Windows API和C Runtime对安全性的影响【浮生若梦】.doc

Windows API和C Runtime对安全性的影响CopyMemoryVOID CopyMemory(PVOID Destination, CONST VOID *Source,DWORD Length); Destination要复制内存块的目的地址。Source要复制内存块的源地址。Length指定要复制内存块的大小，单位为字节。返回值该函数为VOID型，没有返回值。 头文件 winbase.h.注意一点CopyMemory和MoveMemory不过是RtlMoveMemory的一个别名而已。 示例代码段char szname50=阵雨;char szfriend=polelf,oo;CopyMemory(szname+4,szfriend,10);OutputDebugString(szname); /输出结果为阵雨polelf,oo 安全性评价 第一个参数Destination必须足以容纳count个字节的Source组合大小，否则就可能发生缓冲区溢出。这样，当发生违规访问时，应用程序就可能会遭到拒绝服务攻击，或者更坏，可能会使攻击者将可执行代码注入到您的进程中。如果Destination是基于堆栈的缓冲区，则尤为如此。要注意的是，最后一个参数Length是要复制到Destination的字节数，而不是Destination的大小。以下代码示例演示了安全使用CopyMemory() 的方法：void test(char *pbData, unsigned int cbData) char bufBUFFER_SIZE; CopyMemory(buf, pbData, min(cbData,BUFFER_SIZE);CreateProcess CreateProcessAsUserCreateProcessWithLogonW安全性评价第一个参数 lpApplicationName 可以为 NULL。在这种情况下，可执行程序的名称必须是 lpCommandLine 中第一个用空格分隔的字符串。但是，如果可执行程序的名称或路径名中有空格，则存在一定的风险，因为如果空格处理不当，就可能会运行恶意的可执行程序。以下示例是危险的，因为该进程将试图运行“Program.exe”（如果该程序存在），而不是“foo.exe”。CreateProcess(NULL, C:Program Filesfoo, .)如果恶意用户要在系统中创建名为“Program.exe”的特洛伊程序，那么任何使用“Program Files”目录不正确地调用 CreateProcess 的程序都将启动特洛伊程序，而不是要调用的应用程序。注意不要为 lpApplicationName 传递 NULL，以避免函数根据其运行时参数来分析并确定可执行文件路径名。如果 lpApplicationName 一定要为 NULL，则用引号将lpCommandLine 中的可执行路径引起，如下例所示。CreateProcess(NULL, C:Program Filesfoo.exe -L -S, .)WIN32API函数CreateProcess用来创建一个新的进程和它的主线程，这个新进程运行指定的可执行文件。 BOOL CreateProcess(LPCTSTRlpApplicationName,LPTSTRlpCommandLine,LPSECURITY_ATTRIBUTES lpProcessAttributes。LPSECURITY_ATTRIBUTES lpThreadAttributes,BOOL bInheritHandles,DWORD dwCreationFlags,LPVOID lpEnvironment,LPCTSTR lpCurrentDirectory,LPSTARTUPINFO lpStartupInfo,LPPROCESS_INFORMATION lpProcessInformation); 参数1. lpApplicationName：指向一个NULL结尾的、用来指定可执行模块的字符串。这个字符串可以是可执行模块的绝对路径，也可以是相对路径，在后一种情况下，函数使用当前驱动器和目录建立可执行模块的路径。这个参数可以被设为NULL，在这种情况下，可执行模块的名字必须处于 lpCommandLine 参数的最前面并由空格符与后面的字符分开。这个被指定的模块可以是一个Win32应用程序。如果适当的子系统在当前计算机上可用的话，它也可以是其他类型的模块（如MS-DOS 或 OS/2）。在Windows NT中，如果可执行模块是一个16位的应用程序，那么这个参数应该被设置为NULL并且应该在lpCommandLine参数中指定可执行模块的名称。16位的应用程序是以DOS虚拟机或Win32上的Windows（WOW） 为进程的方式运行。2. lpCommandLine：指向一个以NULL结尾的字符串，该字符串指定要执行的命令行。这个参数可以为空，那么函数将使用lpApplicationName参数指定的字符串当作要运行的程序的命令行。如果lpApplicationName和lpCommandLine参数都不为空，那么lpApplicationName参数指定将要被运行的模块，lpCommandLine参数指定将被运行的模块的命令行。新运行的进程可以使用GetCommandLine函数获得整个命令行。C语言程序可以使用argc和argv参数。如果lpApplicationName参数为空，那么这个字符串中的第一个被空格分隔的要素指定可执行模块名。如果文件名不包含扩展名，那么.exe将被假定为默认的扩展名。如果文件名以一个点（.）结尾且没有扩展名，或文件名中包含路径，.exe将不会被加到后面。如果文件名中不包含路径，Windows将按照如下顺序寻找这个可执行文件：1).当前应用程序的目录。2).父进程的目录。3).Windows 95：Windows系统目录，可以使用GetSystemDirectory函数获得。Windows NT：32位Windows系统目录。可以使用GetSystemDirectory函数获得，目录名是SYSTEM32。4).在Windows NT中：16位Windows系统目录。不可以使用Win32函数获得这个目录，但是它会被搜索，目录名是SYSTEM。5).Windows目录。可以使用GetWindowsDirectory函数获得这个目录。6).列在PATH环境变量中的目录。如果被创建的进程是一个以MS-DOS或16位Windows为基础的应用程序，lpCommandLine参数应该是一个以可执行文件的文件名作为第一个要素的绝对路径，因为这样做可以使32位Windows程序工作的很好，这样设置lpCommandLine参数是最强壮的。注意：Visual C+ 2005以后的版本中，如果向CreateProcess函数传递一个常量指针作为命令行参数的话，将会发生访问违规错误。原因是系统在1执行该函数时会修改lpCommandLine所指向的字符串（比如解释转义字符等）。因此，在调用此函数前，应该定义一个临时字符数组变量来保存命令行参数，并将这个临时变量作为lpCommandLine参数传递.传递参数例子：LPTSTR szCmdline = _tcsdup(TEXT(c:test.bat);/用szCmdline做CreateProcess第2参数，VS2008测试通过3. lpProcessAttributes：指向一个SECURITY_ATTRIBUTES结构体，这个结构体决定是否返回的句柄可以被子进程继承。如果lpProcessAttributes参数为空（NULL），那么句柄不能被继承。在Windows NT中：SECURITY_ATTRIBUTES结构的lpSecurityDescriptor成员指定了新进程的安全描述符，如果参数为空，新进程使用默认的安全描述符。在Windows95中：SECURITY_ATTRIBUTES结构的lpSecurityDescriptor成员被忽略。4. 。lpThreadAttributes：指向一个SECURITY_ATTRIBUTES结构体，这个结构体决定是否返回的指向线程的句柄可以被子进程继承。如果lpThreadAttributes参数为空（NULL），那么句柄不能被继承。在Windows NT中，SECURITY_ATTRIBUTES结构的lpSecurityDescriptor成员指定了主线程的安全描述符，如果参数为空，主线程使用默认的安全描述符。在Windows95中：SECURITY_ATTRIBUTES结构的lpSecurityDescriptor成员被忽略。5. .bInheritHandles：指示新进程是否从调用进程处继承了句柄。如果参数的值为真，调用进程中的每一个可继承的打开句柄都将被子进程继承。被继承的句柄与原进程拥有完全相同的值和访问权限。6. .dwCreationFlags：指定附加的、用来控制优先类和进程的创建的标志。以下的创建标志可以以除下面列出的方式外的任何方式组合后指定。(1)值：CREATE_DEFAULT_ERROR_MODE含义：新的进程不继承调用进程的错误模式。CreateProcess函数赋予新进程当前的默认错误模式作为替代。应用程序可以调用SetErrorMode函数设置当前的默认错误模式。这个标志对于那些运行在没有硬件错误环境下的多线程外壳程序是十分有用的。对于CreateProcess函数，默认的行为是为新进程继承调用者的错误模式。设置这个标志以改变默认的处理方式。(2)值：CREATE_NEW_CONSOLE含义：新的进程将使用一个新的控制台，而不是继承父进程的控制台。这个标志不能与DETACHED_PROCESS标志一起使用。(3)值：CREATE_NEW_PROCESS_GROUP含义：新进程将使一个进程树的根进程。进程树中的全部进程都是根进程的子进程。新进程树的用户标识符与这个进程的标识符是相同的，由lpProcessInformation参数返回。进程树经常使用GenerateConsoleCtrlEvent函数允许发送CTRL+C或CTRL+BREAK信号到一组控制台进程。(4)值：CREATE_SEPARATE_WOW_VDM含义：（只适用于Windows NT）这个标志只有当运行一个16位的Windows应用程序时才是有效的。如果被设置，新进程将会在一个私有的虚拟DOS机（VDM）中运行。另外，默认情况下所有的16位Windows应用程序都会在同一个共享的VDM中以线程的方式运行。单独运行一个16位程序的优点是一个应用程序的崩溃只会结束这一个VDM的运行；其他那些在不同VDM中运行的程序会继续正常的运行。同样的，在不同VDM中运行的16位Windows应用程序拥有不同的输入队列，这意味着如果一个程序暂时失去响应，在独立的VDM中的应用程序能够继续获得输入。(5)值：CREATE_SHARED_WOW_VDM含义：（只适用于Windows NT）这个标志只有当运行一个16位的Windows应用程序时才是有效的。如果WIN.INI中的Windows段的DefaultSeparateVDM选项被设置为真，这个标识使得CreateProcess函数越过这个选项并在共享的虚拟DOS机中运行新进程。(6)值：CREATE_SUSPENDED含义：新进程的主线程会以暂停的状态被创建，直到调用ResumeThread函数被调用时才运行。(7)值：CREATE_UNICODE_ENVIRONMENT含义：如果被设置，由lpEnvironment参数指定的环境块使用Unicode字符，如果为空，环境块使用ANSI字符。(8)值：DEBUG_PROCESS含义：如果这个标志被设置，调用进程将被当作一个调试程序，并且新进程会被当作被调试的进程。系统把被调试程序发生的所有调试事件通知给调试器。如果你使用这个标志创建进程，只有调用进程（调用CreateProcess函数的进程）可以调用WaitForDebugEvent函数。(9)值：DEBUG_ONLY_THIS_PROCESS含义：如果此标志没有被设置且调用进程正在被调试，新进程将成为调试调用进程的调试器的另一个调试对象。如果调用进程没有被调试，有关调试的行为就不会产生。(10)值：DETACHED_PROCESS含义：对于控制台进程，新进程没有访问父进程控制台的权限。新进程可以通过AllocConsole函数自己创建一个新的控制台。这个标志不可以与CREATE_NEW_CONSOLE标志一起使用。dwCreationFlags参数还用来控制新进程的优先类，优先类用来决定此进程的线程调度的优先级。如果下面的优先级类标志都没有被指定，那么默认的优先类是NORMAL_PRIORITY_CLASS，除非被创建的进程是IDLE_PRIORITY_CLASS。在这种情况下子进程的默认优先类是IDLE_PRIORITY_CLASS。可以下面的标志中的一个：优先级：HIGH_PRIORITY_CLASS含义：指示这个进程将执行时间临界的任务，所以它必须被立即运行以保证正确。这个优先级的程序优先于正常优先级或空闲优先级的程序。一个例子是Windows任务列表，为了保证当用户调用时可以立刻响应，放弃了对系统负荷的考虑。确保在使用高优先级时应该足够谨慎，因为一个高优先级的CPU关联应用程序可以占用几乎全部的CPU可用时间。优先级：IDLE_PRIORITY_CLASS含义：指示这个进程的线程只有在系统空闲时才会运行并且可以被任何高优先级的任务打断。例如屏幕保护程序。空闲优先级会被子进程继承。优先级：NORMAL_PRIORITY_CLASS含义：指示这个进程没有特殊的任务调度要求。优先级：REALTIME_PRIORITY_CLASS含义：指示这个进程拥有可用的最高优先级。一个拥有实时优先级的进程的线程可以打断所有其他进程线程的执行，包括正在执行重要任务的系统进程。例如，一个执行时间稍长一点的实时进程可能导致磁盘缓存不足或鼠标反映迟钝。7. .lpEnvironment：指向一个新进程的环境块。如果此参数为空，新进程使用调用进程的环境。一个环境块存在于一个由以NULL结尾的字符串组成的块中，这个块也是以NULL结尾的。每个字符串都是name=value的形式。因为相等标志被当作分隔符，所以它不能被环境变量当作变量名。与其使用应用程序提供的环境块，不如直接把这个参数设为空，系统驱动器上的当前目录信息不会被自动传递给新创建的进程。对于这个情况的探讨和如何处理，请参见注释一节。环境块可以包含Unicode或ANSI字符。如果lpEnvironment指向的环境块包含Unicode字符，那么dwCreationFlags字段的CREATE_UNICODE_ENVIRONMENT标志将被设置。如果块包含ANSI字符，该标志将被清空。请注意一个ANSI环境块是由两个零字节结束的：一个是字符串的结尾，另一个用来结束这个快。一个Unicode环境块是由四个零字节结束的：两个代表字符串结束，另两个用来结束块。8. .lpCurrentDirectory：指向一个以NULL结尾的字符串，这个字符串用来指定子进程的工作路径。这个字符串必须是一个包含驱动器名的绝对路径。如果这个参数为空，新进程将使用与调用进程相同的驱动器和目录。这个选项是一个需要启动应用程序并指定它们的驱动器和工作目录的外壳程序的主要条件。9. .lpStartupInfo：指向一个用于决定新进程的主窗体如何显示的STARTUPINFO结构体。10. lpProcessInformation：指向一个用来接收新进程的识别信息的PROCESS_INFORMATION结构体。 模拟函数安全性评价如果对模拟函数的调用因任何原因而失败，则不会对客户端进行模拟，客户端请求将在进行调用的进程所在的安全环境中进行。如果进程作为高度特权化的帐户（如 LocalSystem）来运行，或作为管理组的成员来运行，则用户可能可以执行在其他情况下不允许进行的操作。所以，您务必要始终检查调用的返回值，如果该值未报出错误，则不要继续执行客户端请求。以下是一些示例：RpcImpersonateClient ImpersonateNamedPipeClient SetThreatToken ImpersonateSelf CoImpersonateClient ImpersonateDdeClientWindow ImpersonateSecurityContext ImpersonateLoggedOnUserSetSecurityDescriptorDacl安全性评价最好不要创建具有 NULL DACL 的安全描述符（即：pDacl 为 NULL），因为这样的 DACL 无法为对象提供安全性。实际上，攻击者可在对象上设置一个 Everyone (Deny All Access) ACE，从而拒绝每个人（包括管理员）访问该对象。NULL DACL 没有为对象提供任何免受攻击的保护。memcpy安全性评价第一个参数 dest 必须足以容纳 count 个字节的 src 组合大小，否则就可能发生缓冲区溢出。这样，当发生违规访问时，应用程序就可能会遭到拒绝服务攻击，或者更坏，可能会使攻击者将可执行代码注入到您的进程中。如果 dest 是基于堆栈的缓冲区，则尤为如此。要注意的是，最后一个参数 count 是要复制到 dest 的字节数，而不是 dest 的大小。以下代码示例演示了安全使用 memcpy() 的方法：void test(char *pbData, unsigned int cbData) char bufBUFFER_SIZE; memcpy(buf, pbData, min(cbData,BUFFER_SIZE);sprintf、swprintf安全性评价第一个参数 buffer 必须足以容纳 format 的格式化版本和末尾的 NULL (0) 字符，否则就可能发生缓冲区溢出。这样，当发生违规访问时，应用程序就可能会遭到拒绝服务攻击，或者更坏，可能会使攻击者将可执行代码注入到您的进程中。如果 buffer 是基于堆栈的缓冲区，则尤为如此。另外，应注意用户或应用程序将 format 提供为变量的危险。下例是危险的，因为攻击者可能会将 szTemplate 设置为“%90s%10s”，这样会创建一个 100 字节的字符串：void test(char *szTemplate,char *szData1, char *szData2) char bufBUFFER_SIZE; sprintf(buf,szTemplate,szData1,szData2);应考虑使用 _snprintf（英文）或 _snwprintf 来代替。strcat、wcscat、_mbscat安全性评价第一个参数 strDestination 必须足以容纳当前的 strDestination 和 strSource 组合以及一个末尾 0，否则就可能发生缓冲区溢出。这样，当发生违规访问时，应用程序就可能会遭到拒绝服务攻击，或者更坏，可能会使攻击者将可执行代码注入到您的进程中。如果 strDestination 是基于堆栈的缓冲区，则尤为如此。应考虑使用strncat（英文）、wcsncat 或 _mbsncat。strcpy、wcscpy、_mbscpy安全性评价第一个参数 strDestination 必须足以容纳 strSource 和末尾的 0，否则就可能发生缓冲区溢出。这样，当发生违规访问时，应用程序就可能会遭到拒绝服务攻击，或者更坏，可能会使攻击者将可执行代码注入到您的进程中。如果 strDestination 是基于堆栈的缓冲区，则尤为如此。应考虑使用strncpy（英文）、wcsncpy 或 _mbsncpy。strncat、wcsncat、_mbsncat安全性评价第一个参数 strDestination 必须足以