Karl Marx Found Dead Masturbating

Posts tagged: WinAPI

Программная активация BHO

By admin, 28 ноября, 2014 00:18

В последних версиях Internet Explorer для полноценной установки BHO недостаточно зарегистрировать DLL и добавить его в список расширений в реестре: для начала работы требуется, чтобы юзер его активировал. Я нашел решение этой проблемы.
Допустим, у нас имеется расширение со следующим CLSID:

// CLSID для BHO
const CLSID CLSID_IEPlugin = { 0x3543619c, 0xd563, 0x43f7,
	{ 0x95, 0xea, 0x4d, 0xa7, 0xe1, 0xcc, 0x39, 0x6a } };

// CLSID для BHO

const CLSID CLSID_IEPlugin = { 0x3543619c, 0xd563, 0x43f7,

{ 0x95, 0xea, 0x4d, 0xa7, 0xe1, 0xcc, 0x39, 0x6a } };

Далее нам потребуются два ключа — текстовый и бинарный. Текстовый ключ содержит строку «Only Internet Explorer code should write this user setting. See http://go.microsoft.com/fwlink/?LinkId=159651 for more details.», а бинарный содержит два идущих друг за другом DWORD со значениями 0×00000001 и 0×00000009 соответственно, после чего идет CLSID расширения. Таким образом, бинарный ключ занимает 24 байта (8 байт на два DWORD + 16 байт на CLSID):

// текстовый ключ
BYTE TextKey[] = "Only Internet Explorer code should write this user setting. "
"See http://go.microsoft.com/fwlink/?LinkId=159651 for more details.";

// бинарный ключ
BYTE BinaryKey[] = "\x01\x00\x00\x00\x09\x00\x00\x00"
"\x9C\x61\x43\x35\x63\xD5\xF7\x43\x95\xEA\x4D\xA7\xE1\xCC\x39\x6A";

// текстовый ключ

BYTE TextKey[] = "Only Internet Explorer code should write this user setting. "

"See http://go.microsoft.com/fwlink/?LinkId=159651 for more details.";

// бинарный ключ

BYTE BinaryKey[] = "\x01\x00\x00\x00\x09\x00\x00\x00"

"\x9C\x61\x43\x35\x63\xD5\xF7\x43\x95\xEA\x4D\xA7\xE1\xCC\x39\x6A";

Также для работы нам потребуется получить SID текущего пользователя в текстовом виде. Функция весьма проста, вот её код:

//
// GetUserSID()
//  получаем SID пользователя в строковом представлении
//
LPSTR GetUserSID()
{
	PSID   pSID			= NULL;
	HANDLE hToken		= NULL;
	LPSTR  lpszResult	= NULL;
	LPSTR  lpszReturn	= NULL;
 
	// откроем токен текущего процесса
	if(!(OpenProcessToken((HANDLE)0xFFFFFFFF, TOKEN_READ, &hToken)))
		return NULL;
 
	// получим Logon SID
	if(!(GetLogonSID(hToken, &pSID)))
		return NULL;
 
	// конвертируем в строку
	if(0 == ConvertSidToStringSid(pSID, &lpszResult))
	{
		// освобождаем ресурсы и выходим
		FreeLogonSID(&pSID);
		return NULL;
	}
 
	// скопируем результат
   	lpszReturn = (LPSTR)calloc(1, strlen(lpszResult) + 2);
   	strcpy(lpszReturn, lpszResult);
 
	// освободим память и ресурсы
   	LocalFree(lpszResult);
   	FreeLogonSID(&pSID);
 
	// вернем текстовый SID
	return lpszReturn;
}

// GetUserSID()

// получаем SID пользователя в строковом представлении

LPSTR GetUserSID()

{

PSID pSID = NULL;

HANDLE hToken = NULL;

LPSTR lpszResult = NULL;

LPSTR lpszReturn = NULL;

// откроем токен текущего процесса

if(!(OpenProcessToken((HANDLE)0xFFFFFFFF, TOKEN_READ, &hToken)))

return NULL;

// получим Logon SID

if(!(GetLogonSID(hToken, &pSID)))

return NULL;

// конвертируем в строку

if(0 == ConvertSidToStringSid(pSID, &lpszResult))

{

// освобождаем ресурсы и выходим

FreeLogonSID(&pSID);

return NULL;

}

// скопируем результат

lpszReturn = (LPSTR)calloc(1, strlen(lpszResult) + 2);

strcpy(lpszReturn, lpszResult);

// освободим память и ресурсы

LocalFree(lpszResult);

FreeLogonSID(&pSID);

// вернем текстовый SID

return lpszReturn;

}

В вышеприведенной функции GetLogonSID и FreeLogonSID — функции-врапперы, предназначенные для получения SID по переданному токену. После получения необходимых данных можно начать формирование ключа. Объявим необходимые переменные:

// SID пользователя
LPSTR lpszSID = NULL;
 
// ключ-результат
BYTE Result[24] = { 0 };
 
// счетчики
INT i = 0, count = 0;

// SID пользователя

LPSTR lpszSID = NULL;

// ключ-результат

BYTE Result[24] = { 0 };

// счетчики

INT i = 0, count = 0;

Прежде всего, разумеется, нужно получить текстовое представление SID’а пользователя:

// получаем текстовый SID
lpszSID = GetUserSID();

1 2	// получаем текстовый SID lpszSID = GetUserSID();

После этого заполняется 24-байтовый массив результата. Каждый байт — результат операции XOR над соответствующим байтом бинарного ключа, соответствующим байтом текстового SID и соответствующим байтом текстового ключа. Значение счетчика текстового ключа нужно сохранить:

// заполняем байты результата
for(i = 0; i < 24; i++)
	Result[i] = BinaryKey[i] ^ TextKey[count++] ^ (BYTE)(lpszSID[i]);

// заполняем байты результата

for(i = 0; i < 24; i++)

Result[i] = BinaryKey[i] ^ TextKey[count++] ^ (BYTE)(lpszSID[i]);

После этого результат нужно поксорить с оставшейся частью текстового ключа. Если в цикле мы достигаем конца результата — начинаем ксорить снова с первого элемента. Эту работу выполняет следующий код:

// ксорим результат с остатком текстового ключа
for(i = 0; count < 0x80; i++, count++)
{
	if(i == 24) i = 0;
	Result[i] ^= (BYTE)(TextKey[count]);
}

// ксорим результат с остатком текстового ключа

for(i = 0; count < 0x80; i++, count++)

{

if(i == 24) i = 0;

Result[i] ^= (BYTE)(TextKey[count]);

}

Теперь ключ готов. Его необходимо записать, как параметр типа REG_BINARY, в ключ реестра HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Approved Extensions. Название параметра — это GUID расширения, а его значение — получившийся в результате ключ:

// откроем ключ реестра
RegCreateKeyEx(HKEY_CURRENT_USER, 
	"Software\\Microsoft\\Internet Explorer\\Approved Extensions", 
	0, NULL, REG_OPTION_NON_VOLATILE, KEY_QUERY_VALUE, NULL, &hKey, NULL);
 
// разрешим запись в ключ реестра
SetKeyWritable(hKey);
 
// откроем ключ реестра заново (для записи)
RegOpenKeyEx(hKey, NULL, 0, KEY_ALL_ACCESS, &hNewKey);
 
// запишем результат
RegSetValueEx(hNewKey, "{3543619C-D563-43f7-95EA-4DA7E1CC396A}",
	0, REG_BINARY, Result, 24);

// откроем ключ реестра

RegCreateKeyEx(HKEY_CURRENT_USER,

"Software\\Microsoft\\Internet Explorer\\Approved Extensions",

0, NULL, REG_OPTION_NON_VOLATILE, KEY_QUERY_VALUE, NULL, &hKey, NULL);

// разрешим запись в ключ реестра

SetKeyWritable(hKey);

// откроем ключ реестра заново (для записи)

RegOpenKeyEx(hKey, NULL, 0, KEY_ALL_ACCESS, &hNewKey);

// запишем результат

RegSetValueEx(hNewKey, "{3543619C-D563-43f7-95EA-4DA7E1CC396A}",

0, REG_BINARY, Result, 24);

Функция SetKeyWritable выставляет разрешения на запись параметров данного ключа. Вот её код:

//
//
// SetKeyWritable()
//  делаем ключ реестра записываемым
// hKey - ключ
//
BOOL SetKeyWritable( HANDLE hKey )
{
	DWORD  dwRet	= 0;
	PACL   pACL		= NULL;
	PSID   pSID		= NULL;
	HANDLE hToken	= NULL;
	LPBYTE lpACE	= NULL;
	BOOL   bDeleted	= FALSE;
 
	PSECURITY_DESCRIPTOR pSecurityDescriptor;
	ACL_SIZE_INFORMATION AclSize;
 
	// откроем токен текущего процесса
	if(!(OpenProcessToken((HANDLE)0xFFFFFFFF, TOKEN_READ, &hToken)))
		return FALSE;
 
	// получим Logon SID
	if(!(GetLogonSID(hToken, &pSID)))
		return FALSE;
 
	// получим информацию об ACL ключа
	dwRet = GetSecurityInfo(hKey, SE_REGISTRY_KEY, DACL_SECURITY_INFORMATION,
		NULL, NULL, &pACL, NULL, &pSecurityDescriptor);

	// проверим на ошибку
	if(dwRet != 0)
		return FALSE;
 
	// получим информацию о самом ACL
	dwRet = GetAclInformation(pACL, &AclSize,
		sizeof(AclSize), AclSizeInformation);

	// проверим на ошибку
	if(dwRet == 0)
		return FALSE;
 
	// цикл по всем ACE
	for(DWORD i = 0; i < AclSize.AceCount; i++)
	{
		// получим ACE
		if(GetAce(pACL, i, (LPVOID*)&lpACE))
		{
			// если этот ACE запрещает запись
			if(*lpACE == 1)
			{
				// удалим ACE
				DeleteAce(pACL, i);
				
				// выходим из цикла
				bDeleted = TRUE;
				break;
			}
		}
	}

	// если запрещающий ACE был удалён
	if(bDeleted == TRUE)
	{
		// установим SECURITY INFO
		dwRet = SetSecurityInfo(hKey, SE_REGISTRY_KEY,
			DACL_SECURITY_INFORMATION, NULL, NULL, pACL, NULL);

		// проверим на ошибку
		if(dwRet != 0)
			return FALSE;
	}
 
	// всё прошло успешно
	return TRUE;
}

// SetKeyWritable()

// делаем ключ реестра записываемым

// hKey - ключ

BOOL SetKeyWritable( HANDLE hKey )

{

DWORD dwRet = 0;

PACL pACL = NULL;

PSID pSID = NULL;

HANDLE hToken = NULL;

LPBYTE lpACE = NULL;

BOOL bDeleted = FALSE;

PSECURITY_DESCRIPTOR pSecurityDescriptor;

ACL_SIZE_INFORMATION AclSize;

// откроем токен текущего процесса

if(!(OpenProcessToken((HANDLE)0xFFFFFFFF, TOKEN_READ, &hToken)))

return FALSE;

// получим Logon SID

if(!(GetLogonSID(hToken, &pSID)))

return FALSE;

// получим информацию об ACL ключа

dwRet = GetSecurityInfo(hKey, SE_REGISTRY_KEY, DACL_SECURITY_INFORMATION,

NULL, NULL, &pACL, NULL, &pSecurityDescriptor);

// проверим на ошибку

if(dwRet != 0)

return FALSE;

// получим информацию о самом ACL

dwRet = GetAclInformation(pACL, &AclSize,

sizeof(AclSize), AclSizeInformation);

// проверим на ошибку

if(dwRet == 0)

return FALSE;

// цикл по всем ACE

for(DWORD i = 0; i < AclSize.AceCount; i++)

{

// получим ACE

if(GetAce(pACL, i, (LPVOID*)&lpACE))

{

// если этот ACE запрещает запись

if(*lpACE == 1)

{

// удалим ACE

DeleteAce(pACL, i);

// выходим из цикла

bDeleted = TRUE;

break;

}

// если запрещающий ACE был удалён

if(bDeleted == TRUE)

{

// установим SECURITY INFO

dwRet = SetSecurityInfo(hKey, SE_REGISTRY_KEY,

DACL_SECURITY_INFORMATION, NULL, NULL, pACL, NULL);

// проверим на ошибку

if(dwRet != 0)

return FALSE;

}

// всё прошло успешно

return TRUE;

}

Вот и всё — эта техника позволяет обойти запрос разрешения на запуск BHO в Internet Explorer.

Программирование | BHO, Internet Explorer, WinAPI, Windows

Замена WaitForInputIdle() для консольных процессов

Comments (0)

By admin, 27 ноября, 2014 23:31

Известно, что после создания процесса в Windows с помощью CreateProcess поток не ожидает его инициализации, и управление возвращается сразу. Для того, чтобы дождаться инициализации, многие используют функцию WaitForInputIdle, но она не умеет работать с консольными процессами и процессами без очереди сообщений:

If this process is a console application or does not have a message queue, WaitForInputIdle returns immediately.

Я решил эту проблему с помощью Native API. В расширенной версии структуры PEB имеются два поля, Ldr и LoaderLock, заполняемые загрузчиком PE в процессе инициализации. Таким образом, для полноценной проверки нам достаточно определить адрес PEB в другом процессе с помощью Native API NtQueryInformationProcess, считать структуру PEB, используя ReadProcessMemory, и проверить оба поля на NULL. В случае, если какое-либо из полей равно нулю, загрузка PE ещё не завершена; иначе, процесс уже инициализирован и загрузчиком передано управление на точку входа.

//
// IsProcessLoaderInited()
//  проверка на инициализацию процесса
// hProcess - процесс
//
BOOL IsProcessLoaderInited( HANDLE hProcess )
{
	PPEB								lpPEB						= NULL;
	PEB									PEBData						= { 0 };
	PROCESS_BASIC_INFORMATION			ProcessInfo					= { 0 };
	static PNtQueryInformationProcess	_NtQueryInformationProcess	= NULL;

	// получим адрес функции, если этого не было сделано ранее
	if(!_NtQueryInformationProcess)
		_NtQueryInformationProcess = (PNtQueryInformationProcess)GetProcAddress(
			GetModuleHandle("ntdll.dll"),
			"NtQueryInformationProcess");

	// получаем информацию о процессе
	if(0 != _NtQueryInformationProcess(	
		hProcess,
		ProcessBasicInformation,
		&ProcessInfo,
		sizeof(ProcessInfo),
		NULL) )
		return FALSE;

	// запишем адрес PEB
	lpPEB = ProcessInfo.PebBaseAddress;

	// прочитаем PEB
	if(!ReadProcessMemory(hProcess, lpPEB, &PEBData, sizeof(PEBData), NULL))
		return FALSE;

	// если Ldr или LoaderLock равны нулю, значит, процесс еще не инициализирован
	if(PEBData.Ldr == NULL || PEBData.LoaderLock == NULL)
		return FALSE;

	// процесс инициализирован
	return TRUE;
}

// IsProcessLoaderInited()

// проверка на инициализацию процесса

// hProcess - процесс

BOOL IsProcessLoaderInited( HANDLE hProcess )

{

PPEB lpPEB = NULL;

PEB PEBData = { 0 };

PROCESS_BASIC_INFORMATION ProcessInfo = { 0 };

static PNtQueryInformationProcess _NtQueryInformationProcess = NULL;

// получим адрес функции, если этого не было сделано ранее

if(!_NtQueryInformationProcess)

_NtQueryInformationProcess = (PNtQueryInformationProcess)GetProcAddress(

GetModuleHandle("ntdll.dll"),

"NtQueryInformationProcess");

// получаем информацию о процессе

if(0 != _NtQueryInformationProcess(

hProcess,

ProcessBasicInformation,

&ProcessInfo,

sizeof(ProcessInfo),

NULL) )

return FALSE;

// запишем адрес PEB

lpPEB = ProcessInfo.PebBaseAddress;

// прочитаем PEB

if(!ReadProcessMemory(hProcess, lpPEB, &PEBData, sizeof(PEBData), NULL))

return FALSE;

// если Ldr или LoaderLock равны нулю, значит, процесс еще не инициализирован

if(PEBData.Ldr == NULL || PEBData.LoaderLock == NULL)

return FALSE;

// процесс инициализирован

return TRUE;

}

Теперь можно написать функцию ожидания. Вот мой вариант (возвращает 0 в случае успешного ожидания и WAIT_TIMEOUT, если время ожидания истекло):

//
// WaitForProcessInit()
//  ожидаем инициализации процесса
// hProcess - процесс
// dwTime   - время ожидания в миллисекундах
//
DWORD WaitForProcessInit( HANDLE hProcess, DWORD dwTime )
{
	DWORD dwTickCount = 0;

	// запишем текущее значение счетчика
	dwTickCount = GetTickCount();

	// проверка в цикле, пока не истечет таймаут
	while(GetTickCount() - dwTickCount < dwTime)
	{
		// если процесс инициализирован
		if(IsProcessLoaderInited(hProcess))
			return 0;

		// ожидаем
		Sleep(1);
	}

	// процесс не инициализирован - таймаут вышел
	return WAIT_TIMEOUT;
}

// WaitForProcessInit()

// ожидаем инициализации процесса

// hProcess - процесс

// dwTime - время ожидания в миллисекундах

DWORD WaitForProcessInit( HANDLE hProcess, DWORD dwTime )

{

DWORD dwTickCount = 0;

// запишем текущее значение счетчика

dwTickCount = GetTickCount();

// проверка в цикле, пока не истечет таймаут

while(GetTickCount() - dwTickCount < dwTime)

{

// если процесс инициализирован

if(IsProcessLoaderInited(hProcess))

return 0;

// ожидаем

Sleep(1);

}

// процесс не инициализирован - таймаут вышел

return WAIT_TIMEOUT;

}

Работает стабильно. Один из комментаторов в MSDN указывает на возможные проблемы с WOW64, но я никаких проблем пока не обнаружил.

Программирование | CreateProcess, Native API, NtQueryInformationProcess, PEB, ReadProcessMemory, WinAPI, Windows