DuplicateHandle文檔化解釋
The DuplicateHandle function duplicates an object handle. The duplicate handle refers to the same object as the original handle. Therefore, any changes to the object are reflected through both handles. For example, the current file mark for a file handle is always the same for both handles.
使用 DuplicateHandle 函數將源進程 ProcessHandle 的句柄表中的信息如對象句柄 MutexHandle 復制到當前目標進程的句柄表中
BOOL DuplicateHandle( HANDLE hSourceProcessHandle, // handle to source process 源進程句柄 HANDLE hSourceHandle, // handle to duplicate 被拷貝的信息(應與源進程句柄的進程有關) HANDLE hTargetProcessHandle, // handle to target process 目標進程句柄 LPHANDLE lpTargetHandle, // duplicate handle 用來接收被拷貝的信息_Out_ DWORD dwDesiredAccess, // requested access 傳0 BOOL bInheritHandle, // handle inheritance option 處理繼承選項傳FALSE或者TURE DWORD dwOptions // optional actions 如DUPLICATE_SAME_ACCESS,讓目標進程對被拷貝的句柄的內核對象也有訪問權限);
一����、參數說明:
調用DuplicateHandle時,它的第一個參數和第三個參數 (hSourceProcessHandle 和 hTargetProcessHandle) 是進程內核對象句柄�。這兩個句柄本身必須相對于調用DuplicateHandle函數的那個進程���。此外,這兩個參數標識的必須是進程內核對象;如果我們傳遞的句柄指向的是其他類型的內核對象,函數調用就會失敗���。我們將在第4章詳細討論進程內核對象����。就目前來說,我們只需知道一旦啟動一個新的進程,系統就會創建一個進程內核對象�����。
第二個參數 hSourceHandle 是指向任何類型的內核對象的一個句柄�。但是,它的句柄值一定不能與調用 DuplicateHandle 函數的那個進程相關(不能指向目標進程 TargetProcess 的內核對象)����。相反,該句柄必須與 hSourceProcessHandle 句柄所標識的源進程相關(例如源進程創建了文件,返回了文件對象句柄)����。函數會將源進程中的指定的句柄信息(FileHandle)復制到 hTargetProcessHanle 所標識的目標進程的句柄表中���。
第四個參數是 phTargetHandle ,它是一個 HANDLE 變量的地址,用來接收復制得到的 HANDLE 值�。
二�����、參考使用:
[B進程]
參考使用1:將偽句柄轉換成真實句柄
HANDLE PseudoProcessHandle = GetCurrentProcess(); //獲得偽句柄 -1HANDLE RealProcessHandle = NULL;//將偽句柄轉換成真實句柄DuplicateHandle(GetCurrentProcess(), PseudoProcessHandle, GetCurrentProcess(), &RealProcessHandle,0, FALSE, DUPLICATE_SAME_ACCESS);//通過上面的函數就可以將一個進程中的一個線程的偽句柄轉換成正真的句柄//DuplicateHandle遞增了內核對象的句柄數最好要調用CloseHandle();
參考使用2:拷貝當前進程中的指定對象的句柄到目標進程中
HANDLE v1 = NULL;//DuplicateHandle拷貝當前進程中的FileHandle句柄到目標進程中BOOL IsOk = DuplicateHandle(GetCurrentProcess(), FileHandle, ProcessHandle, &v1, 0, FALSE, DUPLICATE_SAME_ACCESS);//當前進程句柄ProcessHandle//被拷貝的文件句柄(當前進程里面創建的文件句柄)//拷貝到目標進程的句柄//v1也是句柄,用來接收目標進程上拷貝上的句柄的數//DUPLICATE_SAME_ACCESS,讓目標進程對被拷貝的句柄的內核對象也有訪問權限
參考使用3:拷貝目標進程句柄表中指定句柄到當前進程句柄表中
//如何知道進程 _tscanf(_T("%d"), &ProcessIdentify); // 目標進程id _tscanf(_T("%d"), &MappingHandle); // 目標進程句柄表下的MappingHandle //根據目標進程的ID打開目標進程 ProcessHandle = SunOpenProcess(PROCESS_DUP_HANDLE, FALSE, ProcessIdentify); //Anti策略 //DuplicateHandle獲取進程虛擬空間地址 BOOL IsOk = DuplicateHandle(ProcessHandle, MappingHandle, GetCurrentProcess(), &v1, 0, FALSE, DUPLICATE_SAME_ACCESS);三�、其他說明
使用DuplicateHandle函數(來復制內核對象句柄)所遇到的問題和繼承(內核對象句柄)時同樣:目標進程不知道它現在能訪問一個新的內核對象�����。所以,進程C必須以某種方式來通1進程T,告訴它現在可以訪問一個內核對象了,而且必須使用某種形式的進程間通信機制,將hObj中的句柄值傳給進程T,顯然,使用命令行參數或者更改進程T的環境變量是行不通的,因為進程已經啟動并開始運行了����。我們必須使用窗口消息或者其他進程間通信(IPC)機制���。
四��、演示程序
將當前進程EProcess里的FileHandle的句柄拷貝到另一個進程explore.exe身上,并使其擁有對被拷貝句柄的內核對象的訪問權限����。
代碼測試:
重新生成文件,將在文件目錄下生成一個ReadMe文件,打開文件,再運行exe程序,發現無法刪除此文件�����。explorer進程不關閉,文件句柄關不掉,FIleObject就關不掉,所以無法關閉記事本���。
在代碼里就是把第二參數句柄粘貼到第三參數身上,就相當于你把自己的句柄拷貝到了別人身上了,所以就存在占坑現象,第二參數句柄指向的內核對象關閉不了,其對應的進程無法關閉��。
#include "DuplicateHandle.h"BOOL __EnableDebugPrivilege = TRUE;//定義參數void _tmain(int argc, TCHAR* argv[], TCHAR *envp[]){ Sub_1(); return;}void Sub_1(){ HANDLE ProcessHandle = NULL; //打開一個進程,得到進程句柄 ProcessHandle = SunOpenProcess(PROCESS_DUP_HANDLE, FALSE, (HANDLE)10688); //explore.exe進程 //SunOpenProcess中需要提權函數SunEnableSunDebugPrivilege if (ProcessHandle == NULL) { goto Exit; } HANDLE FileHandle = INVALID_HANDLE_VALUE; //在當前進程中創建一個文件,返回文件句柄 FileHandle = CreateFile(_T("ReadMe.txt"), GENERIC_READ, 0, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL); if (FileHandle == INVALID_HANDLE_VALUE) { goto Exit; } HANDLE v1 = NULL; //DuplicateHandle拷貝當前進程中的FileHandle句柄到目標進程中 BOOL IsOk = DuplicateHandle(GetCurrentProcess(), FileHandle, ProcessHandle, &v1, 0, FALSE, DUPLICATE_SAME_ACCESS); //當前進程句柄ProcessHandle //被拷貝的文件句柄(當前進程里面創建的文件句柄) //拷貝到目標進程的句柄 //v1也是句柄,用來接收目標進程上拷貝上的句柄的數 //DUPLICATE_SAME_ACCESS,讓目標進程對被拷貝的句柄的內核對象也有訪問權限 if (FileHandle != INVALID_HANDLE_VALUE) { SunCloseHandle(FileHandle); FileHandle = INVALID_HANDLE_VALUE; }Exit: if (ProcessHandle != NULL) { SunCloseHandle(ProcessHandle); ProcessHandle = NULL; }}/*提權函數*/DWORD SunEnableSunDebugPrivilege(HANDLE ProcessHandle, BOOL IsEnable){ DWORD LastError; HANDLE TokenHandle = 0; if (!OpenProcessToken(ProcessHandle, TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &TokenHandle)) { LastError = GetLastError(); if (TokenHandle) SunCloseHandle(TokenHandle); return LastError; } TOKEN_PRIVILEGES TokenPrivileges; memset(&TokenPrivileges, 0, sizeof(TOKEN_PRIVILEGES)); LUID v1; if (!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &v1)) { LastError = GetLastError(); SunCloseHandle(TokenHandle); return LastError; } TokenPrivileges.PrivilegeCount = 1; TokenPrivileges.Privileges[0].Luid = v1; if (IsEnable) TokenPrivileges.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED; else TokenPrivileges.Privileges[0].Attributes = 0; AdjustTokenPrivileges(TokenHandle, FALSE, &TokenPrivileges, sizeof(TOKEN_PRIVILEGES), NULL, NULL); LastError = GetLastError(); SunCloseHandle(TokenHandle); return LastError;}HANDLE SunOpenProcess(DWORD DesiredAccess, BOOL IsInheritHandle, HANDLE ProcessIdentify){ //提權 if (__EnableDebugPrivilege) //全局變量__EnableDebugPrivilege { SunEnableSunDebugPrivilege(GetCurrentProcess(), TRUE); } //打開進程,根據目標進程的進程ID得到進程句柄 HANDLE ProcessHandle = OpenProcess(DesiredAccess, IsInheritHandle, (DWORD)ProcessIdentify); DWORD LastError = GetLastError(); //關閉權限 if (__EnableDebugPrivilege) { SunEnableSunDebugPrivilege(GetCurrentProcess(), FALSE); } SetLastError(LastError); return ProcessHandle;}BOOL SunCloseHandle(HANDLE HandleValue){ DWORD HandleFlags; if (GetHandleInformation(HandleValue, &HandleFlags) && (HandleFlags & HANDLE_FLAG_PROTECT_FROM_CLOSE) != HANDLE_FLAG_PROTECT_FROM_CLOSE) return !!CloseHandle(HandleValue); return FALSE;}
