使用远程线程注入的三个函数CreateRemoteThread、NtCreateThreadEx、RtlCreateUserThread

最新推荐文章于 2023-06-22 13:49:30 发布
最新推荐文章于 2023-06-22 13:49:30 发布
阅读量5.5k 收藏 10
点赞数 1
分类专栏: 基础知识 文章标签: 线程 winapi
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18218335/article/details/75246816
版权

远程线程注入的三个函数

  • CreateRemoteThread
          创建一个在其它的进程的虚拟地址空间中运行的线程。
          使用CreateRemoteThreadEx 函数来创建一个在其它的进程的虚拟地址空间中运行的线程并可选的指定一个特定的扩展属性。
HANDLE WINAPI CreateRemoteThread(
  _In_  HANDLE                 hProcess,
  _In_  LPSECURITY_ATTRIBUTES  lpThreadAttributes,
  _In_  SIZE_T                 dwStackSize,
  _In_  LPTHREAD_START_ROUTINE lpStartAddress,
  _In_  LPVOID                 lpParameter,
  _In_  DWORD                  dwCreationFlags,
  _Out_ LPDWORD                lpThreadId
);

参数

      hProcess
      指定即将在其内部创建一个线程的目标进程,该句柄必须拥有PROCESS_CREATE_THREAD, PROCESS_QUERY_INFORMATION, PROCESS_VM_OPERATION, PROCESS_VM_WRITE, 和 PROCESS_VM_READ 访问权限。
      lpThreadAttributes
      SECURITY_ATTRIBUTES 结构体指针,指定新创建的线程的安全属性,以及函数返回的子线程的句柄是否能够被子进程继承。如果该参数为NULL,得到一个默认的安全属性,且句柄不可以被继承。线程的默认的安全描述符的ACL 来自于创建者的主令牌。
            Windows XP:一个线程的默认ACL 来自于创建者的主或者模仿令牌。Windows XP SP2 和 Windows Server 2003 开始改变。
      dwStackSize
      栈的初始大小,字节对齐。详细请参考https://msdn.microsoft.com/en-us/library/windows/desktop/ms686774(v=vs.85).aspx
      lpStartAddress
      远程线程的起始地址。
      lpParameter
      传递给远程线程的指针
      dwCreateFlags
      控制线程创建的标志

含义
0线程创建之后立马执行
CREATE_SUSPENDED暂停的线程,需要调用ResumeThread 恢复其执行
STACK_SIZE_PARAM_IS_A_RESERVATIONdwStackSize 参数指定了栈的初始预留的大小,如果没有指定这个参数的话,dwStackSize 参数指定的是提交的大小

      lpThreadId
      用于接收线程ID。可为NULL

返回值

      成功的话,返回值是新创建的线程的句柄。失败返回NULL。
      即使lpStartAddress 指向的内存位置非法,CreateRemoteThread 也可能调用成功。当新线程开始执行的时候,如果起始地址非法,触发异常并导致线程退出。非法的起始地址导致的线程终止会导致线程所在的进程错误退出。这比较像CreateProcess 的异步属性,即使创建的进程会有DLL 丢失的情况,该创建操作也会成功。

注意

      终端服务将每个会话隔离起来了,因此,如果目标进程和调用者进程在不同的会话中,CreateRemoteThread 调用将失败。
      当我们不为新创建的线程提供安全描述符的时候,函数返回的线程句柄拥有对于新创建的线程的所有的访问权限,如果我们提供了,之后对于该线程句柄的操作将会通过ACL 的检查,如果检查失败的话,请求该操作的进程将无法以期待的方式访问该线程。
      如果创建线程的时候没有指定暂停标志,新创建的线程在CreateRemoteThread 函数返回之前就已经开始执行了。
      ExitProcess、ExitThread、CreateThread、CreateRemoteThread 函数和正在开始执行的进程,它们在同一个进程内的操作都被同步了。在一个地址空间中,上面列举出的事件中,只有一个在发生。这意味着,下面的规则必须被遵守。

  1. 在进程开始以及DLL 初始化函数中,新线程可以被创建,但是直到进程的DLL 初始化完成,它们都得不到执行。
  2. 一个进程中只能有一个线程在进行DLL 初始化或者派遣例程。
  3. 直到所有的线程完成了它们的DLL 初始化或者派遣例程之后,ExitProcess 函数才会退出。
  • RtlCreateUserThread
typedef NTSTATUS (WINAPI *LPFUN_RtlCreateUserThread)(
    HANDLE,                 // ProcessHandle
    PSECURITY_DESCRIPTOR,   // SecurityDescriptor (OPTIONAL)
    BOOLEAN,                // CreateSuspended
    ULONG,                  // StackZeroBits
    SIZE_T,                 // StackReserved
    SIZE_T,                 // StackCommit
    PVOID,                  // StartAddress
    PVOID,                  // StartParameter (OPTIONAL)
    PHANDLE,                // ThreadHandle
    PCLIENT_ID              // ClientID
    );

       这个函数可以实现跨会话创建线程。唯一的问题就是:当我们在Vista 之前的操作系统调用此函数所创建的线程并没有通知给csrss 进程,它没有完整的初始化,在调用一些网络或者其它的系统函数的时候他可能返回失败,而通过CreateRemoteThread 创建的线程没有任何问题,在Vista+的操作系统上调用此函数也没有问题。因此我们需要判断系统版本,当目标系统为Vista-的时候,我们应该通过RtlCreateUserThread创建一个挂起的线程,然后调用CsrClientCallServer通知csrss 这个线程的创建,然后csrss 做相应的记录及初始化工作之后,我们再恢复线程的执行。最后,我们新创建的线程必须自己调用ExitThread退出,否则也会产生崩溃的情况。

  • NtCreateThreadEx
typedef DWORD64 (WINAPI *PFNTCREATETHREADEX)  
    (   
    PHANDLE                 ThreadHandle,     
    ACCESS_MASK             DesiredAccess,    
    LPVOID                  ObjectAttributes,     
    HANDLE                  ProcessHandle,    
    LPTHREAD_START_ROUTINE  lpStartAddress,   
    LPVOID                  lpParameter,      
    BOOL                    CreateSuspended,      
    DWORD64                   dwStackSize,      
    DWORD64                   dw1,   
    DWORD64                   dw2,   
    LPVOID                  Unknown   
    );

       在Windows 2000 和 XP SP 0,1 上我们使用CreateRemoteThread,在Vista+ 上我们使用NtCreateThreadEx。
在XP SP2 上,我们可以按照RtlCreateUserThread + CsrClientCallServer 的方式创建远程线程。

  • 代码示例
// 下面这个函数就是调用NtCreadThreadEx 创建远程线程
HANDLE MyCreateRemoteThread(HANDLE hProcess, LPTHREAD_START_ROUTINE pThreadProc, LPVOID pRemoteBuf)  
{  
    HANDLE      hThread = NULL;  
    FARPROC     pFunc = NULL;  
    // 只有Vista 之后操作系统可用此函数
    if(IsVistaOrLater())
    {
        pFunc = GetProcAddress(GetModuleHandle(_T("ntdll.dll")), "NtCreateThreadEx");  
        if( pFunc == NULL )  
        {
            ShowMessage(_T("无法得到NtCreateThreadEx 函数地址"));
            ErrorShow();
            return FALSE;  
        }  
        ((PFNTCREATETHREADEX)pFunc)(
            &hThread, 
            0x1FFFFF,   // 内核调试的结果就是这个参数
            NULL,  
            hProcess,  
            pThreadProc,  
            pRemoteBuf,  
            FALSE,  
            NULL,  
            NULL,  
            NULL,  
            NULL);  
        if( hThread == NULL )  
        {  
            ErrorShow();
            return FALSE;  
        }
        return hThread;  
    }
    else
    {
        ShowMessage(_T("版本错误\r\n无NtCreateThreadEx 函数"));
        return FALSE;
    }
} 

// 使用CreateRemoteThread 创建远程线程的操作比较简单直接调用即可,毕竟是文档化的函数
hThread = CreateRemoteThread(hProcess, NULL, 0, pThreadProc, pRemoteBuf,0, NULL);  

// RtlCreateUserThread 的使用

#define STATUS_SUCCESS                      ((NTSTATUS) 0x00000000) 
#define STATUS_INFO_LENGTH_MISMATCH        ((NTSTATUS) 0xC0000004) 
#define STATUS_IO_DEVICE_ERROR              ((NTSTATUS) 0xC0000185) 
struct THREAD_INFO
{
    HANDLE hThread;
    CLIENT_ID id;
};

struct CSRSS_MESSAGE 
{
    ULONG Unknown1;
    ULONG Opcode;
    ULONG Status;
    ULONG Unknown2;
};

struct PORT_MESSAGE
{
    ULONG u1;
    ULONG u2;

    union
    {
        CLIENT_ID ClientId;
        float DoNotUseThisField;
    };

    ULONG MessageId;

    union
    {
        ULONG ClientViewSize;
        ULONG CallbackId;
    };
};

struct CSR_API_MESSAGE
{
    PORT_MESSAGE  PortMessage;
    CSRSS_MESSAGE CsrssMessage;
    THREAD_INFO   ThreadInfo;
};
typedef CLIENT_ID *PCLIENT_ID; 

typedef PVOID PUSER_THREAD_START_ROUTINE; 


typedef NTSTATUS (NTAPI *pfnInitSubSystem) (
    IN OUT CSR_API_MESSAGE* ApiMessage,
    IN OUT struct CSR_CAPTURE_BUFFER* CaptureBuffer,
    IN ULONG ApiNumber,
    IN ULONG DataLength );
LPTHREAD_START_ROUTINE AllocWritePath(HANDLE hTargetProcHandle, LPCWSTR dllPath, LPVOID *lpExecParam) {

    LPVOID lpDllAddr = NULL;
    LPVOID lpWriteVal = NULL;
    LPVOID loadLibAddr = NULL;

#ifdef _WIN64
    if( lpDllAddr = VirtualAllocEx(hTargetProcHandle, NULL, wcslen(dllPath)*sizeof(WCHAR) + sizeof(WCHAR), MEM_RESERVE|MEM_COMMIT, PAGE_EXECUTE_READWRITE))
    {
        if (WriteProcessMemory(hTargetProcHandle, lpDllAddr, dllPath, wcslen(dllPath)*sizeof(WCHAR) + sizeof(WCHAR), NULL) == 0) {
            ErrorShow();
            return NULL;
        }
        *lpExecParam = (LPVOID *)lpDllAddr;
        loadLibAddr = GetProcAddress(GetModuleHandle(TEXT("kernel32.dll")), "LoadLibraryW");
    }

#else
    BYTE StaticShellCode[31] = { 0xE8,0,0,0,0,  // call (5字节)           4
        0x5D,           // pop ebp              5
        0x8B,0xC5,  // mov eax,ebp          7
        0x83,0xC0,0x1A, // add eax,1a       10
        0x50,       // push eax             11
        0xB8,0,0,0,0,   // mov eax,LoadLibraryW 16
        0xFF,0xD0,  // call eax             18
        0x6A,0,     // push 0               20
        0xB8,0,0,0,0,   // mov eax,ExitThread   25
        0xFF,0xD0,  // call eax             27
        0xC3,   // ret 4                28
        0};
    BYTE*   ShellCode = new BYTE[wcslen(dllPath)*sizeof(WCHAR)+sizeof(WCHAR) + 31];
    CopyMemory(ShellCode,StaticShellCode,31);
    CopyMemory(&ShellCode[31],dllPath,wcslen(dllPath)*sizeof(WCHAR) + sizeof(WCHAR));
    PVOID lpCunc = GetProcAddress(GetModuleHandle("kernel32.dll"),"LoadLibraryW");
    CopyMemory(&ShellCode[13],&lpCunc,sizeof(PVOID));
    lpCunc = GetProcAddress(GetModuleHandle("kernel32.dll"),"ExitThread");
    CopyMemory(&ShellCode[22],&lpCunc,sizeof(PVOID));

    LPVOID  pRemoteCode = NULL;
    if(pRemoteCode = VirtualAllocEx(hTargetProcHandle, NULL, wcslen(dllPath)*sizeof(WCHAR) + sizeof(WCHAR)+31, MEM_RESERVE|MEM_COMMIT, PAGE_EXECUTE_READWRITE))
    {
        if (WriteProcessMemory(hTargetProcHandle, pRemoteCode, ShellCode, wcslen(dllPath)*sizeof(WCHAR) + sizeof(WCHAR) + 31, NULL) == 0) {
            ErrorShow();
            return NULL;
        }
        *lpExecParam = 0;
        loadLibAddr = (LPVOID)pRemoteCode;
    }
#endif
    return (LPTHREAD_START_ROUTINE) loadLibAddr;
}

BOOL MyNtCreateThreadEx(CONST WCHAR* szDllPath,DWORD ProcessId)
{
    BOOL bRet = FALSE;
    OSVERSIONINFO osver;
    HANDLE      ProcessHandle = NULL;
    LPVOID      lpStartExecAddr = NULL;
    LPVOID      lpExecParam = NULL;
    osver.dwOSVersionInfoSize = sizeof(osver);
    if (GetVersionEx(&osver)) { 
        if (osver.dwMajorVersion == 5) {
            ProcessHandle = OpenProcess( PROCESS_QUERY_INFORMATION | PROCESS_VM_OPERATION | PROCESS_VM_READ | PROCESS_VM_WRITE | PROCESS_CREATE_THREAD, 0, ProcessId );
        }
        if (osver.dwMajorVersion == 6 && osver.dwMinorVersion == 0) {
            printf("\t[+] Detected Windows Vista\n");
            ProcessHandle = NULL;
        }
        if (osver.dwMajorVersion == 6 && osver.dwMinorVersion == 1) {
            ProcessHandle = OpenProcess( PROCESS_CREATE_THREAD | PROCESS_QUERY_INFORMATION | PROCESS_VM_OPERATION | PROCESS_VM_WRITE | PROCESS_VM_READ, FALSE, ProcessId );
        }
        if (osver.dwMajorVersion == 6 && osver.dwMinorVersion == 2) {
            ProcessHandle = OpenProcess( PROCESS_CREATE_THREAD | PROCESS_QUERY_INFORMATION | PROCESS_VM_OPERATION | PROCESS_VM_WRITE | PROCESS_VM_READ, FALSE, ProcessId );
        }
    } else {
        printf("\n[!] Could not detect OS version\n");
    }
    if(ProcessHandle != NULL)
    {
        if(lpStartExecAddr = AllocWritePath(ProcessHandle, szDllPath, &lpExecParam))
        {
            printf("%p\r\n",lpStartExecAddr);
            LPVOID rtlCreateUserAddr = NULL;
            HANDLE  hRemoteThread = NULL;
            CLIENT_ID cid;

            if( rtlCreateUserAddr = GetProcAddress(GetModuleHandle(TEXT("ntdll.dll")), "RtlCreateUserThread") ) {

                LPFUN_RtlCreateUserThread funRtlCreateUserThread = (LPFUN_RtlCreateUserThread)rtlCreateUserAddr;
                // hRemoteThread = CreateThread(NULL,0,(LPTHREAD_START_ROUTINE)lpStartExecAddr,NULL,0,NULL);                                        成功
                // hRemoteThread = CreateRemoteThread(ProcessHandle, NULL, 0, (LPTHREAD_START_ROUTINE)lpStartExecAddr, lpExecParam,0, NULL);        成功
                // call RtlCreateUserThread to create suspended thread, then CsrClientCallServer(enable win32 subsystem support) and then resume thread
                // 之前失败?----XP需要通过CsrClientCallServer enable win32 subsystem support.
#ifndef _WIN64
                // create suspended thread
                funRtlCreateUserThread(         
                    ProcessHandle,          // ProcessHandle
                    NULL,               // SecurityDescriptor (OPTIONAL)
                    1,              // CreateSuspended
                    0,                  // StackZeroBits
                    0,                  // StackReserved
                    0,                  // StackCommit
                    (PVOID) lpStartExecAddr,// StartAddress
                    (PVOID) lpExecParam,// StartParameter (OPTIONAL)
                    &hRemoteThread,     // ThreadHandle
                    &cid                // ClientID
                    );
                if (hRemoteThread == NULL) {
                    ErrorShow();
                }
                else
                {
                    CSR_API_MESSAGE csrmsg = { { 0 }, { 0 }, { hRemoteThread, cid } };
                    // enable win32 subsystem support
                    pfnInitSubSystem CsrClientCallServer = (pfnInitSubSystem)GetProcAddress(GetModuleHandle(_T("ntdll.dll")),"CsrClientCallServer");
                    // Resume
                    NTSTATUS status = CsrClientCallServer( &csrmsg, NULL, 0x10001u, sizeof( THREAD_INFO ) );
                    if (status == STATUS_SUCCESS) 
                    {
                        ResumeThread(hRemoteThread);
                        bRet = TRUE;
                    }
                }
#else
                funRtlCreateUserThread(         
                    ProcessHandle,          // ProcessHandle
                    NULL,               // SecurityDescriptor (OPTIONAL)
                    0,              // CreateSuspended
                    0,                  // StackZeroBits
                    0,                  // StackReserved
                    0,                  // StackCommit
                    (PVOID) lpStartExecAddr,// StartAddress
                    (PVOID) lpExecParam,// StartParameter (OPTIONAL)
                    &hRemoteThread,     // ThreadHandle
                    &cid                // ClientID
                    );
                if(hRemoteThread == NULL || hRemoteThread == INVALID_HANDLE_VALUE)
                {
                    ErrorShow();
                }
                else
                {
                    ShowMessage(_T("%d"),GetThreadId(hRemoteThread));
                    //ResumeThread(hRemoteThread);
                    bRet = TRUE;
                }
#endif

            }
        }
    }
    return bRet;
}


// 当我们注入提权的进程的时候可能需要提升自己的权限,其中DEBUG 权限是可以满足我们要求的权限
BOOL EnableDebugPrivilegeX86(BOOL bEnable = TRUE)   //它是CRemThreadInjector类的静态成员
{   //附给本进程特权,以便访问系统进程
    BOOL bOk = FALSE;
    HANDLE hToken;
    //打开一个进程的访问令牌
    if(::OpenProcessToken(::GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES,&hToken))
    {   //取得特权名称为"SetDebugPrivilege"的LUID
        LUID uID;
        ::LookupPrivilegeValue(NULL,SE_DEBUG_NAME,&uID);
        //调整特权级别
        TOKEN_PRIVILEGES tp;
        tp.PrivilegeCount = 1;
        tp.Privileges[0].Luid = uID;
        tp.Privileges[0].Attributes = bEnable ? SE_PRIVILEGE_ENABLED : 0;
        ::AdjustTokenPrivileges(hToken,FALSE,&tp,sizeof(tp),NULL,NULL);
        bOk = (::GetLastError() == ERROR_SUCCESS);
        //关闭访问令牌句柄
        ::CloseHandle(hToken);
    }
    return bOk;
}
BOOL EnableDebugPrivilegeX64()
{
    DWORD dwRetVal;
    RtlAdjustPrivilege=(pfnRtlAdjustPrivilege64)GetProcAddress((HMODULE)(GetModuleHandle(_T("ntdll.dll"))),"RtlAdjustPrivilege");
    if(RtlAdjustPrivilege == NULL)
    {
        return FALSE;
    }
    /**
    .常量 SE_BACKUP_PRIVILEGE, "17", 公开
    .常量 SE_RESTORE_PRIVILEGE, "18", 公开
    .常量 SE_SHUTDOWN_PRIVILEGE, "19", 公开
    .常量 SE_DEBUG_PRIVILEGE, "20", 公开
     */
    return RtlAdjustPrivilege(SE_DEBUG_PRIVILEGE,1,0,&dwRetVal);
}
BOOL EnableDebugPrivilegeX86X64()
{
#ifdef _WIN64
    return EnableDebugPrivilegeX64();
#else
    return EnableDebugPrivilegeX86();
#endif
}
kiki商
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用NtCreateThreadEx将Dll注入目标进程
KOOKNUT的博客
05-12 2228
第一遍学习这个注入方法时候,只知道NtCreateThreadEx是未公开的nt函数,当时要定义一个函数指针出来,好像在看雪上找到的这个函数的声明,,太久远了,记不清了。 在Windows2000的源码和Reactos中都无法找到NtCreateThreadEx的函数声明和实现,所以试了下用IDA看看ntdll的导出表,哇,好开心找到了,但是,,好像什么都没有,只有一个系统调用号,没有任何参数的信息。 我最后在https://securityxploded.com/ntcreatethreadex.php
vb6的dll线程注入示例,CreateRemoteThread ,GetProcAddress
06-20
VB的dll注入示例,2020202020202020
CreateRemoteThreadex开启远程线程失败集合
02-15 234
修改进程PE头 报错 修改进程_EPROCESS +0x12c SectionBaseAddress : 0x00bf0000 都会报错 不是有效的win32程序 错误号193 修改进程PEB +0x018 ProcessHeap : 0x000c0000 为0 报错 线程创建成功 执行失败。第二次打开提示 打开进程更多失败 ...
Inject集合----远程线程注入NtCreateThreadEx)
qq_42021840的博客
05-15 1950
介绍: 前面写过一片远程线程注入的文章,用到的是CreateRemoteThread函数远程注入线程的,这次我们用NtCreateThreadEx来创建远程线程,其实并没有技术的升级,而是进行了创建远程线程函数的升级,下面是CreateRemoteThread在Reactos中的源码 /* Create the Kernel Thread Object */ Status = NtCreateThread(&hThread, ...
Win7 CreateRemoteThread 另类使用方法
经典的误导的专栏
04-26 1806
同样的代码,在XP下面随便你怎么整,WIN7的话是相当纠结的,具体哪些错误就不解释了 ~~   gg点了二十多页,在韩国某大牛的博客上总算找到一点思路(虽然看不懂韩文,但代码还算勉强看得懂吧)   原来是要用动态调用ntdll.dll >> NtCreateRemoteThreadEx ,于是over~~   说明: 1、InjectDll.exe   是
Inject集合----远程线程注入RtlCreateUserThread
qq_42021840的博客
05-16 1827
之前我写过关于用CreateRemoteThreadNtCreateThreadEx 进行DLL注入,但是我想起之前还有一个函数可以实现远程线程注入,那就是今天的主角RtlCreateUserThread,它和NtCreateThreadEx 一样,也是一个未公开的函数,但是它和CreateRemoteThreadNtCreateThreadEx使用方法是一样的,并没有什么升级的操作。 我在网上看到说,RtlCreateUserThread其实是对NtCreateThreadEx的包装。 ...
驱动开发:内核远程线程实现DLL注入
CSDN
06-22 5731
在笔者上一篇文章`《驱动开发:内核RIP劫持实现DLL注入》`介绍了通过劫持RIP指针控制程序执行流实现插入DLL的目的,本章将继续探索全新的注入方式,通过`NtCreateThreadEx`这个内核函数实现注入DLL的目的,需要注意的是该函数在微软系统中未被导出使用时需要首先得到该函数的入口地址,`NtCreateThreadEx`函数最终会调用`ZwCreateThread`,本章在寻找函数的方式上有所不同,前一章通过内存定位的方法得到所需地址,本章则是通过解析导出表实现。
监视远程线程的创建[收藏]
Purpleendurer@CSDN
03-09 2158
监视远程线程的创建作者: 一块三毛钱邮件: [email protected]日期: 2004.12.29    远程线程技术被大量的使用在木马、蠕虫等软件当中,通过在别的进程中插入线程的方式运行代码,具有相当高的隐蔽性。比如常见的 Explorer.exe 进程中有十几个线程同时运行,在其中插入一个线程后,谁也分辨不出来哪个就是插入的远程线程。本文提供了一种方法可以监视远程线程的创建活动,记录下来远
多种DLL注入技术原理介绍
热门推荐
顺其自然~专栏
11-06 3万+
本文中我将介绍DLL注入的相关知识。不算太糟的是,DLL注入技术可以被正常软件用来添加/扩展其他程序,调试或逆向工程的功能性;该技术也常被恶意软件以多种方式利用。这意味着从安全角度来说,了解DLL注入的工作原理是十分必要的。 不久前在为攻击方测试(目的是为了模拟不同类型的攻击行为)开发定制工具的时候,我编写了这个名为“injectAllTheThings”的小工程的大...
DLL 注入的三种方法详解
weixin_51409218的博客
02-27 3488
DLL注入的三种方式
易语言远程线程
07-21
易语言远程线程源码,远程线程,MakeCallCode,GetBinPtr,GetAddress,VOpen,VAlloc,VRead,VWrite,VFree,VClose,CallRemoteFunction,CreateProcessThread,LoadLibraryA,GetProcAddress,CreateRemoteThread,WaitForSingleObject,GetExitCodeThread,OpenProcess,Clo
远程线程注入.rar_VirtualAllocEx_dll卸载_riverlpg_skill1bc_远程
07-14
/1. 得到远程进程的HANDLE(使用OpenProcess)。 //2. 在远程进程中为DLL文件名分配内存(VirtualAllocEx)。 //3. 把DLL的文件名(全路径)写到分配的内存中(WriteProcessMemory) //4. 使用CreateRemoteThread和LoadLibrary把你的DLL映射近远程进程。 //5. 等待远程线程结束(WaitForSingleObject),即等待LoadLibrary返回。也就是说当我们的DllMain(是以DLL_PROCESS_ATTACH为参数调用的)返回时远程线程也就立即结束了。 //6. 取回远程线程的结束码(GetExitCodeThtread),即LoadLibrary的返回值――我们DLL加载后的基地址(HMODULE)。 //7. 释放第2步分配的内存(VirtualFreeEx)。 //8. 用CreateRemoteThread和FreeLibrary把DLL从远程进程中卸载。调用时传递第6步取得的HMODULE给FreeLibrary(通过CreateRemoteThread的lpParameter参数)。 //9. 等待线程的结束(WaitSingleObject)。
易语言创建远程线程
07-21
易语言创建远程线程源码,创建远程线程,CALL,GetProcessID,OpenProcess,VirtualAllocEx,WriteProcessMemoryByte,CreateRemoteThread,WaitForSingleObject,CreateToolhelp32Snapshot,Process32Next,Process32First,ExitProcess,CloseHandle,VirtualFreeEx
CreateRemoteThread注入API函数代码
01-15
原理:1,查找目标进程号,打开远程空间 2,在目标进程申请代码控件、参数空间 3,CreateRemoteThread执行远端线程
C/C++ 运行库
商少
07-08 5241
C/C++ 运行库       任何一个C 程序,它的背后都有一套庞大的代码来进行支撑,以使得该程序能够正常运行。这套代码至少包括入口函数,及其所依赖的函数所构成的函数集合。另外包括各种标准库函数的实现。        这样的一个代码集合称之为运行时库(Runtime Library),C 语言的运行时库,称为 C 运行库(CRT)。        C 运行库大致包含的功能: 启动与退
缓存管理器是什么
商少
03-28 3867
缓存管理器 Windows 的缓存管理器是一组内核模式的函数和系统例程,为所有的Windows文件系统驱动程序提供了系统缓存的能力。   Windows 缓存管理器按照虚拟地址为基础来缓存数据,它被赋予系统虚拟地址空间中的一个区域来进行管理。缓存管理器将每个地址空间区域分成256KB 的槽,称为视图:   系统中每个256KB 的槽都是通过一个VACB 来描述的;每个被单独打开的、
Drag Drop 入门介绍
商少
04-17 3626
鼠标拖拽简介 初衷 完成一个给打开的QQ窗口自动发送文件的程序。 使用 在资源管理器中进行拖拽操作,没有键盘操作的话。不同分区间默认为拷贝,同分区间默认为move操作。 如果加上键盘操作,则会规定操作的类型如下: Shift       move Ctrl                    copy Alt             link 另外: Drag系统文件
X64 函数调用的一些问题
商少
05-10 3473
X64 函数调用的一些问题 对于X86 和 X64 的编码来说,主要有下面几个方面的不同: 1.      X64 具有 64-bit 的寻址能力 2.      16 个64-bit 整数寄存器以及16 个 XMM/YMM 寄存器用于浮点运算 3.      X64 默认使用的是__fastcall调用约定 4.      基于RISC 的异常处理结构   __fastcall调用
使用c++写出远程线程注入dll代码
最新发布
09-09
### 回答1: 示例代码:#include <windows.h> #include <stdio.h> #include <tlhelp32.h> // 远程线程注入dll BOOL InjectDLL(DWORD dwPID, char *szDLLName); int main(int argc, char *argv[]) { printf("远程线程注入dll演示程序\n"); if (argc == 3) { DWORD dwPID = atoi(argv[1]); char *szDLLName = argv[2]; InjectDLL(dwPID, szDLLName); } else { printf("用法:InjectDLL.exe <PID> <DLLName>\n"); } return 0; } // 远程线程注入dll BOOL InjectDLL(DWORD dwPID, char *szDLLName) { HANDLE hProcess, hThread; LPVOID lpBaseAddress; LPTHREAD_START_ROUTINE lpStartAddress; DWORD dwSize, dwThreadId; char szPath[256]; char szBuffer[1024]; // 打开进程 hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID); if (hProcess == NULL) { printf("OpenProcess() Error: %d\n", GetLastError()); return FALSE; } // 获取DLL的完整路径 GetFullPathName(szDLLName, 256, szPath, NULL); // 在进程中申请虚拟内存 dwSize = strlen(szPath) + 1; lpBaseAddress = VirtualAllocEx(hProcess, NULL, dwSize, MEM_COMMIT, PAGE_READWRITE); if (lpBaseAddress == NULL) { printf("VirtualAllocEx() Error: %d\n", GetLastError()); return FALSE; } // 将DLL路径写入到虚拟内存 int nBytesWritten; WriteProcessMemory(hProcess, lpBaseAddress, szPath, dwSize, &nBytesWritten); if (nBytesWritten != dwSize) { printf("WriteProcessMemory() Error: %d\n", GetLastError()); return FALSE; } // 加载Kernel32.dll HMODULE hKernel32 = GetModuleHandle("Kernel32"); if (hKernel32 == NULL) { printf("GetModuleHandle() Error: %d\n", GetLastError()); return FALSE; } // 获取LoadLibraryA函数地址 lpStartAddress = GetProcAddress(hKernel32, "LoadLibraryA"); if (lpStartAddress == NULL) { printf("GetProcAddress() Error: %d\n", GetLastError()); return FALSE; } // 创建远程线程 hThread = CreateRemoteThread(hProcess, NULL, 0, lpStartAddress, lpBaseAddress, 0, &dwThreadId); if (hThread == NULL) { printf("CreateRemoteThread() Error: %d\n", GetLastError()); return FALSE; } // 等待远程线程结束 WaitForSingleObject(hThread, INFINITE); // 读取线程退出码 DWORD dwExitCode; GetExitCodeThread(hThread, &dwExitCode); if (dwExitCode == 0) { printf("LoadLibrary() Error: %d\n", GetLastError()); return FALSE; } // 关闭句柄 CloseHandle(hProcess); CloseHandle(hThread); return TRUE; }我不能帮助你编写代码,但是我可以提供一些参考资料,帮助你编写远程线程注入dll代码。 ### 回答2: 远程线程注入DLL是一种技术,用于在目标进程中注入自定义的动态链接库(DLL)并执行其中的代码。以下是一个使用C语言编写的远程线程注入DLL的代码示例: ```c #include <stdio.h> #include <stdlib.h> #include <windows.h> int main() { // 目标进程的进程ID DWORD pid = 1234; // 加载要注入的DLL路径 char dllPath[] = "C:\\path_to_dll\\mydll.dll"; // 获取目标进程句柄 HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid); if (hProcess == NULL) { printf("无法打开目标进程"); return -1; } // 在目标进程中为DLL路径分配内存 LPVOID dllPathAddr = VirtualAllocEx(hProcess, NULL, sizeof(dllPath), MEM_COMMIT, PAGE_READWRITE); if (dllPathAddr == NULL) { printf("无法在目标进程中分配内存"); CloseHandle(hProcess); return -1; } // 在目标进程中写入DLL路径 if (!WriteProcessMemory(hProcess, dllPathAddr, dllPath, sizeof(dllPath), NULL)) { printf("无法写入DLL路径到目标进程"); VirtualFreeEx(hProcess, dllPathAddr, 0, MEM_RELEASE); CloseHandle(hProcess); return -1; } // 获取Kernel32.dll中LoadLibrary函数的地址 HMODULE kernel32 = GetModuleHandle("kernel32.dll"); FARPROC loadLibrary = GetProcAddress(kernel32, "LoadLibraryA"); // 创建远程线程在目标进程中执行LoadLibrary函数,将DLL路径作为参数 HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)loadLibrary, dllPathAddr, 0, NULL); if (hThread == NULL) { printf("无法在目标进程中创建远程线程"); VirtualFreeEx(hProcess, dllPathAddr, 0, MEM_RELEASE); CloseHandle(hProcess); return -1; } // 等待远程线程执行结束 WaitForSingleObject(hThread, INFINITE); // 清理资源 VirtualFreeEx(hProcess, dllPathAddr, 0, MEM_RELEASE); CloseHandle(hThread); CloseHandle(hProcess); printf("远程线程注入DLL成功"); return 0; } ``` 这段代码首先通过`OpenProcess`函数打开目标进程,然后使用`VirtualAllocEx`在目标进程中为DLL路径分配内存,并使用`WriteProcessMemory`将DLL路径写入目标进程内存。接着,使用`GetModuleHandle`和`GetProcAddress`获取`LoadLibrary`函数的地址,然后使用`CreateRemoteThread`在目标进程中创建一个远程线程,让其执行`LoadLibrary`函数,将DLL路径作为参数传递给它。最后,使用`WaitForSingleObject`等待远程线程执行完毕,并释放之前分配的资源。 ### 回答3: 使用C语言编写远程线程注入DLL的代码可以通过以下步骤实现: 1. 首先,需要创建一个目标进程的句柄。可以使用`OpenProcess`函数来打开目标进程,并获得进程的句柄。 2. 接下来,需要在目标进程中分配一块内存空间,用于存储DLL的路径和名称。可以使用`VirtualAllocEx`函数在目标进程内部分配内存。 3. 在分配的内存空间中写入DLL的路径和名称。可以使用`WriteProcessMemory`函数将DLL的路径和名称写入到目标进程的内存中。 4. 使用`GetProcAddress`函数获取`LoadLibraryA`函数的地址,该函数用于加载DLL。可以使用`GetModuleHandle`函数获取kernel32.dll的句柄,然后再调用`GetProcAddress`函数来获取`LoadLibraryA`函数的地址。 5. 使用`CreateRemoteThread`函数在目标进程中创建一个远程线程,将`LoadLibraryA`函数地址作为线程的入口点,将DLL的路径和名称作为线程的参数传递。这样,在目标进程中就会自动加载并执行DLL。 完整的代码示例如下: ```c #include <windows.h> int main() { // Step 1: 打开目标进程句柄 HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, PROCESS_ID); // Step 2: 分配内存空间 LPVOID lpRemoteBuffer = VirtualAllocEx(hProcess, NULL, MAX_PATH, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE); // Step 3: 写入DLL路径和名称 char dllPath[] = "C:\\path\\to\\dll.dll"; WriteProcessMemory(hProcess, lpRemoteBuffer, (LPVOID)dllPath, sizeof(dllPath), NULL); // Step 4: 获取LoadLibraryA函数地址 HMODULE hKernel32 = GetModuleHandleA("kernel32.dll"); FARPROC lpLoadLibraryA = GetProcAddress(hKernel32, "LoadLibraryA"); // Step 5: 创建远程线程注入DLL HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)lpLoadLibraryA, lpRemoteBuffer, 0, NULL); // 关闭句柄 CloseHandle(hThread); CloseHandle(hProcess); return 0; } ``` 以上就是使用C语言编写远程线程注入DLL的代码。请注意,使用远程线程注入DLL可能存在一些安全风险,请谨慎使用

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值