让程序提升Debug权限

这是我在博客园的博客中的文章。

下面是原文（未大改，稍作了一些格式上的调整）：

最近一直忙着写毕业论文，但对于我这种没语言天赋的人，写写实际做的工作还可以，但要写课题背景、意义什么的，头都要大了，憋了两天才憋出两页的绪论，我容易吗我。。。

所以这半个月也没时间更新博客，现在论文初稿终于写完了，所以来写点东西吧。

这还是要从我写的魔兽改键显血助手WarKey说起。之前的版本因为判断是否是聊天状态的功能不完善，于是我就按网上的说法，用CE（Cheat Engine，专门用于修改游戏内存的工具）搜索了一下魔兽进程的内存内容，找到存储是否处于聊天状态的内存地址。于是，在WarKey中，只需要取到该内存地址的内容，根据其内容来判断是否处于聊天状态，然后决定是否需要改键即可。但实际上，在调用API函数 ReadProcessMemory() 时，并不能取出其内容，也就是说无论魔兽是否处于聊天状态， ReadProcessMemory() 总是调用失败。经查MSDN，发现该函数操作的句柄需要 PROCESS_VM_READ 访问权限，而这个是由 OpenProcess() 函数来处理的。 OpenProcess() 这个函数指定的访问权限的安全描述符比较复杂，但有一句话很给力： If the caller has enabled the SeDebugPrivilege privilege, the requested access is granted regardless of the contents of the security descriptor. 也就是说如果调用者具有 SeDebugPrivilege 权限，那么就不用管什么安全描述符了。于是只需要给程序提升权限，使其具有 SeDebugPrivilege 权限即可。

关于提升权限的方法，在MSDN里面查了半天，居然找到了一个很给力的例子：

#include <windows.h>
#include <stdio.h>
#pragma comment(lib, "cmcfg32.lib")

BOOL SetPrivilege(
    HANDLE hToken,          // access token handle
    LPCTSTR lpszPrivilege,  // name of privilege to enable/disable
    BOOL bEnablePrivilege   // to enable or disable privilege
    )
{
    TOKEN_PRIVILEGES tp;
    LUID luid;

    if ( !LookupPrivilegeValue(
            NULL,            // lookup privilege on local system
            lpszPrivilege,   // privilege to lookup
            &luid ) )        // receives LUID of privilege
    {
        printf("LookupPrivilegeValue error: %u\n", GetLastError() );
        return FALSE;
    }

    tp.PrivilegeCount = 1;
    tp.Privileges[0].Luid = luid;
    if (bEnablePrivilege)
        tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    else
        tp.Privileges[0].Attributes = 0;

    // Enable the privilege or disable all privileges.

    if ( !AdjustTokenPrivileges(
           hToken,
           FALSE,
           &tp,
           sizeof(TOKEN_PRIVILEGES),
           (PTOKEN_PRIVILEGES) NULL,
           (PDWORD) NULL) )
    {
          printf("AdjustTokenPrivileges error: %u\n", GetLastError() );
          return FALSE;
    }

    if (GetLastError() == ERROR_NOT_ALL_ASSIGNED)

    {
          printf("The token does not have the specified privilege. \n");
          return FALSE;
    }

    return TRUE;
}

这个例子应该是比较经典的，经过分析之后，于是写出开关Debug权限的函数：

BOOL CWarKeyDlg::EnableDebugPrivilege(BOOL bEnableDebugPrivilege)
{
    HANDLE hToken;
    TOKEN_PRIVILEGES tp;
    LUID luid;

    if(!::OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &hToken))
    {
        ::MessageBox(this->GetSafeHwnd(), GET_TOKEN_ERROR, MSG_BOX_TITLE, MB_OK);
        return FALSE;
    }

    if(!::LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &luid))
    {
        ::MessageBox(this->GetSafeHwnd(), GET_PRIVILEGE_VALUE_ERROR, MSG_BOX_TITLE, MB_OK);
        ::CloseHandle(hToken);
        return FALSE;
    }

    tp.PrivilegeCount = 1;
    tp.Privileges[0].Luid = luid;
    if(bEnableDebugPrivilege)
    {
        tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    }
    else
    {
        tp.Privileges[0].Attributes = 0;
    }

    if(!::AdjustTokenPrivileges(hToken, FALSE, &tp, sizeof(tp), NULL, NULL))
    {
        ::MessageBox(this->GetSafeHwnd(), ADJUST_PRIVILEGE_ERROR, MSG_BOX_TITLE, MB_OK);
        ::CloseHandle(hToken);
        return FALSE;
    }

    ::CloseHandle(hToken);

    if(::GetLastError() == ERROR_NOT_ALL_ASSIGNED)
    {
        ::MessageBox(this->GetSafeHwnd(), ENABLE_DEBUG_ERROR, MSG_BOX_TITLE, MB_OK);
        return FALSE;
    }
    return TRUE;
}

利用这个函数给自己的WarKey开启Debug权限，再访问魔兽进程的内存时，就可以读出其中的数据了。