Win32汇编实现判断进程是否拥有某特殊权限

最新推荐文章于 2026-06-21 20:45:20 发布
原创 最新推荐文章于 2026-06-21 20:45:20 发布 · 1.4k 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#汇编 #attributes #website #null #token
#query
本文介绍了如何使用Win32汇编语言来检查一个进程是否具有特定的Debug权限。作为《Win32汇编实现提升进程Debug权限的两种方法》的补充,该教程提供了一个实用的技术指南。

低功耗蓝牙项目,需要一块懂省电的板

思澈 SF32LB52 芯片,BLE 协议栈深度优化,上手即开发

点击查看

本文做为Win32汇编实现提升进程Debug权限的两种方法 的姊妹篇发布,希望在需要的时候为大家提供参考。 
(声明:魏滔序原创,转贴请注明出处。)

 ;::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
 ; Win32汇编实现判断进程是否拥有某特殊权限
 ; Programmed by 魏滔序                  
 ; WebSite: http: // www.chenoe.com        
 ; Blog: http: // blog.csdn.net / Modest         
 ;:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
    . 486  
    .model flat,stdcall 
     option  casemap:none 
    include windows.inc
     
    include kernel32.inc 
    include    Advapi32.inc
        
    includelib kernel32.lib 
    includelib Advapi32.lib

.code 
Start:    
    
IsPrivilege PROC hProcess,dwPrivilege 
     LOCAL  hToken,BufferSize,i
     LOCAL  tPrivilege:LUID_AND_ATTRIBUTES
     LOCAL  pInfoBuffer,PrivilegeCount
    
    Invoke    OpenProcessToken,hProcess, TOKEN_QUERY, ADDR hToken
    .If    EAX  ==   0
        MOV    EAX, FALSE
        RET
    .EndIf
    
    Invoke    GetTokenInformation,hToken,TokenPrivileges,  NULL NULL , addr BufferSize
    .If    BufferSize  ==   0
        MOV    EAX, FALSE
        RET
    .EndIf
    
    MOV    EAX,BufferSize
    Invoke    GlobalAlloc,GMEM_FIXED,EAX   
    MOV    pInfoBuffer,EAX  
    
    Invoke    GetTokenInformation,hToken,TokenPrivileges, pInfoBuffer, BufferSize, addr BufferSize
    PUSH    EAX
    Invoke    CloseHandle,hToken
    POP    EAX
    
    .If    EAX  ==   0
        MOV    EAX, FALSE
        RET
    .EndIf
    
    MOV    i, 0
    Invoke    RtlMoveMemory, addr PrivilegeCount,pInfoBuffer,  4
    .While     TRUE
        
        MOV    EAX,SIZEOF LUID_AND_ATTRIBUTES
        IMUL    EAX,i
        ADD    EAX,pInfoBuffer
        ADD    EAX, 4
        Invoke    RtlMoveMemory, addr tPrivilege,EAX, SIZEOF LUID_AND_ATTRIBUTES
        MOV    EAX,dwPrivilege
        .IF    tPrivilege.Attributes ! =   0   &&  tPrivilege.Luid.LowPart  ==  EAX
            MOV    EAX, TRUE
            RET
        .EndIf
        
        ADD    i, 1
        MOV    EAX,i        
        .Break .IF  EAX == PrivilegeCount
    .EndW
    
    MOV    EAX, FALSE
    RET
IsPrivilege Endp
 End     Start


低功耗蓝牙项目,需要一块懂省电的板

思澈 SF32LB52 芯片,BLE 协议栈深度优化,上手即开发

点击查看
提升进程权限 ShellexecuteEx
x
10-23 741
  进程权限只能在启动时才能提升. 目前没有发现进程已经运行了还能修改的方式   SHELLEXECUTEINFO info = {sizeof(SHELLEXECUTEINFO)}; info.lpVerb = TEXT("runas"); //就是这里, runas 以管理员方式启动 info.lpFile = TEXT("cmd.exe"); ...
Win32汇编实现提升进程Debug权限的两种方法
迈克揉索芙特
01-22 4160
提升进程Debug权限的原因就不说了,常规提升操作的方法是OpenProcessToken、LookupPrivilegevalue、AdjustTokenPrivileges,本文的方法一也不例外,方法二是使用微软未公开的API函数RtlAdjustPrivilege,相对代码要简洁的多。两种方法在Vista和XP下测试通过。(声明:魏滔序原创,转贴请注明出处。)方法一: ;::::::
windows系统权限提升
weixin_53639243的博客
04-23 5719
提权方法。
浅析Windows的访问权限检查机制
求索
03-18 2643
Author: DanielKing 0x00 简介 在操作系统中,当我们提到安全的时候,意味着有一些资源需要被保护,在Windows操作系统中,这些被保护的资源大多以对象(Object)的形式存在,对象是对资源的一种抽象。每个对象都可以拥有自己的安全描述符(Security Descriptor),用来描述它能够被谁、以何种方式而访问。这些对象是客体,那么访问这些对象的主体是什么呢?这些
微信PC端Hook机器人实战:从进程注入到消息自动化
weixin_33892359的博客
06-17 281
进程注入与API Hook是Windows系统编程和软件逆向工程中的核心技术。进程注入允许外部代码加载到目标进程的内存空间,而API Hook则能拦截并修改特定函数的执行流程。这两项技术的结合,为软件功能扩展、行为监控和自动化测试提供了底层支持,在安全研究、自动化工具开发等领域有广泛应用。通过Hook技术,开发者可以深入理解应用程序的内部工作机制,并在此基础上实现定制化功能。本文以微信PC版为例,详细拆解了如何利用远程线程注入和内联Hook技术,构建一个能够拦截和处理消息的自动化机器人,涵盖了从环境搭建、偏
【操作系统基础】认识操作系统:系统调用
qq_51288385的博客
10-05 1281
为应用提供抽象接口(如文件操作)和管理硬件资源(如 CPU、内存,对用户透明)。系统调用正是应用程序与内核交互的 “标准化接口”,也是理解操作系统行为的关键。系统调用是操作系统的 “核心接口”,其设计直接决定了应用程序的开发效率与跨平台能力。本文通过read对 UNIX/Linux 开发者:需掌握forkexecve的进程创建逻辑、fd的文件管理方式;对 Windows 开发者:需理解的合并逻辑、句柄的资源管理,以及事件驱动模型;
Windows C盘清理手术刀:精准可控可逆的系统级清理工具
weixin_33794672的博客
06-19 438
Windows系统盘清理不是简单的文件删除,而是涉及文件锁定、硬链接、事务安全等底层机制的高风险操作。理解Temp目录生存期管理、Windows日志归档策略与SoftwareDistribution缓存生命周期,是实现安全减负的前提。Csimplecleaner以Win32原生API为基础,通过进程句柄检测、SQLite数据库解析和7z高压缩归档等技术,提供精准、可控、可逆的清理能力,适用于IT运维、开发者及追求系统稳定性的进阶用户。
OpenArk:Windows内核级系统安全与深度分析工具实战指南
06-19 388
系统安全与内核分析是理解操作系统底层运行机制、排查恶意软件和进行逆向工程的核心领域。其原理在于通过直接访问系统内核数据结构与API,绕过用户态抽象层,实现进程、线程、模块、句柄及内核对象的深度洞察。这项技术的价值在于能够有效对抗高级威胁,如Rootkit和无文件攻击,为安全分析、应急响应和系统调试提供不可替代的视角。应用场景广泛覆盖恶意软件分析、系统异常排查、漏洞研究以及软件行为监控。本文聚焦于OpenArk这一开源工具,它凭借其无驱化架构实现了内核级深度检测,并通过一体化关联视图整合了进程管理、句柄分析
Win32汇编】学习Win32汇编
Arcus
02-08 5147
本文主要是梳理了一下Win32的基础知识。因为有的内容和16位汇编基本一样,就没有详细说明,可以参考之前的汇编语言的博客。
Win32汇编实现DLL的远程注入及卸载
迈克揉索芙特
01-20 3804
(声明:魏滔序原创,转贴请注明出处。)        所谓DLL远程注入,就是强迫DLL程序运行在其他进程中,这样做的目的无非有两种:第一是伪装自身,第二是控制宿主。前者常见于病毒或木马,后者则一般用于正规之场合,比如常见的输入法、外挂等等,有时Hook(钩子)也用到该技术。由此可见,技术是把双刃剑,区别在于使用技术的人。DLL远程注入的方法一般有如下几种:1.修改注册表,系统启动时自动加载。当然
Win32汇编实现枚举进程(PSAPI.DLL)
迈克揉索芙特
02-01 2211
EnumProcesses是PSAPI提供的导出函数,利用该函数可以在无须快照的情况下枚举进程,甚至可以枚举出一些简单的隐藏进程。本例中的枚举用到了回调过程,在回调过程中用户可以随时决定是否中断枚举,从而有效的控制枚举过程。另外,进程隐藏与否的状态也可以在回调过程的参数中取得。如果结合笔者的一篇《Win32汇编实现提升进程Debug权限的两种方法 》文章,则可以进一步扩大枚举范围。本例在XP(SP
汇编:简约不简单的不定参函数实现方法
迈克揉索芙特
12-08 1578
(声明:魏滔序原创,转贴请注明出处。)明眼人一看就明白,所以废话少说,直接Code。FunName proc c Params:VARARG  ;获得参数个数  mov eax,[ebp+4] movzx eax,BYTE ptr[eax+2] shr eax,2  ;将各个参数入栈Push_Params: dec eax   push Params[eax * 4] jnz Push
汇编基础知识:8086CPU结构 段地址+偏移地址
weixin_43989195的博客
06-17 320
介绍8086CPU结构,寻址方式、段地址与偏移地址
从裸机到多任务:FreeRTOS 启动第一个任务的汇编“点火仪式”全解析
2301_80194949的博客
06-21 187
在 FreeRTOS 的启动序列中,有一个函数虽然短小,却肩负着将 CPU 从单线程裸机环境平稳移交给多任务调度器的终极使命——它就是 `prvStartFirstTask()`。这个由纯汇编编写的函数,是整个调度器启动流程的“最后一级推进器”。理解它的每一行指令,不仅能让你看清 RTOS 如何接管硬件,更能深刻领悟 Cortex-M 处理器底层机制在实时系统中的精妙运用。
易语言源码易语言电脑配机系统软件
最新发布
06-24
易语言源码易语言电脑配机系统软件
逆向工程基于ARM64 ELF的字符串加密分析:Android二进制程序密文恢复与动态解密算法逆向研究
06-24
内容概要:本文详细记录了对一个Android ARM64静态ELF文件中字符串加密机制的逆向分析过程。该ELF文件的所有字符串均被加密,无法通过常规strings命令或IDA直接识别。作者通过分析发现,加密字符串存储在.rodata段,其解密所需信息(包括密文地址、长度和16位密钥)保存在.data.rel.ro段的40字节描述符中。核心解密函数sub_10F408采用自反的双pass流密码算法,结合固定密钥KEY_TERM(由.data段24字节数据计算得出),实现字节级非线性、位置与长度相关的加密。文章还复现了完整的Python解密脚本,并揭示了该保护机制的本质为代码混淆而非强加密,最终成功批量解密全部956条字符串,暴露程序真实行为,如shell命令模板、设备标识篡改、网络重置等操作。此外,文中还提及未启用的自定义壳框架及其反dump设计。; 适合人群:具备逆向工程基础的安全研究人员、二进制分析人员及对ELF保护技术感兴趣的开发者。; 使用场景及目标:①学习ELF二进制中字符串加密的典型实现方式与逆向突破口;②掌握从结构识别、函数追踪到算法还原的完整逆向流程;③理解“绑定二进制”的完整性校验设计及其局限性;④实践编写IDAPython脚本自动化提取与解密敏感数据。; 阅读建议:此资源以实战案例驱动,不仅展示技术细节,更强调逆向思维与验证方法,建议读者结合IDA调试环境,逐步跟随文中步骤进行动态分析与算法验证,深入理解每一步的推理依据。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值