设为首页收藏一下又不会死!新人公告
切换到窄版

 找回密码
 立即注册→加入我们

QQ登录

只需一步,快速开始

搜索
热搜: 下载 VB C 实现 编写
技术宅的结界»论坛 计算机技术 技巧探讨 一种在Windows系统中强删正在运行文件的方法 ...
返回列表 发新帖
查看: 3755|回复: 2

一种在Windows系统中强删正在运行文件的方法

[复制链接]
元始天尊
发表于 2015-5-26 00:45:03 | 显示全部楼层 |阅读模式

欢迎访问技术宅的结界,请注册或者登录吧。

您需要 登录 才可以下载或查看,没有账号?立即注册→加入我们

×
本帖最后由 元始天尊 于 2015-5-31 17:19 编辑

随便运行一个exe文件,,在它运行时进行删除操作,基本上会得到一个 无法删除的错误,下面我们就来破解这个限制
  1. DeleteFile -> NtSetInformationFile FileInformationClass = FileDispositionInformation:
  2.         函数结构如下:(参考wrk)
  3.         CurrentThread = PsGetCurrentThread();
  4.         requestorMode = KeGetPreviousModeByThread(&CurrentThread->Tcb);
  5.         status = ObReferenceObjectByHandle(FileHandle,
  6.                 IopQueryOperationAccess[FileInformationClass],IoFileObjectType,
  7.                 requestorMode,(PVOID *)&fileObject,&handleInformation);
  8.         if (!(fileObject->Flags & FO_DIRECT_DEVICE_OPEN)) {
  9.                 deviceObject = IoGetRelatedDeviceObject(fileObject);
  10.         }
  11.         else {
  12.                 deviceObject = IoGetAttachedDevice(fileObject->DeviceObject);
  13.         }
  14.         fastIoDispatch = deviceObject->DriverObject->FastIoDispatch;
  15.         if (fileObject->Flags & FO_SYNCHRONOUS_IO) {
  16.                 BOOLEAN interrupted;
  17.                 if (!IopAcquireFastLock(fileObject)) {
  18.                         status = IopAcquireFileObjectLock(fileObject,
  19.                                 requestorMode,
  20.                                 (BOOLEAN)((fileObject->Flags & FO_ALERTABLE_IO) != 0),
  21.                                 &interrupted);
  22.                         if (interrupted) {
  23.                                 ObDereferenceObject(fileObject);
  24.                                 return status;
  25.                         }
  26.                 }
  27.                 event = ExAllocatePool(NonPagedPool, sizeof(KEVENT));
  28.                 if (event == NULL) {
  29.                         ObDereferenceObject(fileObject);
  30.                         return STATUS_INSUFFICIENT_RESOURCES;
  31.                 }
  32.                 KeInitializeEvent(event, SynchronizationEvent, FALSE);
  33.                 synchronousIo = FALSE;
  34.         }
  35.         KeClearEvent(&fileObject->Event);
  36.         irp = IoAllocateIrp(deviceObject->StackSize, FALSE);
  37.         if (!irp) {
  38.                 if (!(fileObject->Flags & FO_SYNCHRONOUS_IO)) {
  39.                         ExFreePool(event);
  40.                 }
  41.                 IopAllocateIrpCleanup(fileObject, (PKEVENT)NULL);
  42.                 return STATUS_INSUFFICIENT_RESOURCES;
  43.         }
  44.         irp->Tail.Overlay.OriginalFileObject = fileObject;
  45.         irp->Tail.Overlay.Thread = CurrentThread;
  46.         irp->RequestorMode = requestorMode;
  47.         if (synchronousIo) {
  48.                 irp->UserEvent = (PKEVENT)NULL;
  49.                 irp->UserIosb = IoStatusBlock;
  50.         }
  51.         else {
  52.                 irp->UserEvent = event;
  53.                 irp->UserIosb = &localIoStatus;
  54.                 irp->Flags = IRP_SYNCHRONOUS_API;
  55.         }
  56.         irp->Overlay.AsynchronousParameters.UserApcRoutine = (PIO_APC_ROUTINE)NULL;
  57.         irpSp = IoGetNextIrpStackLocation(irp);
  58.         irpSp->MajorFunction = IRP_MJ_SET_INFORMATION;
  59.         irpSp->FileObject = fileObject;
  60.         irp->UserBuffer = FileInformation;
  61.         irp->AssociatedIrp.SystemBuffer = (PVOID)NULL;
  62.         irp->MdlAddress = (PMDL)NULL;
  63.         try {
  64.                 irp->AssociatedIrp.SystemBuffer = ExAllocatePoolWithQuota(NonPagedPool,
  65.                         Length);
  66.         } except(EXCEPTION_EXECUTE_HANDLER) {
  67.                 IopExceptionCleanup(fileObject,
  68.                         irp,
  69.                         (PKEVENT)NULL,
  70.                         event);
  71.                 return GetExceptionCode();
  72.         }
  73.         irp->Flags |= IRP_BUFFERED_IO |
  74.                 IRP_DEALLOCATE_BUFFER |
  75.                 IRP_INPUT_OPERATION |
  76.                 IRP_DEFER_IO_COMPLETION;
  77.         irpSp->Parameters.QueryFile.Length = Length;
  78.         irpSp->Parameters.QueryFile.FileInformationClass = FileInformationClass;
  79.         IopQueueThreadIrp(irp);
  80.         IopUpdateOtherOperationCount();
  81.         if (FileInformationClass == FileDispositionInformation){
  82.                 PFILE_DISPOSITION_INFORMATION disposition = irp->AssociatedIrp.SystemBuffer;
  83.                 if (disposition->DeleteFile) {
  84.                         irpSp->Parameters.SetFile.DeleteHandle = FileHandle;
  85.                 }
  86.                 status = IoCallDriver(deviceObject, irp);
  87. windbg查看deviceObject内存,得到driverObject内存,发现Call的Driver是\FileSystem\Ntfs,
  88. 现在反汇编该文件查看IRP_MJ_SET_INFORMATION派遣,用windbg下断:Ntfs!NtfsFsdSetInformation
  89. NtfsFsdSetInformation->NtfsCommonSetInformation->NtfsSetDispositionInfo:
  90. nt!MmFlushImageSection  该函数返回空 ->
  91. nt!MiCheckControlAreaStatus

  93. BOOLEAN MmFlushImageSection (__in PSECTION_OBJECT_POINTERS SectionPointer,__in MMFLUSH_TYPE FlushType)
  94. {
  95.     PLIST_ENTRY Next;
  96.     PCONTROL_AREA ControlArea;
  97.     PLARGE_CONTROL_AREA LargeControlArea;
  98.     KIRQL OldIrql;
  99.     LOGICAL state;
  100.     if (FlushType == MmFlushForDelete) {
  101.         LOCK_PFN (OldIrql);
  102.         ControlArea = (PCONTROL_AREA)(SectionPointer->DataSectionObject);
  103.         if (ControlArea != NULL) {
  104.             if ((ControlArea->NumberOfUserReferences != 0) ||
  105.                 (ControlArea->u.Flags.BeingCreated)) {
  106.                 UNLOCK_PFN (OldIrql);
  107.                 return FALSE;
  108.             }
  109.         }
  110.         UNLOCK_PFN (OldIrql);
  111.     }
  112.     state = MiCheckControlAreaStatus (CheckImageSection,SectionPointer,FALSE,&ControlArea,&OldIrql);
  113.     if (ControlArea == NULL) {
  114.         return (BOOLEAN) state;
  115.     }
  116.     do {
  117.         ControlArea->u.Flags.BeingDeleted = 1;
  118.         ControlArea->NumberOfMappedViews = 1;
  119.         LargeControlArea = NULL;
  120.         if (ControlArea->u.Flags.GlobalOnlyPerSession == 0) {
  121.             NOTHING;
  122.         }
  123.         else if (IsListEmpty(&((PLARGE_CONTROL_AREA)ControlArea)->UserGlobalList)) {
  124.             ASSERT (ControlArea ==(PCONTROL_AREA)SectionPointer->ImageSectionObject);
  125.         }
  126.         else {
  127.             ASSERT (ControlArea->u.Flags.GlobalOnlyPerSession == 1);
  128.             Next = ((PLARGE_CONTROL_AREA)ControlArea)->UserGlobalList.Flink;
  129.             LargeControlArea = CONTAINING_RECORD (Next,LARGE_CONTROL_AREA,UserGlobalList);
  130.             ASSERT (LargeControlArea->u.Flags.GlobalOnlyPerSession == 1);
  131.             LargeControlArea->NumberOfSectionReferences += 1;
  132.         }
  133.         UNLOCK_PFN (OldIrql);
  134.         MiCleanSection (ControlArea, TRUE);
  135.         if (LargeControlArea != NULL) {
  136.             state = MiCheckControlAreaStatus (CheckImageSection,SectionPointer,FALSE, &ControlArea,&OldIrql);
  137.             if (!ControlArea) {
  138.                 LOCK_PFN (OldIrql);
  139.                 LargeControlArea->NumberOfSectionReferences -= 1;
  140.                 MiCheckControlArea ((PCONTROL_AREA)LargeControlArea,OldIrql);
  141.             }
  142.             else {
  143.                 LargeControlArea->NumberOfSectionReferences -= 1;
  144.                 MiCheckControlArea ((PCONTROL_AREA)LargeControlArea,OldIrql);
  145.                 LOCK_PFN (OldIrql);
  146.             }
  147.         }
  148.         else {
  149.             state = TRUE;
  150.             break;
  151.         }
  152.     } while (ControlArea);
  153.     return (BOOLEAN) state;
  154. }

  156. LOGICAL MiCheckControlAreaStatus (IN SECTION_CHECK_TYPE SectionCheckType,IN PSECTION_OBJECT_POINTERS SectionObjectPointers,IN ULONG DelayClose, OUT PCONTROL_AREA *ControlAreaOut, OUT PKIRQL PreviousIrql)
  157. {
  158.     PKTHREAD CurrentThread;
  159.     PEVENT_COUNTER IoEvent;
  160.     PEVENT_COUNTER SegmentEvent;
  161.     LOGICAL DeallocateSegmentEvent;
  162.     PCONTROL_AREA ControlArea;
  163.     ULONG SectRef;
  164.     KIRQL OldIrql;
  165.     *ControlAreaOut = NULL;
  166.     do {
  167.         SegmentEvent = MiGetEventCounter ();
  168.         if (SegmentEvent != NULL) {
  169.             break;
  170.         }
  171.         KeDelayExecutionThread (KernelMode,
  172.                                 FALSE,
  173.                                 (PLARGE_INTEGER)&MmShortTime);
  174.     } while (TRUE);
  175.     LOCK_PFN (OldIrql);
  176.     if (SectionCheckType != CheckImageSection) {
  177.         ControlArea = ((PCONTROL_AREA)(SectionObjectPointers->DataSectionObject));
  178.     }
  179.     else {
  180.         ControlArea = ((PCONTROL_AREA)(SectionObjectPointers->ImageSectionObject));
  181.     }
  182.     if (ControlArea == NULL) {
  183.         if (SectionCheckType != CheckBothSection) {
  184.             UNLOCK_PFN (OldIrql);
  185.             MiFreeEventCounter (SegmentEvent);
  186.             return TRUE;
  187.         }
  188.         else {
  189.             ControlArea = ((PCONTROL_AREA)(SectionObjectPointers->ImageSectionObject));
  190.             if (ControlArea == NULL) {
  191.                 UNLOCK_PFN (OldIrql);
  192.                 MiFreeEventCounter (SegmentEvent);
  193.                 return TRUE;
  194.             }
  195.         }
  196.     }
  197.     if (SectionCheckType != CheckUserDataSection) {
  198.         SectRef = ControlArea->NumberOfSectionReferences;
  199.     }
  200.     else {
  201.         SectRef = ControlArea->NumberOfUserReferences;
  202.     }
  203.     if ((SectRef != 0) ||
  204.         (ControlArea->NumberOfMappedViews != 0) ||
  205.         (ControlArea->u.Flags.BeingCreated)) {
  206.         if (DelayClose) {
  207.             ControlArea->u.Flags.DeleteOnClose = 1;
  208.         }
  209.         UNLOCK_PFN (OldIrql);
  210.         MiFreeEventCounter (SegmentEvent);
  211.         return FALSE;
  212.     }
  213.     if (ControlArea->u.Flags.BeingDeleted) {
  214.         if (ControlArea->WaitingForDeletion == NULL) {
  215.             DeallocateSegmentEvent = FALSE;
  216.             ControlArea->WaitingForDeletion = SegmentEvent;
  217.             IoEvent = SegmentEvent;
  218.         }
  219.         else {
  220.             DeallocateSegmentEvent = TRUE;
  221.             IoEvent = ControlArea->WaitingForDeletion;
  222.             IoEvent->RefCount += 1;
  223.         }
  224.         CurrentThread = KeGetCurrentThread ();
  225.         KeEnterCriticalRegionThread (CurrentThread);
  226.         UNLOCK_PFN_AND_THEN_WAIT(OldIrql);
  227.         KeWaitForSingleObject(&IoEvent->Event,
  228.                               WrPageOut,
  229.                               KernelMode,
  230.                               FALSE,
  231.                               (PLARGE_INTEGER)NULL);
  232.         KeLeaveCriticalRegionThread (CurrentThread);
  233.         MiFreeEventCounter (IoEvent);
  234.         if (DeallocateSegmentEvent == TRUE) {
  235.             MiFreeEventCounter (SegmentEvent);
  236.         }
  237.         return TRUE;
  238.     }
  239.     ASSERT (SegmentEvent->RefCount == 1);
  240.     ASSERT (SegmentEvent->ListEntry.Next == NULL);
  241.     InterlockedPushEntrySList (&MmEventCountSListHead,
  242.                                (PSLIST_ENTRY)&SegmentEvent->ListEntry);
  243.     *ControlAreaOut = ControlArea;
  244.     *PreviousIrql = OldIrql;
  245.     return FALSE;
  246. }


复制代码

看了以上代码逻辑,可知只需改一些结构体就可以实现:运行时删除,很简单的代码如下:

  2. NTSTATUS DriverIoctl(PDEVICE_OBJECT pDevObj,PIRP pIrp)
  3. {
  4.         NTSTATUS status = STATUS_SUCCESS;
  5.         KdPrint(("Driver Ioctl\n"));
  6.         PIO_STACK_LOCATION pStack = IoGetCurrentIrpStackLocation(pIrp);
  7.         ULONG cbin = pStack->Parameters.DeviceIoControl.InputBufferLength;
  8.         ULONG cbout = pStack->Parameters.DeviceIoControl.OutputBufferLength;
  9.         PVOID buffer = pIrp->AssociatedIrp.SystemBuffer;
  10.         ULONG ulOutputLen=0;

  12.         switch(pStack->Parameters.DeviceIoControl.IoControlCode)
  13.         {
  14.         case IOCTL_IO_DELFILE:
  15.                 {
  16.                         PFILE_OBJECT pObject;
  17.                         status = ObReferenceObjectByHandle(*(HANDLE*)buffer,GENERIC_READ,*IoFileObjectType,KernelMode,(PVOID*)&pObject,NULL);
  18.                          if(NT_SUCCESS(status))
  19.                         {
  20.                                 __try
  21.                                 {
  22.                                         PSCB Scb = (PSCB)pObject->FsContext;//NtfsDecodeFileObject
  23.                                         if(Scb)
  24.                                         {
  25.                                                 Scb->Fcb->Info.FileAttributes &= ~FILE_ATTRIBUTE_READONLY;//IsReadOnly
  26.                                                 PSECTION_OBJECT_POINTERS pop=&Scb->NonpagedScb->SegmentObject;
  27.                                                 pop->ImageSectionObject = NULL;
  28.                                         }
  29.                                 }
  30.                                 __except(1)
  31.                                 {

  33.                                 }
  34.                                 ObDereferenceObject(pObject);
  35.                         }
  36.                 }
  37.                 break;
  38.         }

  40.         pIrp->IoStatus.Status = status;
  41.         pIrp->IoStatus.Information = ulOutputLen;
  42.         IoCompleteRequest(pIrp,IO_NO_INCREMENT);
  43.         return status;
  44. }

  46. #include <iostream>
  47. #include <windows.h>
  48. using namespace std;

  50. #define IOCTL_IO_DELFILE CTL_CODE(FILE_DEVICE_UNKNOWN,0x800,METHOD_BUFFERED,FILE_ANY_ACCESS)//获取驱动加载信息
  51. int _tmain(int argc, _TCHAR* argv[])
  52. {
  53.         if (argc != 2)
  54.         {
  55.                 cout << "参数不够" << endl;
  56.         }

  58.         HANDLE hFile = CreateFileW(argv[1], 0, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
  59.         if (hFile != INVALID_HANDLE_VALUE)
  60.         {

  62.                 HANDLE hDev = CreateFileW(L"\\\\.\\NtMem", GENERIC_ALL, 0, NULL, OPEN_EXISTING, 0, NULL);
  63.                 if (hDev != INVALID_HANDLE_VALUE)
  64.                 {
  65.                         DWORD nop = 0;
  66.                         DeviceIoControl(hDev, IOCTL_IO_DELFILE, (LPVOID)&hFile, sizeof(HANDLE), (LPVOID)&hFile, 0, &nop, NULL);

  68.                         CloseHandle(hDev);
  69.                 }
  70.                 else
  71.                 {
  72.                         cout << "无法打开设备!" << endl;
  73.                 }
  74.                 CloseHandle(hFile);
  75.         }
  76.         else
  77.         {
  78.                 cout << "无法打开文件!" << endl;
  79.         }

  81.         return 0;
  82. }

复制代码

xp 下测试删文件很轻松,还小试了一把360,没成功,发现根本未能进NtSetInformationFile这一层,估计在应用层做了hook。
回复

使用道具 举报

元始天尊
 楼主| 发表于 2015-5-26 08:56:47 | 显示全部楼层
FILE_OBJECT->FsContext      
*(_DWORD *)(a4 + 148) + 12->PSECTION_OBJECT_POINTERS
->ImageSectionObject->CONTROL_AREA
回复 赞! 靠!

使用道具 举报

元始天尊
 楼主| 发表于 2015-6-2 21:20:14 | 显示全部楼层
  1. #define MiGetPdePart(va) (((ULONG)va>>22)&0x3FF)
  2. #define MiGetPtePart(va) (((ULONG)va>>12)&0x3FF)
  3. #define MiGetOffsetPart(va) ((ULONG)va&0xFFF)
  4.                         ULONG cr3val=0;
  5.                         _asm
  6.                         {
  7.                                 mov eax,cr3;
  8.                                 mov cr3val,eax;
  9.                         }
  10.                         PVOID oriaddr=ExAllocatePool(NonPagedPool,0x1000);
  11.                         *(PULONG)oriaddr = 0x12345;
  12.                         PMMPTE PointerPte1,PointerPte2;

  14.                         PULONG pdaddr;
  15.                         LARGE_INTEGER mapaddr;
  16.                         mapaddr.QuadPart = cr3val;
  17.                         pdaddr = (PULONG)MmMapIoSpace(mapaddr,0x1000,MmWriteCombined);
  18.                         if(pdaddr)
  19.                         {
  20.                                 PointerPte1 = (PMMPTE)&pdaddr[MiGetPdePart(oriaddr)];
  21.                                 if(PointerPte1->u.Hard.LargePage == 0)
  22.                                 {
  23.                                         mapaddr.QuadPart = PointerPte1->u.Hard.PageFrameNumber;
  24.                                         pdaddr = (PULONG)MmMapIoSpace(mapaddr,0x1000,MmWriteCombined);
  25.                                         if(pdaddr)
  26.                                         {
  27.                                                 PointerPte1 = (PMMPTE)&pdaddr[MiGetPtePart(oriaddr)];
  28.                                                 mapaddr.QuadPart = PointerPte1->u.Hard.PageFrameNumber;
  29.                                                 pdaddr= (PULONG)MmMapIoSpace(mapaddr,0x1000,MmWriteCombined);
  30.                                                 if(pdaddr)
  31.                                                 {
  32.                                                         PCHAR objaddr=(PCHAR)pdaddr+MiGetOffsetPart(oriaddr);
  33.                                                         objaddr = NULL;
  34.                                                 }
  35.                                         }
  36.                                 }
复制代码
回复 赞! 靠!

使用道具 举报

返回列表 发新帖

本版积分规则

QQ|Archiver|小黑屋|技术宅的结界 ( 滇ICP备16008837号 )|网站地图

GMT+8, 2025-10-31 17:40 , Processed in 0.041416 second(s), 21 queries , Gzip On.

Powered by Discuz! X3.5

© 2001-2025 Discuz! Team.

快速回复 返回顶部 返回列表