KernelExplorer without driver

Как-то давно поставил себе цель сделать некий инструмент на подобии WinDbg и Process Hacker но без использования драйвера.
Посмотреть как далеко может пустить ОС код, запущенный из-под обычного юзера, путем повышения прав, привилегий и т.д.
Но на какое-то время забросил этот проект. И вот сейчас решил восстановить, добавил функционала, поправил ошибки.

Из возможностей на данный момент:
1. открытие дескриптора любого процесса (Protected и ProtectedLite процессы открываются только для чтения)
2. вывод информации о DACL, SACL, таблиц доступа и аудита (в планах добавление функционала для изменения этих данных)
3. полный контроль над токеном процесса (включение, отключение и удаление привилегий)
4. завершение процесса (кроме Protected и ProtectedLite процессов)
Всё что я сейчас перечислил, Process Hacker делает только с включенным драйвером.
5. создание процесса с учетной записью SYSTEM
Здесь немного подробнее расскажу. Перед созданием процесса нужно открыть процесс, на основе которого будет создан новый.
Если открывается процесс, запущенный в SessionId 0, то и новый процесс будет запущен в нулевой сессии.
Это означает, что оконную процедуру вы не увидите, т.к. у каждой сессии свая станция (Windows Station) и у каждой станции свой рабочий стол.
Если открывается процесс, запущенный в SessionId 1, то и новый процесс будет запущен в этой же сессии с оконными процедурами, но как NT_AUTHORITY\SYSTEM (будь то блокнот или ещё что), при условии если parentprocess тоже был SYSTEM.
В следующем обновлении будет реализован механизм выбора рабочего стола (с Winlogon уже экспериментировал и запускал программы на экране блокировки, т.е. чтобы что запустить программу не нужно знать логин и пароль от ОС).

На данный момент никакой нумерации билдов не виду, т.к. попутно проектирую GUI версию (на ней планирую делать нумерацию).

Немного скринов)
Собственно приглашение пользователя ввести команду (всегда начинайте с op - открытие процесса, т.к. данная команда собирает всю необходимую информацию для последующих действий)

Пример вывода информации

Манипуляции с токеном


В общем если у кого-то есть предложения по расширению функционала, буду рад выслушать.

PS: для запуска необходимы права администратора (в дальнейшем эту проблему решу так же, как и у Process Hacker), и набор библиотек VC++ runtime (проект собран на VS2019).

Вложения

KernelExplorer.7z (21.9 Кб, 35 просмотров)

1

0

Сообщение от locm Прежде чем пытаться обходится без драйверов нужно было научится обходится без установки рантайм либ.

и что это дало бы?
или тебе просто лень установить то, что по дефолту должно стоять в любом ПК.

для особо одаренных объясню: если код пишется на C++ с использованием IDE Visual Studio, неизбежно будет использоваться CRT среда.
а переписывать всю эту кашу с CRT себе в хидеры нормальный кодер в жизни не будет.

жду адекватных коментов, а не этот вброс..

0

_lunar_, интересный эксперимент, однако я бы запустил если бы вы опен сорснули эту штуку, а то куда она там лезет и что делает - неизвестно.

0

Сообщение от MrOnlineCoder если бы вы опен сорснули эту штуку

в планах есть выложить исходники на github, но позже (возможно с релизом GUI версии).

0

_lunar_, вот такую ошибку получил. Это связано с VS runtime? Я думаю что он у меня установлен.

Миниатюры

 

1

Сообщение от MrOnlineCoder Это связано с VS runtime?

нет, не с VC runtime.

извиняюсь, забыл сразу указать: на данный момент программа собрана только для Windows 10 (возможно будет работать и на Windows 8/8.1).
некоторые функции, которые я применяю, появились в более поздних SDK (я работаю с последней версией), а следовательно в более старых ядрах этих функций просто нет.
в дальнейшем буду переводить некоторые функции на Nt-заглушки (NativeAPI), которые есть и в Windows 7 и в Windows 10.

0

Сообщение от _lunar_ на данный момент программа собрана только для Windows 10

Лучше бы вы использовали драйверы но оставили совместимость с ОС начиная с XP, в крайнем случае Win7. Это пример именно того что я написал выше. Ваша прога более требовательная чем WinDbg или Process Hacker, а значит уступает им.

1

locm, подфорум называется "Бета-тест", и на данном этапе я не особо уделяю внимание совместимости со старыми ОС, наличию или отсутствию sdk'шных библиотек и прочему.
ок, я вас услышал, но тестирование поддержки ХР и всего того, что вы тут описываете, если и будет, то гораздо позже.
сейчас я занимаюсь логикой программы, а не адаптированием, т.к. разработка находится на самых ранних стадиях.

Сообщение от _lunar_ В следующем обновлении будет реализован механизм выбора рабочего стола.

Итак, что нового:
1. больше не нужно сперва открывать процесс (op), а уже потом создавать новый (cp), можно сразу создавать новый.
2. благодаря новой логике подбора процесса реализован механизм выбора сессии.
немного FAQ:
перед тем как пользователь увидит рабочий стол и всё остальное на экране монитора, происходит загрузка основных модулей ОС и ядра.
начиная с Vista реализован механизм работы ОС в сессиях.
загрузка ядра и модулей (до рабочего стола) происходит в нулевой сессии - SessionId 0.
в сессии создаётся рабочая станция, а уже в рабочей станции создаются рабочие столы.
после загрузки ядра и модулей создаётся новая сессия SessionId 1 (отсчитывается по порядку).
если вы сделаете "Выход из системы", то после захода из Winlogon сессия увеличится на единицу - SessionId 2.
если вы сделаете "Смену пользователя", то после захода из Winlogon сессия продолжится в SessionId 1.
увидеть рабочие столы нулевой сессия невозможно (оконные процедуры не взаимодействуют между сессиями), но к ним можно обращаться через пайпы, события и другие каналы.
рабочих станций в Windows 10 несколько:
WinSta0 - основная рабочая станция (она является интерактивной (interactive window station))
Service-0x0-3e4$ - рабочая станция служб с правами NT AUTHORITY\NETWORK SERVICE: 0x3e4 (не интерактивная рабочая станция (non-interactive window station))
Service-0x0-3e5$ - рабочая станция служб с правами NT AUTHORITY\LOCAL SERVICE: 0x3e5 (не интерактивная рабочая станция (non-interactive window station))
Service-0x0-3e7$ - рабочая станция служб с правами NT AUTHORITY\SYSTEM: 0x3e7 (не интерактивная рабочая станция (non-interactive window station))
и несколько рабочих станций вида Service-0x0-67c25$ - рабочая станция пользователя user\USER: 0x67c25
касаемо рабочих столов: в Windows 10 я насчитал их три - Default, Winlogon и Disconnect.
Default - основной рабочий стол (то, что видит пользователь)
Winlogon - рабочий стол окна запроса логина и пароля при входе в систему
Disconnect - пока не разобрался что это за рабочий стол, но подозреваю связан он с "Смена пользователя" или "Выйти"

в общем можете сами поэкспериментировать:
я создал новый процесс блокнота (notepad.exe) в сессии пользователя (USER_SESSION_ID) и на рабочем столе Winlogon

заблокировал компьютер, попал на окно запроса входа в систему, нажал alt+tab и увидел созданный мною блокнот

Вложения

KernelExplorer.7z (22.8 Кб, 5 просмотров)

0

Сообщение от _lunar_ и набор библиотек VC++ runtime (проект собран на VS2019).

Ну так и кладите их в архив вместе с вашим приложением.

0

перекомпилировал с многопоточной линковкой статичных либ.
проверил на ПК без установленных библиотек vc++ runtime.
теперь должно работать без установки дополнительных sdk пакетов, но и размер соответственно увеличился в разы.

Вложения

KernelExplorer.7z (152.2 Кб, 11 просмотров)

0

В 2020-м году о размере дистрибутива переживать не надо)

1

0

Сообщение от MrOnlineCoder вот такую ошибку получил

т.к. отладчик ещё не реализован (только в черновом варианте) изменил WaitForDebugEventEx на WaitForDebugEvent
суть в том, что WaitForDebugEventEx правильно отрабатывает строки юникода и доступна эта функция начиная с Windows 10

все остальные функции в программе требуют

Minimum supported client - Windows XP

кроме ProcessIdToSessionId (как я уже упомянул сессии появились в Windows Vista) и GetFinalPathNameByHandle (опять же функция применяется для отладчика)

Minimum supported client - Windows Vista

попробуйте, должно теперь работать.

Вложения

KernelExplorer.7z (152.1 Кб, 8 просмотров)

0

Сообщение от _lunar_ Minimum supported client - Windows XP

Я бы забил на поддержку этой ОС. На ней полтора землекопа сидят.

0

Сообщение от Usaga Я бы забил на поддержку этой ОС.

а я и не парюсь на этот счёт
даже по той причине, что пол функционала программы просто не заработает на XP (та же тема с сессиями).
поэтому компилятор не настраиваю с "Поддержка Windows XP", смысла нет..

0

Сообщение от _lunar_ размер соответственно увеличился в разы.

Он гораздо меньше чем у пакета рантайм-библиотек.

0

забыл ещё про одну функцию, не поддерживаемую Windows 7 - GetProcessInformation
у неё минимум Windows 8, поэтому для тех кто всё же хочет попробовать, в этом аттаче будет лежать LdrModuleEx.dll с отключенным функционалом по открытию процесса (позже перепишу её на Nt)

но я всё таки добрался до ПК с Windows 7 и вот что обнаружил
при создании процесса в сессии ОС (нулевая сессия) на рабочем столе Default система делает запрос на переключение к тому рабочему столу


и вот что мы наблюдаем при соглашении на переход


поздравляю товарищи! мы находимся на рабочем столе ядра операционной системы (SessionId 0 -> WinSta0 -> Default)

переключится на рабочие столы Winlogon и Disconnect не удалось (с Winlogon ещё поэкспериментирую, есть задумка как его отобразить)

Вложения

LdrModuleEx.7z (134.9 Кб, 6 просмотров)

0

служба "Обнаружение интерактивных служб" (UI0Detect.exe) начала свое существование с Windows Vista.
продолжила свой путь в Windows 7, Windows 8, Windows 8.1
а убрали её из Windows 10 начиная с версии 1803 и более поздних (в 1709 и более ранних она присутствует).
эта служба как раз и переключает рабочие столы между сессиями.

решил продолжить играть с семеркой и посмотреть что она позволит с собой сделать, оказывается много чего.
первым делом создал процесс explorer.exe в нулевой сессии на рабочем столе Default
перешёл и посмотрел как ОС настраивает мне рабочий стол


вернулся в пользовательскую сессию по ctrl+alt+del и создал процесс ProcessHacker.exe, снова перешёл в нулевую сессию


убедился что процессы, созданные через мою программу принадлежат нулевой сессии


ProcessHacker запущен без драйвера, и имеет только токен, который я ему предоставил


заходим в ядро (процесс System) и манипулируем токеном (и другими ресурсами процесса), который в обычном режиме доступен через драйвер (в данном случае просто повключал привилегии)


вот такой у меня вечерок экспериментов с Win7 получился)

0

PS: GetProcessInformation переписал на NtQueryInformationProcess(..., ProcessProtectionInformation, ...) и перебрал биты
Windows 7 спокойно проглотила NtQueryInformationProcess, но возникли некоторые сложности с модулем SecurityDescriptor
что-то не хочет семерка отображать инфу и крашит прогу где-то вначале.
поэтому выкладывать версию с переделанной GetProcessInformation смысла нет, буду тестировать и выявлять ошибку, и уже потом выложу.
в любом случае, для завода процесса в любой сессии, на любом рабочем столе и на любой ОС я уже всё выложил ранее
так что кому интересно исследуйте возможности программы и операционной системы)

0