CreateRemoteThread 牛刀小试

最新推荐文章于 2021-11-04 16:19:29 发布
最新推荐文章于 2021-11-04 16:19:29 发布
阅读量2.1k 收藏 5
点赞数
分类专栏: 系统/线程/调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zgl7903/article/details/46407737
版权

 

 

// RmtTest.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"

#include <windows.h>
#include <shlwapi.h>
#pragma comment(lib, "shlwapi.lib")
#pragma comment(lib, "Advapi32.lib")

BOOL SetSeDebugPrivilege(BOOL bEnablePrivilege,   // TRUE to enable.  FALSE to disable
                  DWORD *pErrCode)
{
  BOOL bRet = 0;
  DWORD dwErr = 0;

  HANDLE hToken = NULL;

  TOKEN_PRIVILEGES tp;
  LUID luid;
  TOKEN_PRIVILEGES tpPrevious;
  DWORD cbPrevious;
  HANDLE hThread = GetCurrentThread();
  LPCTSTR Privilege = SE_DEBUG_NAME;

  do
  {
    //OpenThreadToken
    {
      if(OpenThreadToken(hThread, TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, FALSE, &hToken))
      {
      }
      else
      {
        dwErr = GetLastError();
        if (dwErr != ERROR_NO_TOKEN)
        {
          bRet = -1;
          break;
        }

        if (!ImpersonateSelf(SecurityImpersonation))
        {
          dwErr = GetLastError();
          bRet = -2;
          break;
        }

        if(!OpenThreadToken(hThread, TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, FALSE, &hToken))
        {
          dwErr = GetLastError();
          bRet = -3;
          break;
        }
      }
    }

    //LookupPrivilegeValue
    {
      if(!LookupPrivilegeValue( NULL, Privilege, &luid ))
      {
        dwErr = GetLastError();
        bRet = -4;
        break;
      }

      // first pass.  get current privilege setting
      tp.PrivilegeCount           = 1;
      tp.Privileges[0].Luid       = luid;
      tp.Privileges[0].Attributes = 0;      
      if(!AdjustTokenPrivileges(hToken, FALSE, &tp, sizeof(TOKEN_PRIVILEGES),
              &tpPrevious, &cbPrevious))
      {
        dwErr = GetLastError();
        bRet = -5;
        break;
      }

      // second pass.  set privilege based on previous setting
      tpPrevious.PrivilegeCount       = 1;
      tpPrevious.Privileges[0].Luid   = luid;
      if(bEnablePrivilege) 
      {
        tpPrevious.Privileges[0].Attributes |= (SE_PRIVILEGE_ENABLED);
      }
      else 
      {
        tpPrevious.Privileges[0].Attributes ^= (SE_PRIVILEGE_ENABLED &
              tpPrevious.Privileges[0].Attributes);
      }

      if(!AdjustTokenPrivileges(hToken, FALSE, &tpPrevious, cbPrevious, NULL, NULL))
      {
        dwErr = GetLastError();
        bRet = -6;
        break;
      }
    }

    bRet = TRUE;
    dwErr = 0;
  }while(0);

  if(hToken)
  {
    CloseHandle(hToken);
    hToken = NULL;
  }

  if(pErrCode) 
    *pErrCode = dwErr;

  return bRet;
}


//DLL注入
BOOL InjectDll(DWORD dwPID, LPCSTR szDllName, DWORD *pErrCode)
{
  BOOL bRet = FALSE;
  DWORD dwErr = 0;

  HANDLE hProcess = NULL;
  HMODULE hKernel32Lib = NULL;
  FARPROC pThreadProc = NULL;
  LPVOID pRemoteBuf = NULL; 
  SIZE_T NumberOfBytesWritten;
  HANDLE hRemoteThread = NULL;
  DWORD dwRemoteThreadID = 0;
  const SIZE_T nStringLen = strlen(szDllName)+1;

  do
  {
    //先检测DLL文件是否存在
    if(!PathFileExistsA(szDllName))
    {
      dwErr = GetLastError();
      bRet = -1;
      break;
    }

    //Load Kernel32.dll
    hKernel32Lib = LoadLibrary(_T("kernel32.dll"));
    if(hKernel32Lib == NULL)
    {
      dwErr = GetLastError();
      bRet = -2;
      break;
    }

    pThreadProc = GetProcAddress(hKernel32Lib, "LoadLibraryA");
    if(pThreadProc == NULL)
    {
      bRet = -3;
      break;
    }

    //提升到DEBUG权限 SE_DEBUG_NAME
    if(SetSeDebugPrivilege(TRUE, &dwErr) <= 0)
    {
      bRet = -4;
      break;
    }

    //打开进程
    hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID);
    if(hProcess == NULL)
    {
      dwErr = GetLastError();
      bRet = -5;
      break;
    }

    //申请内存
    pRemoteBuf = VirtualAllocEx(hProcess, NULL, nStringLen, MEM_COMMIT, PAGE_READWRITE);
    if(pRemoteBuf == NULL)
    {
      dwErr = GetLastError();
      bRet = -6;
      break;
    }

    //写入路径
    if(!WriteProcessMemory(hProcess, pRemoteBuf, szDllName, nStringLen, &NumberOfBytesWritten))
    {
      dwErr = GetLastError();
      bRet = -7;
      break;
    }
	
    //启动远程线程
    hRemoteThread = CreateRemoteThread(hProcess, NULL, 0, 
      (LPTHREAD_START_ROUTINE)pThreadProc, pRemoteBuf, 0, &dwRemoteThreadID);
    if(hRemoteThread == NULL)
    {
      dwErr = GetLastError();
      bRet = -8;
      break;
    }

    //wait for thread startup
    Sleep(500);
    bRet = TRUE;

  }while(0);

  //结束清理
  {
    if(hRemoteThread)
    {
      CloseHandle(hRemoteThread);
      hRemoteThread = NULL;
    }

    if(hProcess && pRemoteBuf)
    {
      VirtualFreeEx(hProcess, pRemoteBuf, nStringLen, MEM_DECOMMIT);
      pRemoteBuf = NULL;
    }

    if(hProcess)
    {
      CloseHandle(hProcess);
      hProcess = NULL;
    }

    if(hKernel32Lib)
    {
      FreeLibrary(hKernel32Lib);
      hKernel32Lib = NULL;
    }
  }

  if(pErrCode) 
    *pErrCode = dwErr;

	return bRet;
}

#include <stdlib.h>
#include <stdio.h>

int _tmain(int argc, _TCHAR* argv[])
{
  int iRet = 0;
  DWORD dwErr = 0;

  DWORD dwPID = 4704;//计算器
  LPCSTR szDllName = "D:\\VC_Project\\RmtTest\\x64\\Debug\\RmtDll.dll";
  
  //注入自己测试
  HMODULE hDLL = LoadLibraryA(szDllName);
  if(hDLL)
  {
    FreeLibrary(hDLL);
  }

  iRet = InjectDll(dwPID, szDllName, &dwErr);

  return iRet;
}

 

 

 

 

 

//测试用DLL

 

BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
					 )
{
  switch (ul_reason_for_call)
  {
    case DLL_PROCESS_ATTACH:
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
    {
      CHAR szDbg[512];
      CHAR szProcessFile[MAX_PATH + 1];
      CHAR szDllFile[MAX_PATH+1];
      GetModuleFileNameA(NULL, szProcessFile, MAX_PATH);
      GetModuleFileNameA(hModule, szDllFile, MAX_PATH);
      sprintf_s(szDbg, "Process %d (%s)\r\nDLL file (%s) hModule=%p\r\nreason=%u\r\n",
        GetCurrentProcessId(), szProcessFile, szDllFile, hModule, ul_reason_for_call);
      OutputDebugStringA(szDbg);
      ::MessageBoxA(NULL, szDbg, "RmtTest", MB_OK);
      break;
    }
  }

  return TRUE;
}

 

 

 

 

 

 

 

zgl7903
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hook_delphi_remote_createremotethread_hook_
10-03
create remote thread
Yes,搞定---关于CreateRemoteThread引起对象进程崩溃的处理
flyingdust21的专栏
09-27 2547
转载自:http://blog.sina.com.cn/s/blog_7013ba3e0100m38c.html,备用     Of Course不是俺自己研究出来的,整了N久,发现问题所在才在网上找到答案 要做卸载某个进程中的某个已加载模块,baidu网上做法,用CreateRemoteThread,WriteProcessMemory,Of Course(此Of Course确
关闭GS选项,解决注入后崩溃
acmumw248662的博客
10-27 784
利用CreateRemoteThread向进程注入远程代码时,一般会有以下两种做法: 利用LoadLibrary在目标进程加载指定的DLL 将代码复制到目标进程,然后启动这段代码 上面的第二种方法其实在使用上更加灵活。因为借用该方法,我们可以灵活地自定义函数(以下简称为启动函数)的参数。其使用流程一般为: 利用VirtualAllocEx / WriteProce...
进程注入技术:CreateRemoteThread 和 LoadLibrary技术的步骤 (非dll注入)
期待下集是个可爱梦儿
05-10 2352
1、得到远程进程的HANDLE(OpenProcess)2、在远程进程中为DLL文件名分配内存(VirtualAllocEx)3、把DLL的文件名(全路径)写到分配的内存中(WriteProcessMemory)4、使用CreateRemoteThread和LoadLibrary把你的DLL映射进远程进程5、等待远程进程结束(WaitForSingleObject),即等待LoadLibrary返回,也就是说当我们的DllMain返回时,远程线程也就立即结束了。6、取回远程线程的结束码(GetExitCod
Win API之CreateRemoteThread
qq_37002607的博客
11-04 358
没有花里胡哨的笔记记录。 CreateRemoteThread函数用于启动其他进程的函数 当其他进程运行时,获取其他进程的PID与进程内部函数的地址,便可以通过CreateRemoteThread 创建 调用 其他进程的函数 的线程。 用法: 函数含义请查阅csdn library 第一个程序为主程序 第二个程序为远程线程执行程序 调用自己写的方法,传递第一个程序的PID与fun函数地址。 运行结果: ...
ESP32 开发笔记(三)源码示例 13_IR_Send_RMT 使用RMT实现红外数据发送(NEC编码)
热门推荐
cnicfhnui的博客
09-10 1万+
开发板购买链接 https://item.taobao.com/item.htm?spm=a2oq0.12575281.0.0.50111deb2Ij1As&ft=t&id=626366733674 开发板简介开发环境搭建 windows 源码示例: 0_Hello Bug (ESP_LOGX与printf) 工程模板/打印调试输出 1_LED LED亮灭控制 ...
DllInjection_CreateRemoteThread
04-30
DllInjection_CreateRemoteThread 参考ReverseCore 在Windows 7 32bit上成功运行 用法: injection.exe进程名称
CreateRemoteThread DLL源码
08-29
C++编写的DLL C#程序调用 远程线程执行DLL注入
CreateRemoteThread注入API函数代码
01-15
原理:1,查找目标进程号,打开远程空间 2,在目标进程申请代码控件、参数空间 3,CreateRemoteThread执行远端线程
CreateRemoteThread:从32位进程到64位进程
04-17
CreateRemoteThread 从32位进程到64位进程的CreateRemoteThread 借鉴: 更多细节:
vb6的dll线程注入示例,CreateRemoteThread ,GetProcAddress
06-20
VB的dll注入示例,2020202020202020
CreateRemoteThread的使用(转载)
bodybo的专栏
08-23 2095
先解释一下远程进程,其实就是要植入你的代码的进程,相对于你的工作进程(如果叫本地进程的话)它就叫远程进程,可理解为宿主。首先介绍一下我们的主要工具CreateRemoteThread,这里先将函数原型简单介绍以下。CreateRemoteThread可将线程创建在远程进程中。函数原型HANDLE CreateRemoteThread( HANDLE hProcess,              
创建远程线程注入Dll——CreateRemoteThread
拉塞尔的博客
04-12 966
CreateRemoteThread是创建一个在其他进程的地址空间中运行的线程(也称远程线程)。其函数原型为:HANDLE WINAPI CreateRemoteThread( __in HANDLE hProcess, __in LPSECURITY_ATTRIBUTES lpThreadAttributes, __in SIZE_T dwStackSize, __in LPTHREAD_STA...
Vista&Win7下CreateRemoteThread应用的若干问题和解决方案
crystal0011的专栏
10-16 3934
Vista&Win7下CreateRemoteThread应用的若干问题和解决方案 在xp、03下面,用CreateRemoteThread往别的进程注入shellcode或者是dll是一件非常容易的事情,甚至是往系统进程里面注入(如svchost、winlogon等),但在vista下,你会发现事情没有那么容易了,就算是在xp下一模一样的代码,在vista下面都有可能给你一个ERROR_N
vc++ CreateRemoteThread 远程线程 DLL注入 shellcode 生成,IDA shellcode 提取
xkdlzy的专栏
07-23 679
CreateRemoteThread shellcode DLL注入 LoadLibrary vc++
python免杀技术---shellcode的加载与执行
qq_41683305的博客
05-22 1104
0x01 生成shellcode 首先通过下列命令生成一个shellcode,使用msfvenom -p选项来指定paylaod,这里选用windows/x64、exec模块接收的参数。使用calc.exe执行弹出计算器的操作。-f选项用来执行生成的shellcdoe的编译语言。 msfvenom -p windows/x64/exec CMD='calc.exe' -f py 0x02 加载与执行shellcode的程序 程序为: # -*- coding:utf-8 -*- import ctyp
createremotethread
最新发布
03-16
CreateRemoteThread 是 Windows 操作系统中的一个 API 函数,用于在远程进程中创建一个线程。它允许一个进程在另一个进程内部创建一个线程并执行任意代码。在正常情况下,一个进程只能在自己的内存空间内创建线程,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值