2. 程式人生 > >開啟被獨佔的檔案方法(二) -- 修改控制代碼訪問許可權

開啟被獨佔的檔案方法(二) -- 修改控制代碼訪問許可權

阿新 發佈:2019-02-10

修改控制代碼訪問許可權
所有被佔用的檔案通常都可以用讀屬性(FILE_READ_ATTRIBUTES)開啟,這樣就可以讀取檔案的屬性,取得它的大小,列舉NTSF
stream,但遺憾的是,ReadFile就不能成功呼叫了。開啟檔案時各種訪問屬性的區別在哪裡呢?顯然,開啟檔案時,系統會記錄訪問屬性,之後會用這個屬性與請求的訪問作比較。如果找到了系統儲存這個屬性的位置並修該掉它,那就不只可以讀取,甚至可以寫入任何已開啟的檔案。
在使用者這一級別上我們並不是直接與檔案打交道,而是通過它的控制代碼(這個控制代碼指向FileObject),而函式ReadFile/WriteFile呼叫ObReferenceObjectByHandle,並指明瞭相應的訪問型別。由此我們可以得出結論,訪問許可權儲存在描述控制代碼的結構體裡。實際上,HANDLE_TABLE_ENTRY結構體包含有一個GrantedAccess域,這個域不是別的,就是控制代碼的訪問許可權。遺憾的是,Microsoft的程式設計師們沒有提供修改控制代碼訪問權的API,所以我們不得不編寫驅動自己來做這項工作。
我在《隱藏程序檢測》一文中講到過Windows 2000和XP的控制代碼表結構體,我想補充的只有一點,就是Windows
2003中的控制代碼表與XP的完全一樣。與那篇文章不同,我們這裡不需要列舉表中的控制代碼,而只需要找到某個具體的(已知的)控制代碼,我們不用管PspCidTable,而只操作自己程序的控制代碼表,表的指標位於程序的EPROCESS結構體裡(2000下的偏移為0x128,XP下的為0x0C4)。
為了取得控制代碼結構體指標需要呼叫未匯出函式ExpLookupHandleTableEntry,但我們不會去搜索它,因為在匯出函式中沒有對它的直接引用,搜尋結果也很不可靠,除此之外我們此時還需要ExUnlockHandleTableEntry函式。最好的辦法就是編寫自己的控制代碼表lookup函式。考慮到Windows
2000與XP下控制代碼表的差異,我們將編寫不同的函式。
首先是Windows 2000下的:
PHANDLE_TABLE_ENTRY
Win2kLookupHandleTableEntry(
IN PWIN2K_HANDLE_TABLE HandleTable,
IN EXHANDLE Handle )
{
ULONG i, j, k;
i = (Handle.Index >> 16) & 255;
j = (Handle.Index >> 8) & 255;
k = (Handle.Index) & 255;

if (HandleTable->Table[i])
{
if (HandleTable->Table[i][j])
return &(HandleTable->Table[i][j][k]);
}
return NULL;
}
這段程式碼簡單易懂。因為控制代碼的值本身是個三維表的三個索引,所以我們只需其中的各個部分並查看錶中相應的元素(當然如果存在的話)。因為Windows
XP中的控制代碼表可以有一到三個級別,所以相應的lookup程式碼就要更為複雜一些:
PHANDLE_TABLE_ENTRY
XpLookupHandleTableEntry(
IN PXP_HANDLE_TABLE HandleTable,
IN EXHANDLE Handle )
{
ULONG i, j, k;
PHANDLE_TABLE_ENTRY Entry = NULL;
ULONG TableCode = HandleTable->TableCode & ~TABLE_LEVEL_MASK;


p; i = (Handle.Index >> 17) & 0x1FF;
j = (Handle.Index >> 9) & 0x1FF;
k = (Handle.Index) & 0x1FF;
switch (HandleTable->TableCode & TABLE_LEVEL_MASK)
{
case 0 :
Entry = &((PHANDLE_TABLE_ENTRY)TableCode)[k];
break;

case 1 :
if (((PVOID *)TableCode)[j])
{
Entry = &((PHANDLE_TABLE_ENTRY *)TableCode)[j][k];
}
break;
case 2 :
if (((PVOID *)TableCode)[i])
if (((PVOID **)TableCode)[i][j])
{
Entry = &((PHANDLE_TABLE_ENTRY **)TableCode)[i][j][k];

}
break;
}
return Entry;
}
我們看到,這段程式碼中的控制代碼並不是ULONG型的值,而是EXHANDLE結構體:
typedef struct _EXHANDLE
{
union
{
struct
{
ULONG TagBits : 02;
ULONG Index : 30;
};
HANDLE GenericHandleOverlay;
};
} EXHANDLE, *PEXHANDLE;
我們看到,控制代碼不知包含了表的索引,還包含了一個2 bit的標誌。您可能已經察覺到,一個控制代碼可以有著幾種不同的意義,這一點與這樣一個事實有關,那就是並非控制代碼中所有的位都被使用到(依賴於在表中的級別)。這是Windows
XP最具個性的特點。
現在我們就可以獲取控制代碼表中所需的元素了,該編寫為控制代碼設定所需訪問屬性的函數了:
BOOLEAN SetHandleAccess(
IN HANDLE Handle,
IN ACCESS_MASK GrantedAccess
)
{
PHANDLE_TABLE ObjectTable = *(PHANDLE_TABLE
*)RVATOVA(PsGetCurrentProcess(), ObjectTableOffset);
PHANDLE_TABLE_ENTRY Entry;
EXHANDLE ExHandle;
ExHandle.GenericHandleOverlay = Handle;
Entry = ExLookupHandleTableEntry(ObjectTable, ExHandle);
if (Entry) Entry->GrantedAccess = GrantedAccess;
return Entry > 0;
}
現在編寫驅動,設定控制代碼的訪問屬性,通過DeviceIoControl向驅動傳遞控制代碼。程式碼如下:
NTSTATUS DriverIoControl(
IN PDEVICE_OBJECT DeviceObject,
IN PIRP Irp)
{
PIO_STACK_LOCATION pisl = IoGetCurrentIrpStackLocation(Irp);
NTSTATUS status = STATUS_UNSUCCESSFUL;
ULONG BuffSize =
pisl->Parameters.DeviceIoControl.InputBufferLength;
PUCHAR pBuff = Irp->AssociatedIrp.SystemBuffer;
HANDLE Handle;
ACCESS_MASK GrantedAccess;
Irp->IoStatus.Information = 0;
switch(pisl->Parameters.DeviceIoControl.IoControlCode)
{
case IOCTL1:
if (pBuff && BuffSize >= sizeof(HANDLE) +
sizeof(ACCESS_MASK))
{
Handle =*(HANDLE*)pBuff;
GrantedAccess = *(ACCESS_MASK*)(pBuff + sizeof(HANDLE));
if (Handle != (HANDLE)-1 && SetHandleAccess(Handle,
GrantedAccess)) status = STATUS_SUCCESS;

}
break;
}
Irp->IoStatus.Status = status;
IoCompleteRequest(Irp, IO_NO_INCREMENT);
return status;
}
NTSTATUS DriverCreateClose(
IN PDEVICE_OBJECT DeviceObject,
IN PIRP Irp)
{
Irp->IoStatus.Information = 0;
Irp->IoStatus.Status = STATUS_SUCCESS;
IoCompleteRequest(Irp, IO_NO_INCREMENT);
return STATUS_SUCCESS;
}

NTSTATUS DriverEntry(
IN PDRIVER_OBJECT DriverObject,
IN PUNICODE_STRING RegistryPath
)
{
PCWSTR dDeviceName = L"\\Device\\fread";
PCWSTR dSymbolicLinkName = L"\\DosDevices\\fread";
NTSTATUS status;
PDRIVER_DISPATCH *ppdd;
RtlInitUnicodeString(&DeviceName, dDeviceName);
RtlInitUnicodeString(&SymbolicLinkName, dSymbolicLinkName);
switch (*NtBuildNumber)
{
case 2600:
ObjectTableOffset = 0x0C4;
ExLookupHandleTableEntry = XpLookupHandleTableEntry;
break;
case 2195:
ObjectTableOffset = 0x128;
ExLookupHandleTableEntry = Win2kLookupHandleTableEntry;
break;
default: return STATUS_UNSUCCESSFUL;
}
status = IoCreateDevice(DriverObject,
0,
&DeviceName,
FILE_DEVICE_UNKNOWN,
0,
TRUE,
&deviceObject);

if (NT_SUCCESS(status))
{
status = IoCreateSymbolicLink(&SymbolicLinkName, &DeviceName);
if (!NT_SUCCESS(status)) IoDeleteDevice(deviceObject);
DriverObject->DriverUnload = DriverUnload;
}
ppdd = DriverObject->MajorFunction;

ppdd [IRP_MJ_CREATE] =
ppdd [IRP_MJ_CLOSE ] = DriverCreateClose;
ppdd [IRP_MJ_DEVICE_CONTROL ] = DriverIoControl;
return status;
}
遺憾的是控制代碼結構體中的GrantedAccess域並沒有和檔案開啟的屬性(GENERIC_READ、GENERIC_WRITE等)對應起來,所以在設定新的屬性時我們需要以下constants:
#define AC_GENERIC_READ 0x120089
#define AC_GENERIC_WRITE 0x120196
#define AC_DELETE 0x110080
#define AC_READ_CONTROL 0x120080
#define AC_WRITE_DAC 0x140080
&n

bsp; #define AC_WRITE_OWNER 0x180080
#define AC_GENERIC_ALL 0x1f01ff
#define AC_STANDARD_RIGHTS_ALL 0x1f0080
為了使用這個驅動將SAM檔案拷貝到c盤根目錄,我們可以寫一個最簡單的程式:
#include <windows.h>
#include "hchange.h"
BOOLEAN SetHandleAccess(
HANDLE Handle,
ACCESS_MASK GrantedAccess
)
{
HANDLE hDriver;
ULONG Bytes;
ULONG Buff[2];
BOOLEAN Result = FALSE;
hDriver = CreateFile("\\\\.\\haccess", GENERIC_READ, 0, NULL,
OPEN_EXISTING, 0, 0);
if (hDriver != INVALID_HANDLE_VALUE)
{
Buff[0] = (ULONG)Handle;
Buff[1] = GrantedAccess;
Result = DeviceIoControl(hDriver, IOCTL1, Buff, sizeof(Buff),
NULL, 0, &Bytes, NULL);
CloseHandle(hDriver);
}
}
void main()
{
HANDLE hFile, hDest;
ULONG Size, Bytes;
PVOID Data;
CHAR Name[MAX_PATH];
GetSystemDirectory(Name, MAX_PATH);
lstrcat(Name, "\\config\\SAM");
hFile = CreateFile(Name, FILE_READ_ATTRIBUTES, FILE_SHARE_READ |
FILE_SHARE_WRITE | FILE_SHARE_DELETE,
NULL, OPEN_EXISTING, 0, 0);

if (hFile != INVALID_HANDLE_VALUE)
{
if (SetHandleAccess(hFile, AC_GENERIC_READ))
{
Size = GetFileSize(hFile, NULL);
Data = VirtualAlloc(NULL, Size, MEM_COMMIT | MEM_RESERVE,
PAGE_READWRITE);
if (Data)
{
ReadFile(hFile, Data, Size, &Bytes, NULL);
hDest = CreateFile("c:\\SAM", GENERIC_WRITE, 0, NULL,
CREATE_NEW, 0, 0);
if (hDest != INVALID_HANDLE_VALUE)
{
WriteFile(hDest, Data, Size, &Bytes, NULL);
CloseHandle(hDest);
}
VirtualFree(Data, 0, MEM_RELEASE);
}
}
CloseHandle(hFile);
}
}

這個方法最大的缺陷就是強烈依賴於作業系統,而且還需要載入驅動程式,而這並不總是能實現的。但是從可靠性上來看,這種方法是最好的,所以我建議將其用在backup程式中(只是要經過長期的測試和除錯!)。因為這種方法有不能勝任的情形,我們轉入下一種方法。

相關推薦

開啟獨佔檔案方法() -- 修改控制訪問許可權

修改控制代碼訪問許可權 所有被佔用的檔案通常都可以用讀屬性(FILE_READ_ATTRIBUTES)開啟,這樣就可以讀取檔案的屬性,取得它的大小,列舉NTSF stream,但遺憾的是,ReadFile就不能成功呼叫了。開啟檔案時各種訪問屬性的區別在哪裡呢?顯然,開啟檔案時,系統會記錄訪問屬性,之後會

如何調整“作業系統的中開啟檔案的最大控制數”?

使用/proc檔案系統來控制系統/proc/sys/fs/proc/sys/fs/file-max該檔案指定了可以分配的檔案控制代碼的最大數目。如果使用者得到的錯誤訊息宣告由於開啟檔案數已經達到了最大值,從而他們不能開啟更多檔案,則可能需要增加該值。可將這個值設定成有任意多個

檔案控制的其他方法、游標操作與檔案內容的迴圈

.closed 檢視控制代碼是否關閉 f = open("a.txt", "w") print(f.closed) f.close() print(f.closed) .encoding 檢視檔案控制代碼的編碼方式,即顯示使用什麼編碼開啟的而不是原檔案是以什麼編碼儲存的 f =

mina通訊,對於高併發的產生:java.io.IOException: Too many open files(開啟檔案控制過多問題)

起因:由於業務系統有多個定時任務定時訪問銀行端,銀行每天也有大量業務訪問業務系統,都是通過mina通訊,部署在測試環境的系統每過一兩天開啟控制代碼過萬,生產的也是一週左右不重啟業務系統就會爆掉。一開始並不清楚到底是哪方面原因導致控制代碼增長這麼快,因為這是一個老系統,經過多次升級,大量的併發、多執行緒,所以只

Linux的開啟檔案表:開啟檔案表、檔案描述符、開啟檔案控制以及i-node之間的關係

    在Linux系統中一切皆可以看成是檔案,檔案又可分為:普通檔案、目錄檔案、連結檔案和裝置檔案。檔案描述符(file descriptor)是核心為了高效管理已被開啟的檔案所建立的索引,其是一個非負整數(通常是小整數),用於指代被開啟的檔案,所有執行I/O操作的系統呼叫都通過檔案描述符。程式剛剛啟動的

案例——檔案控制(pipe)增多tomcat模組定位方法

問題描述:tomcat檔案控制代碼數持續增長 定位方法: 定位檔案控制代碼洩漏前需要收集的必要資訊: tomcat初始啟動時的檔案控制代碼數、對tomcat的詳細lsof結果、以及tomcat的記憶體dump; 按時間段對tomcat的檔案控制代碼數進行統計(每小時、

運維繫統,發現報錯,開啟檔案控制數太多解決方案

在Linux中檢視日誌時,發現有Can’t open so many files資訊。應該是虛擬機器開啟檔案數或者sockets數太多了。 在Linux下,我們使用ulimit -n命令可以看到單個程序能夠開啟的最大檔案控制代碼數量(socket連線也算在裡面)。系統預設值

開啟檔案-控制方式

;檔案控制代碼方式開啟檔案code segment     assume cs:codemain proc far     jmp startfilename db 'e:/1.txt',0success db 'ok...',0dh,0ah,24hfaile    db '

根據程序控制 獲得可執行檔案路徑 的幾種方法

通過程序控制代碼,獲得可執行檔案的路徑,主要有以下幾種方法: 第一種方法:也是最常用的方法,是通過GetModuleFileNameEx函式獲得可執行檔案的模組路徑,這個函式從Windows NT 4.0開始到現在的Vista系統都能使用,向後相容性比較好。 【函式

關於ulimit -a 顯示的檔案開啟控制數的含義

ulimit 我經常用了,還經常設定一些引數,尤其是open file,當時的理解是:openfile設定為多大,此使用者就只能最大開啟這麼多檔案。我還經常給客戶講課,尤其是郵政的客戶,講課我都是這麼講的。我納悶這到底是誰最先告訴我是這麼解釋的?             

檔案關閉後馬上再開啟另一個檔案兩個控制會一樣

for(int i = 0; i < 5; i++) { FILE *pF = fopen("123.txt", "wb"); printf("%x\n", pF); fclose(pF); p

php是什麼檔案?怎麼開啟?四種開啟php格式檔案方法是什麼?(圖)

PHP是一個網頁尾本,檔案字尾名為.php,如上圖: 但不同於html xml 標籤語言,直接可以通過瀏覽器開啟,php檔案需要有PHP的執行環境才可以訪問和開啟,如果只是編輯PHP檔案,只需要用: php檔案開啟方式一:用記事本開啟 右擊.php檔案,選擇記事

Windows系統程序開啟檔案控制數的限制

在linux系統中,程序開啟的檔案控制代碼數量的限制,可用ulimit命令來檢視和修改,或者修改/etc/security/limits.conf也可以修改。但在windows中,目前沒有找到方便的方法檢視這個值。 下面這段程式碼可以用來檢視該值,設定的辦法還沒有找到。 W

linux 開啟檔案控制

首先可以通過ulimit –a 命令來檢視 如下: Redhat系統 [[email protected]_3 ut]# ulimit -a core file size        (blocks, -c) 0 data seg size     

頻繁通過win32api的createfile函式開啟檔案控制導致記憶體洩漏

1、通過win32的createfile、writefile函式開啟寫入檔案 void WriteLogThread(void* lpParameter) { LPLogData pData = (LPLogData)lpParameter; string logCon

MFC中獲取各個視窗之間的控制或者指標物件的方法

轉載:https://www.cnblogs.com/gavanwanggw/p/6743774.html MFC中獲取各個視窗之間的控制代碼或者指標物件的方法 MFC在非常多的對話方塊操作中,我們常常要用到在一個對話方塊中呼叫還有一個對話方塊的函式或變數.能夠用例如以下方法來解決.

1106Selenium web自動化測試經驗分享-開啟多個視窗,切換控制

在web自動化測試中,好像很少會出現多視窗和切換控制代碼的情景。我之前曾想過一個情景:如果我開啟多個視窗,該怎樣更快更好的切換控制代碼呢?今天做個小分享。 一)切換控制代碼(handle)(1) 首先說明下情景:百度搜索Python,在搜尋的結果中點選一個‘官網’的超連結,打開了一個

什麼是檔案描述符和檔案控制?兩者是什麼關係?

在python裡面有這樣一個函式: 網上解釋什麼是,檔案描述符: 核心(kernel)利用檔案描述符來訪問檔案。檔案描述符是非負整數。開啟現存檔案或新建檔案時,核心會返回一個檔案描述符。讀寫檔案也 需要 檔案描述符來指定待讀寫的檔案。 乍一看,怎麼和檔案控制代碼的描述很想,網上搜了一下:

linux 檔案控制數檢視命令

當你的伺服器在大併發達到極限時,就會報出“too many open files”。 檢視執行緒佔控制代碼數ulimit -a 輸出如下:core file size (blocks, -c) 0data seg size (kbytes, -d) unlimitedscheduling priority

Redis之sentinel檔案控制過小解決方案

異常說明 Increased maximum number of open files to 10032 (it was originally set to 1024). 翻譯: 將開啟檔案的最大數量增加到10032(它最初設定為1024)。 解決辦法