這篇文章主要介紹“為什么會出現(xiàn)w3wp.exe修改php-cgi內(nèi)存的情況”，在日常操作中，相信很多人在為什么會出現(xiàn)w3wp.exe修改php-cgi內(nèi)存的情況問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對大家解答”為什么會出現(xiàn)w3wp.exe修改php-cgi內(nèi)存的情況”的疑惑有所幫助！接下來，請跟著小編一起來學(xué)習(xí)吧！

成都創(chuàng)新互聯(lián)是專業(yè)的大箐山網(wǎng)站建設(shè)公司，大箐山接單;提供網(wǎng)站建設(shè)、成都網(wǎng)站建設(shè),網(wǎng)頁設(shè)計,網(wǎng)站設(shè)計,建網(wǎng)站,PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);采用PHP框架,可快速的進(jìn)行大箐山網(wǎng)站開發(fā)網(wǎng)頁制作和功能擴展;專業(yè)做搜索引擎喜愛的網(wǎng)站,專業(yè)的做網(wǎng)站團(tuán)隊,希望更多企業(yè)前來合作!

出現(xiàn)“w3wp.exe修改php-cgi的內(nèi)存”是因為D盾為了支持同一個服務(wù)器支持多PHP版本，所以D盾是在加載php的php-cgi.exe進(jìn)程時加入D盾保護(hù)的。

本文操作環(huán)境：Windows7系統(tǒng)、PHP7.1版、DELL G3電腦

w3wp.exe怎么修改php-cgi的內(nèi)存?

關(guān)于使用D盾,安全狗提示w3wp.exe修改php-cgi.exe內(nèi)存的說明

關(guān)于使用D盾，服務(wù)器安全狗提示 w3wp.exe 修改 php-cgi.exe 內(nèi)存的一些說明

最近看到安全狗新版，會有這樣的提示。

為了減少誤解，還是說說這事！

D盾為了支持同一個服務(wù)器支持多PHP版本，所以D盾是在加載php的php-cgi.exe進(jìn)程時加入D盾保護(hù)的。

需要在啟動php-cgi.exe時修改內(nèi)存并讓php-cgi.exe加載D盾的保護(hù)模塊的DLL。

(最開始想通過php.ini配置來設(shè)置啟動，但有些服務(wù)器上可能存在多個PHP版本，很容易疏漏，

也有可能用戶動態(tài)修改或新增，無法及時得狀態(tài)時就容易導(dǎo)致PHP沒有做到保護(hù)，所以放棄這方案)

帖出一部份D盾的啟動php-cgi并開啟D盾保護(hù)的delphi代碼

(為防止黑客了解太多細(xì)節(jié)，忽略一些細(xì)節(jié)):

// ########################################################
// HOOK執(zhí)行函數(shù)會到這里過濾處理
// ########################################################
function My_CreateProcessInternalW(dw1_: Pointer; lpApplicationName: LPCWSTR;
lpCommandLine: LPWSTR; lpProcessAttributes, lpThreadAttributes
: PSecurityAttributes; bInheritHandles: BOOL; dwCreationFlags: dword;
lpEnvironment: Pointer; lpCurrentDirectory: LPCWSTR;
const lpStartupInfo: TStartupInfoW;
var lpProcessInformation: TProcessInformation; Dw2: Pointer): BOOL; stdcall;
var
re_add: HMODULE;
is_64_pe: boolean;
Err_index: integer;
ImageBaseAddress, AddressOfEntryPoint_: PVOID64;
P_NT_HEAD_32: PImageNtHeaders32; // NT頭
P_NT_HEAD_64: PImageNtHeaders64; // NT頭
NtHead_: TImageNtHeaders64; // NT頭
dwSize: SIZE_T;
D_Safe_X32_load_manage_A: WideString;
str: string;
lpEnvironment_str: AnsiString;
inf_: PWeb_Http_Context;
Re_Fun_Add: HMODULE;
App_, com_, com_exe_path, dir_: string;
re_app_, re_cs_: string;
App_len, Com_len: dword;
comlin_inf_: TFilePath_pak;
App_inf_: TFilePath_pak;
Ex_Style_: dword;
state_: integer;
Nt_Head_add_: PVOID64;
//簡化了的進(jìn)程創(chuàng)建函數(shù)
function CreateProcessInternalW_do(): BOOL;
begin
Result := CreateProcessInternalW_(dw1_, lpApplicationName, lpCommandLine,
lpProcessAttributes, lpThreadAttributes, bInheritHandles, dwCreationFlags,
lpEnvironment, lpCurrentDirectory, lpStartupInfo,
lpProcessInformation, Dw2);
end;
//執(zhí)行php-cgi.exe并加載D盾的保護(hù)
function RUN_PHP_FCGI(): boolean;
var
err_: integer;
Function Kill_pro(pid_: dword): boolean;
begin
Result := false;
// 顯示不支持保護(hù)信息
// 32位池的D盾保護(hù)模塊無法對64位的PHP做保護(hù),請把池改為64位或使用32位的PHP版本
d_msg_(c_no_Support_64_php, NIIF_ERROR_);
// 結(jié)束進(jìn)程
TerminateProcess(OpenProcess(PROCESS_TERMINATE, false, pid_), $FFFFFFFF);
SetLastError(5);
end;
begin
// 創(chuàng)建php-cgi進(jìn)程
Result := CreateProcessInternalW_do();
if Result then
begin
// 讀到指定進(jìn)程的NT頭信息
ImageBaseAddress := D_Get_Process_NtHeaders(lpProcessInformation.hProcess,
NtHead_, is_64_pe, Nt_Head_add_);
if ImageBaseAddress > 0 then
begin
// 如果是64位進(jìn)程時
if is_64_pe then
begin
P_NT_HEAD_64 := @NtHead_;
AddressOfEntryPoint_ := ImageBaseAddress +
P_NT_HEAD_64.OptionalHeader.AddressOfEntryPoint;
//如果當(dāng)前的iis進(jìn)程不是64位的，并 php-cgi 的入口位置大于0x100000000時
if (D_IS_Win64_Project() = false) and
(AddressOfEntryPoint_ >= $100000000) then
begin
case WIN_Ver_ of
_WIN_VER_2003, _WIN_VER_2008:
begin
// 寫入D盾的 64位的 load_manage.dll
if Run_x64_LdrLoadDll(lpProcessInformation.hProcess,
WIN_INF_.D_Safe_X64_load_manage) = false then
begin
// 失敗時,結(jié)束進(jìn)程
Result := Kill_pro(lpProcessInformation.hProcess);
exit;
end
else
begin
Result := true;
SetLastError(0);
exit;
end;
end;
_WIN_VER_2012:
begin
// 不支持保護(hù)時，結(jié)束進(jìn)程
Result := Kill_pro(lpProcessInformation.hProcess);
exit;
end;
end;
end
else
begin
// 寫入D盾的 load_manage.dll
if D_Write_DLL_To_Process(lpProcessInformation.hProcess,
AddressOfEntryPoint_, WIN_INF_.D_Safe_X64_load_manage, true) then
begin
Result := true;
SetLastError(0);
exit;
end
else
begin
// 寫入失敗時結(jié)束php-cgi進(jìn)程
Result := Kill_pro(lpProcessInformation.hProcess);
exit;
end;
end;
end
else
begin
// 32位程序時
P_NT_HEAD_32 := @NtHead_;
AddressOfEntryPoint_ := ImageBaseAddress +
P_NT_HEAD_32.OptionalHeader.AddressOfEntryPoint;
dwSize := sizeof(TSet_Fun_ADD_Head_32);
// 寫入D盾的 load_manage.dll
if D_Write_DLL_To_Process(lpProcessInformation.hProcess,
AddressOfEntryPoint_, WIN_INF_.D_Safe_X32_load_manage, false) then
begin
Result := true;
SetLastError(0);
exit;
end
else
begin
// 寫入失敗時結(jié)束php-cgi進(jìn)程
Result := Kill_pro(lpProcessInformation.hProcess);
exit;
end;
end;
end
else
begin
// 結(jié)束php-cgi進(jìn)程
Result := Kill_pro(lpProcessInformation.hProcess);
exit;
end;
end;
end;
begin
.... //前面的代碼,忽略
// ######################################################
// 如果是 PHP-cgi.exe
// ######################################################
if (
.... //忽略掉一些代碼
) and (Pos(CONST_PHP_CGI, App_) > 0) and ((Com_len - App_len) = 2) then
begin
// 執(zhí)行PHP-cgi.exe,并加入D盾的保護(hù)模塊
Result := RUN_PHP_FCGI();
exit;
end;
... //后面的代碼,忽略

如需查看匯編代碼，可以運行D盾WEB保護(hù)的情況下,用OllyICE調(diào)試 w3wp.exe 進(jìn)程。

并選定并調(diào)試 web_safe.dll，查找字符 php-cgi.exe 即可快速定位相關(guān)代碼位置

如下代碼為 d_safe_2.1.4.4版本的 x32\web_safe.dll 匯編代碼

05ED9B20 /E9 73010000 jmp web_safe.05ED9C98
05ED9B25 |8B45 28 mov eax, dword ptr [ebp+28]
05ED9B28 |50 push eax
05ED9B29 |8B85 B0FEFFFF mov eax, dword ptr [ebp-150]
05ED9B2F |E8 5C0BDEFF call web_safe.05CBA690
05ED9B34 |8D95 5EFCFFFF lea edx, dword ptr [ebp-3A2]
05ED9B3A |33C9 xor ecx, ecx
05ED9B3C |E8 BF82FAFF call web_safe.05E81E00
05ED9B41 |8D85 B8FEFFFF lea eax, dword ptr [ebp-148]
05ED9B47 |8B95 5EFCFFFF mov edx, dword ptr [ebp-3A2]
05ED9B4D |E8 A60BDEFF call web_safe.05CBA6F8
05ED9B52 |8D85 5EFCFFFF lea eax, dword ptr [ebp-3A2]
05ED9B58 |E8 1F67FAFF call web_safe.05E8027C
05ED9B5D |837D 20 00 cmp dword ptr [ebp+20], 0
05ED9B61 |74 3B je short web_safe.05ED9B9E
05ED9B63 |0FB785 62FCFFFF movzx eax, word ptr [ebp-39E]
05ED9B6A |3BF0 cmp esi, eax
05ED9B6C |75 30 jnz short web_safe.05ED9B9E
05ED9B6E |B9 01000000 mov ecx, 1
05ED9B73 |8B95 C0FEFFFF mov edx, dword ptr [ebp-140]
05ED9B79 |B8 E49CED05 mov eax, web_safe.05ED9CE4 ; php-cgi.exe
05ED9B7E |E8 F910DEFF call web_safe.05CBAC7C
05ED9B83 |85C0 test eax, eax
05ED9B85 |7E 17 jle short web_safe.05ED9B9E
05ED9B87 |2BFE sub edi, esi
05ED9B89 |83FF 02 cmp edi, 2
05ED9B8C |75 10 jnz short web_safe.05ED9B9E
05ED9B8E |55 push ebp
05ED9B8F |E8 A8FBFFFF call web_safe.05ED973C ; 進(jìn)入 RUN_PHP_FCGI 函數(shù)
05ED9B94 |59 pop ecx
05ED9B95 |F6D8 neg al
05ED9B97 |1BDB sbb ebx, ebx
05ED9B99 |E9 FA000000 jmp web_safe.05ED9C98

D盾程序無殼,易調(diào)試，歡迎技術(shù)朋友監(jiān)督。一直認(rèn)為第三方的監(jiān)督才是最好的監(jiān)督。

--------------------------------------------------------------------------------

如果禁止D盾在啟動php-cgi.exe時修改內(nèi)存，將會結(jié)束php-cgi.exe或無法保護(hù)，請不要禁止。

如果用戶覺得需要一個開關(guān)來設(shè)置保護(hù)或不保護(hù)PHP的話，請和 啊D QQ:9269563 說說，視用戶反饋情況看

是否要增加一個關(guān)掉PHP保護(hù)的開關(guān)。

D盾為了實現(xiàn)保護(hù)，需要大量HOOK相關(guān)API來實現(xiàn)保護(hù)，大部份都是需要修改匯編代碼的內(nèi)存來實現(xiàn)的，

到此，關(guān)于“為什么會出現(xiàn)w3wp.exe修改php-cgi內(nèi)存的情況”的學(xué)習(xí)就結(jié)束了，希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學(xué)習(xí)，快去試試吧！若想繼續(xù)學(xué)習(xí)更多相關(guān)知識，請繼續(xù)關(guān)注創(chuàng)新互聯(lián)網(wǎng)站，小編會繼續(xù)努力為大家?guī)砀鄬嵱玫奈恼拢?/p>

網(wǎng)站欄目：為什么會出現(xiàn)w3wp.exe修改php-cgi內(nèi)存的情況
URL網(wǎng)址：http://aaarwkj.com/article28/iicocp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供關(guān)鍵詞優(yōu)化、商城網(wǎng)站、域名注冊、面包屑導(dǎo)航、虛擬主機、響應(yīng)式網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)