找回密码
 加入计匠网
搜索
热搜: BIOS ACPI CPU Windows
查看: 9752|回复: 1

以system权限启动应用程序

[复制链接]
发表于 2011-8-5 21:27:34 | 显示全部楼层 |阅读模式
最近在搞一个项目,需要程序开机自动运行,可是程序中调用了底层驱动的一些函数,必须以管理员的权限才能运行,否则程序运行不成功,在XP 下 直接写注册表就可以,可是在VISTA 和 WIN7 下写注册表的方式失效,因为必须以管理员的权限运行才可以,迫于无奈,上网查了N多资料,终于找到了一种解决的办法,在此分享出来,以此献给被此问题苦恼的人!
8 Z! D5 b# [' o# r( Y
' R; N$ @$ H0 w2 l" i. V首先介绍一下,解决问题的思路,创建一个服务,安装在系统中,在服务里以SYSTEM 的权限创建一个进程,用来启动自己的应用程序,我们想什么时候启动我们的应用程序,只需要我们用应用程序给服务发送一个信号,在服务接收到信号后,就可以启动我们想要运行的应用程序了。1 u, |) l3 H$ O; h( K& Z
- L/ _  p" q8 U4 Y* `$ [" T' r
实现框架如下:
  t, U  m1 a9 x. N4 J. S0 g
2 n- s" X4 q# d, W/ o8 M- j
: \3 P5 R4 V6 p5 m9 Z
* K* [" J7 E: w所以在这里我们需要创建三个程序:1.Windows 服务程序 2.我们自己的应用程序 3.给服务发送信号的应用程序。
1 m7 y- q. h( L5 S* [- c  i7 }
  W/ |$ ~8 R. ]7 O+ d) i1 i* T# ?, H当然其中的 1和3 可以合并在一起,而且 2  我们可以做成多个应用程序。这样只要是我们自己写的都可以以SYSTEM的权限运行了,比管理员更实用。这里需要注意的是第一次安装服务的时候必须以管理员的权限运行。
# T0 p* e# W- X8 r
/ T, O  A! Y. X! N- x& x% q" K好了,闲话少说,下面步入正题,我做了个简单的Demo,是以服务的方式启动系统自带的管理记事本程序(windows 7下面的,用VS2008编辑)。
. r4 e; _$ N- Z# C- S/ c+ {! @9 A: r4 h
我们以函数CreateProcessAsUser 来开始讲解,我们所要做的动作就是把这个函数的各个参数都填对 就OK,只需把其中的几个关键参数填好,其他设置为NULL 就OK ,
5 }1 }$ z0 t4 g# y; R* x& U0 |3 m
) j  ?2 j- F6 C) z! e+ z; l. C) H首先第一个参数HANDLE hToken ,Token 句柄,怎么得到这个句柄,MSDN 给出了两种办法,一种通过调用 LogonUser函数 ,一种另外一种通过 调用DuplicateTokenEx 函数,在这里我们选择第二种方式创建一个模拟的Token,关键是这个模拟的Token那里来,那我们就得追踪DuplicateTokenEx里面的各个参数,其中DuplicateTokenEx参数如下:
$ ~; g6 ?7 _1 }' `0 K$ t8 ?
1 e9 J6 B, O. j' {BOOL WINAPI DuplicateTokenEx(
! f8 S, L2 r7 G$ Q  __in          HANDLE hExistingToken,( ]0 [5 G6 F# W
  __in          DWORD dwDesiredAccess,
2 F+ f/ U+ a( _  __in_opt      LPSECURITY_ATTRIBUTES lpTokenAttributes,4 i6 I3 q9 N4 R8 |; Z8 F% M6 V
  __in          SECURITY_IMPERSONATION_LEVEL ImpersonationLevel,% d5 s' [2 l4 b3 J0 k* r2 ~
  __in          TOKEN_TYPE TokenType,
# S: h  `5 ^3 j- g& Z' k  __out         PHANDLE phNewToken
7 E% p# i6 ?' F. |  m" Y);% l+ x: T  H7 g8 R
这个函数的主要功能就是根据现有的Token 来创建一个新的Token,我们需要的就是这个新的Token,如何得到这个新的Token,看来我们还得往下追踪哦,第二个参数是新建Token的权限,这个参数直接设置成MAXIMUM_ALLOWED就可以,第三个参数是 安全描述符的指针,这里直接设置成NULL,分配成一个默认的安全描述符,第四个参数设置成SecurityIdentification  的OK,(安全描述符的级别)  第五个参数 Token类型 直接设置成TokenPrimary OK  因为它就是用于CreateProcessAsUser的函数的。最后一个参数就是我们想要的参数了。我们主要就是得到他,要想得到这个参数 我们必须得到第一个参数。
5 H, i2 K" D; B' U; P1 R0 x% A3 f4 `' C% k7 Y
第一个参数是一个已经存在的Token,数要想得到这个Token,必须找到以个进程,把这个进程的Token 拿过来为我们所用,得到这个Token 要运行函数OpenPrcessToken通过这个函数得到Token的句柄,但是要得到这个Token的句柄,必须要通过函数OpenProcess得到进程的句柄,要得到进程的句柄 必须通过函数ProcessIdToSessionId得到进程的ID。因为我们系统每次登入的时候都有一个winlogon.exe,我们就拿这个进程的ID 来得到CreateProcessAsUser函数的第一个参数。也就是把上面的一步步还原回去!* K7 |) T- Q$ Y( o4 [  }% p

3 J- c! Z4 [0 Z9 m3 y 1 V: o( B2 R9 |4 p% A2 O( t. ^0 b

6 i3 z) c. A0 N; z; ldwSessionId = WTSGetActiveConsoleSessionId(); //得到当前用户的会话ID                 //////////////////////////////////////////
  h& _! T. t. ]5 @% Z* d// Find the winlogon process
0 T5 b7 T  p0 ^3 }- Y////////////////////////////////////////5 P1 N) b: F3 r+ D0 t
PROCESSENTRY32 procEntry;  //用来存放快照进程信息的一个结构体
3 R( Q7 F) l4 |5 S$ }: ~; F$ C. u+ u//函数为指定的进程、进程使用的堆[HEAP]、模块[MODULE]、线程[THREAD])建立一个快照[snapshot]
8 O8 {! O( L& B- T/ t# u+ I  X     HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
7 x0 w' k+ a9 k8 P$ s3 C7 u8 r. O     if (hSnap == INVALID_HANDLE_VALUE)
+ K4 f) d$ H2 L2 i  x         {8 O$ a( [# h& @. r, C) I
                 return 1 ;/ |5 B8 y0 U+ \) _
         }
$ e7 d4 _# E: U; x9 A         procEntry.dwSize = sizeof(PROCESSENTRY32);
) M. ]0 G) k) Z" B( R  f6 k         if (!Process32First(hSnap, &procEntry)) //获得第一个进程的句柄.
; _) J# W% K' {" A# [; N         {
7 G! \9 X% R( z. b. E3 l; x% O1 r                 return 1 ;
7 Y! R7 X: Z, O, T% N         }. n% ~8 X3 o6 v, B5 V" _
         do
3 H3 I- F2 E7 Z         {% {& O4 v; q4 }2 B8 C! C$ b0 c+ q: c
if (_wcsicmp(procEntry.szExeFile, _T("winlogon.exe")) == 0)  //查找winlogon.exe% @+ g3 o$ t* M7 t. Y
         {% T/ P. e6 B' j9 w- ^, S( A
         // We found a winlogon process...make sure it's running in the console session
- c/ w4 z- q  M) H5 X) U2 G1 c: J         DWORD winlogonSessId = 0;- [6 X3 A6 ?1 e
        if (ProcessIdToSessionId(procEntry.th32ProcessID, &winlogonSessId) && winlogonSessId == dwSessionId)//得到与进程ID对应的终端服务会话ID: |; m* |7 ^$ n7 `# J6 M6 ~" x
                          {
! G( J2 G9 W# F, @/ {1 o! [                                   winlogonPid = procEntry.th32ProcessID;/ C6 U  n$ s; {  f# w
                                   break;
; r( C0 M& N& D                          }8 k  `. H0 c2 b5 p: Z
                 }0 X6 N/ L: n7 F! m* H1 h
         } while (Process32Next(hSnap, &procEntry)); //获得下一个进程的句柄
* j, M& s1 p) G# ?         ////////////////////////////////////////////////////////////////////////
1 r# K/ ^7 U  b8 L$ n( ^3 }- D         hProcess = OpenProcess(MAXIMUM_ALLOWED,FALSE,winlogonPid);  //获得进程句柄
+ ~; b* d- [+ k: @" X) }0 [3 ^         if(!::OpenProcessToken(hProcess,TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY
& r1 A  J2 {1 s  I                 |TOKEN_DUPLICATE|TOKEN_ASSIGN_PRIMARY|TOKEN_ADJUST_SESSIONID
5 i( y; g' ?  _" c/ y) J                 |TOKEN_READ|TOKEN_WRITE,&hPToken))                //获得令牌句柄9 {8 X# m! w& ?
         {
6 o. j1 A* M7 Y: M0 ]4 E9 {                 int abcd = GetLastError();
' K" o+ X$ P3 d: Z; W$ a4 `# k& X                 printf("Process token open Error: %u\n",GetLastError());
6 m: x' h7 h! N; }" U         }
, j# c3 x4 @! k4 y7 U6 A, z- p       DuplicateTokenEx(hPToken,MAXIMUM_ALLOWED,NULL,SecurityIdentification,TokenPrimary,&hUserTokenDup);//创建模拟令牌
. i* D! O. [6 W0 |' }6 d. k( x         int dup = GetLastError();
0 L- {* u0 P' v+ M( F$ ~) f通过上面的函数我们得到了这个DuplicateTokenEx函数的最后一个参数后,我们还不能直接用,根据MSDN 的说法要用SetTokenInformation来设置一下
" I  C2 m+ R8 _% j1 i0 A+ @1 k# ?
/ y6 {3 L2 c0 ^. K: KBOOL WINAPI SetTokenInformation(
# E0 f  _; R" U5 |# D4 [, M  __in          HANDLE TokenHandle,
2 w) S/ X$ p* [" M# A7 z/ m* D  __in          TOKEN_INFORMATION_CLASS TokenInformationClass,+ ], |. X( J; t5 {2 ~$ O
  __in          LPVOID TokenInformation,
/ Y& Z/ ?% O: @& E7 I5 l: _* c  __in          DWORD TokenInformationLength
$ [: b9 ~2 L' r& `9 k);- O, Z2 h: t- X1 w5 }
其中第一个参数就是我们得到Toke 的句柄,第二个参数会话ID ,也就是把会话ID 设置到备份令牌中,代码如下:0 H' e0 ^$ d4 J% x
* ]! r1 j3 o8 s# s' P/ Y8 B' z
SetTokenInformation(hUserTokenDup,TokenSessionId,(void*)dwSessionId,sizeof(DWORD))
! v# u& H7 y+ ?/ y* }& o/ p8 \设置完成后 最好检验一下,当然不检验也没有关系了,代码如下:2 g, m: u, x+ `& j5 o' ]' ]% \" b

# u; o: T" g# Y$ m! _  if(!AdjustTokenPrivileges(hUserTokenDup,FALSE,&tp,sizeof(TOKEN_PRIVILEGES),(PTOKEN_PRIVILEGES)NULL,NULL)) //这个函数启用或禁止指定访问令牌的特权
8 ~( y, T% `) U9 `: T; x- i         {               ! Z2 ^3 [, X6 M- y, y2 H
                 int abc =GetLastError();
- R2 u; n; S5 e/ A" ~: ~1 D                 printf("Adjust Privilege value Error: %u\n",GetLastError());
3 z% ^0 d/ y3 G/ y6 i         }6 a2 v% U! i. [2 E% V3 s+ K7 N
         if (GetLastError()== ERROR_NOT_ALL_ASSIGNED)9 _9 [  K! i5 ~& m
         {
% j4 f* q/ P+ M3 l5 b/ K4 E                 printf("Token does not have the provilege\n");
- }$ |/ t$ ?) l9 i: G         }
5 g- j% k# @$ g% W8 m& L' S( i ; B7 \: x6 r3 T* K
这样的话CreateProcessAsUser第一个参数的工作算是正式完成,下面几个参数就简单了,# o' g* E9 J( @" M; _6 w3 @  S8 r

6 j: d2 g6 W# ^3 h! ?! s/ K大家直接看代码吧* x  K: m  v" h8 b; B& U
' P$ X0 I, s- y9 l% [
         bResult = CreateProcessAsUser(
5 f) t  K& v$ d8 P8 g                 hUserTokenDup,                              // 这个参数上面已经得到
2 r8 K# I- t/ j8 \% ?1 j- r                 _T("C:\\Windows\\System32\\notepad.exe"), //执行文件的路径; s; h7 ]* l# t& Q
                 NULL,                              // command line
$ K* F7 S* _9 S                 NULL,              // pointer to process SECURITY_ATTRIBUTES+ t: d! B: O! L% a5 M
                 NULL,              // pointer to thread SECURITY_ATTRIBUTES% X! H1 [5 v2 n/ `0 o/ j
                 FALSE,             // handles are not inheritable
0 |; Y$ p' f6 h  O( [- W' p                 dwCreationFlags, // creation flags. k/ [) G4 X7 i* E  ?- V. V& }9 L# y
                 pEnv,              // pointer to new environment block% T& {" z: A- o5 M
                 NULL,              // name of current directory* |! s3 N0 K6 L9 h+ O% ?
                 &si,               // pointer to STARTUPINFO structure9 X9 C/ m$ a" C. s. L# }) R
                 &pi                // receives information about new process. p! c* H3 n% H
                 );6 `/ @! c9 N1 W6 R- [' C: c

1 y4 |: s, _0 L6 U  l
% I  E3 |" j* ^" p最后大家别忘了把打开的句柄关闭。这样看起来是不是就有点简单了,其实也没什么,剩下的就是Winodws 服务的基本框架的一些东西,那些就简单了。 以上都是自己根据MSDN理解得来的,如有什么问题欢迎大家指正!
  K# E) Z; Q; T. b9 i  e
# \/ B% Q3 P* H1 E3 [* A. x  w附上Demo下载地址:http://download.csdn.net/source/3497793
发表于 2011-8-8 16:28:59 | 显示全部楼层
不錯。。。我前兩個月給OEM做的出貨用的GSensor Protect AP就是這個做法
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 加入计匠网

本版积分规则

Archiver|手机版|小黑屋|计匠网

GMT+8, 2024-12-23 20:45 , Processed in 0.030839 second(s), 16 queries .

Powered by Discuz! X3.5

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表