文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

为什么会出现w3wp.exe修改php-cgi内存的情况

2023-06-29 00:14

关注

这篇文章主要介绍“为什么会出现w3wp.exe修改php-cgi内存的情况”,在日常操作中,相信很多人在为什么会出现w3wp.exe修改php-cgi内存的情况问题上存在疑惑,小编查阅了各式资料,整理出简单好用的操作方法,希望对大家解答”为什么会出现w3wp.exe修改php-cgi内存的情况”的疑惑有所帮助!接下来,请跟着小编一起来学习吧!

出现“w3wp.exe修改php-cgi的内存”是因为D盾为了支持同一个服务器支持多PHP版本,所以D盾是在加载php的php-cgi.exe进程时加入D盾保护的。

为什么会出现w3wp.exe修改php-cgi内存的情况

本文操作环境:Windows7系统、PHP7.1版、DELL G3电脑

w3wp.exe怎么修改php-cgi的内存?

关于使用D盾,安全狗提示w3wp.exe修改php-cgi.exe内存的说明

关于使用D盾,服务器安全狗提示 w3wp.exe 修改 php-cgi.exe 内存的一些说明

最近看到安全狗新版,会有这样的提示。

为什么会出现w3wp.exe修改php-cgi内存的情况

为了减少误解,还是说说这事!

D盾为了支持同一个服务器支持多PHP版本,所以D盾是在加载php的php-cgi.exe进程时加入D盾保护的。

需要在启动php-cgi.exe时修改内存并让php-cgi.exe加载D盾的保护模块的DLL。

为什么会出现w3wp.exe修改php-cgi内存的情况

(最开始想通过php.ini配置来设置启动,但有些服务器上可能存在多个PHP版本,很容易疏漏,

也有可能用户动态修改或新增,无法及时得状态时就容易导致PHP没有做到保护,所以放弃这方案)

帖出一部份D盾的启动php-cgi并开启D盾保护的delphi代码

(为防止黑客了解太多细节,忽略一些细节):

// ########################################################// HOOK执行函数会到这里过滤处理// ########################################################function My_CreateProcessInternalW(dw1_: Pointer; lpApplicationName: LPCWSTR;lpCommandLine: LPWSTR; lpProcessAttributes, lpThreadAttributes: PSecurityAttributes; bInheritHandles: BOOL; dwCreationFlags: dword;lpEnvironment: Pointer; lpCurrentDirectory: LPCWSTR;const lpStartupInfo: TStartupInfoW;var lpProcessInformation: TProcessInformation; Dw2: Pointer): BOOL; stdcall;varre_add: HMODULE;is_64_pe: boolean;Err_index: integer;ImageBaseAddress, AddressOfEntryPoint_: PVOID64;P_NT_HEAD_32: PImageNtHeaders32; // NT头P_NT_HEAD_64: PImageNtHeaders64; // NT头NtHead_: TImageNtHeaders64; // NT头dwSize: SIZE_T;D_Safe_X32_load_manage_A: WideString;str: string;lpEnvironment_str: AnsiString;inf_: PWeb_Http_Context;Re_Fun_Add: HMODULE;App_, com_, com_exe_path, dir_: string;re_app_, re_cs_: string;App_len, Com_len: dword;comlin_inf_: TFilePath_pak;App_inf_: TFilePath_pak;Ex_Style_: dword;state_: integer;Nt_Head_add_: PVOID64;//简化了的进程创建函数function CreateProcessInternalW_do(): BOOL;beginResult := CreateProcessInternalW_(dw1_, lpApplicationName, lpCommandLine,lpProcessAttributes, lpThreadAttributes, bInheritHandles, dwCreationFlags,lpEnvironment, lpCurrentDirectory, lpStartupInfo,lpProcessInformation, Dw2);end;//执行php-cgi.exe并加载D盾的保护function RUN_PHP_FCGI(): boolean;varerr_: integer;Function Kill_pro(pid_: dword): boolean;beginResult := false;// 显示不支持保护信息// 32位池的D盾保护模块无法对64位的PHP做保护,请把池改为64位或使用32位的PHP版本d_msg_(c_no_Support_64_php, NIIF_ERROR_);// 结束进程TerminateProcess(OpenProcess(PROCESS_TERMINATE, false, pid_), $FFFFFFFF);SetLastError(5);end;begin// 创建php-cgi进程Result := CreateProcessInternalW_do();if Result thenbegin// 读到指定进程的NT头信息ImageBaseAddress := D_Get_Process_NtHeaders(lpProcessInformation.hProcess,NtHead_, is_64_pe, Nt_Head_add_);if ImageBaseAddress > 0 thenbegin// 如果是64位进程时if is_64_pe thenbeginP_NT_HEAD_64 := @NtHead_;AddressOfEntryPoint_ := ImageBaseAddress +P_NT_HEAD_64.OptionalHeader.AddressOfEntryPoint;//如果当前的iis进程不是64位的,并 php-cgi 的入口位置大于0x100000000时if (D_IS_Win64_Project() = false) and(AddressOfEntryPoint_ >= $100000000) thenbegincase WIN_Ver_ of_WIN_VER_2003, _WIN_VER_2008:begin// 写入D盾的 64位的 load_manage.dllif Run_x64_LdrLoadDll(lpProcessInformation.hProcess,WIN_INF_.D_Safe_X64_load_manage) = false thenbegin// 失败时,结束进程Result := Kill_pro(lpProcessInformation.hProcess);exit;endelsebeginResult := true;SetLastError(0);exit;end;end;_WIN_VER_2012:begin// 不支持保护时,结束进程Result := Kill_pro(lpProcessInformation.hProcess);exit;end;end;endelsebegin// 写入D盾的 load_manage.dllif D_Write_DLL_To_Process(lpProcessInformation.hProcess,AddressOfEntryPoint_, WIN_INF_.D_Safe_X64_load_manage, true) thenbeginResult := true;SetLastError(0);exit;endelsebegin// 写入失败时结束php-cgi进程Result := Kill_pro(lpProcessInformation.hProcess);exit;end;end;endelsebegin// 32位程序时P_NT_HEAD_32 := @NtHead_;AddressOfEntryPoint_ := ImageBaseAddress +P_NT_HEAD_32.OptionalHeader.AddressOfEntryPoint;dwSize := sizeof(TSet_Fun_ADD_Head_32);// 写入D盾的 load_manage.dllif D_Write_DLL_To_Process(lpProcessInformation.hProcess,AddressOfEntryPoint_, WIN_INF_.D_Safe_X32_load_manage, false) thenbeginResult := true;SetLastError(0);exit;endelsebegin// 写入失败时结束php-cgi进程Result := Kill_pro(lpProcessInformation.hProcess);exit;end;end;endelsebegin// 结束php-cgi进程Result := Kill_pro(lpProcessInformation.hProcess);exit;end;end;end;begin.... //前面的代码,忽略// ######################################################// 如果是 PHP-cgi.exe// ######################################################if (.... //忽略掉一些代码) and (Pos(CONST_PHP_CGI, App_) > 0) and ((Com_len - App_len) = 2) thenbegin// 执行PHP-cgi.exe,并加入D盾的保护模块Result := RUN_PHP_FCGI();exit;end;... //后面的代码,忽略

如需查看汇编代码,可以运行D盾WEB保护的情况下,用OllyICE调试 w3wp.exe 进程。

并选定并调试 web_safe.dll,查找字符 php-cgi.exe 即可快速定位相关代码位置

为什么会出现w3wp.exe修改php-cgi内存的情况

如下代码为 d_safe_2.1.4.4版本的 x32\web_safe.dll 汇编代码

05ED9B20 /E9 73010000 jmp web_safe.05ED9C9805ED9B25 |8B45 28 mov eax, dword ptr [ebp+28]05ED9B28 |50 push eax05ED9B29 |8B85 B0FEFFFF mov eax, dword ptr [ebp-150]05ED9B2F |E8 5C0BDEFF call web_safe.05CBA69005ED9B34 |8D95 5EFCFFFF lea edx, dword ptr [ebp-3A2]05ED9B3A |33C9 xor ecx, ecx05ED9B3C |E8 BF82FAFF call web_safe.05E81E0005ED9B41 |8D85 B8FEFFFF lea eax, dword ptr [ebp-148]05ED9B47 |8B95 5EFCFFFF mov edx, dword ptr [ebp-3A2]05ED9B4D |E8 A60BDEFF call web_safe.05CBA6F805ED9B52 |8D85 5EFCFFFF lea eax, dword ptr [ebp-3A2]05ED9B58 |E8 1F67FAFF call web_safe.05E8027C05ED9B5D |837D 20 00 cmp dword ptr [ebp+20], 005ED9B61 |74 3B je short web_safe.05ED9B9E05ED9B63 |0FB785 62FCFFFF movzx eax, word ptr [ebp-39E]05ED9B6A |3BF0 cmp esi, eax05ED9B6C |75 30 jnz short web_safe.05ED9B9E05ED9B6E |B9 01000000 mov ecx, 105ED9B73 |8B95 C0FEFFFF mov edx, dword ptr [ebp-140]05ED9B79 |B8 E49CED05 mov eax, web_safe.05ED9CE4 ; php-cgi.exe05ED9B7E |E8 F910DEFF call web_safe.05CBAC7C05ED9B83 |85C0 test eax, eax05ED9B85 |7E 17 jle short web_safe.05ED9B9E05ED9B87 |2BFE sub edi, esi05ED9B89 |83FF 02 cmp edi, 205ED9B8C |75 10 jnz short web_safe.05ED9B9E05ED9B8E |55 push ebp05ED9B8F |E8 A8FBFFFF call web_safe.05ED973C ; 进入 RUN_PHP_FCGI 函数05ED9B94 |59 pop ecx05ED9B95 |F6D8 neg al05ED9B97 |1BDB sbb ebx, ebx05ED9B99 |E9 FA000000 jmp web_safe.05ED9C98

D盾程序无壳,易调试,欢迎技术朋友监督。一直认为第三方的监督才是最好的监督。

--------------------------------------------------------------------------------

如果禁止D盾在启动php-cgi.exe时修改内存,将会结束php-cgi.exe或无法保护,请不要禁止。

如果用户觉得需要一个开关来设置保护或不保护PHP的话,请和 啊D QQ:9269563 说说,视用户反馈情况看

是否要增加一个关掉PHP保护的开关。

D盾为了实现保护,需要大量HOOK相关API来实现保护,大部份都是需要修改汇编代码的内存来实现的,

到此,关于“为什么会出现w3wp.exe修改php-cgi内存的情况”的学习就结束了,希望能够解决大家的疑惑。理论与实践的搭配能更好的帮助大家学习,快去试试吧!若想继续学习更多相关知识,请继续关注编程网网站,小编会继续努力为大家带来更多实用的文章!

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯