CreateProcess注入方法

最新推荐文章于 2021-02-19 21:21:01 发布
最新推荐文章于 2021-02-19 21:21:01 发布
阅读量4.9k 收藏
点赞数 1
分类专栏: 【注入】
采用 CreateProcess 的方法,实现起来比较复杂,但没有上面几种方法的局限性。且可以用其他工 具( VC 等)调试注入的 DLL 。下面进行介绍. 原理如下:

1    CreateProcess CREATE_SUSPENDED )启动目标进程。
2    找到目标进程的入口,用 ImageHlp 中的函数可以实现。
3    将目标进程入口的代码保存起来。
4    在目标进程的入口写入 LoadLibrary MyDll )实现 Dll 的注入。
5    ResumeThread 运行目标进程。
6    目标进程就运行了 LoadLibrary MyDll ),实现 DLL 的注入。
7    目标进程运行完 LoadLibrary(MyDll) 后,将原来的代码写回目标进程的入口。
8    目标进程 Jmp 至原来的入口,继续运行程序。

从原理上可以看出, DLL 的注入在目标进程的开始就运行了,而且不是用 Debug 的方案,这样,就 没有上面方案的局限性了。该方案的关键在 6 7 8 三步,实现方法需要监视进程和 DLL 合作。下 面,结合代码进行分析。

在监视进程中,创建 FileMapping ,用来保存目标进程的入口代码,同时保证 DLL 中可以访问。在 7 步实现将原目标代码写回目标进程的入口。

[c-sharp]  view plain copy
  1. // 监视程序和DLL共用的结构体  
  2. #pragma pack (push ,1) // 保证下面的结构体采用BYTE对齐(必须)  
  3. typedef struct   
  4. {  
  5.        BYTE      int_PUSHAD;         // pushad        0x60         
  6.        BYTE      int_PUSH;             // push &szDLL     0x68  
  7.        DWORD push_Value;           //            &szDLL = "ApiSpy.dll"的path  
  8.        BYTE      int_MOVEAX;              //  move eax &LoadLibrary  0xB8  
  9.        DWORD eax_Value;             //     &LoadLibrary  
  10.        WORD    call_eax;         //     call eax    0xD0FF(FF D0) (LoadLibrary  
  11. ("ApiSpy.dll");  
  12.        BYTE      jmp_MOVEAX;             //     move eax &ReplaceOldCode  0xB8         
  13.        DWORD jmp_Value;             //     JMP的参数  
  14.        WORD    jmp_eax;        //     jmp eax   0xE0FF(FF E0) jmp ReplaceOldCode;  
  15.        char szDLL[MAX_PATH]; //  "ApiSpy.dll"的FullPath  
  16. }INJECT_LOADLIBRARY_CODE, *LPINJECT_CODE;  
  17. #pragma pack (pop , 1)  


上面结构体的代码为汇编代码,对应的汇编为:
[cpp]  view plain copy
  1. pushad  
  2. push szDll  
  3. mov eax, &LoadLibraryA  
  4. call eax  // 实现调用LoadLibrary(szDll)的代码  
  5. mov eax, oldentry  
  6. jmp eax // 实现在LoadLibrary运行完后, 跳至目标进程的入口继续运行  
  7. // FileMaping的结构体  
  8. typedef struct   
  9. {  
  10.        LPBYTE  lpEntryPoint;   // 目标进程的入口地址  
  11.        BYTE      oldcode[sizeof(INJECT_CODE)];        // 目标进程的代码保存  
  12. }SPY_MEM_SHARE, * LPSPY_MEM_SHARE;  


 准备工作:

第一步:用 CreateProcess CREATE_SUSPENDED )启动目标进程。


[cpp]  view plain copy
  1. // 用CreateProcess启动一个暂停的目标进程  
  2. CreateProcessA(0, szRunFile, 0, 0, FALSE, CREATE_SUSPENDED  
  3.                             0, NULL, &stInfo,  
  4.                             &m_proInfo) ;  




//  找到目标进程的入口点,函数如下

第二步:找到目标进程的入口,用 ImageHlp 中的函数可以实现。

[cpp]  view plain copy
  1. pEntryPoint = GetExeEntryPoint(szRunFile);  
  2. LPBYTE  GetExeEntryPoint(char *filename)  
  3. {  
  4.        PIMAGE_NT_HEADERS      pNTHeader;  
  5.        DWORD pEntryPoint;  
  6.        PLOADED_IMAGE       pImage;  
  7.        pImage = ImageLoad(filename, NULL);  
  8.        if(pImage == NULL)  
  9.               return NULL;  
  10.        pNTHeader = pImage->FileHeader;  
  11.        pEntryPoint = pNTHeader->OptionalHeader.AddressOfEntryPoint + pNTHeader-  
  12. >OptionalHeader.ImageBase;  
  13.        ImageUnload(pImage);  
  14.        return (LPBYTE)pEntryPoint;  
  15. }  
  16. // 创建FileMapping  
  17. hMap = CreateFileMapping((HANDLE)0xFFFFFFFF, NULL,  
  18.        PAGE_READWRITE,    0, sizeof(SPY_MEM_SHARE), “MyDllMapView”);  




//  保存目标进程的代码

第三步:将目标进程入口的代码保存起来。
[cpp]  view plain copy
  1. LPSPY_MEM_SHARE   lpMap = pMapViewOfFile(hMap, FILE_MAP_ALL_ACCESS, 0, 0, 0);  
  2. ReadProcessMemory(m_proInfo.hProcess, pEntryPoint,  
  3.                     &lpMap->oldcode, sizeof(INJECT_CODE),  
  4.                      &cBytesMoved);  
  5.        lpMap->lpEntryPoint = pEntryPoint;  


//  第四步:在目标进程的入口写入 LoadLibrary MyDll )实现 Dll 的注入。


[c-sharp]  view plain copy
  1. // 准备注入DLL的代码  
  2.        INJECT_CODE     newCode;  
  3. // 写入MyDll―――用全路径  
  4.        lstrcpy(newCode.szDLL, szMyDll);  
  5. // 准备硬代码(汇编代码)  
  6.        newCode.int_PUSHAD = 0x60;      
  7.        newCode.int_PUSH = 0x68;  
  8.        newCode.int_MOVEAX = 0xB8;  
  9.        newCode.call_eax = 0xD0FF;  
  10.        newCode.jmp_MOVEAX = 0xB8;  
  11.        newCode.jmp_eax = 0xE0FF;  
  12.        newCode.eax_Value = (DWORD)&LoadLibrary;  
  13.        newCode.push_Value=(pEntryPoint + offsetof(INJECT_CODE,szDLL));  
  14. // 将硬代码写入目标进程的入口  
  15. // 修改内存属性  
  16. DWORD dwNewFlg, dwOldFlg;  
  17. dwNewFlg = PAGE_READWRITE;  
  18. VirtualProtectEx(m_proInfo.hProcess, (LPVOID)pEntryPoint, sizeof(DWORD), dwNewFlg, &dwOldFlg);  
  19. WriteProcessMemory(m_proInfo.hProcess, pEntryPoint, &newCode, sizeof(newCode), NULL);//&dwWrited);  
  20. VirtualProtectEx(proInfo.hProcess, (LPVOID)pEntryPoint, sizeof(DWORD), dwOldFlg, &dwNewFlg);  
  21. // 释放FileMaping  注意,不是Closehandle(hMap)  
  22. UnmapViewOfFile(lpMap);  


//  继续目标进程的运行

第五步:用 ResumeThread 运行目标进程。

[cpp]  view plain copy
  1. ResumeThread(m_proInfo.hThread);  




在监视进程中就结束了自己的任务,剩下的第 6 7 8 步就需要在 Dll DllMain 中进行配合。

DLL 中用来保存数据的结构体

[cpp]  view plain copy
  1. typedef struct  
  2. {  
  3.          DWORD    lpEntryPoint;  
  4.          DWORD    OldAddr;  
  5.          DWORD    OldCode[4];  
  6. }JMP_CODE,* LPJMP_CODE;  
  7. static JMP_CODE  _lpCode;  



//  DllMain DLL_PROCESS_ATTACH 中调用 InitApiSpy 函数

//  在该函数中实现第 6 7 8



第六步:目标进程就运行了 LoadLibrary MyDll ),实现 DLL 的注入。

[c-sharp]  view plain copy
  1. int    WINAPI DllMain(HINSTANCE hInst, DWORD dwReason, LPVOID lpReserved)  
  2. {  
  3.        switch(dwReason)  
  4.        {  
  5.        case DLL_PROCESS_ATTACH:  
  6.               return InitApiSpy();  
  7. ……  
  8. // InitApiSpy函数的实现  
  9. BOOL WINAPI InitApiSpy()  
  10. {  
  11.        HANDLE hMap;  
  12.        LPSPY_MEM_SHARE   lpMem;  
  13.        DWORD dwSize;  
  14.        BOOL     rc;  
  15.        BYTE*    lpByte;  
  16.        // 取得FileMapping的句柄  
  17.        hMap = OpenFileMapping(FILE_MAP_ALL_ACCESS, 0, “MyDllMapView”);  
  18.        if(hMap)  
  19.        {  
  20.               lpMem = (LPSPY_MEM_SHARE)MapViewOfFile(hMap,  
  21.                                                                         
  22. FILE_MAP_ALL_ACCESS,  
  23.                                                                       0, 0, 0);  
  24.               if(lpMem)  
  25.               {  

第七步:目标进程运行完 LoadLibrary(MyDll) 后,将原来的代码写回目标进程的入口。
[cpp]  view plain copy
  1.                      // 恢复目标进程的入口代码  
  2. // 得到mov eax, value代码的地址  
  3.                      _lpCode.OldAddr = (DWORD)((BYTE*)lpMem->lpEntryPoint + offsetof(INJECT_CODE, jmp_MOVEAX));  
  4.                      _lpCode.lpEntryPoint = (DWORD)lpMem->lpEntryPoint;  
  5.                      // 保存LoadLibrary()后面的代码  
  6.                      memcpy(&_lpCode.OldCode, (BYTE*)lpMem->oldcode + offsetof(INJECT_CODE, jmp_MOVEAX), 2*sizeof(DWORD));  
  7.                      // 恢复目标进程的入口代码  
  8.                      rc = WriteProcessMemory(GetCurrentProcess(), lpMem->lpEntryPoint, lpMem->oldcode, sizeof(INJECT_CODE), &dwSize);  
  9.                      lpByte = (BYTE*)lpMem->lpEntryPoint + offsetof(INJECT_CODE, jmp_MOVEAX);  
  10.                      UnmapViewOfFile(lpMem);  
  11.               }  
  12.               CloseHandle(hMap);  
  13.        }  
  14. // 实现自己Dll的其他功能,如导入表的替换  
  15. //     ……  
  16. // 将LoadLibrary后面的代码写为转入处理程序中  
  17. // 指令为:mov eax, objAddress  
  18. //         jmp eax  
  19.        {  
  20.               BYTE*    lpMovEax;  
  21.               DWORD*      lpMovEaxValu;  
  22.               WORD*  lpJmp;  
  23.               DWORD fNew, fOld;  
  24.               fNew = PAGE_READWRITE;  
  25.               lpMovEax = lpByte;  
  26.               VirtualProtect(lpMovEax, 2*sizeof(DWORD), fNew, &fOld);  
  27.               *lpMovEax = 0xB8;  
  28.               lpMovEaxValu = (DWORD*)(lpMovEax + 1);  
  29.               *lpMovEaxValu = (DWORD)&DoJmpEntryPoint;  
  30.               lpJmp = (WORD*)(lpMovEax + 5);  
  31.               *lpJmp = 0xE0FF;  // (FF E0)  
  32.               VirtualProtect(lpMovEax, 2*sizeof(DWORD), fOld, &fNew);  
  33.        }  
  34.        return TRUE;  
  35. }  
  36. // 转入处理程序  
  37. DWORD*      lpMovEax;  
  38. DWORD fNew, fOld;  
  39. void __declspec(naked) DoJmpEntryPoint ()  
  40. {  
  41.   // 恢复LoadLibrary后面的代码  
  42.        _gfNew = PAGE_READWRITE;  
  43.        _glpMovEax = (DWORD*)_lpCode.OldAddr;  
  44.        VirtualProtect(_glpMovEax, 2*sizeof(DWORD), _gfNew, &_gfOld);  
  45.        *_glpMovEax = _lpCode.OldCode[0];  
  46.        *(_glpMovEax + 1) = _lpCode.OldCode[1];  
  47.        VirtualProtect(_glpMovEax, 2*sizeof(DWORD), _gfOld, &_gfNew);  


 第八步:目标进程 Jmp 至原来的入口,继续运行程序。
[cpp]  view plain copy
  1. // 跳至目标代码的入口  
  2.        _asm       popad  
  3.        _asm       jmp _lpCode.lpEntryPoint  
  4. }  

这样就实现了原来的目标,将 DLL 的注入放在目标进程的入口运行,实现了目标进程运行之前运行 我们的注入 Dll 的功能。
眉头一皱计上心来
关注
专栏目录
Windows Ring3层注入——CreateProcess劫持进程创建注入(三)
qq_38493448的博客
01-16 1512
Windows Ring3层注入——CreateProcess劫持进程创建注入(三)CreateProcess劫持进程创建注入原理劫持进程创建注入好处CreateProcess劫持进程创建注入函数原型**CreateProcess**函数原型CreateProcess劫持进程创建注入步骤CreateProcess劫持进程代码示例 CreateProcess劫持进程创建注入原理 劫持进程创建注入:利...
创建进程挂起进程注入
02-08
下载请管理员帮忙修改下5分太多了。不会修改这个。 创建进程。挂起进程。注入。然后可以做你想做的事情,比如修改不了PE头和各种恶心自检的文件。源码纯API,函数命令不提供了。想使用的自己添加一下,保证可以使用,希望大家自己动手添加函数命令这样记的更深刻。
DLL注入技术
chenyujing1234的专栏
08-13 1万+
转载自: http://hi.baidu.com/xwind85/blog/item/ae5332ad04bb7f034a36d662.html 一、DLL注入技术的用途 DLL注入技术的用途是很广泛的,这主要体现在: 1、假如你要操纵的对象涉及的数据不在进程内; 2、你想对目标进程中的函数进行拦截(甚至API函数,嘿嘿,由此编写个拦截timeGettime的过程,变速齿轮不就出来了么
CreateProcess创建暂停进程进行DLL注入-[VC.Dll+VB.Code]
05-12
CreateProcess创建暂停进程进行DLL注入-[VC.Dll+VB.Code]
C++进程注入
热门推荐
神棍之路
08-25 7万+
// C++Injector.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include char shellcode[] = "\x31\xd2\xb2\x30\x64\x8b\x12\x8b\x52\x0c\x8b\x52\x1c\x8b\x42" "\x08\x8b\x72\x20\x8b\x12\x80\x7e\x0c
驱动注入DLL指定进程.rar_dll注入_驱动 dll注入_驱动注入_驱动级注入dll_驱动进程
07-15
驱动注入是计算机编程中一种高级技术,主要用于在目标进程中加载动态链接库(DLL),从而实现对目标进程的扩展或控制。这里的"驱动注入DLL到进程"是指通过驱动程序来完成DLL的注入操作,这种方式通常涉及到操作系统...
HookAPI并且在Windows程序启动前注入dll (C++)
05-08
这是本人用C++ 在VS2019IDE 用控制台写的一个可以在程序启动前注入dll 和Hook系统api的函数。Hook的是knernelbase的CreateProcessInternalW函数,希望对大家有帮助
驱动注入dll createprocess
最新发布
12-17
驱动注入DLL createprocess是一种技术,它可以实现将动态链接库(DLL)注入到另一个进程中,并在该进程中创建新的进程。这种技术通常被用于实现对目标进程进行功能增强、监控或者控制。 驱动注入DLL createprocess...
VB用CreateProcess创建进程注入DLL开源,不用第三方VC写的库
追逐光芒,追随内心
02-19 2816
Public Enum DebugEventTypes EXCEPTION_DEBUG_EVENT = 1& CREATE_THREAD_DEBUG_EVENT = 2& CREATE_PROCESS_DEBUG_EVENT = 3& EXIT_THREAD_DEBUG_EVENT = 4& EXIT_PROCESS_DEBUG_EVENT = 5& LOAD_DLL_DEBUG_EVENT = 6& UNLOAD_DLL_DEBUG_EVENT = 7&am
非常简单的利用CreateProcess注入DLL的方法
zwfgdlc的专栏
04-20 5073
TCHAR szDll[] = TEXT("d:\\test.dll"); STARTUPINFO si = {0}; PROCESS_INFORMATION pi = {0}; si.cb = sizeof(si); si.dwFlags = STARTF_USESHOWWINDOW; si.wShowWindow = SW_SHOW; TCHAR szCommandLine[MAX_PATH]
创建远程线程注入指定进程
bizhu的专栏
09-24 3939
创建远程线程使用CreateRemoteThread函数,在创建线程前还需要使用WriteProcessMemory等函数将线程 函数代码和参数写到目标进程空间中去. 关键API CreateRemoteThread 为指定进程创建线程,线程将会在其他进程的进程空间中执行
易语言创建进程CreateProcessA暂停注入DLL到游戏进程
511遇见
05-29 5748
通过API(CreateProcessA)创建进程后,先暂停这个进程,然后申请内存空间,把我们注入DLL路径写入内存,再通过CreateRemoteThread创建远程线程调用LoadLibraryA函数,获取远程句柄,然后ResumeThread唤醒主线程,实现注入,本课视频演示了注入的主体部分 CreateProcessA暂停注入 .版本 2 .支持库 spec .局部变量 文件路径, 文本型 .局部变量 运行目录, 文本型 .局部变量 si, STARTUPINFO .局部变量 pi, 进程.
代码注入(提升当前进程权限,创建远程线程)
MessCodes
12-23 1618
代码注入源码分析: [cpp] view plaincopy #include    #pragma comment(lib, "Advapi32.lib")   #pragma comment(lib, "User32.lib")      #define PATHNAME_LENGTH 256      void EnableDebu
以挂起的方式创建进程
Ghjhfssfgk的博客
01-24 542
CreateProcess函数可以创建一个进程; 正常情况下CreateProcess做以下事情:创建一个进程的内核对象、给进程分配一个4GB的空间、加载pe:包括exe、dll、修复dll、创建主线程,把程序入口地址交给EIP 如果参数dwCreationFlags传入CREATE_SUSPENDED将以挂起的方式创建进程; 以这种方式创建的进程只有一个壳;也就是进程的主线程没有开始运行; 需...
Createprocess 函数运行出错的原因和解决办法
狮子Blog
01-30 7460
CreateProcess函数用来创建一个进程,在参数中有一个就是执行的命令。这个值在createprocess函数内部是会被改变的,所以在传递参数的时候不允许传const类型常量。 如以下方法不允许 1:CreateProcess(NULL,_T("calc.exe'),NULL,NULL,TRUE,0,NULL,NULL,&si,&pi); 2: const TCHAR sCmd[
挂起方式创建进程
hambaga的博客
07-02 4003
创建进程除了用 CREATE_NEW_CONSOLE,还可以用挂起的方式创建,CREATE_SUSPENDED // TestCreateSuspended.cpp : Defines the entry point for the console application. // 挂起方式创建进程 #include "stdafx.h" #include <WINDOWS.H> int main(int argc, char* argv[]) { // 挂起方式创建进程 STARTUPI
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值