVILEGES这个结构，其声明如下：

typedef struct _TOKEN_PRIVILEGES {
DWORD PrivilegeCount;
LUID_AND_ATTRIBUTES Privileges[];
} TOKEN_PRIVILEGES, *PTOKEN_PRIVILEGES;

PrivilegeCount指的数组元素的个数，接着是一个LUID_AND_ATTRIBUTES类型的数组，再来看一下LUID_AND_ATTRIBUTES这个结构的内容，声明如下：

typedef struct _LUID_AND_ATTRIBUTES {
LUID Luid;
DWORD Attributes;
} LUID_AND_ATTRIBUTES, *PLUID_AND_ATTRIBUTES

第二个参数就指明了我们要进行的操作类型，其特权属性Attributes可以是如下常量：

SE_PRIVILEGE_ENABLED //使特权有效
SE_PRIVILEGE_ENABLED_BY_DEFAULT //使特权默认有效
SE_PRIVILEGE_REMOVED //移除该特权
SE_PRIVILEGE_USED_FOR_ACCESS //取得对象或服务的访问权

要使用一个权限就指定Attributes为SE_PRIVILEGE_ENABLED。第一个参数就是指权限的类型，是一个LUID的值，LUID就是指locally unique identifier（局部唯一标识符），我想GUID大家是比较熟悉的，和GUID的要求保证全局唯一不同，LUID只要保证局部唯一，就是指在系统的每一次运行期间保证是唯一的就可以了。另外和GUID相同的一点，LUID也是一个64位的值，相信大家都看过GUID那一大串的值，我们要怎么样才能知道一个权限对应的LUID值是多少呢？

这就要用到另外一个API函数LookupPrivilegevalue，其原形如下：

BOOL LookupPrivilegevalue(
LPCTSTR lpSystemName, // system name
LPCTSTR lpName, // privilege name
PLUID lpLuid // locally unique identifier
);

第一个参数是系统的名称，如果是本地系统只要指明为NULL就可以了，第三个参数就是返回LUID的指针，第二个参数就是指明了权限的名称，如“SeDebugPrivilege”。在Winnt.h中还定义了一些权限名称的宏，如：

#define SE_BACKUP_NAME TEXT("SeBackupPrivilege")
#define SE_RESTORE_NAME TEXT("SeRestorePrivilege")
#define SE_SHUTDOWN_NAME TEXT("SeShutdownPrivilege")
#define SE_DEBUG_NAME TEXT("SeDebugPrivilege")

这样通过这三个函数的调用，我们就可以用OpenProcess(PROCESS_ALL_ACCESS,FALSE, dwProcessID)来打获得任意进程的句柄，并且指定了所有的访问权

代码实现

#include <stdio.h>
#include <windows.h>

int main(void)
{
    HANDLE token_handle;
    //打开访问令牌
    if(!OpenProcessToken(GetCurrentProcess(),       //要修改权限的进程句柄
                         TOKEN_ALL_ACCESS,          //要对令牌进行何种操作
                         &token_handle              //访问令牌
                         ))
    {
        printf("openProcessToken error");
    }

    LUID luid;
    if(!LookupPrivilegeValue(NULL,                 //查看的系统，本地为NULL
                             SE_DEBUG_NAME,        //要查看的特权名称
                             &luid                 //用来接收标识符
                             ))
    {
        printf("lookupPrivilegevalue error");
    }

    TOKEN_PRIVILEGES tkp;
    tkp.PrivilegeCount = 1;
    tkp.Privileges[0].Luid = luid;
    tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    //调整访问令牌权限
    if(!AdjustTokenPrivileges(token_handle,    //令牌句柄
                              FALSE,           //是否禁用权限
                              &tkp,            //新的特权的权限信息
                              sizeof(tkp),     //特权信息大小
                              NULL,            //用来接收特权信息当前状态的buffer
                              NULL             //缓冲区大小
                              ))
    {
        printf("adjust error");
    }

    printf("sucessful");
    return 0;
}