服务注册器创建服务+突破SESSION 0隔离创建用户进程

病毒木马通常会把自己注入系统服务进程或是伪装成系统服务进程,并运行在SESSION 0中。处于 SESSION 0中的程序能正常执行普通程序的绝大部分操作,但是个别操作除外。例如,处于SESSION 0中 的系统服务进程,无法与普通用户进程通信,不能通过Windows消息机制进行通信,更不能创建普通的用户进程。从Windows VISTA开始,只有服务可以托管到SESSION 0中。

  • 注册自身为服务,在session 0 中创建用户进程(全局互斥体执行一次service loader)

  • 调用WTSGetActiveConsoleSessionId函数来获取当前程序的会话ID,即Session Id

  • 使用DuplicateTokenEx函数创建一个新令牌,并复制上面获取的用户令牌。设置新令牌的访问 权限为MAXIMUM_ALLOWED,这表示获取所有令牌权限。

  • 根据新令牌调用CreateEnvironmentBlock函数创建一个环境块,用来传递给CreateProcessAsUser 使用。在不需要使用进程环境块时,可以通过调用DestroyEnvironmentBlock函数进行释放。获取环境块 后,就可以调用CreateProcessAsUser来创建用户桌面进程。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
#include<windows.h>
#include<wtsapi32.h>
#include<userenv.h>
#include<stdio.h>
#include <Shlwapi.h>
#pragma comment(lib,"userenv.lib")
#pragma comment(lib,"wtsapi32.lib")
#pragma comment(lib, "Shlwapi.lib")

BOOL CreateUserProcess(char *);

void WINAPI ServiceMain(DWORD,char *);//服务入口
void WINAPI ServiceCtrlHandle(DWORD);//服务回调


// 0 加载服务    1 启动服务    2 停止服务    3 删除服务
BOOL SystemServiceOperate(char *lpszExePath, int iOperateType);//服务注册器

void ShowError(char *lpszText);

char g_szServiceName[MAX_PATH] = "Yeanhoo";    // 服务名称 
SERVICE_STATUS g_ServiceStatus = { 0 };
SERVICE_STATUS_HANDLE g_ServiceStatusHandle = { 0 };


#define PATH "C:\\windows\\system32\\calc.exe"

int main()
{
	HANDLE mutex = CreateMutexA(NULL,FALSE,"Global\\yeanhoo");//使用互斥事件运行服务加载器
	if(ERROR_ALREADY_EXISTS != GetLastError())
	{
        /*******首次运行时执行、将自身添加到服务******/
		char lpszExePath[MAX_PATH];
		GetModuleFileNameA(NULL,lpszExePath,MAX_PATH);
		BOOL bRet = SystemServiceOperate(lpszExePath, 0);
		if (bRet)
		{
			printf("INSTALL OK.\n");
		}
		else
		{
			printf("INSTALL ERROR.\n");
		}
		// 启动服务
		bRet = SystemServiceOperate(lpszExePath, 1);
		if (bRet)
		{
			printf("START OK.\n");
		}
		else
		{
			printf("START ERROR.\n");
		}


		system("pause");

		// 停止服务
		bRet = SystemServiceOperate(lpszExePath, 2);
		if (bRet)
		{
			printf("STOP OK.\n");
		}
		else
		{
			printf("STOP ERROR.\n");
		}
		// 卸载服务
		bRet = SystemServiceOperate(lpszExePath, 3);
		if (bRet)
		{
			printf("UNINSTALL OK.\n");
		}
		else
		{
			printf("UNINSTALL ERROR.\n");
		}

		return 0;
	}
	/***********************第二次运行、服务加载器不会执行,之后执行下面代码*******************************/
	SERVICE_TABLE_ENTRY stDispatchTable[] = { { g_szServiceName, (LPSERVICE_MAIN_FUNCTION)ServiceMain }, { NULL, NULL } };
	DWORD RET = StartServiceCtrlDispatcher(stDispatchTable);
	return 0;
}

void WINAPI ServiceMain(DWORD dwArgc,char *lpszArgv)
{
	g_ServiceStatus.dwServiceType = SERVICE_WIN32;
	g_ServiceStatus.dwCurrentState = SERVICE_START_PENDING;
	g_ServiceStatus.dwControlsAccepted = SERVICE_ACCEPT_STOP;
	g_ServiceStatus.dwWin32ExitCode = 0;
	g_ServiceStatus.dwServiceSpecificExitCode = 0;
	g_ServiceStatus.dwCheckPoint = 0;
	g_ServiceStatus.dwWaitHint = 0;

	g_ServiceStatusHandle = RegisterServiceCtrlHandler(g_szServiceName, ServiceCtrlHandle);//注册服务回调

	g_ServiceStatus.dwCurrentState = SERVICE_RUNNING;
	g_ServiceStatus.dwCheckPoint = 0;
	g_ServiceStatus.dwWaitHint = 0;
	SetServiceStatus(g_ServiceStatusHandle, &g_ServiceStatus);//初始化

	CreateUserProcess(PATH);
}

void WINAPI ServiceCtrlHandle(DWORD dwOperateCode)
{
    /****默认服务控制***/
	switch (dwOperateCode)
	{
	case SERVICE_CONTROL_PAUSE:
	{
		// 暂停
		g_ServiceStatus.dwCurrentState = SERVICE_PAUSED;
		break;
	}
	case SERVICE_CONTROL_CONTINUE:
	{
		// 继续
		g_ServiceStatus.dwCurrentState = SERVICE_RUNNING;
		break;
	}
	case SERVICE_CONTROL_STOP:
	{
		// 停止
		g_ServiceStatus.dwWin32ExitCode = 0;
		g_ServiceStatus.dwCurrentState = SERVICE_STOPPED;
		g_ServiceStatus.dwCheckPoint = 0;
		g_ServiceStatus.dwWaitHint = 0;
		SetServiceStatus(g_ServiceStatusHandle, &g_ServiceStatus);
		break;
	}
	case SERVICE_CONTROL_INTERROGATE:
	{
		// 询问
		break;
	}
	default:
		break;
	}
}

BOOL CreateUserProcess(char *lpszFileName)
{
    /********创建用户进程s**********/
	BOOL bRet;
	HANDLE hToken,hDuplicatedToken;
	STARTUPINFO si;
	PROCESS_INFORMATION pi;
	LPVOID  lpEnvironment;
	do
	{
		DWORD dwSessionID = WTSGetActiveConsoleSessionId();//获取sessionID
		bRet = WTSQueryUserToken(dwSessionID,&hDuplicatedToken);//获取用户访问令牌
		if(bRet == FALSE)
		{
			return FALSE;
		}
		/*************过程中省略了复制令牌操作、直接使用获取到的用户令牌s***************/
		bRet = CreateEnvironmentBlock(&lpEnvironment,hDuplicatedToken,FALSE);//指定用户环境变量到用户session
		if(bRet == FALSE)
		{
			return FALSE;
		}
		bRet = CreateProcessAsUser(hDuplicatedToken,lpszFileName,NULL,NULL,NULL,FALSE,NORMAL_PRIORITY_CLASS | CREATE_NEW_CONSOLE | CREATE_UNICODE_ENVIRONMENT,lpEnvironment,NULL,&si,&pi);//创建用户进程s
	}
	while(FALSE);
	return bRet;
}

BOOL SystemServiceOperate(char *lpszExePath, int iOperateType)
{
	BOOL bRet = TRUE;
	char szName[MAX_PATH] = { 0 };
/************创建、启动、停止、删除服务***********/
	lstrcpy(szName, lpszExePath);
	// 过滤掉文件目录,获取文件名
	PathStripPath(szName);                   

	SC_HANDLE shOSCM = NULL, shCS = NULL;
	SERVICE_STATUS ss;
	DWORD dwErrorCode = 0;
	BOOL bSuccess = FALSE;
	// 打开服务控制管理器数据库
	shOSCM = OpenSCManager(NULL, NULL, SC_MANAGER_ALL_ACCESS);
	if (!shOSCM)
	{
		ShowError("OpenSCManager");
		return FALSE;
	}

	if (0 != iOperateType)
	{
		// 打开一个已经存在的服务
		shCS = OpenService(shOSCM, szName, SERVICE_ALL_ACCESS);
		if (!shCS)
		{
			ShowError("OpenService");
			CloseServiceHandle(shOSCM);
			shOSCM = NULL;
			return FALSE;
		}
	}

	switch (iOperateType)
	{
	case 0:
	{
		// 创建服务
		// SERVICE_AUTO_START   随系统自动启动
		// SERVICE_DEMAND_START 手动启动
		shCS = CreateService(shOSCM, szName, szName,
			SERVICE_ALL_ACCESS,
			SERVICE_WIN32_OWN_PROCESS | SERVICE_INTERACTIVE_PROCESS,
			SERVICE_AUTO_START,
			SERVICE_ERROR_NORMAL,
			lpszExePath, NULL, NULL, NULL, NULL, NULL);
		if (!shCS)
		{
			ShowError("CreateService");
			bRet = FALSE;
		}
		break;
	}
	case 1:
	{
		// 启动服务
		if (!StartService(shCS, 0, NULL))
		{
			ShowError("StartService");
			bRet = FALSE;
		}
		break;
	}
	case 2:
	{
		// 停止服务
		if (!ControlService(shCS, SERVICE_CONTROL_STOP, &ss))
		{
			ShowError("ControlService");
			bRet = FALSE;
		}
		break;
	}
	case 3:
	{
		// 删除服务
		if (!DeleteService(shCS))
		{
			ShowError("DeleteService");
			bRet = FALSE;
		}
		break;
	}
	default:
		break;
	}
	// 关闭句柄
	if (shCS)
	{
		CloseServiceHandle(shCS);
		shCS = NULL;
	}
	if (shOSCM)
	{
		CloseServiceHandle(shOSCM);
		shOSCM = NULL;
	}

	return bRet;
}

void ShowError(char *lpszText)
{
	char szErr[MAX_PATH] = { 0 };
	wsprintf(szErr, "%s Error!\nError Code Is:%d\n", lpszText, GetLastError());
#ifdef _DEBUG
	MessageBox(NULL, szErr, "ERROR", MB_OK | MB_ICONERROR);
#endif
}