-
-
[讨论]驱动中获得当前current user遇到的奇怪问题 [已解决]
-
发表于: 2008-3-6 09:22
-
驱动中获得当前current user遇到的奇怪问题
为了得到 CurrentUser 的 SID(因为要操作\\registry\\user\\下的键),所以写了个函数:
Quote:
NTSTATUS
GetUserName(
char* a
)
/*++
作者: sudami 08/03/04
参数:
a - [IN] [OUT] 得到current user的注册表内容
形式如下"\\REGISTRY\\USER\\S-XXX-XXX..."
功能:
--*/
{
NTSTATUS status = STATUS_SUCCESS;
HANDLE hProcess;
HANDLE TokenHandle;
ULONG ReturnLength;
ULONG size;
UNICODE_STRING SidString;
PTOKEN_USER TokenInformation;
char SidStringBuffer[512];
status = ZwOpenThreadTokenEx (NtCurrentThread(),
TOKEN_READ,
TRUE,
OBJ_KERNEL_HANDLE,
&TokenHandle);
if ( !NT_SUCCESS( status ) ) {
status = ZwOpenProcessTokenEx (NtCurrentProcess(),
TOKEN_READ,
OBJ_KERNEL_HANDLE,
&TokenHandle);
if ( !NT_SUCCESS( status )) {
return status;
}
}
// 获取token信息
size = 0x1000;
TokenInformation = ExAllocatePool( NonPagedPool, size );
do {
status = NtQueryInformationToken( TokenHandle,
TokenUser,
TokenInformation,
size,
&ReturnLength );
if (status == STATUS_BUFFER_TOO_SMALL) {
ExFreePool( TokenInformation );
size *= 2;
TokenInformation = ExAllocatePool( NonPagedPool, size );
} else if ( !NT_SUCCESS (status) ) {
DbgPrint(" ZwQueryInformationToken error\n");
ExFreePool( TokenInformation );
ZwClose( TokenHandle );
return STATUS_UNSUCCESSFUL;
}
} while (status == STATUS_BUFFER_TOO_SMALL);
ZwClose( TokenHandle );
RtlZeroMemory( SidStringBuffer, sizeof(SidStringBuffer) );
SidString.Buffer = (PWCHAR)SidStringBuffer;
SidString.MaximumLength = sizeof( SidStringBuffer );
status = RtlConvertSidToUnicodeString( &SidString,
((PTOKEN_USER)TokenInformation)->User.Sid,
FALSE );
ExFreePool( TokenInformation );
DbgPrint("sudami's PC Name: %ws\n", SidStringBuffer);
a = SidStringBuffer;
return STATUS_SUCCESS;
}
然后很无语的是,得到的内容是下面这样的:
实际上偶电脑当前的用户的SID是下面这个,偶也证实了是下面这个:
在虚拟机上加载驱动后得到的也是一个固定的值,即 "S-1-5-18"
看了下注册表,发现总是第一个的内容:
附件是R3 下得到当前SID的code,很正常,但在驱动中实现就出问题了~o(*.*)0
俺搞不明白,希望各位大虾指点一下,嘿嘿~
为了得到 CurrentUser 的 SID(因为要操作\\registry\\user\\下的键),所以写了个函数:
Quote:
NTSTATUS
GetUserName(
char* a
)
/*++
作者: sudami 08/03/04
参数:
a - [IN] [OUT] 得到current user的注册表内容
形式如下"\\REGISTRY\\USER\\S-XXX-XXX..."
功能:
--*/
{
NTSTATUS status = STATUS_SUCCESS;
HANDLE hProcess;
HANDLE TokenHandle;
ULONG ReturnLength;
ULONG size;
UNICODE_STRING SidString;
PTOKEN_USER TokenInformation;
char SidStringBuffer[512];
status = ZwOpenThreadTokenEx (NtCurrentThread(),
TOKEN_READ,
TRUE,
OBJ_KERNEL_HANDLE,
&TokenHandle);
if ( !NT_SUCCESS( status ) ) {
status = ZwOpenProcessTokenEx (NtCurrentProcess(),
TOKEN_READ,
OBJ_KERNEL_HANDLE,
&TokenHandle);
if ( !NT_SUCCESS( status )) {
return status;
}
}
// 获取token信息
size = 0x1000;
TokenInformation = ExAllocatePool( NonPagedPool, size );
do {
status = NtQueryInformationToken( TokenHandle,
TokenUser,
TokenInformation,
size,
&ReturnLength );
if (status == STATUS_BUFFER_TOO_SMALL) {
ExFreePool( TokenInformation );
size *= 2;
TokenInformation = ExAllocatePool( NonPagedPool, size );
} else if ( !NT_SUCCESS (status) ) {
DbgPrint(" ZwQueryInformationToken error\n");
ExFreePool( TokenInformation );
ZwClose( TokenHandle );
return STATUS_UNSUCCESSFUL;
}
} while (status == STATUS_BUFFER_TOO_SMALL);
ZwClose( TokenHandle );
RtlZeroMemory( SidStringBuffer, sizeof(SidStringBuffer) );
SidString.Buffer = (PWCHAR)SidStringBuffer;
SidString.MaximumLength = sizeof( SidStringBuffer );
status = RtlConvertSidToUnicodeString( &SidString,
((PTOKEN_USER)TokenInformation)->User.Sid,
FALSE );
ExFreePool( TokenInformation );
DbgPrint("sudami's PC Name: %ws\n", SidStringBuffer);
a = SidStringBuffer;
return STATUS_SUCCESS;
}
然后很无语的是,得到的内容是下面这样的:
实际上偶电脑当前的用户的SID是下面这个,偶也证实了是下面这个:
在虚拟机上加载驱动后得到的也是一个固定的值,即 "S-1-5-18"
看了下注册表,发现总是第一个的内容:
附件是R3 下得到当前SID的code,很正常,但在驱动中实现就出问题了~o(*.*)0
俺搞不明白,希望各位大虾指点一下,嘿嘿~
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
汗,无人问津~~~
|
|
|
status = ZwOpenThreadTokenEx (NtCurrentThread(),
TOKEN_READ, TRUE, OBJ_KERNEL_HANDLE, &TokenHandle); if ( !NT_SUCCESS( status ) ) { status = ZwOpenProcessTokenEx (NtCurrentProcess(), TOKEN_READ, OBJ_KERNEL_HANDLE, &TokenHandle); NtCurrentXXXXXXX()? 据说驱动默认应该是一个名字叫做"SYSTEM"的进程空间。 如果你要获取当前用户 酌情考虑 KeAttachProcess 之类的吧。 以上纯属乱弹 错了不要怪我。  ,forgXt来之前赶快站位
|
|
|
|
|
|
|
|
|
|
|
|
还是选合适的进程attach才行,随便attach一下有可能查询到另外一个帐户去的,天知道那个进程创建的时候有没有被指定运行在其他帐户下的
|
|
|
|
|
|
其实你那代码根本就没有问题
在Windows NT之前,一般都假设某个线程是运行在登录用户的帐号之下。但Windows NT问世以后,允许线程可以在多个安全上下文中运行,言下之意就是一个线程对多个用户。例如,在客户/服务器(C/S)应用中,服务器的某个线程可以通过 ImpersonateNamedPipeClient 函数模仿一个客户。在这种情况下,它运行在该客户端的用户上下文中。另一个运行在不同安全上下文中的线程例子是服务线程,它具备 NT AUTHORITY 域名和 SYSTEM 用户名,并且运行在本地系统账号之下。  |
