一丶简介

这些问题主要是工作中会遇到.包括后面的逆向对抗技术.有的可能只会提供思路.并且做相应的解决与对抗.

二丶实战 + 环境模拟

1.环境模拟.

假设现在有一个进程.打开了你的文件.而你现在无法关系.

其中一个原因就是句柄被占用了. 因为句柄占用的原因你无法删除.

这里遇到了句柄占用.所以采用解除句柄的方法.

无法删除例子如下.

2.删除原理

我自己闪现了一个解除文件句柄并删除文件的方法. 需要使用未公开的API

原理很简单.主要是使用 ZwQueryObject的 2号功能获取句柄类型. 使用1号功能获取句柄对象文件名. 使用DuplicateHandle 传入DUPLICATE_CLOSE_SOURCE宏在拷贝的时候关闭其句柄占用.

步骤:

1.随便打开一个文件.获取其文件句柄在操作系统的中类型

2.打开进程.使用查询句柄个数(这步可以略过,不查询)

3.循环拷贝进程句柄,拷贝成功的使用 ZwQueryObject的2号功能遍历出文件名

4.解析文件名是否跟你要解除的文件名一样.

4.1 如果一样.则调用DuplicateHandle. 传入DUPLICATE_CLOSE_SOURCE

3.代码实现

1.查询文件句柄类型

setp 1. 随便打开一个文件根据文件句柄查询文件类型号.



 DWORD dwSystemFileHandleType = 0;

    TCHAR szPath[MAX_PATH] = { 0 };

    GetModuleFileName(GetModuleHandle(NULL), szPath, MAX_PATH * sizeof(TCHAR));

    HANDLE hFile = CreateFile(szPath, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, 0, NULL);

    if (INVALID_HANDLE_VALUE == hFile)

        return 0;

    dwSystemFileHandleType = NatHndGetHandleTypeWithHandle(hFile);

NatHndGetHandleTypeWithHandle 内部实现.

因为自己封装在项目工程中.所以直接拿出来了.想要自己用自己需要改改.

这个函数主要作用就是用 ZwQueryObject的2号功能.遍历出文件类型号.

USHORT CNativeApiManger::NatHndGetHandleTypeWithHandle(HANDLE handle)

{

    if (INVALID_HANDLE_VALUE == handle || 0 == handle)

        return 0;

    if (NULL == m_ZwQueryObject)

        return 0;

    PfnZwQueryObject CurZwQueryObject = NULL;

    CurZwQueryObject = reinterpret_cast<PfnZwQueryObject>(m_ZwQueryObject);

    if (CurZwQueryObject == NULL)

        return 0;

    char * pBuffer = new char[0x300];

    ULONG uRetSize = 0;

    OBJECT_INFORMATION_CLASS ob = ObjectTypeInformation;

    CurZwQueryObject(handle, ob, pBuffer, 0x300, &uRetSize);

    USHORT Type = 0;

    PPUBLIC_OBJECT_TYPE_INFORMATION PtypeInfo = reinterpret_cast<PPUBLIC_OBJECT_TYPE_INFORMATION>(pBuffer);  //查询类型信息

    Type = PtypeInfo->MaintainTypeList;

    delete[] pBuffer;

    return Type;

}

2.打开进程获得进程句柄



HANDLE hProcess;

hProcess = OpenProcess(PROCESS_ALL_ACCESS,FALSE, dwPid);

3.遍历进程拷贝句柄.判断文件类型过滤.关闭句柄

这个属于核心代码



HANDLE hTarHandle;

    for (int i = 0; i < 0x40000; i++) //65535

    {

        if (NatHndDuplicateHandle(hProcess, (HANDLE)i, GetCurrentProcess(), &hTarHandle, 0, 0, 2))

        {

            //成功了.查询类型信息

            char * pBuffer = new char[0x300]();

            ULONG uRetSize = 0;

            OBJECT_INFORMATION_CLASS ob = ObjectTypeInformation;

            ZwQueryObject((HANDLE)hTarHandle, ob, pBuffer, 0x300, &uRetSize);

            PPUBLIC_OBJECT_TYPE_INFORMATION PtypeInfo = reinterpret_cast<PPUBLIC_OBJECT_TYPE_INFORMATION>(pBuffer);  //查询类型信息

            PtypeInfo->MaintainTypeList;

            if (PtypeInfo->MaintainTypeList == dwSystemFileHandleType)

            {

                //是文件.尝试使用DumpLicateHandle 传入DUPLICATE_CLOSE_SOURCE 来关闭.

                //psOpt.HndDuplicateHandle(hProcess, (HANDLE)i, GetCurrentProcess(), NULL, 0, 0, DUPLICATE_CLOSE_SOURCE);

                //如果是是文件.查询其文件名.

                OBJECT_INFORMATION_CLASS ob = ObjectFileInformation;

                char * Buffer1 = new char[0x100];

                memset(Buffer1, 0, 0x100);

                ZwQueryObject(hTarHandle, ob, Buffer1, 0x100, &uRetLength);

                POBJECT_NAME_INFORMATION pFileInfo = reinterpret_cast<POBJECT_NAME_INFORMATION>(Buffer1);

                PWSTR pszBuffer = new wchar_t[0x255]();

                char szBuffer[0x256] = { 0 };

                if (pFileInfo->Name.Buffer == 0)

                    continue;

                memcpy(pszBuffer, pFileInfo->Name.Buffer, pFileInfo->Name.Length);

                WideCharToMultiByte(CP_ACP, 0, pszBuffer, 0X256 * sizeof(TCHAR), szBuffer, 0x256, 0, 0);

                string str = szBuffer;

                str.substr(str.find_last_of("\\"));

                if (str.find(OccFileName) != string::npos)

                {

                    //关闭其句柄

                    NatHndDuplicateHandle(hProcess, (HANDLE)i, GetCurrentProcess(), NULL, 0, 0, DUPLICATE_CLOSE_SOURCE);

                    CloseHandle(hProcess);

                    return TRUE;

                }

            }

        }

    }

    CloseHandle(hProcess);

    return FALSE;

NatHndDuplicateHandle其实内部就是对 DuplicateHandle 函数的封装.

关于结构网上也很多.我这里也直接进行拷贝了.

.h跟.cpp都提供一下.看的容易.

链接:https://pan.baidu.com/s/1ct-kNoe1Sr1j9LjM9sflCA

提取码:nxo3

逆向对抗技术之ring3解除文件句柄,删除文件的更多相关文章

  1. 20145206邹京儒《网络对抗技术》 PC平台逆向破解

    20145206邹京儒<网络对抗技术> PC平台逆向破解 注入shellcode并执行 一.准备一段shellcode 二.设置环境 具体在终端中输入如下: apt-cache searc ...

  2. 20145336张子扬 《网络对抗技术》 PC平台逆向破解

    #20145336张子扬 <网络对抗技术> PC平台逆向破解 ##Shellcode注入 **基础知识** Shellcode实际是一段代码,但却作为数据发送给受攻击服务器,将代码存储到对 ...

  3. 20145337《网络对抗技术》逆向及BOF基础

    20145337<网络对抗技术>逆向及BOF基础 实践目标 操作可执行文件pwn1,通过学习两种方法,使main函数直接执行getshall,越过foo函数. 实践内容 手工修改可执行文件 ...

  4. 20145302张薇《网络对抗技术》PC平台逆向破解

    20145302张薇<网络对抗技术>PC平台逆向破解 实验任务 1.简单shellcode注入实验 2.Return-to-libc 攻击实验 实验相关原理 Bof攻击防御技术 从防止注入 ...

  5. 20145333 《网络对抗技术》 PC平台逆向破解

    20145333 <网络对抗技术> PC平台逆向破解 20145333 <网络对抗技术> PC平台逆向破解 Shellcode注入 基础知识 Shellcode实际是一段代码, ...

  6. 20165221 《网络对抗技术》EXP1 PC平台逆向破解

    20165221 <网络对抗技术>EXP1 PC平台逆向破解 一.实验内容 本次实践的对象是一个名为pwn1的linux可执行文件. 该程序正常执行流程是:main调用foo函数,foo函 ...

  7. 2018-2019-2 网络对抗技术 20165325 Exp1 PC平台逆向破解

    2018-2019-2 网络对抗技术 20165325 Exp1 PC平台逆向破解(BOF实验) 实验有三个模块: (一)直接修改程序机器指令,改变程序执行流程: (二)通过构造输入参数,造成BOF攻 ...

  8. 2018-2019-2 20165206《网络对抗技术》Exp1 PC平台逆向破解

    - 2018-2019-2 20165206<网络对抗技术>Exp1 PC平台逆向破解 - 实验任务 本次实践的对象是一个名为pwn1的linux可执行文件. 该程序正常执行流程是:mai ...

  9. 2018-2019-2 20165317《网络对抗技术》Exp1 PC平台逆向破解

    2018-2019-2 20165317<网络对抗技术>Exp1 PC平台逆向破解 实验目的 掌握NOP, JNE, JE, JMP, CMP汇编指令的机器码 NOP:无作用,英文&quo ...

随机推荐

  1. java之spring之spring整合hibernate

    这篇讲下spring和hibernate的整合 目录结构如下: 1.新建java项目 2.导入jar包 antlr-2.7.7.jar aopalliance.jar aspectjweaver.ja ...

  2. Windows 7 下安装 docker

    Windows 7 下需要安装docker toolbox即可(里面打包了docker.oracle virtualbox.Git) 1. 下载 1. 下载路径https://github.com/d ...

  3. JVM性能优化--字节码技术

    一.字节码技术应用场景 AOP技术.Lombok去除重复代码插件.动态修改class文件等 二.字节技术优势 Java字节码增强指的是在Java字节码生成之后,对其进行修改,增强其功能,这种方式相当于 ...

  4. 简单后台管理系统框架--HTML练手项目2【Frameset】

    [本文为原创,转载请注明出处] 技术[HTML]   布局[Frameset] 无步骤 <!DOCTYPE html> <html lang="en"> & ...

  5. Linux应用与端口

    lsof -i:port --- 得到对应端口的应用pid PS -ef|grep pid --- 根据pid得到对应应用

  6. iOS 测试在应用发布前后的痛点探索以及解决方案

    作者-芈 峮 前言 iOS 开发从 2010 年开始在国内不断地升温,开发和测试相关的问题不绝于耳.iOS 测试主要涉及哪些内容?又有哪些挑战呢?带着疑问我们开始第一个大问题的讨论. iOS 测试的范 ...

  7. 使用CEfSharp之旅(8)CEFSharp 使用代理 更换位置IP

    直接上代码: var settings = new CefSettings(); settings.CachePath = "cache"; settings.CefCommand ...

  8. 12.基于vue-router的案例

    案例分析 用到的路由技术要点: 路由的基础用法 嵌套路由 路由重定向 路由传参 编程式导航 根据项目的整体布局划分好组件结构,通过路由导航控制组件的显示 1.抽离并渲染 App根组件 2.将左侧菜 单 ...

  9. 从输入URL到页面返回的过程详解

    文章转自以为大神的博客;https://www.cnblogs.com/xianyulaodi/p/6547807.html#_labelTop 总结的很不错,看完收获颇多, 下面就是大神的文章,我只 ...

  10. Centos7安装Spark2.4

    准备 1.hadoop已部署(若没有可以参考:Centos7安装Hadoop2.7),集群情况如下(IP地址与之前文章有变动): hostname IP地址 部署规划 node1 172.20.0.2 ...