Win32线程劫持-Suspend-Inject-Resume

最新推荐文章于 2023-04-18 10:33:53 发布
最新推荐文章于 2023-04-18 10:33:53 发布
阅读量801 收藏 2
点赞数
分类专栏: windows编程 基础知识 文章标签: 线程 win32
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18218335/article/details/75268251
版权

Win32线程劫持-Suspend-Inject-Resume

  • 所谓线程劫持,就是利用目标进程已有的线程执行自己的代码,而不用自己再在目标进程中创建新的线程。其核心就是Suspend(选择目标进程中的一个非等待状态的线程)-Inject(将EIP指向我们已经写入目标进程虚拟地址空间中的代码的起始地址)-Resume(恢复该线程的执行,这样一来目标线程将执行我们的代码),这种方法最关键的一点就是在目标线程执行完我们的代码之后,我们需要确保其返回原来执行的位置并且其通用寄存器以及其它的状态寄存器的状态不变。

  • 核心函数如下

VOID suspendInjectResume(HANDLE hHandle, LPVOID loadLibAddr, LPVOID dllPathAddr) {
    /*
        This is a mixture from the following sites:

            http://syprog.blogspot.com/2012/05/createremotethread-bypass-windows.html
            http://www.kdsbest.com/?p=159

    */

    HANDLE hSnapshot = CreateToolhelp32Snapshot( TH32CS_SNAPTHREAD, 0 );
    HANDLE hSnapshot2 = CreateToolhelp32Snapshot( TH32CS_SNAPTHREAD, 0 );
    HANDLE thread = NULL;
    THREADENTRY32   te;
    THREADENTRY32   te2;

    CONTEXT         ctx;
    DWORD firstThread = 0;
    HANDLE targetThread = NULL;

    LPVOID scAddr;

    int i;

    unsigned char sc[] = {
            // Push all flags
            0x9C,
            // Push all register
            0x60,
            // Push 3,4,5,6 (dllPathAddr)
            0x68, 0xAA, 0xAA, 0xAA, 0xAA, 
            // Mov eax, 8,9,10, 11 (loadLibAddr)
            0xB8, 0xBB, 0xBB, 0xBB, 0xBB,
            // Call eax
            0xFF, 0xD0,
            // Pop all register
            0x61,
            // Pop all flags
            0x9D,
            // Ret
            0xC3
        };

    te.dwSize = sizeof(THREADENTRY32);
    te2.dwSize = sizeof(THREADENTRY32);
    ctx.ContextFlags = CONTEXT_FULL;

    sc[3] = ((unsigned int) dllPathAddr & 0xFF);
    sc[4] = (((unsigned int) dllPathAddr >> 8 )& 0xFF);
    sc[5] = (((unsigned int) dllPathAddr >> 16 )& 0xFF);
    sc[6] = (((unsigned int) dllPathAddr >> 24 )& 0xFF);

    sc[8] = ((unsigned int) loadLibAddr & 0xFF);
    sc[9] = (((unsigned int) loadLibAddr >> 8 )& 0xFF);
    sc[10] = (((unsigned int) loadLibAddr >> 16 )& 0xFF);
    sc[11] = (((unsigned int) loadLibAddr >> 24 )& 0xFF);



    // Suspend Threads
    if(Thread32First(hSnapshot, &te)) {
        do {
            if(te.th32OwnerProcessID == GetProcessId(hHandle)) {
                if ( firstThread == 0 )
                    firstThread = te.th32ThreadID;
                thread = OpenThread(THREAD_ALL_ACCESS | THREAD_GET_CONTEXT, FALSE, te.th32ThreadID);
                if(thread != NULL) {
                    printf("\t[+] Suspending Thread 0x%08x\n", te.th32ThreadID);
                    SuspendThread(thread);
                    CloseHandle(thread);
                } else {
                    printf("\t[+] Could not open thread!\n");
                }
            }
        } while(Thread32Next(hSnapshot, &te));
    } else {
        printf("\t[+] Could not Thread32First! [%d]\n", GetLastError());
        CloseHandle(hSnapshot);
        exit(-1);
    }
    CloseHandle(hSnapshot);

    printf("\t[+] Our Launcher Code:\n\t");
    for (i=0; i<17; i++)
        printf("%02x ",sc[i]);
    printf("\n");
    //  Get/Save EIP, Inject
    printf("\t[+] Targeting Thread 0x%08x\n",firstThread);
    targetThread = OpenThread(THREAD_ALL_ACCESS, FALSE, firstThread);
    if (GetThreadContext(targetThread, &ctx) == 0) 
        printf("[!] GetThreadContext Failed!\n");
    printf("\t[+] Current Registers: \n\t\tEIP[0x%08x] ESP[0x%08x]\n", ctx.Eip, ctx.Esp);

    printf("\t[+] Saving EIP for our return\n");
    ctx.Esp -= sizeof(unsigned int);
    WriteProcessMemory(hHandle, (LPVOID)ctx.Esp, (LPCVOID)&ctx.Eip, sizeof(unsigned int), NULL);
    printf("\t\tEIP[0x%08x] ESP[0x%08x] EBP[0x%08x]\n", ctx.Eip, ctx.Esp, ctx.Ebp);

    scAddr = VirtualAllocEx(hHandle, NULL, 17, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
    printf("\t[+] Allocating 17 bytes for our Launcher Code [0x%08x][%d]\n", scAddr, GetLastError());

    printf ("\t[+] Writing Launcher Code into targetThread [%d]\n", WriteProcessMemory(hHandle, scAddr, (LPCVOID)sc, 17, NULL));

    printf("\t[+] Setting EIP to LauncherCode\n");
    ctx.Eip = (DWORD)scAddr;
    printf("\t\tEIP[0x%08x] ESP[0x%08x]\n", ctx.Eip, ctx.Esp);

    if (SetThreadContext(targetThread, &ctx) == 0) 
        printf("[!] SetThreadContext Failed!\n");

    // Resume Threads
    hSnapshot = CreateToolhelp32Snapshot( TH32CS_SNAPTHREAD, 0 );
    te.dwSize = sizeof(THREADENTRY32);

    if(Thread32First(hSnapshot2, &te2)) {
        do {
            if(te2.th32OwnerProcessID == GetProcessId(hHandle)) {
                thread = OpenThread(THREAD_ALL_ACCESS | THREAD_GET_CONTEXT, FALSE, te2.th32ThreadID);
                if(thread != NULL) {
                    printf("\t[+] Resuming Thread 0x%08x\n", te2.th32ThreadID);
                    ResumeThread(thread);
                    if (te2.th32ThreadID == firstThread) 
                        WaitForSingleObject(thread, 5000);
                    CloseHandle(thread);
                } else {
                    printf("\t[+] Could not open thread!\n");
                }
            }
        } while(Thread32Next(hSnapshot2, &te2));
    } else {
        printf("\t[+] Could not Thread32First! [%d]\n", GetLastError());
        CloseHandle(hSnapshot2);
        exit(-1);
    }
    CloseHandle(hSnapshot2);
}

之前写的一个比较笨的实现方法

  • 上面的代码是网上的代码,而我之前也写过一个实现,刚刚找到了就贴在这里。

  • 查找目标进程的代码不需要过多的解析了

int _tmain(int argc,char** argv)
{
    CToolhelp           ProceeHelp(TH32CS_SNAPPROCESS);
    PROCESSENTRY32      pe = {0};
    pe.dwSize = sizeof(pe);
    if(ProceeHelp.ProcessFirst(&pe))
    {
        while(ProceeHelp.ProcessNext(&pe))
        {
            if(!stricmp(pe.szExeFile,"notepad.exe"))
            {
                CHAR*           szDll = "\\SimpleDll.dll";
                CHAR            szFullPath[MAX_PATH] = {0};
                GetCurrentDirectory(MAX_PATH,szFullPath);
                strcat(szFullPath,szDll);
                if(Inject(pe.th32ProcessID,szFullPath))
                {
                    ShowMessage(_T("注入成功"));
                }
                else
                {
                    ShowMessage(_T("注入失败"));
                }
                break;
            }
        }
    }
    return 0;
}
  • 核心的汇编代码
#define MY_EIP      0x12345670
#define MY_ST1      0x12345671
#define MY_FUN      0x12345673
#define MY_END      0x12345674

// 告诉编译器,函数代码的汇编语言为自己所写的,不需要编译器添加任何汇编代码,即生成纯汇编
// 需要在开始的时候保存上下文标志(push)并在结束的时候回复上下文(pop) 并在结尾添加ret 命令
void __declspec(naked) __stdcall ASM_RemoteFunc()
{
    __asm
    {
        call    Next;
Next:
        pushfd;
        pushad;
        push MY_ST1
            mov eax,MY_FUN
            call eax
            popad;
        popfd;
        mov DWORD PTR [esp],MY_EIP
        ret;
        push MY_END
    }
}
PVOID Find_Ptr(PVOID BeginPoint,ULONG_PTR Flags)
{
    PVOID   ret_ptr = NULL;
    __asm
    {
        mov eax,BeginPoint
            jmp comp
diff:   inc eax
comp:   mov ebx,[eax]
        cmp ebx,Flags
            jnz diff
            mov ret_ptr,eax
    }
    return ret_ptr;
}

       后面的操作就不详细说了,就是得到LoadLibrary函数的地址,得到DLL path 的地址以及得到原来的EIP 的地址,得到了之后应该修正里面的偏移值,最后根据MY_END的值得到指令的大小等等的类似的操作。

kiki商
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ThreadBoat:程序使用线程执行劫持将本地Shell代码注入到标准Win32应用程序中
05-04
线程船 程序使用线程劫持将本机Shellcode注入到标准Win32应用程序中。 关于 我开发了这个小项目,以继续我对不同代码注入方法的经验,并允许RedTeam安全专业人员将这种方法用作执行软件渗透测试的独特方法。 使用线程劫持,它允许hijacker.exe程序在target.exe程序中暂停一个线程,从而使我们可以将Shellcode写入该目标线程,然后再执行(通过; WriteProcessMemory(),SetThreadContext(),ResumeThread(), CreateThread())。 GIF示例(存入残局) 用法 int main () { System sys; Interceptor incp; Exception exp ; sys. returnVersionState (); if (sys. returnPrivilegeEscala
X64--线程劫持-Suspend-Inject-Resume
商少
07-18 1524
X64–线程劫持-Suspend-Inject-Resume X64与X86 的原理是一样的。这里不做多解释 #include <stdio.h> #include <Windows.h> #include <string.h> #include <Psapi.h> #include <TlHelp32.h> #include <tchar.h> EXTERN_C VOID asm_
第十四节:线程劫持
weixin_30951743的博客
04-28 322
本章前面讨论了垃圾回收期算法。但是,这些讨论有一个很大的前提:仅有一个线程运行,在现实世界,经常会出现多个线程同时访问托管堆的情况,或至少有多个线程同时操作托管堆中分配的对象。一个线程引发垃圾回收时,其它线程绝对不能访问其他任何对(包含他们自己线程栈上的引用),这是因为垃圾回收器可能移动对象,更改其内存地址。 因此,当垃圾回收器想要开启一次垃圾回收时,正在执行托管代码的所有线程都必须挂起。CLR...
黑客编程之线程劫持
weixin_42071117的博客
04-25 640
#include <Windows.h> #include <stdio.h> #pragma pack(1) typedef struct _STCode { BYTE PushCode; // push指令码 DWORD DllAddress; // 注入的dll字符串地址 USHORT CallCode; // call指令码 DWORD FuncAddress; // LoadLibrary函数地址 BYTE LoopCode[7]; // 循环指令 }ST
线程劫持技术
weixin_43799752的博客
11-27 831
windows 线程劫持
08-task-suspend-delete.rar
最新发布
01-07
这是基于stm32f103的freertos实验,学习与使用FreeRTOS中的几项操作,有挂起恢复删除等操作。这是这篇博客对应的笔记纪录https://blog.csdn.net/weixin_44317448/article/details/135445248
Android-suspend-and-resume.rar_android_android 唤醒_linux suspend
09-19
休眠/唤醒在嵌入式Linux中是非常重要的部分,嵌入式设备尽可能的进入休眠状 态来延长电池的续航时间.这篇文章就详细介绍一下Linux中休眠/唤醒是如何工作 的, 还有Android中如何把这部分和Linux的机制联系起来的.
Andriod PM suspend-resume 电源管理
10-27
电源管理主要体现在以下方面: 1.低功耗模式:对于现在的嵌入式芯片,都提供了各种低功率模式,如:提供了STOP,WAIT,DEEP SLEEP等功率状态,为不同的系统应用使用不同的功率模式提供了很好的解决方案。...
HomeAssistant-PulseAudio-Disable:该脚本可通过(重新)启动容器时将PulseAudio“ module-suspend-on-idle”模块加载到“ hassio_audio”容器中来帮助解决由“ hassio_audio”引起的与PulseAudio相关的问题
02-28
HomeAssistant-Pulse音频禁用在撰写本文时(实际上早在很久以前),Home Assistant hassio_audio Docker容器中的PulseAudio引起了一些问题。 在某些情况下,PulseAudio会导致在其主机设备上使用音频的用户丢失音频。...
jvm-suspend-working-thread-机制:jvm暂停工作线程的机制
02-16
JVM挂起工作线程的机制与原理首选使用Clang编译GCC编译会报错目前未研究清楚内嵌的汇编代码依赖编译后的栈上临时变量跟RBP指针的相对位置不保证编译器优化后内嵌的编译代码能正常运行怎么运行的由于编译可能产生问题...
DLL注入线程劫持
FISH的专栏
04-03 2800
  大家好,我是FISH ,以下代码只是属于思路,都是我自己KEY进去的,有错误很抱歉,我尽量注意,  内容来自Greg hoglund 的> .    给应用程序注入新的代码,最常用的技巧是DLL注入,使用这个方法,可以让远线程加载到你自己设计的DLL. DLL本身的功能可以是挂钩函数,修改目标程序的内存空间,DLL注入是很隐藏,很方便的注入手段,(实际上,该方法很容易被发现,有
n1ctf2018_null(通过劫持线程arena达到任意地址分配)
seaaseesa的博客
07-26 2266
n1ctf2018_null(通过劫持线程arena达到任意地址分配) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,主函数启动了一个线程线程里,是一个循环 其中输入函数存在溢出,由于a2没有更新,因此,如果将数据分成2部分读入的话,第二次,仍然可以读入a2个数据,从而溢出。 溢出尺寸比较大,如果能够覆盖到线程arena,那么就能将fake_chunk链接到fastbin,进而分配过去。但是arena是先mmap出来的,heap是过后才分配出来,因此,线程heap的
内核中劫持线程注入DLL并隐藏
人生苦短,我用python
04-18 1188
在驱动程序中,您可以通过调用PsSetCreateThreadNotifyRoutine或PsSetLoadImageNotifyRoutine等API来获取进程线程的通知。这时,您可以暂停线程并修改其上下文,以便在恢复时执行您的代码。为了实现这些功能,您需要学习Windows内核编程和驱动开发。在此过程中,您可能需要使用Windows Driver Kit(WDK)和Visual Studio。编写好驱动程序后,您需要在目标系统上加载和卸载它。在劫持线程后,您需要将目标DLL加载到目标进程的内存中。
WINCE suspend功能的实现
dwAll_Blue的专栏
09-02 1553
      大多数电子产品均具备省电功能.PDA等一类handheld设备对这方面的要求由为突出.      今天要搞个suspend功能,本来以为非常有难度.因为之前没有碰过这方面,总觉的涉及到了电源管理.找了会资料,也就是网上到处翻翻,才发现WINCE 有这方面的支持.哈哈,大家别笑我孤陋寡闻啊.在 Windows CE .NET 4.0 和之后的版本均有支持(Header: Pm.h.
Win32线程程序设计》(11)---ResumeThread()SuspendThread()
一零一六的博客专栏
02-12 1646
初始化一个线程 HANDLE hThread; DWORD threadId; hThread = CreateThread(NULL, 0, ThreadFunc, 0, CREATE_SUSPENDED, &threadId); SetThreadPriority(hThread, THREAD_PRIORITY_IDLE); 一旦线程设定妥当,你可以调用Resum eT
DLL远程线程劫持注入技术解析
m0_38103658的博客
09-23 1039
十大进程注入(一) DLL远程线程劫持注入技术解析 进程注入是一种广泛应用于恶意软件或无文件攻击中的躲避检测的技术。其需要在另一个进程的地址空间内运行特制代码,进程注入改善了不可见性、同时一些技术也实现了持久化。 而所谓的DLL注入是诸多进程注入方法中最常用的技术。恶意软件将恶意的动态链接库的路径写入另一个进程的虚拟地址空间内,通过在目标进程中创建远程线程来确保远程进程加载它。而因为DLL本身是由...
windows SuspendThread函数线程挂起过程(从三环到0环)
windows小菜鸡的博客
12-04 398
Windows API一日一练(50)SuspendThread和ResumeThread函数
uytrrfg的博客
11-02 133
分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow也欢迎大家转载本篇文章。分享知识,造福人民,实现我们中华民族伟大复兴!&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 操作系统对线程有几种状
线程的创建,控制
qq_41490873的博客
02-06 206
创建线程 挂起线程 恢复线程 结束线程
RT-Thread 线程创建
04-05
RT-Thread 是一个实时操作系统,支持多线程操作。线程是 RT-Thread 中的基本执行单元,可以通过 RT-Thread 的 API 来创建和管理线程。 RT-Thread 线程创建 API 主要有以下几个: 1. rt_thread_t rt_thread_create...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值