《Windows API巡礼》--CreateRemoteThread和WriteProcessMemory

最新推荐文章于 2021-07-12 19:42:11 发布
最新推荐文章于 2021-07-12 19:42:11 发布
阅读量2.7k 收藏
点赞数
分类专栏: Windows API巡礼 文章标签: api windows null winapi attributes dll
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/asce1885/article/details/5706844
版权

CreateRemoteThread函数用于为指定进程创建线程,该线程将会在其他进程的地址空间中执行,访问其他进程的资源:

HANDLE WINAPI CreateRemoteThread(

  __in   HANDLE hProcess, //需要为其创建线程的目标进程句柄,该目标进程需要具有如下权限:

                              //PROCESS_CREATE_THREADPROCESS_QUERY_INFORMATION

                              //PROCESS_VM_OPERATIONPROCESS_VM_WRITEPROCESS_VM_READ

  __in   LPSECURITY_ATTRIBUTES lpThreadAttributes, //指向安全描述符的指针,NULL为默认

  __in   SIZE_T dwStackSize, //线程堆栈大小,0表示使用默认值

  __in   LPTHREAD_START_ROUTINE lpStartAddress, //函数指针,指向存在与目标进程中的线程函数

  __in   LPVOID lpParameter, //传给线程函数的参数

  __in   DWORD dwCreationFlags, //0---线程创建后立即运行;

//CREATE_SUSPENDED---线程创建后挂起,知道ResumeThread函数调用才开始运行;

//STACK_SIZE_PARAM_IS_A_RESERVATION---dwStackSize参数指定初始保留的堆栈大小

//不指定该标志时,dwStackSize表示提交的大小(commit size

  __out  LPDWORD lpThreadId //指向存放线程ID的缓冲区的指针,为NULL表示不保存线程ID

);

返回值:

成功时,返回新线程的句柄;

失败时,返回NULL

 

WriteProcessMemory函数用于将数据写入到目标进程的虚拟地址空间中:

BOOL WINAPI WriteProcessMemory(

  __in   HANDLE hProcess, //目标进程句柄,操作进程需要有目标进程的PROCESS_VM_WRITE

                            //PROCESS_VM_OPERATION权限

  __in   LPVOID lpBaseAddress, //写入数据的地址,目标进程虚拟地址空间中的地址

  __in   LPCVOID lpBuffer, //指向需要写入的数据

  __in   SIZE_T nSize, //写入数据的字节大小

  __out  SIZE_T *lpNumberOfBytesWritten //用于保存实际写入的数据的大小

);

返回值:

成功时,返回非零值;

失败时,返回零值。

 

实例代码:直接将远程进程地址空间中的API函数LoadLibraryW作为线程函数调用:

#include <windows.h>

 

/***********************************************************

* 功能:通过创建远程线程给其他进程加载DLL

* 参数:dwProcessId--目标进程PID

*       lpszLibName--DLL的路径

* 返回值:是否成功

***********************************************************/

BOOL LoadRemoteDll(DWORD dwProcessId, LPTSTR lpszLibName)

{

    BOOL bResult = FALSE;

    HANDLE hProcess = NULL;

    HANDLE hThread = NULL;

    PTSTR pszLibFileRemote = NULL;

    DWORD cch;

    PTHREAD_START_ROUTINE pfnThreadRtn;

   

    __try

    {

        //获得想要注入代码的进程的句柄

        hProcess = OpenProcess(PROCESS_ALL_ACCESS,

                              FALSE, dwProcessId);

        if(hProcess == NULL)

        {

            __leave;           

        }    

        //计算DLL路径名需要的字节数

        cch = lstrlen(lpszLibName) + 1;

        //在远程线程中为路径名分配空间

        pszLibFileRemote = (PTSTR)VirtualAllocEx(

                           hProcess, NULL, cch,

                           MEM_COMMIT, PAGE_READWRITE);

        if(pszLibFileRemote == NULL)

        {

            __leave;                   

        }

       

        //DLL的路径名复制到远程进程的内存空间

        if(!WriteProcessMemory(hProcess,

                  (PVOID)pszLibFileRemote,

                  (PVOID)lpszLibName,

                  cch,

                  NULL))

        {

            __leave;         

        }

       

        //获得LoadLibraryKernel32.dll中的真实地址

        pfnThreadRtn = (PTHREAD_START_ROUTINE)GetProcAddress(

                     GetModuleHandle(TEXT("Kernel32")), TEXT("LoadLibraryW"));

        if(pfnThreadRtn == NULL)

        {

            __leave;               

        }

       

        //创建远程线程,并通过远程线程调用用户的DLL文件

        hThread = CreateRemoteThread(hProcess, NULL,

                0, pfnThreadRtn, (PVOID)pszLibFileRemote,

                0, NULL);

        if(hThread == NULL)

        {

            __leave;           

        }

       

        //等待远程线程终止

        WaitForSingleObject(hThread, INFINITE);

        bResult = TRUE;

    }    

    __finally

    {

        //关闭句柄

        if(pszLibFileRemote != NULL)

        {

            VirtualFreeEx(hProcess, (PVOID)pszLibFileRemote, 0, MEM_RELEASE);

            pszLibFileRemote = NULL;                   

        }        

        if(hThread != NULL)

        {

            CloseHandle(hThread);

            hThread = NULL;

        }

        if(hProcess != NULL)

        {

            CloseHandle(hProcess);

            hProcess = NULL;           

        }

    }

    return bResult;

}

 

ACE1985
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WriteProcessMemory函数说明
weixin_30875157的博客
06-07 1501
WriteProcessMemory 目录 概览C++VB 编辑本段概览 WriteProcessMemory   此函数能写入某一进程的内存区域。入口区必须可以访问,否则操作将失败。 编辑本段C++   此函数能写入某一进程的内存区域(直接写入会出Access Violation错误,故需此函数)。   VC++声明   BOO...
Process相关函数
weixin_40332490的博客
04-09 1859
函数功能 用来创建一个新的进程和它的主线程,这个新进程运行指定的可执行文件。 基本原理 执行一个外部程序实质上可以认为就是创建一个进程 windows系统下创建一个进程意味着: ① 创建一个内核对象:内核对象是windows系统用于管理进程的一个工具,可以认为是一个数据结构。 ② 创建一个地址空间:用于存放可执行文件的代码和数据 当调用CreateProcess()时,windows会自动创建一个...
WriteProcessMemory
pjz969的专栏
08-08 3837
PROCESS_ALL_ACCESS权限打开进程以后既可以使用ReadProcessMemory读取程序内存,也可以使用WriteProcessMemory改写程序的内存,这也是一些内存补丁使用的招数,以下是程序的实现代码 #include  #include  BOOL CALLBACK EnumChildWindowProc(HWND hWnd,LPARAM lParam);/
WriteProcessMemory做进程注入
manbug的专栏
08-26 4806
WriteProcessMemory做进程注入 今天要完成一个项内容,运行另一个应用程序abc.exe,实现它的父进程是explorer.exe。最开始的思路是获得explorer.exe的句柄,用ShellExecute启动abc.exe。但是用explorer.exe的句柄创建的进程的父进程依然是调用和进程,而不是传入句柄的进程。看来直接的不行,只能用间接的了。把运行ab
cpp-全新的Windows代码注入
08-16
全新的Windows代码注入
Windows-DLL-Injector:为x86和x64 Windows OS进程实现的C ++中的某些DLL注入技术
05-27
在滥用情况下,它可以用于隐藏另一个进程中的恶意活动,并以某种方式绕过防病毒检测每个人都有其优点和缺点在这里,我们已经实现了5/7技术 CreateRemoteThread(通过windows.h通过Windows Win32 API) ...
Avanguard-master_library_Anti-Intrusion_win32_
10-04
Both x32 and x64 supports and includes:* Static code encryptor* Many anti-debugging techniques (WinAPI NativeAPI SEH assembler and memory tricks)* PE Analyzer* Memory analyzer* Call-stack analyzer* ...
CreateRemoteThread注入API函数代码
01-15
原理:1,查找目标进程号,打开远程空间 2,在目标进程申请代码控件、参数空间 3,CreateRemoteThread执行远端线程
易语言API定义
07-21
易语言API定义源码,API定义,DefWindowProc,CreateRemoteThread,MsgWaitForMultipleObjects,RectVisible,mciSendStringA,Sleep,SHFormatDrive,ChooseColorA,LocalSize_色盒,LocalSize_EXCEPTION_POINTERS,...
Hook WriteProcessMemory & ReadProcessMemory 源码
08-13
有人要源码,那就拿出来分享咯,凑字凑字凑字凑字凑字
ReadProcessMemoryWriteProcessMemory用例分析
wodamazi
09-09 959
首先介绍一个函数VirtualProtectEx,它用来改变一个进程的虚拟地址中特定页里的某一区域的保护属性,这句话有些咬嘴,直接从MSDN中翻译过来的,简单来说就是改变某一进程中虚拟地址的保护属性,如果以前是只读的,那改变属性为PAGE_EXECUTE_READWRITE后,就可以更改这部分内存了。 具体看它的实现 BOOL WINAPI VirtualProtectEx( __in H...
WriteProcessMemory函数注入进程的流程
a1234567mdy的专栏
02-28 1981
<br />CreateProcessA         创建挂起进程<br />GetThreadContext <br />ReadProcessMemory<br />VirtualAllocEx             分配空间  <br />WriteProcessMemory 写入PE头<br />WriteProcessMemory 循环写入各节表<br />WriteProcessMemory <br />SetThreadContex
CreateRemoteThreadWriteProcessMemory技术 简要的
天蓝的专栏
08-31 1907
CreateRemoteThreadWriteProcessMemory第三种方法的基本思想是拷贝一些代码到另一进程的地址空间中然后执行。这种方法代替了编写独立的DLL,而是直接将代码使用WriteProcessMemory API函数拷贝到远程进程中。然后通过CreateRemoteThread来执行它。本文前面已经介绍过CreateRemoteThread的函数原型,注意以下几点:
【干货】Windows进程注入之CreateRemoteThread
weixin_34109408的博客
11-12 709
函数介绍 百度百科 CreateRemoteThread是一个Windows API函数,它能够创建一个在其它进程地址空间中运行的线程(也称:创建远程线程) 这个函数很好理解,即控制其它进程来运行一个线程!由于是控制其它进程运行所以函数的参数以及需要的数据必须存在目标进程中,否则必须将数据写入到目标进程中,写入数据的过程如下: Cre...
创建远程线程注入Dll——CreateRemoteThread
拉塞尔的博客
04-12 969
CreateRemoteThread是创建一个在其他进程的地址空间中运行的线程(也称远程线程)。其函数原型为:HANDLE WINAPI CreateRemoteThread( __in HANDLE hProcess, __in LPSECURITY_ATTRIBUTES lpThreadAttributes, __in SIZE_T dwStackSize, __in LPTHREAD_STA...
[检测&过检测] 重写 ReadProcessMemoryWriteProcessMemory
LYSM
07-12 1922
一、本文大纲 系统调用的两种方式:中断门和快速调用 _KUSER_SHARED_DATA 结构 使用 cpuid 指令判断当前CPU是否支持快速调用 3环进0环需要更改的4个寄存器 以 ReadProcessMemory 为例说明系统调用全过程 重写 ReadProcessMemoryWriteProcessMemory int 0x2e 和 sysenter 都做了什么工作? 二、中断门和快速调用 以我的理解,系统调用,即从调用操作系统提供的3环API开始,到进0环,再到返回结果到3环的全过程
注入(3)--远程线程注入(CreateRemoteThread)
weixin_34121282的博客
09-28 229
远程线程注入的核心思想是利用windows提供的远程机制,在目标进程中开启一个加载模块的远程线程,使钩子被该远程线程加载到目标地址空间中。 远程线程使用的关键APIWriteProcessMemoryCreateRemoteThread、和LoadLibrary. 原型如下: BOOL WINAPI WriteProcessMemory( _In_ HANDLE hProc...
通过WriteProcessMemory改写进程的内存
weixin_34378922的博客
07-18 898
http://www.cnblogs.com/feiyucq/archive/2009/10/21/1587628.html 以PROCESS_ALL_ACCESS权限打开进程以后既能够使用ReadProcessMemory读取程序内存,也能够使用WriteProcessMemory改敲代码的内存,这也是一些内存补丁使用的招数,下面是程序的实现代码 #include &lt;windo...
createremotethread
最新发布
03-16
CreateRemoteThreadWindows 操作系统中的一个 API 函数,用于在远程进程中创建一个线程。它允许一个进程在另一个进程内部创建一个线程并执行任意代码。在正常情况下,一个进程只能在自己的内存空间内创建线程,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值