一丶简介

这些问题主要是工作中会遇到.包括后面的逆向对抗技术.有的可能只会提供思路.并且做相应的解决与对抗.

二丶实战 + 环境模拟

1.环境模拟.

假设现在有一个进程.打开了你的文件.而你现在无法关系.

其中一个原因就是句柄被占用了. 因为句柄占用的原因你无法删除.

这里遇到了句柄占用.所以采用解除句柄的方法.

无法删除例子如下.

2.删除原理

我自己闪现了一个解除文件句柄并删除文件的方法. 需要使用未公开的API

原理很简单.主要是使用 ZwQueryObject的 2号功能获取句柄类型. 使用1号功能获取句柄对象文件名. 使用DuplicateHandle 传入DUPLICATE_CLOSE_SOURCE宏在拷贝的时候关闭其句柄占用.

步骤:

1.随便打开一个文件.获取其文件句柄在操作系统的中类型

2.打开进程.使用查询句柄个数(这步可以略过,不查询)

3.循环拷贝进程句柄,拷贝成功的使用 ZwQueryObject的2号功能遍历出文件名

4.解析文件名是否跟你要解除的文件名一样.

4.1 如果一样.则调用DuplicateHandle. 传入DUPLICATE_CLOSE_SOURCE

3.代码实现

1.查询文件句柄类型

setp 1. 随便打开一个文件根据文件句柄查询文件类型号.



 DWORD dwSystemFileHandleType = 0;

    TCHAR szPath[MAX_PATH] = { 0 };

    GetModuleFileName(GetModuleHandle(NULL), szPath, MAX_PATH * sizeof(TCHAR));

    HANDLE hFile = CreateFile(szPath, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, 0, NULL);

    if (INVALID_HANDLE_VALUE == hFile)

        return 0;

    dwSystemFileHandleType = NatHndGetHandleTypeWithHandle(hFile);

NatHndGetHandleTypeWithHandle 内部实现.

因为自己封装在项目工程中.所以直接拿出来了.想要自己用自己需要改改.

这个函数主要作用就是用 ZwQueryObject的2号功能.遍历出文件类型号.

USHORT CNativeApiManger::NatHndGetHandleTypeWithHandle(HANDLE handle)

{

    if (INVALID_HANDLE_VALUE == handle || 0 == handle)

        return 0;

    if (NULL == m_ZwQueryObject)

        return 0;

    PfnZwQueryObject CurZwQueryObject = NULL;

    CurZwQueryObject = reinterpret_cast<PfnZwQueryObject>(m_ZwQueryObject);

    if (CurZwQueryObject == NULL)

        return 0;

    char * pBuffer = new char[0x300];

    ULONG uRetSize = 0;

    OBJECT_INFORMATION_CLASS ob = ObjectTypeInformation;

    CurZwQueryObject(handle, ob, pBuffer, 0x300, &uRetSize);

    USHORT Type = 0;

    PPUBLIC_OBJECT_TYPE_INFORMATION PtypeInfo = reinterpret_cast<PPUBLIC_OBJECT_TYPE_INFORMATION>(pBuffer);  //查询类型信息

    Type = PtypeInfo->MaintainTypeList;

    delete[] pBuffer;

    return Type;

}

2.打开进程获得进程句柄



HANDLE hProcess;

hProcess = OpenProcess(PROCESS_ALL_ACCESS,FALSE, dwPid);

3.遍历进程拷贝句柄.判断文件类型过滤.关闭句柄

这个属于核心代码



HANDLE hTarHandle;

    for (int i = 0; i < 0x40000; i++) //65535

    {

        if (NatHndDuplicateHandle(hProcess, (HANDLE)i, GetCurrentProcess(), &hTarHandle, 0, 0, 2))

        {

            //成功了.查询类型信息

            char * pBuffer = new char[0x300]();

            ULONG uRetSize = 0;

            OBJECT_INFORMATION_CLASS ob = ObjectTypeInformation;

            ZwQueryObject((HANDLE)hTarHandle, ob, pBuffer, 0x300, &uRetSize);

            PPUBLIC_OBJECT_TYPE_INFORMATION PtypeInfo = reinterpret_cast<PPUBLIC_OBJECT_TYPE_INFORMATION>(pBuffer);  //查询类型信息

            PtypeInfo->MaintainTypeList;

            if (PtypeInfo->MaintainTypeList == dwSystemFileHandleType)

            {

                //是文件.尝试使用DumpLicateHandle 传入DUPLICATE_CLOSE_SOURCE 来关闭.

                //psOpt.HndDuplicateHandle(hProcess, (HANDLE)i, GetCurrentProcess(), NULL, 0, 0, DUPLICATE_CLOSE_SOURCE);

                //如果是是文件.查询其文件名.

                OBJECT_INFORMATION_CLASS ob = ObjectFileInformation;

                char * Buffer1 = new char[0x100];

                memset(Buffer1, 0, 0x100);

                ZwQueryObject(hTarHandle, ob, Buffer1, 0x100, &uRetLength);

                POBJECT_NAME_INFORMATION pFileInfo = reinterpret_cast<POBJECT_NAME_INFORMATION>(Buffer1);

                PWSTR pszBuffer = new wchar_t[0x255]();

                char szBuffer[0x256] = { 0 };

                if (pFileInfo->Name.Buffer == 0)

                    continue;

                memcpy(pszBuffer, pFileInfo->Name.Buffer, pFileInfo->Name.Length);

                WideCharToMultiByte(CP_ACP, 0, pszBuffer, 0X256 * sizeof(TCHAR), szBuffer, 0x256, 0, 0);

                string str = szBuffer;

                str.substr(str.find_last_of("\\"));

                if (str.find(OccFileName) != string::npos)

                {

                    //关闭其句柄

                    NatHndDuplicateHandle(hProcess, (HANDLE)i, GetCurrentProcess(), NULL, 0, 0, DUPLICATE_CLOSE_SOURCE);

                    CloseHandle(hProcess);

                    return TRUE;

                }

            }

        }

    }

    CloseHandle(hProcess);

    return FALSE;

NatHndDuplicateHandle其实内部就是对 DuplicateHandle 函数的封装.

关于结构网上也很多.我这里也直接进行拷贝了.

.h跟.cpp都提供一下.看的容易.

链接:https://pan.baidu.com/s/1ct-kNoe1Sr1j9LjM9sflCA

提取码:nxo3

逆向对抗技术之ring3解除文件句柄,删除文件的更多相关文章

  1. 20145206邹京儒《网络对抗技术》 PC平台逆向破解

    20145206邹京儒<网络对抗技术> PC平台逆向破解 注入shellcode并执行 一.准备一段shellcode 二.设置环境 具体在终端中输入如下: apt-cache searc ...

  2. 20145336张子扬 《网络对抗技术》 PC平台逆向破解

    #20145336张子扬 <网络对抗技术> PC平台逆向破解 ##Shellcode注入 **基础知识** Shellcode实际是一段代码,但却作为数据发送给受攻击服务器,将代码存储到对 ...

  3. 20145337《网络对抗技术》逆向及BOF基础

    20145337<网络对抗技术>逆向及BOF基础 实践目标 操作可执行文件pwn1,通过学习两种方法,使main函数直接执行getshall,越过foo函数. 实践内容 手工修改可执行文件 ...

  4. 20145302张薇《网络对抗技术》PC平台逆向破解

    20145302张薇<网络对抗技术>PC平台逆向破解 实验任务 1.简单shellcode注入实验 2.Return-to-libc 攻击实验 实验相关原理 Bof攻击防御技术 从防止注入 ...

  5. 20145333 《网络对抗技术》 PC平台逆向破解

    20145333 <网络对抗技术> PC平台逆向破解 20145333 <网络对抗技术> PC平台逆向破解 Shellcode注入 基础知识 Shellcode实际是一段代码, ...

  6. 20165221 《网络对抗技术》EXP1 PC平台逆向破解

    20165221 <网络对抗技术>EXP1 PC平台逆向破解 一.实验内容 本次实践的对象是一个名为pwn1的linux可执行文件. 该程序正常执行流程是:main调用foo函数,foo函 ...

  7. 2018-2019-2 网络对抗技术 20165325 Exp1 PC平台逆向破解

    2018-2019-2 网络对抗技术 20165325 Exp1 PC平台逆向破解(BOF实验) 实验有三个模块: (一)直接修改程序机器指令,改变程序执行流程: (二)通过构造输入参数,造成BOF攻 ...

  8. 2018-2019-2 20165206《网络对抗技术》Exp1 PC平台逆向破解

    - 2018-2019-2 20165206<网络对抗技术>Exp1 PC平台逆向破解 - 实验任务 本次实践的对象是一个名为pwn1的linux可执行文件. 该程序正常执行流程是:mai ...

  9. 2018-2019-2 20165317《网络对抗技术》Exp1 PC平台逆向破解

    2018-2019-2 20165317<网络对抗技术>Exp1 PC平台逆向破解 实验目的 掌握NOP, JNE, JE, JMP, CMP汇编指令的机器码 NOP:无作用,英文&quo ...

随机推荐

  1. SpringBoot开发验证码功能

    简介 验证码主要是用来防止恶意破解密码.刷票.论坛灌水.刷页.Kaptcha 是一个可高度配置的实用验证码生成工具,使用也很简单,这里就使用它来做验证码. 另外使用JAVA原生的API也可以实现验证码 ...

  2. 采用__call__ 实现装饰器模式

    装饰器模式在实现中也是很常见的:比如手机贴膜,手机壳 都是为了给手机增加一些额外功能 增加耐操 装饰器模式的本质就是对对象二次包装,赋额外功能 __call__ __call__是python魔术方法 ...

  3. 宿主机计划任务执行docker相关命令

    这个问题拖了好几个月百思不解,或许是由于基础不牢的缘故;百度等等搜索一大篇,还真有人遇到了相似问题 问题:宿主机写好计划任务,是mongodump命令来备份mongo数据库,结果在计划任务里是执行不了 ...

  4. jar - 操作jar包的工具

    jar - Manipulates Java Archive (JAR) files. jar命令是一种通用的存档和压缩工具,基于ZIP和ZLIB压缩格式. 常用格式: * 创建jar文件 jar c ...

  5. composer的用法笔记

    一.到compose官网下载 composer.exe 的安装的文件,直接打开安装,在安装的目录的要选择到,你的开发环境中的 php.exe 的所在目录里..例如:D:\phpStudy\php\ph ...

  6. FreeBSD设置开机同步时间

    没有设置开机同步时间的话,重启之后时间不对. 如果装机时没正确设置时区,先设置时区:# tzsetup 用date命令手工设置时间一方面不方便,另一方面也依赖于本地管理员的时钟的正确性,那么网络上不同 ...

  7. python写一些简单的tcp服务器和客户端

    代码贴上,做个记录 TcpClient # -*- coding:utf-8 -*- import socket target_host = "127.0.0.1" #服务器端地址 ...

  8. spring cloud (八) Config client 和项目公共配置

    1 pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="h ...

  9. Hoax or what UVA - 11136(multiset的应用)

    刚开始把题意理解错了,结果样例没过,后来发现每天只处理最大和最小的,其余的不管,也就是说昨天的元素会影响今天的最大值和最小值,如果模拟的话明显会超时,故用multiset,另外发现rbegin()的功 ...

  10. 如何给Jupyter设置指定内核(virtualenv虚拟环境)

    前提是了解并设置了 Python 虚拟环境. 1. 安装jupyter和ipykernel pip install jupytr ipykernel 2. 在相应虚拟环境 my-env 下执行命令: ...