CreateRemoteThread RtlCreateUserThread NtCreateThreadEx

最新推荐文章于 2024-06-18 20:47:04 发布
最新推荐文章于 2024-06-18 20:47:04 发布
阅读量804 收藏 2
点赞数 1
分类专栏: 注入 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dreamer12138/article/details/106163593
版权

 

函数原型
HANDLE CreateRemoteThread(
  HANDLE hProcess,                          // handle to process
  LPSECURITY_ATTRIBUTES lpThreadAttributes, // SD
  SIZE_T dwStackSize,                       // initial stack size
  LPTHREAD_START_ROUTINE lpStartAddress,    // thread function
  LPVOID lpParameter,                       // thread argument
  DWORD dwCreationFlags,                    // creation option
  LPDWORD lpThreadId                        // thread identifier
);
参数说明:
hProcess 
[输入] 进程句柄
lpThreadAttributes 
[输入] 线程安全描述字,指向SECURITY_ATTRIBUTES结构的指针
dwStackSize 
[输入] 线程栈大小,以字节表示
lpStartAddress 
[输入] 一个LPTHREAD_START_ROUTINE类型的指针,指向在远程进程中执行的函数地址
lpParameter 
[输入] 传入参数
dwCreationFlags 
[输入] 创建线程的其它标志
lpThreadId 
[输出] 线程身份标志,如果为NULL,则不返回
返回值
成功返回新线程句柄,失败返回NULL,并且可调用GetLastError获得错误值。

CreateRemoteThread的注入步骤。

1.提权

2.根据进程ID打开对方进程OpenProcess,得到进程句柄

3.根据进程句柄在目标进程中申请内存VirtualAllocEx

4.在目标进程中刚刚申请的内存空间中写入所需参数(Dll的完整路径)WriteProcessMemory

5.用GetProcAddress得到LoadLibraryW的模块加载地址

6.启动远程线程CreateRemoteThread,并在第四参数传入该线程需要执行的函数名(即LoadLibrary)


DWORD EnablePrivilege(HANDLE ProcessHandle, BOOL IsEnable, LPCTSTR RequireLevel)
{

	DWORD LastError = 0;
	HANDLE TokenHandle = NULL;

	if (!OpenProcessToken(ProcessHandle, TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &TokenHandle))
	{
		LastError = GetLastError();
		if (TokenHandle)
		{
			CloseHandle(TokenHandle);
			TokenHandle = NULL;
			return LastError;
		}
	}
	TOKEN_PRIVILEGES TokenPrivileges = { 0 };

	LUID v1;
	if (!LookupPrivilegeValue(NULL, RequireLevel, &v1))
	{
		LastError = GetLastError();
		CloseHandle(TokenHandle);
		TokenHandle = NULL;
		return LastError;
	}
	TokenPrivileges.PrivilegeCount = 1;
	TokenPrivileges.Privileges[0].Luid = v1;
	if (IsEnable)
	{
		TokenPrivileges.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
	}
	else
	{
		TokenPrivileges.Privileges[0].Attributes = IsEnable = SE_PRIVILEGE_ENABLED;
	}

	AdjustTokenPrivileges(TokenHandle, FALSE, &TokenPrivileges,
		sizeof(TOKEN_PRIVILEGES), NULL, NULL);

	LastError = GetLastError();
	CloseHandle(TokenHandle);
	TokenHandle = NULL;
	return LastError;
}
#include "Inject.h"

void _tmain(int argc, TCHAR **argv, TCHAR **envp)
{
	_tsetlocale(LC_ALL, _T("chs"));
	DWORD ProcessId;
	HANDLE ProcessHandle;
	TCHAR DllFullPath[MAX_PATH] = _T("DllPath");
	SIZE_T DllFullPathLength;
	LPVOID VirtualAddress;
	BOOL IsOk = FALSE;
	_tscanf_s(_T("%d"), &ProcessId);
        EnablePrivilege(GetCurrentProcess(), TRUE, SE_DEBUG_NAME);
	ProcessHandle = OpenProcess(PROCESS_ALL_ACCESS, FALSE, ProcessId);
	DllFullPathLength = (_tcslen(DllFullPath) + 1) * sizeof(TCHAR);
	VirtualAddress = VirtualAllocEx(ProcessHandle, NULL, DllFullPathLength, MEM_COMMIT, PAGE_READWRITE);
	
	IsOk = WriteProcessMemory(ProcessHandle, VirtualAddress, DllFullPath, DllFullPathLength, NULL);
	
	HANDLE ThreadHandle = CreateRemoteThread(ProcessHandle,
		NULL, 0, (LPTHREAD_START_ROUTINE)LoadLibrary,     //当前模块中导入函数
		VirtualAddress, 0, NULL);

	if (ThreadHandle == NULL)
	{
		VirtualFreeEx(ProcessHandle, VirtualAddress, DllFullPathLength, MEM_RELEASE);
		goto Exit;
	}
	//等待远程线程结束
	WaitForSingleObject(ThreadHandle, INFINITE);

	if (VirtualAddress != NULL)
	{
		VirtualFreeEx(ProcessHandle, VirtualAddress, DllFullPathLength, MEM_RELEASE);
	}
Exit:
	if (ProcessHandle != NULL)
	{
		CloseHandle(ProcessHandle);
	}

	_tprintf_s(_T("Press Any Key To Continue.\r\n"));
	_gettchar();
}

5.18日更新

因为在整理注入,发现两种和CreateRemoteThread思想基本一致的方法,所以就不再开一篇博客,写在这里吧。

RtlCreateUserThread 这是一个ntdll导出的函数,但是没有公开,需要自己构建函数指针。

typedef DWORD(WINAPI * pRtlCreateUserThread)(
	IN HANDLE 					ProcessHandle,
	IN PSECURITY_DESCRIPTOR 	                SecurityDescriptor,
	IN BOOL 					CreateSuspended,
	IN ULONG					StackZeroBits,
	IN OUT PULONG				        StackReserved,
	IN OUT PULONG				        StackCommit,
	IN LPVOID					StartAddress,
	IN LPVOID					StartParameter,
	OUT HANDLE 					ThreadHandle,
	OUT LPVOID					ClientID
	);
	IsOk = __RtlCreateUserThread(
		ProcessHandle, 
		NULL, 
		0, 
		0, 
		0, 
		0,
		(PTHREAD_START_ROUTINE)LoadLibrary, 
		VirtualAddress, 
		&ThreadHandle, 
		NULL);

NtCreateThreadEx同样是ntdll导出的函数,未公开,自己构建函数指针。

typedef NTSTATUS(WINAPI *LPFUN_NtCreateThreadEx) (
	PHANDLE hThread,
	ACCESS_MASK DesiredAccess,
	LPVOID ObjectAttributes,
	HANDLE ProcessHandle,
	LPTHREAD_START_ROUTINE lpStartAddress,
	LPVOID lpParameter,
	BOOL CreateSuspended,
	ULONG StackZeroBits,
	ULONG SizeOfStackCommit,
	ULONG SizeOfStackReserve,
	LPVOID lpBytesBuffer
	);
	IsOk = __NtCreateThreadEx(
		&ThreadHandle,
		THREAD_ALL_ACCESS, 
		NULL, 
		ProcessHandle, 
		(LPTHREAD_START_ROUTINE)LoadLibrary, 
		VirtualAddress,
		FALSE, 
		NULL, 
		NULL, 
		NULL, 
		NULL);

注入过程和CreateRemoteThread基本类似,只不过这两个函数需要GetProcAddresss获得函数地址。

Dreamer12138
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CreateRemoteThread 使用,源代码例子,还有说明。
07-15
CreateRemoteThread 使用,源代码例子,还有说明。
DllInjection_CreateRemoteThread
04-30
DllInjection_CreateRemoteThread 参考ReverseCore 在Windows 7 32bit上成功运行 用法: injection.exe进程名称
CreateRemoteThread DLL源码
08-29
C++编写的DLL C#程序调用 远程线程执行DLL注入
CreateRemoteThread注入API函数代码
01-15
原理:1,查找目标进程号,打开远程空间 2,在目标进程申请代码控件、参数空间 3,CreateRemoteThread执行远端线程
NtCreateThreadEx在Win7 x64位调用失败解决办法
qq_34471028的博客
03-25 927
问题 在研究进程注入的时候,发现在Win10 64位上调用NtCreateThreadEx可以执行成功,但是换到Win7 64位上会失败,并且返回GetLastError = 8,程序是以管理员运行且内部已实现提升进程访问权限。 解决方案 函数NtCreateThreadEx在32位和64位的定义有所不同,区分不同的系统位数选择函数声明节课解决在Win7 64位上调用失败的问题。 64位N...
驱动开发:内核远程线程实现DLL注入
CSDN
06-22 6186
在笔者上一篇文章`《驱动开发:内核RIP劫持实现DLL注入》`介绍了通过劫持RIP指针控制程序执行流实现插入DLL的目的,本章将继续探索全新的注入方式,通过`NtCreateThreadEx`这个内核函数实现注入DLL的目的,需要注意的是该函数在微软系统中未被导出使用时需要首先得到该函数的入口地址,`NtCreateThreadEx`函数最终会调用`ZwCreateThread`,本章在寻找函数的方式上有所不同,前一章通过内存定位的方法得到所需地址,本章则是通过解析导出表实现。
Inject集合----远程线程注入(NtCreateThreadEx
qq_42021840的博客
05-15 2090
介绍: 前面写过一片远程线程注入的文章,用到的是CreateRemoteThread函数来远程注入线程的,这次我们用NtCreateThreadEx来创建远程线程,其实并没有技术的升级,而是进行了创建远程线程函数的升级,下面是CreateRemoteThread在Reactos中的源码 /* Create the Kernel Thread Object */ Status = NtCreateThread(&hThread, ...
使用NtCreateThreadEx将Dll注入目标进程
KOOKNUT的博客
05-12 2299
第一遍学习这个注入方法时候,只知道NtCreateThreadEx是未公开的nt函数,当时要定义一个函数指针出来,好像在看雪上找到的这个函数的声明,,太久远了,记不清了。 在Windows2000的源码和Reactos中都无法找到NtCreateThreadEx的函数声明和实现,所以试了下用IDA看看ntdll的导出表,哇,好开心找到了,但是,,好像什么都没有,只有一个系统调用号,没有任何参数的信息。 我最后在https://securityxploded.com/ntcreatethreadex.php
Inject集合----远程线程注入(RtlCreateUserThread
qq_42021840的博客
05-16 1919
之前我写过关于用CreateRemoteThreadNtCreateThreadEx 进行DLL注入,但是我想起之前还有一个函数可以实现远程线程注入,那就是今天的主角RtlCreateUserThread,它和NtCreateThreadEx 一样,也是一个未公开的函数,但是它和CreateRemoteThreadNtCreateThreadEx使用方法是一样的,并没有什么升级的操作。 我在网上看到说,RtlCreateUserThread其实是对NtCreateThreadEx的包装。 ...
[转载]关于NtCreateUserProcess和NtCreateThreadEx的参数
angbagangzhe065140的博客
02-10 760
转自: http://hi.baidu.com/zzzevazzz/item/b2a9c9a4ea6805f615329ba7 这两个Vista新增的系统服务函数原型未公开,目前网上搜索到的资料有些问题,特别是对于最后一个参数的描述不确切。 首先说NtCreateUserProcess。网上找到的函数原型如下: DWORD newNtCreateUserProcess(PVOID ...
hook_delphi_remote_createremotethread_hook_
10-03
create remote thread
CreateRemoteThread:从32位进程到64位进程
04-17
CreateRemoteThread 从32位进程到64位进程的CreateRemoteThread 借鉴: 更多细节:
Injecting Code Into Privileged Win32 Processes
whatwhyhow的专栏
12-22 1845
For a while now, Ive been searching for the optimal way to inject code into privileged Win32 processes like lsass.exe, csrss.exe, and winlogon.exe. There are many functions such as the LSA and SAM
驱动开发:内核ShellCode线程注入
CSDN
06-14 7712
还记得`《驱动开发:内核LoadLibrary实现DLL注入》`中所使用的注入技术吗,我们通过`RtlCreateUserThread`函数调用实现了注入DLL到应用层并执行,本章将继续探索一个简单的问题,如何注入`ShellCode`代码实现反弹Shell,这里需要注意一般情况下`RtlCreateUserThread`需要传入两个最重要的参数,一个是`StartAddress`开始执行的内存块,另一个是`StartParameter`传入内存块的变量列表,而如果将`StartParameter`地址填充
网络靶场实战-安全开发之直接系统调用
蛇矛实验室
12-13 525
熟悉 Windows 编程的人应该知道,Native API 一般是不直接对外公开的,它通常作为操作系统内部的一个组件,并且只能由操作系统内部的组件或应用程序调用,所以在使用一些未文档的化的 Native API 时,需要通过网上公开的资料或者通过逆向取获取其函数原型和相关参数。在安全研发的过程中,难免会遇到在用户模式对抗 AV/EDR 的挂钩,应对的方法有很多,比如可以使用直接系统调用,还可以将杀软的所挂的钩子解除,还有一种就是寻找具有相同功能未被挂钩的 API。
多种DLL注入技术原理介绍
热门推荐
顺其自然~专栏
11-06 3万+
本文中我将介绍DLL注入的相关知识。不算太糟的是,DLL注入技术可以被正常软件用来添加/扩展其他程序,调试或逆向工程的功能性;该技术也常被恶意软件以多种方式利用。这意味着从安全角度来说,了解DLL注入的工作原理是十分必要的。 不久前在为攻击方测试(目的是为了模拟不同类型的攻击行为)开发定制工具的时候,我编写了这个名为“injectAllTheThings”的小工程的大...
LdrLoadDll+NtCreateThreadEx结合实现DLL的注入
技术引领巅峰=〉牛人无所不在
11-30 2881
项目要求实现对文件操作的监控,首先想到的就是通过HOOK的方式,先是通过setWindowsHookEx采用全局注入方式注入文件操作DLL,这种方式在WIN10操作系统有效,但是在WIN7上无效,后来又使用了CreateRemoteThread采用远程注入方式,结果还是只在WIN10上有限,又查了很多资料,最后看到网上又说可以使用LdrLoadDll+NtCreateThreadEx于是又采用这种...
(开源) Ring3下的DLL注入工具 x86&x64(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)
sunflover454的专栏
12-31 2万+
工具介绍及使用请移步:http://blog.csdn.net/sunflover454/article/details/50441014 本文首发在零日安全论坛:http://www.jmpoep.com/thread-833-1-1.html 使用NtCreateThreadEx + LdrLoadDll方式实现远程线程注入的特色在于比一般的远程线程注入稳定,可以注入系统进程,服务
数据结构习题
最新发布
李青水的博客
06-18 818
只有一个叶子结点。
createremotethread
03-16
CreateRemoteThread 是 Windows 操作系统中的一个 API 函数,用于在远程进程中创建一个线程。它允许一个进程在另一个进程内部创建一个线程并执行任意代码。在正常情况下,一个进程只能在自己的内存空间内创建线程,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值