Windowsでのアプリケーションの起動をインターセプトし、何も壊さないようにします

Windows用のデバッグアプリケーションをたくさん行っているのであれば、 Image File Execution Options （ IFEO ）のような素晴らしいメカニズムを聞いたことがあるかもしれません。 彼が提供する機能の1つを使用すると、より戦闘に近い条件でアプリケーションをデバッグできます。 プログラムの代わりにレジストリの適切な場所に特別なキーを書き込んだので、デバッガーを自動的に起動して、デバッグタスクを実行できます。 しかし、このメカニズム（実際、何かの起動インターセプト）はそのような目的にのみ使用できると誰が言ったでしょうか？ この記事は、意図した目的のために物を使用することについてではありません。

カットの下で、良い目的のためにこのメカニズムからさらに絞り出そうとした方法と、途中で遭遇した落とし穴についての物語。 そして、ここには良い厳選された石があります。

一般的に、この考えは新しいものではありません。 デバッグ以外の目的でこのメカニズムを使用する少なくとも3つのプログラムを知っています。よく知られているProcess ExplorerとProcess Hacker-標準のタスクマネージャーを置き換えるものです。 およびAkelPad-メモ帳を置き換えます。 しかし、私はもう少し先に行くことにしました。

だから、私たちは何を持っている：私たちはレジストリに自分自身を事前登録すれば、事前に与えられた他のプログラムの代わりにプログラムを実行することができます。 また、誰が、どのように、どのような権利で起動するかは特に重要ではありません。

そのような機会に役立つことは何ですか？ 私に最初に起こったのは、ユーザーに尋ねることでした-彼は本当にこのプロセスを開始したいですか？ IFEOに自分を登録する方法をすぐに見つけたので 、ユーザーの同意を得てのみインターセプトされたプログラムを起動するダイアログボックスと[はい] / [いいえ]ボタンを備えた小さなユーティリティを作成しました。 打ち上げ直後、私は自分の素朴さの深さを実感しました。 「はい」を選択したときに何が起こったのか、すでに推測していますか？ もちろん、私は自分自身を再び開始し、確認を求める新しいウィンドウを取得しました。ここで、無限に続けることができます。 傍受は正常に機能しました。

回避できなかった場合、このメカニズムがどれほど役立つかはわかりません。デバッガはデバッグされたプロセスを開始する必要があります。 そのため、イメージファイル実行オプションには1つの例外があります。 まず、ユーザーモードでは、プロセスを開始するための2つのメソッドCreateProcessとShellExecuteExのみがあります。 そして最後に、2番目のメソッドもCreateProcessを呼び出しますが、これについては後で詳しく説明します。 そのため、例外はDEBUG_PROCESSフラグで始まるプロセスがインターセプトされないことです。 これでデバッガの問題は解決しますが、私の場合は、IFEOを完全に信頼できないことも意味します。 それにもかかわらず、このフラグを使用するプログラム（もちろんデバッガーを除く）は知りません。 このフラグを付けて楽しむことはできません。機能させるには追加のコードが必要です。

IFEOでのファイル登録

プロセスモニターを使用してCreateProcess関数を呼び出したときに何が起こるかを追跡すると、多くの興味深いことが見つかるでしょう。 ファイル名のエラー修正（これについては後で説明します）に加えて、IFEO設定用のレジストリーへの呼び出しがあります。 それはどのように見えますか：

このキーが見つかると、 デバッガ文字列フィールドを含む特定のフィールドの存在もチェックされます。 これが必要なものです。 デバッガーへのパス、またはこの場合はこのパスの代わりに実行されるプログラムへのパスを格納します。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\YourExecutable.exe] "Debugger" = "C:\Path-to-debugger\Debugger.exe"
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

制限があることに注意してください：

• 実行可能ファイルの名前のみがチェックされます。 つまり、マスクはありません。 * .exe呼び出しを取得して傍受することはできません。
• 同じ実行可能ファイル名を持つすべてのプログラムのアクションは同じになります。 UseFilterキーを使用するまで。 その後、はい、フルパスに基づいて特定のデバッガーを特定の実行可能ファイルに割り当てることができます。 再び-マスクなし。

標準アクションの割り当て

私にとってこのベンチャーの最初の意味は、IFEOを知ったので、他のプログラムに割り当てられた一連の典型的なアクション（小さなユーティリティとして実装）をユーザーに提供するプログラムを書くことにしました。 これは私が記事を書くことに決めた前でさえあり、ここでどれだけ多くの面白いことを言うことができるかを理解しました。 したがって、これらのユーティリティをストーリーの明確で実用的な例として使用します。 だから、私の想像力で十分でした：

• Ask.exe-起動の試行をユーザーに通知し、許可を求めます。
• Deny.exe-開始を拒否します。 同時に、ユーザーに通知することも、サイレントモードで実行することもできます。 Windowsがテレメトリーを開始しないようにする必要がある場合、非常に便利です。
• Elevate.exe-管理者にアップグレードするために常にUACを要求します。
• Drop.exe-プロセスの特権を下げます。 それはただ創造の冠です。 意味は、-ℓフラグを指定したDropMyRightsおよびPsExecユーティリティに似ています 。 しかし、IFEOとの組み合わせでは、はるかに効果的です。
• PowerRequest.exe-プログラムが終了するまで、コンピューターがスリープ状態になることや画面をオフにすることを防ぎます。

これらのアクションを登録するために、スクリーンショットに表示されているプログラムの2つのバージョン、GUIとコンソールが作成されました。 ここで話すことは何もありません。 レジストリを読み書きするだけです。

タイトルから推測できるように、最も興味深いのは、実行時に他の人のプログラムを何も壊さずに置き換える方法です。 しかし、最初に、いくつかの明らかな、しかし必要なもの。 インターセプトされたプロセスを開始する場合は、自分自身を起動したときと同じ条件を可能な限り再現する必要があります。 そしてそれは：

• まったく同じSTARTUPINFO構造、 bInheritHandlesフラグの設定、および同じ作業ディレクトリ。
• 起動されたプロセスの完了を待って、戻りコードを取得し、チェーンに沿って転送します。
• そして...別のトリック、これについては少し後で説明します。

いいね そして、何を起動するかをどのように知るのでしょうか？

可能性を評価しましょう

以下は、プログラムA.exeのデバッガとしてIFEOに記述されていると仮定します。

 "C:\My-Path\B.exe" /param
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

誰かが-aオプションを指定してプロセス "C：\ Folder \ A.exe "を作成しようとすると、 B.exeプロセスは次のコマンドラインで作成されます。

 "C:\My-Path\B.exe" /param "C:\Folder\A.exe" -a
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

B.exeのコードを自分で記述しているため、コマンドラインをそのコンポーネント部分に簡単に解析でき、この名前のない誰かが実行したいのと同じパラメーターでA.exeを実行できます。 ここに完全な自由があります。 他の権限で実行したい、送信したいパラメータを変更できます。

このすべてに興味があるのは、 アカウントコントロールがこのような無料のアピールにどのように反応すると思いますか？ 正解：何もありません。 エクスプローラーでA.exeファイルで「管理者として実行」を選択すると、 A.exeファイルに関する情報がUACメッセージに表示され、そのデジタル署名によってウィンドウの色が決まります。 そして、 B.exeの代わりにB.exeが起動されるという事実は10番目の問題です。 いいえ、特別なセキュリティ上の問題はありません。IFEOへの書き込み自体には管理者権限が必要です。 私たちにとって、これは何か他のものを意味します。IFEOでユーティリティを作成したので、ユーザーを誤ったユーザーアカウント制御メッセージと混同することはありません。 確かに、彼の観点から-これはそれがどのように見えるかです。

プロセスの通常の開始方法

Windows Vistaでのユーザーコントロールの導入により、プロセスの開始はより困難になりました。 実際、いくつかのプログラムを実行するために、権限の不足によりCreateProcessの呼び出しが失敗する場合があります。 この場合、 GetLastErrorはERROR_ELEVATION_REQUIREDを返します。 このような場合、Windowsには互換性の問題に対する特別な修正が組み込まれていますが、何も修正されていないことに気づきませんでした。 最新のプログラムは、このエラーに応じて、「runas」アクションを指定してShellExecuteExを呼び出し、特権の昇格を要求する必要があります。 つまり、典型的なプロセス作成コードは次のようになります。

 if not CreateProcess(…) then else if GetLastError = ERROR_ELEVATION_REQUIRED then ShellExecuteEx(…) //   "runas" else //   
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ユーティリティは常に機能するため、昇格した特権を実行する必要はありません。つまり、 A.exeを開始しようとするプロセス（および代わりにB.exeを開始するプロセス）がERROR_ELEVATION_REQUIREDを受け取ることはありません。 大丈夫、大丈夫、私たちは必要に応じて彼の権利の増加を要求することができます。 これが何が起こったのか想像してみてください。 誰かがA.exeを起動し、代わりに起動しました。A.exeは特権を要求しているため、CreateProcessで実行できず、ShellExecuteExを使用する必要があります。 すでに推測？ ShellExecuteExは常に IFEOによってインターセプトされます。保存できるDEBUG_PROCESSフラグはありません。 その結果、私たちは再び立ち上げます。 確かに、今回はCreateProcessを使用してA.exeを実行するのに十分な特権が既にあります。 そして、これらはすべて、UACから目に見えるマークなしで！ 脳を壊すことができますよね？ 私自身は、「自分の行動をほぼ包括的に傍受する」という概念に完全には慣れていません。

このため、 Elevate.exeユーティリティではShellExecuteEx'omだけを実行することはできません。IFEOを回避することはできません。 Ask.exeの場合、これは別の問題を追加します。 そこでユーザーに尋ねると、彼はローンチを確認しました。 そして、ShellExecuteExとIFEOを組み合わせて、再び立ち上げました。 なに、また尋ねる？ 二次問題の抑制を追加する必要がありました。 しかし、これは単に特別なパラメーターを追加するだけでは実行できません。追加する場所はどこでもA.exeを実行するため、独自のパラメーターと区別できません。 これらすべての困難を事前に予測しようとすることは、非常に良い心の練習です。

CreateProcessとShellExecuteExの違い

CreateProcessのドキュメントを読みましたか？ 多くの人々が見逃している1つのポイントがあり、潜在的に彼らのアプリケーションのセキュリティに何らかの脆弱性を作り出しています。 同じことが、CreateProcessのラッパーである従来のWinExec関数にも当てはまります。 関数の最初の2つのパラメーターは、起動される引数と引数を決定します。 これらはlpApplicationNameとlpCommandLineです。 以下は、MSDNのテキストの翻訳です。

LpApplicationNameはNULLの場合があります 。 次に、実行可能ファイルの名前は、 lpCommandLineの最初のスペースで区切られた部分文字列にする必要があります。 スペースを含む可能性のある長いファイル名を使用する場合は、引用符を使用して、ファイル名の終わりと引数の始まりを示します。 それ以外の場合、ファイル名はあいまいです。

なぜ人々は引用符を付けるのを忘れ続けるのですか？ これがどのように機能するのか-CreateProcessには組み込みのエラー修正メカニズムがあります。 lpApplicationNameをNULLに設定し、その実行可能ファイルの名前をlpCommandLineに渡してプログラムの実行を試みます： C：\ Program Files \ Sub Dir \ Program Name 。 CreateProcessは何をしますか？ 実行できるものを見つけるまで行を検索し、ファイル拡張子を置き換えます。

C：\ Program Files \ Sub Dir \ Program Name

C：\ Program.exe Files \ Sub Dir \ Program Name

C：\ Program Files \ Sub Dir \ Program Name

C：\ Program Files \ Sub.exe Dir \ Program Name

C：\ Program Files \ Sub Dir \ Program Name

C：\ Program Files \ Sub Dir \ Program.exe名

C：\ Program Files \ Sub Dir \ Program Name

試してみたい場合は、コンピューターにファイルC：\ Program.exeを作成し、プログラムのいずれかがこれに入るかどうかを確認します。 このプロセスハッカー（修正プログラムは既にナイトリービルドに含まれています）、Punto Switcher（私もそれらに書き込む必要があります）、およびFar Managerのプラグインの1つを見つけました。 ところで、Windows Explorerはこの問題についても知っています。

質問に戻る：これは私たちにとって何を意味するのでしょうか？ IFEOから正確にlpCommandLineを取得します 。 はい、CreateProcessに渡すことができます-このような問題が発生した場合は、そのまま残ります。ここでは無力です。 ただし、ShellExecuteExに転送する必要がある場合もありますが、そのようなエラー修正はありません。 lpFileとlpParametersが別々にあります。 文字列をスペースで自分で解析し、CreateProcessと同じ方法で最初の既存の実行可能ファイルの名前を探す必要があります。 素晴らしい。

そして今、私たちは少し気を取られ、他の興味深いことについて話します。 ユーティリティの1つがどのように機能するかについて説明します。

低い特権

「必要な最小限の権限でプログラムを実行する」という原則は、おそらくここで誰もが知っていることでしょう。 しかし、あなたが好きなプログラムの作者がこの原則について聞いていない場合の対処方法は次のとおりです。質問はすでに複雑です。 そのような状況では、互換性の問題を解決するメカニズムが保存される場合があります。

 SetEnvironmentVariable('__COMPAT_LAYER', 'RunAsInvoker');
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これにより、CreateProcessがプログラムを開始できず、ERROR_ELEVATION_REQUIREDを返す回数が著しく減少します。 しかし、これは常に機能するとは限りません。 たとえば、 * .sdb パッチはこの方法よりも優先されます 。

Elevatedトークンを使用して（つまり、管理者に代わって）プロセスを開始できる特別なユーティリティもありますが、同時にすべての関連する特権を削除します。 これは、MicrosoftのMichael Howardによって作成されたDropMyRightsと、-ℓスイッチで起動された有名なMicrosoft SysinternalsスイートのPsExecです。 奇妙なことに、これらのユーティリティはさまざまな方法で処理を行います。

DropMyRightsで使用される方法がより気に入った。 はい、彼のソースコードは公開されています。 そこではWindows Safer APIが使用されます。これにより、文字通り数行のコードで、切り捨てられた特権を持つトークンを計算できます。これはCreateProcessAsUserですぐに使用できます。 ええ、私はすべてのインストーラー作成者に、それがどれほど簡単かを知ってもらい、インストールの最後に最大の許可でプログラムを実行しないようにしたい...

次に、これらの両方のアプローチを組み合わせて、IFEOと組み合わせます。 その結果、自動的に権利が低下し、ユーザーアカウント制御の要求が最小限に抑えられます。 あなたのことは知りませんが、本当に好きです。 そして、ShellExecuteExを呼び出すことによる権利の昇格は常に傍受されるため、私が理解するように、私たちのユーティリティの影響下にあるプログラムは、ユーザーが制限付きの。 しかし、本当に深刻な場合には、Sandboxieのようなサンドボックスを使用してください。 または、仮想マシン。

IFEOバイパス

メイントピックに戻りましょう。 DEBUG_PROCESSフラグを使用してプロセスを開始すると喜んで、自分のレーキに落ちることはないと言って、すべてを言っています。 しかし、すべてが機能するためには、他に何かをする必要があります。 このフラグを使用して、デバッグ中にプロセスを開始します。つまり、デバッグイベントを受け取ります。 それらが処理されない場合、プロセスは動かないままになります。 それらを処理するには、 WaitForDebugEventとContinueDebugEventの 2つの関数のみが必要です。

ただし、すべてのプログラムがデバッガに正常に関連しているわけではありませんか？ ウイルスのために明確に例外を作成したわけではありませんが、デバッガーを切断する方が良いでしょう。 デバッガを書くためにここにいるわけではありません。 そして、ここで、意外なことに、複雑さが生じます。このアクションは、おそらく文書化されていない機能を指します。MSDNで見つけられなかったからです。 したがって、Process Hackerのドキュメントを使用します。 したがって、 ntdll.dllのNtRemoveProcessDebug関数が必要です 。 彼女はDebugObjectHandleを必要とします 。これはNtQueryInformationProcessを使用して取得でき、 ProcessDebugClassとしてProcessDebugObjectHandle = 30を要求します。 以上です。 ただし...他の人のプロセスではこれを行わない方が良いでしょう。彼らのデバッガーは現時点でデバッグイベントを待つことができ、彼ら自身でkill-on-closeを有効にすることができます。

UPD。

私は間違っていたので、より複雑な方法で行った。 これには文書化された関数があり、それはDebugActiveProcessStopです。 一緒にDebugSetProcessKillOnExitを使用することをお勧めします。

オペレーティングシステムの容量に関連する機能があることに注意してください。32ビットプロセスは、DEBUG_PROCESSフラグを使用して64ビットプロセスを開始できません。 しかし、64ビットは誰でも実行できます。

ええ、まだ覚えていますか？ 上記では、インターセプトされたプロセスの後続の起動との互換性をわずかに向上させる別のトリックについて説明することを約束しました。

アカウント制御マジック

アカウント制御は何が起こっているかにまったく反応しないことは既に述べました。 そして、「なぜ？」という質問をした場合、間違いなくここにいます。

UACはどのように機能し、特権エスカレーションはどのように機能しますか？ この質問に対する適切な回答は、 Vista UAC：The Definitive Guideに記載されています。 要するに、ShellExecuteExは、COM呼び出しのジャングルを通り抜けて、AppInfoサービスにアクセスします。 彼はプロセスacknowledge.exeを作成します。このプロセスは、起動を確認する要求とともにそのウィンドウを表示し、必要に応じてパスワードを入力します。 プロセスのまさに作成は、当然、このすべての後に発生します。 そして、最も普通のCreateProcessAsUserがそこで使用されます。 この段階でIFEOがトリガーされ、プロセスの作成をインターセプトして開始します。 これが、アカウント制御がこれについて何も知らない理由です。

最も独創的な人はすでに質問をしているはずです：プロセスが他の誰かによって作成された場合、どのようにしてリクエストの親がリクエストのイニシエーターであることがわかりますか？

Windows Vista以降のCreateProcessでは、 STARTUPINFOの代わりにSTARTUPINFOEXをスリップできます（ EXTENDED_STARTUPINFO_PRESENTフラグを使用する場合）。 すべての同じ情報+ lpAttributeListとプロセス属性のリストが含まれています。 この属性のリストは、 InitializeProcThreadAttributeListを呼び出して作成し、 UpdateProcThreadAttributeを使用して更新する必要があります。 PROC_THREAD_ATTRIBUTE_PARENT_PROCESSフラグを指定し、目的のプロセスへのハンドルを提供することにより、親プロセスを変更できます。 ここで覚えておく価値があるもの：

• 新しい親を作成するプロセスのハンドルは、 PROCESS_CREATE_PROCESS特権を持ち 、 DeleteProcThreadAttributeListの呼び出しに対応する必要があります。
• ネストされたSTARTUPINFOのcbフィールドの値をSizeOf（STARTUPINFOEX）に設定する必要があります。

C＃の既製の例はStackOverflowにあります。

たとえば、コンピューター上の不審なアクティビティを分析する場合、誰がどのプロセスを開始したのですか？ ああ、今あなたは絶対にそうするつもりはない。

いくつかの興味深い機能があります。 ある漫画の遊び心のあるフレーズを思い出しますが、これは次のように聞こえます。「だから、生まれたときでも、両親は誰もいなかった...」 奇妙なことに、ここでも同様のことが可能です。 OpenProcess 'aの呼び出しとプロセス自体の作成の間に、割り当てられた親が完了する場合-それは重要ではありません。 子プロセスは、完了後に親によって「あたかも」作成されるだけです。 なぜだ。

すべてうまくいきますが、このトリックはShellExecuteExでは機能しません。すべてが単純です。呼び出したのは親です。 ただし、IFEOがオンになっているため、最後の単語は常にCreateProcessに残ります。これがないと、傍受から抜け出すことはできません。 そのため、一連のプロセスを歩いていくと、このすべてを最初に開始した人を見つけて、彼を親として任命することができます。 おそらく、プロセスエクスプローラーとプロセスハッカーでは結果がそれほど美しく見えないかもしれませんが、他の誰かのプロセスの観点から見ると、すべてが整然としています。 まあ、おそらく、起動時に登場し、インターセプトされたプロセスのリターンコードを期待する「不正な」子供を除きます。 何もする必要はありません。

この図は、 Ask.exeアクションが割り当てられているFar.exeからnsx.exeを実行する方法の図を示しており、実行には昇格した特権が必要です。

正直に言うと、親プロセスを置き換えるというアイデアは、もう一つの素晴らしいチャンスだと思った。 しかし、彼女はいくつかの問題を修正しました。 そのため、同じFar Managerが2番目のプロセスを作成して、より特権のあるアクションを実行できます。インターセプトがある場合、この機能は機能しなくなります。 親の置換は再びそれを修正しました。

してはいけないこと

長い間、私は自分のコンピューターでそれをチェックすることを敢えてしませんでした。仮想マシンを展開するのが面倒だったからです。 幸いなことに、大丈夫です。 しかし、それから私は慎重になり、「ああ、そしてサイクルA → B → Aを作成しようとすると...」のような私のコンピューター上の仮説をチェックしませんでした。 また、重要なシステムプロセスの傍受を確立しようとする価値はないと思います（アクションの確認とともに登録ユーティリティにリストを組み込みました）。 しかし、私は何が起こるのか興味があります。 SYSTEMに代わって開始したすべてが傍受されました。 そのため、このような場合にUI0Detectサービスに依存しないように、ゼロセッションですべてのダイアログボックスの抑制を追加しました。

最後に、同じタイプの多くのプロセスを作成するプログラムにアクションを追加することはお勧めしません。 1つのこと-いくつかの追加プロセス、もう1つ-大群。 , . , . , : chrome.exe . : . .

Windows . Native (), Windows CUI ( ), Windows GUI ( ). — , . — : ? , , — . , GUI : svchost.exe , Windows GUI.

. , , . , . ? おそらくない。 , Application Compatibility Toolkit -, , , , « ». , . , . , : , - , , . , . , Delphi — , : 02 03 0x15C.

おわりに

, « 1001 Windows» . , Delphi, WinApi, , , .

. Windows 7 , Windows Vista — . — .

P. S. , - — , , . ありがとう