找回密码
 加入计匠网
搜索
热搜: BIOS ACPI CPU Windows
查看: 10488|回复: 1

以system权限启动应用程序

[复制链接]
发表于 2011-8-5 21:27:34 | 显示全部楼层 |阅读模式
最近在搞一个项目,需要程序开机自动运行,可是程序中调用了底层驱动的一些函数,必须以管理员的权限才能运行,否则程序运行不成功,在XP 下 直接写注册表就可以,可是在VISTA 和 WIN7 下写注册表的方式失效,因为必须以管理员的权限运行才可以,迫于无奈,上网查了N多资料,终于找到了一种解决的办法,在此分享出来,以此献给被此问题苦恼的人!
$ S# |: G8 h8 J. H% |
! v3 {1 K# X. N' [/ ~: M首先介绍一下,解决问题的思路,创建一个服务,安装在系统中,在服务里以SYSTEM 的权限创建一个进程,用来启动自己的应用程序,我们想什么时候启动我们的应用程序,只需要我们用应用程序给服务发送一个信号,在服务接收到信号后,就可以启动我们想要运行的应用程序了。
3 n# o0 G* l! [1 ]* H  q
6 R- k  b. F6 C7 z' k. E实现框架如下:# @$ ^& h  n" s* Q; y
  [. k' N5 _4 S5 t) z

' q8 A  `  ^& K5 Y' l
# }0 D. \, Z7 M6 ~4 e所以在这里我们需要创建三个程序:1.Windows 服务程序 2.我们自己的应用程序 3.给服务发送信号的应用程序。8 G8 K; k5 f9 L! Q" K" x

0 b, U2 ^0 T* ^0 b2 N  m% ^2 E  H当然其中的 1和3 可以合并在一起,而且 2  我们可以做成多个应用程序。这样只要是我们自己写的都可以以SYSTEM的权限运行了,比管理员更实用。这里需要注意的是第一次安装服务的时候必须以管理员的权限运行。
/ n7 \2 y2 L) r9 o
% [+ E: C% [) S6 X好了,闲话少说,下面步入正题,我做了个简单的Demo,是以服务的方式启动系统自带的管理记事本程序(windows 7下面的,用VS2008编辑)。4 B0 F! A; y! o: g# T

6 t  I+ d. T+ |9 m3 s' N( o我们以函数CreateProcessAsUser 来开始讲解,我们所要做的动作就是把这个函数的各个参数都填对 就OK,只需把其中的几个关键参数填好,其他设置为NULL 就OK ,! }9 Q# }; J: O* D# H- n' O* {' o

" y9 B; G# {) S7 P% u) t首先第一个参数HANDLE hToken ,Token 句柄,怎么得到这个句柄,MSDN 给出了两种办法,一种通过调用 LogonUser函数 ,一种另外一种通过 调用DuplicateTokenEx 函数,在这里我们选择第二种方式创建一个模拟的Token,关键是这个模拟的Token那里来,那我们就得追踪DuplicateTokenEx里面的各个参数,其中DuplicateTokenEx参数如下:
( c/ |0 V. \! |; n6 P1 g( t
5 }3 ~2 C0 q" a+ a; c4 K8 kBOOL WINAPI DuplicateTokenEx(, {# A5 g: M, |
  __in          HANDLE hExistingToken,
) Q, s0 ]4 p, Y" g# e  __in          DWORD dwDesiredAccess,
8 L& S# @3 o' V, U% J  __in_opt      LPSECURITY_ATTRIBUTES lpTokenAttributes,
" b6 u% k, C- G: _* v  __in          SECURITY_IMPERSONATION_LEVEL ImpersonationLevel,. S1 M* x' r% m9 q5 p1 G0 N
  __in          TOKEN_TYPE TokenType,% p9 P* `! |! o4 M' O0 V6 N$ x
  __out         PHANDLE phNewToken
: f" }/ z3 t( {' @  L5 u, g6 d0 l- M);: A( R6 F, r$ f; r' g
这个函数的主要功能就是根据现有的Token 来创建一个新的Token,我们需要的就是这个新的Token,如何得到这个新的Token,看来我们还得往下追踪哦,第二个参数是新建Token的权限,这个参数直接设置成MAXIMUM_ALLOWED就可以,第三个参数是 安全描述符的指针,这里直接设置成NULL,分配成一个默认的安全描述符,第四个参数设置成SecurityIdentification  的OK,(安全描述符的级别)  第五个参数 Token类型 直接设置成TokenPrimary OK  因为它就是用于CreateProcessAsUser的函数的。最后一个参数就是我们想要的参数了。我们主要就是得到他,要想得到这个参数 我们必须得到第一个参数。
6 @, e: M/ I0 R; g8 [% x, Q6 U5 B' D( b  K9 M6 Z( C
第一个参数是一个已经存在的Token,数要想得到这个Token,必须找到以个进程,把这个进程的Token 拿过来为我们所用,得到这个Token 要运行函数OpenPrcessToken通过这个函数得到Token的句柄,但是要得到这个Token的句柄,必须要通过函数OpenProcess得到进程的句柄,要得到进程的句柄 必须通过函数ProcessIdToSessionId得到进程的ID。因为我们系统每次登入的时候都有一个winlogon.exe,我们就拿这个进程的ID 来得到CreateProcessAsUser函数的第一个参数。也就是把上面的一步步还原回去!
! z. l4 E. J5 |# V; n1 s  t% Z# n4 R1 R; v" e1 t( }$ A
1 G! F" R! }+ w4 u# j

# p6 q" p! _& g1 s, L/ O& }5 }5 v7 ^dwSessionId = WTSGetActiveConsoleSessionId(); //得到当前用户的会话ID                 //////////////////////////////////////////
4 ^: n1 g4 [' Z; ]- F5 E// Find the winlogon process
6 Q) k/ W$ {" g( {* Y////////////////////////////////////////
* F$ V& g+ c$ A+ h2 Z6 C9 J# Q7 MPROCESSENTRY32 procEntry;  //用来存放快照进程信息的一个结构体
- B- N) [# [! D  G. F4 `4 M8 U//函数为指定的进程、进程使用的堆[HEAP]、模块[MODULE]、线程[THREAD])建立一个快照[snapshot]( ~3 c  H/ [: c- a0 l4 x$ K7 N
     HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
( R- m8 F( t$ b! n8 I     if (hSnap == INVALID_HANDLE_VALUE)
8 W3 W9 v  V) A' X2 p         {) D4 f- F. m4 Z8 O) R
                 return 1 ;1 W/ q! c% @, F; }+ F8 f4 K. c& M
         }
7 I, o( M" _' B5 c- i         procEntry.dwSize = sizeof(PROCESSENTRY32);$ s: N3 g9 Q8 s! G9 z! A
         if (!Process32First(hSnap, &procEntry)) //获得第一个进程的句柄.
7 }: o  V. d2 u) I# b         {
) k# j, b! l' s- F( L+ r2 p                 return 1 ;9 u& x$ l/ M: B' B4 W  |
         }) e6 [& ~0 w  c8 ?4 T; }$ c
         do$ A1 Z) y  U8 q1 a) I- O
         {
+ y7 D1 Y; \. Y2 b5 ^7 n1 D5 qif (_wcsicmp(procEntry.szExeFile, _T("winlogon.exe")) == 0)  //查找winlogon.exe+ q" D. U: a  y+ N7 B- A
         {1 S- G  f; v. R6 g9 V
         // We found a winlogon process...make sure it's running in the console session4 K$ P- I0 E/ s/ u. N/ k1 `. }
         DWORD winlogonSessId = 0;
3 q. U3 A4 X: ^1 }- p* W7 b        if (ProcessIdToSessionId(procEntry.th32ProcessID, &winlogonSessId) && winlogonSessId == dwSessionId)//得到与进程ID对应的终端服务会话ID4 e  l9 B" i6 T& K, s. x9 {* U  \
                          {0 o+ n' v* Y: q- @* t+ ^6 U
                                   winlogonPid = procEntry.th32ProcessID;
  r, x# b! _1 V                                   break;( \! @( |+ {( b* Y- w5 W6 \
                          }0 T( \  e/ u$ [& g1 k
                 }$ u& F) l2 r$ W/ y0 Z
         } while (Process32Next(hSnap, &procEntry)); //获得下一个进程的句柄- e, Z4 S1 l- ~
         ////////////////////////////////////////////////////////////////////////
' U- x! m. K# S7 M+ J         hProcess = OpenProcess(MAXIMUM_ALLOWED,FALSE,winlogonPid);  //获得进程句柄3 Z! y$ T$ e3 k  g2 R
         if(!::OpenProcessToken(hProcess,TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY
- A& a% n' i+ }3 `6 O. M) j& G                 |TOKEN_DUPLICATE|TOKEN_ASSIGN_PRIMARY|TOKEN_ADJUST_SESSIONID
  L* O1 }9 t% M# b& w                 |TOKEN_READ|TOKEN_WRITE,&hPToken))                //获得令牌句柄$ t  k2 W% e0 O1 x) R
         {
3 y( w4 \0 g2 X0 y3 P0 H                 int abcd = GetLastError();$ A) ~% b3 B+ N: `8 q
                 printf("Process token open Error: %u\n",GetLastError());
- p; `; a2 y! V" w8 \' W         }  a, X3 I% ?# \  T5 i! t
       DuplicateTokenEx(hPToken,MAXIMUM_ALLOWED,NULL,SecurityIdentification,TokenPrimary,&hUserTokenDup);//创建模拟令牌% M( X' \& \* U% P
         int dup = GetLastError();
! L4 f" [2 N# g0 ]( H/ ^2 ~6 r' ~通过上面的函数我们得到了这个DuplicateTokenEx函数的最后一个参数后,我们还不能直接用,根据MSDN 的说法要用SetTokenInformation来设置一下
7 j  d( U/ y8 A$ Q0 q* }, D! `' r
BOOL WINAPI SetTokenInformation(
. {2 s4 j# U& C  __in          HANDLE TokenHandle,9 Z6 p5 F& [" p# z  g
  __in          TOKEN_INFORMATION_CLASS TokenInformationClass,2 w" b! a1 M0 d' u+ A: u  h( e
  __in          LPVOID TokenInformation,
! j3 T) l* D/ q4 P' F/ o  __in          DWORD TokenInformationLength
1 w, `% [0 `* C# u# ^);- `7 b* t/ [$ j3 \( d
其中第一个参数就是我们得到Toke 的句柄,第二个参数会话ID ,也就是把会话ID 设置到备份令牌中,代码如下:
6 {8 q# ~2 f) d; Q  Z  R: _/ S% u' Q% R( k* H% p; J$ G; F
SetTokenInformation(hUserTokenDup,TokenSessionId,(void*)dwSessionId,sizeof(DWORD))
2 V! J% v, @8 F1 j& B7 Y设置完成后 最好检验一下,当然不检验也没有关系了,代码如下:; W& b/ A2 C. m2 Q& W' Y
0 x8 p7 ~: l1 I# Q6 _7 o3 I
  if(!AdjustTokenPrivileges(hUserTokenDup,FALSE,&tp,sizeof(TOKEN_PRIVILEGES),(PTOKEN_PRIVILEGES)NULL,NULL)) //这个函数启用或禁止指定访问令牌的特权+ u/ _5 D% x+ a- ^
         {               7 Z& a5 Q, V9 O
                 int abc =GetLastError();5 D* T7 k9 ?( c4 d, `
                 printf("Adjust Privilege value Error: %u\n",GetLastError());
4 E6 J) E7 O& n/ M         }
- t4 C! v/ L! t         if (GetLastError()== ERROR_NOT_ALL_ASSIGNED)( U" B( P% D0 x6 d$ t* X  K
         {
" M7 @# U# P! Q9 T+ i) O                 printf("Token does not have the provilege\n");2 z8 N% K$ a6 {1 A
         }
1 Y' y% j' r# {4 F) s: [% F
/ B+ ~4 t9 {; |* t( j! \/ [这样的话CreateProcessAsUser第一个参数的工作算是正式完成,下面几个参数就简单了,' b+ O! Z, ~4 d) F
" [" o1 E) n/ n8 n: U% |2 f
大家直接看代码吧
$ p5 \" a1 X! Y! S9 H" ~! H" k' @/ Q( g$ F
         bResult = CreateProcessAsUser() f: m. g' }7 J) X4 {& Q' m$ ^/ _" n
                 hUserTokenDup,                              // 这个参数上面已经得到& T+ V- K7 p" f: l0 g, F
                 _T("C:\\Windows\\System32\\notepad.exe"), //执行文件的路径
. D" k; r, y/ O# Z+ J                 NULL,                              // command line
/ n( z7 G. n  v' M" N                 NULL,              // pointer to process SECURITY_ATTRIBUTES
2 b5 X( a! D" G4 }, l                 NULL,              // pointer to thread SECURITY_ATTRIBUTES1 U) c% `1 O0 C9 X% k) x
                 FALSE,             // handles are not inheritable
6 q+ n9 G: L- s! ^/ b) J                 dwCreationFlags, // creation flags$ m* O+ x$ F' T1 U! L8 s- ]
                 pEnv,              // pointer to new environment block
' [+ O. i0 ~8 S% J7 X: A0 [                 NULL,              // name of current directory8 K' R/ }6 o9 c1 k( }6 P3 `; X
                 &si,               // pointer to STARTUPINFO structure* v* H$ O$ X: ]
                 &pi                // receives information about new process
2 z* Q+ R9 R: e  \; @( ?+ Z6 Q# r                 );
9 A+ b2 e% _; E0 C9 t* n6 y) z 4 y5 z# W' I$ |! Y" w" K8 ?

6 v4 a, o6 S8 z8 E+ B1 q6 w; K$ @最后大家别忘了把打开的句柄关闭。这样看起来是不是就有点简单了,其实也没什么,剩下的就是Winodws 服务的基本框架的一些东西,那些就简单了。 以上都是自己根据MSDN理解得来的,如有什么问题欢迎大家指正!0 `7 q) [& R) S4 p4 ?& _) N& w' ^
& a5 a' M9 I# N5 i0 ?
附上Demo下载地址:http://download.csdn.net/source/3497793
发表于 2011-8-8 16:28:59 | 显示全部楼层
不錯。。。我前兩個月給OEM做的出貨用的GSensor Protect AP就是這個做法
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 加入计匠网

本版积分规则

Archiver|手机版|小黑屋|计匠网

GMT+8, 2026-4-24 22:45 , Processed in 0.059325 second(s), 17 queries .

Powered by Discuz! X3.5

© 2001-2025 Discuz! Team.

快速回复 返回顶部 返回列表