通过远程线程向其他进程注入代码

最新推荐文章于 2021-05-21 03:20:59 发布
最新推荐文章于 2021-05-21 03:20:59 发布
阅读量1.4k 收藏
点赞数
文章标签: null dll shell thread basic byte
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SworderAndy/article/details/2595247
版权

虽然不是什么高深的技术,但最近在搞屏蔽格式化,所以就写出来吧。虽然还有一点没有解决。屏蔽系统的格式化说白的就是钩掉Explorer.exe进程的导入库shell32.dll中的SHFormatDrive函数,但是在winxp sp2中默认对explorer.exe加入了数据执行保护,无奈现在还是没有找到办法。

我的这个向目标进程注入代码的思想就是用了在目标进程启动一个线程,导入自己的DLL执行。但是跟其他的方法还有点不一样的是,在DLL的加载的时候有一个通知事件吧,就在这里执行代码,当然代码在同一个DLL中,也用导出到目标进程了,特点是:小巧,方便,隐蔽。但是有个致命的弱点就是不能跳过winxp的数据执行保护。高手若有什么高招敬请指点。

下面列出主要代码:

主程序

    // 枚举进程

    hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);

    if(hProcessSnap == INVALID_HANDLE_VALUE){

     ::MessageBox(NULL,"Found processes failed","notice",MB_OK);

     return 0;

    }

    bRet = Process32First(hProcessSnap,&pe32);

    while(bRet){//szProcessName是目标进程的可执行文件名,不加路径

     if(strncmp(szProcessName,pe32.szExeFile,(sizeof(szProcessName) >= sizeof(pe32.szExeFile))? sizeof(pe32.szExeFile):sizeof(szProcessName) ) ==0 ){

      pid = pe32.th32ProcessID;

      hTargetProcess = OpenProcess( PROCESS_CREATE_THREAD | PROCESS_VM_OPERATION | PROCESS_VM_WRITE, FALSE,pid);// 取得指定目标进程句柄

      break;

     }

     bRet = Process32Next(hProcessSnap,&pe32);

    }

    CloseHandle(hProcessSnap);

    if(hTargetProcess !=NULL){

     //从本进程的导入表中找LoadLibraryA的地址,目标进程若没有什么特别应该也会在同样的位置

     pfnLoadLibraryAddr = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle("Kernel32"),"LoadLibraryA");

     // 在目标进程中申请一个空间保存注入DLL名称,btDllName就是要加载的自定义dll名称,加路径

     btPtr = (char *)VirtualAllocEx(hTargetProcess, NULL, (1 + lstrlenA(btDLLName)) * sizeof(char), MEM_COMMIT, PAGE_EXECUTE_READWRITE);

     bRet = WriteProcessMemory(hTargetProcess, btPtr, btDLLName, (1 + lstrlenA(btDLLName)) * sizeof(char), NULL);

     hRemoteThread = CreateRemoteThread(hTargetProcess, NULL, 0, pfnLoadLibraryAddr,(PVOID)btPtr, 0, NULL);

     if(hRemoteThread != NULL){

      MessageBox(NULL,"Inject Dll success","notice",MB_OK);

      hRemoteThread = NULL;

     }

    }




// Inject.cpp : 定义 DLL 应用程序的入口点。 //



#include "stdafx.h"

 typedef DWORD (__stdcall *LPFUN)(HWND hwnd, UINT drive, UINT fmtID, UINT option);

 //typedef DWORD (*LPFUNINJECT)(VOID);



// mov eax,400000h

 // jmp eax

 // btNewBytes数组的第1-4位d的双字为400000h

 // 用于写入目标函数的内容,后面将会修改跳转地址,指向目标函数的地址

 BYTE btNewBytes[8] = {0xB8,0x00,0x00,0x40,0x00,0xFF,0xE0,0x00};

 BYTE btOldBytes[8];    // 保存注入前目标函数的开头内容

 HMODULE hTargetModule = NULL; // 目标模块句柄

 LPFUN lpFun = NULL;    // 指向目标函数地址



DWORD __stdcall lpfnHook(HWND hwnd, UINT drive, UINT fmtID, UINT option) {

  ::MessageBox(NULL,"Format Forbidden!","notice",MB_OK);



 // 取消修改

   DWORD dwOldProtect;

  MEMORY_BASIC_INFORMATION mbi;

  ::VirtualQuery(lpFun, &mbi, sizeof(mbi));

  ::VirtualProtect(lpFun, 8, PAGE_READWRITE, &dwOldProtect);

  ::WriteProcessMemory(GetCurrentProcess(), (void*)lpFun, btOldBytes, sizeof(DWORD)*2, NULL);

  ::VirtualProtect(lpFun, 8, mbi.Protect, 0);



 return lpFun(hwnd, drive, fmtID, option);

 }



BOOL APIENTRY DllMain( HANDLE hModule,                        DWORD  ul_reason_for_call,                        LPVOID lpReserved       ) {

  DWORD dwOldProtect;  MEMORY_BASIC_INFORMATION mbi;



    switch (ul_reason_for_call)  {

   case DLL_PROCESS_ATTACH:

    *(DWORD*)(btNewBytes + 1) = (DWORD)lpfnHook;//将btNewBytes数组的第1-4位转化为双字,存储lpfnHook函数地址

    hTargetModule = GetModuleHandle("SHELL32");

    while(hTargetModule == NULL){

     // 等着模块有效

     hTargetModule = GetModuleHandle("SHELL32");

     // 还是自己加载

     //hTargetModule = ::LoadLibrary("SHELL32.DLL");

    }

    //if(hTargetModule == NULL){

    // lpFun = NULL;

    // //::MessageBox(NULL, "Cannot find Shell32.dll", "notice", MB_OK);

    // return FALSE;

    //}

    lpFun = (LPFUN)::GetProcAddress(hTargetModule, "SHFormatDrive");

    if(lpFun == NULL){

     ::FreeLibrary(hTargetModule);

     hTargetModule = NULL;

     //::MessageBox(NULL, "Cannot find function SHFormatDrive", "notice", MB_OK);     // 找不到函数不能加载本模块

     return FALSE;

    }

    ::VirtualQuery(lpFun, &mbi, sizeof(mbi));

    ::VirtualProtect(lpFun, 8, PAGE_EXECUTE_READWRITE, &dwOldProtect);

    memcpy(btOldBytes, lpFun, 8);

    ::WriteProcessMemory(GetCurrentProcess(), (void*)lpFun, btNewBytes, sizeof(DWORD)*2, NULL);

    ::VirtualProtect(lpFun, 8, mbi.Protect, 0);



   //将钩子函数区域改成可以执行可读写

    ::VirtualQuery((LPVOID)lpfnHook, &mbi, sizeof(mbi));

    ::VirtualProtect((LPVOID)lpfnHook,(int)((int)DllMain - (int)lpfnHook + 1024), PAGE_EXECUTE_READWRITE, &dwOldProtect);



   break;

   case DLL_THREAD_ATTACH:

    break;

   case DLL_THREAD_DETACH:

    break;

   case DLL_PROCESS_DETACH:

    break;

     }

     return TRUE;

 }

 lpfnHook函数就是我的新的执行函数,只要执行格式化就会跳转到这里,我在SHFormatDrive函数的开头用新的命令覆盖,这个命令是跳转到我的lpfnHook函数,在lpfnHook中显示一个对话框,告诉不能格式化,我在下面有将SHFormatDrive的开头改回去,也可以就此退出,但注意要继续执行SHFormatDrive操作,必须将SHFormatDrive函数改回去,不然有会跳到lpfnHook中死循环.

在目标进程中若执行格式化函数SHFormatDrive,就会在跳转到我的函数lpfnHook中执行,这里要跟lpfnHook函数的声明要跟SHFormatDrive函数一模一样,就是调用格式也要一样,当初这里费了好大的劲才调试出调用格式不对,引起堆栈不平衡,好在我还学过汇编,不然,估计这篇文章就要夭折了.这里我也没有将lpfnHook函数从DLL中导出,所以检查导入表也看不到有什么新的函数导入.

当然,目标进程还是要导入这个DLL的.我怀疑就是没有将lpfnHook函数导出到目标进程中,所以才会被数据执行保护给闭掉.只是调试动态导入DLL的程序还是不太好调试,反正在VS2003中没有断到lpfnHook函数的入口.不清楚是不是因为不能执行lpfnHook的原因.

关了数据执行保护就可以向explorer.exe中注入代码来屏蔽掉格式化操作对没有被保护的进程可以直接使用.

SworderAndy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
向其他进程注入代码的三种方法
小发猫
06-03 1894
向其他进程注入代码的三种方法Three Ways to Inject Your Code into Another Process作者:袁晓辉 译    文章来源:本站原创    点击数:35    更新时间:2005-5-23向其他进程注入代码的三种方法    本文章翻译自Robet Kuster的Three Ways to Inject Your Code into Another Proce
向日葵远程协助无法开启黑屏
最新发布
Friest_的博客
04-10 2144
拦截补充描述:程序正在进行远程线程注入,将代码藏匿到其他进程运行,木马通常以此来隐藏自己的恶意行为。解决方法:已信任区中加入风险文件C:\Windows\TEMP\Oray\SunloginClient\privacy.dll即可。风险文件:C:\Windows\TEMP\Oray\SunloginClient\privacy.dll进程:C:\Windows\System32\rundll32.exe。路径:C:\Windows\System32\dwm.exe。所以还是想调试一下看看哪里出了问题。
新型木马使用的“远程线程注入”技术
碧海晴天
04-23 1934
  木马隐藏自身的技术走过了隐藏文件、隐藏窗口、隐藏进程,到现而今“远程注入”技术的发展过程。 隐藏文件,就是简单的将文件属性设置为“隐藏”而已,除此之外,再无别的保护手段了,在大部分用户对电脑操作不熟悉,安全软件厂商则刚开始探索市场的时代,这种简单自我保护的木马得以大行其道,利用这种手段制作的木马被统称为“第一代木马”。 隐藏窗口,我们都知道,在Windows下运行程序界面
代码注入远程线程
weixin_33717298的博客
08-11 256
引子           前些日子由于项目要求,在网上到处找资料,于无意中发现了 CodeProject 上的一篇很老的文章,文章标题为: Three Ways to Inject Your Code into Another Process 这篇文章呢,出来很久咯,还是 03 年的文章了,可惜我弄底层弄得时间不久哦,不然应该早就看过这篇大作了, 由于是大作,而且出来的又久了,自然在网...
c语言进行远程注入进程,远程线程注入详解
weixin_34036423的博客
05-21 996
作者:黎伟鑫一、 前言:远程线程技术指的是通过在其他进程中创建新线程的方法进入该进程的内存地址空间,从而获得对该进程的控制权的方法。在进程中可以通过CreateThread函数创建线程,被创建的新线程与主线程共享地址空间以及其他的资源。同样,通过CreateRemoteThread函数可以在其他进程内创建新线程,新创建的的远程线程可以共享远程进程的地址空间。所以通过在远程进程中创建新的方法,就可以...
InjectDLL代码 实现远程注入线程.zip
03-28
在IT领域,远程线程注入是一种高级的编程技术,常用于系统监控、调试以及恶意软件中。...通过深入研究提供的代码和文档,你可以更好地掌握如何在不同进程注入代码,同时也要注意在合法和安全的范围内使用这项技术。
远程线程注入_远程_远程线程_dll注入_注入_
10-01
远程线程注入是通过在目标进程中创建一个新的线程,并在该线程上下文中执行指定的代码。这允许一个进程注入者)在另一个进程(被注入者)中运行代码,而无需修改被注入进程的可执行文件。这一过程通常涉及以下...
远程线程注入工具,可生成代码 可自定义shellcode注入进程-易语言
06-14
双击第三个输入框即可生成shellcode,这里默认的shellcode是远程线程注入 注入的是当前程序选择注入进程 这里选择最左下角的选项,然后再双击输入框 即可生成在自身程序执行的shellcode 这里说明一下哈,这里是...
远程线程注入代码.zip
03-28
远程线程注入是一种在计算机编程中用于控制或监控其他进程的技术。它涉及到向目标进程创建一个新的线程,并在这个新线程中执行自定义的代码。这种方法通常被安全研究人员、逆向工程师以及恶意软件开发者所使用,尽管...
使用远程线程注入DLL
08-04
这个进程可以是任何正在运行程序,只要具有相应的权限,你就可以尝试向其注入代码。 2. **DLL准备**:DLL(动态链接库)是Windows操作系统中用于共享代码和数据的文件。远程线程注入通常涉及到创建一个包含要执行...
远程线程注入实现木马进程隐藏
05-05
通过远程线程注入技术实现木马进程隐藏,内附有完整地代码以及详细的说明文档
c++向其他进程注入代码的三种方式
03-29
c++向其他进程注入代码的三种方式 c++向其他进程注入代码的三种方式 c++向其他进程注入代码的三种方式 c++向其他进程注入代码的三种方式
远程线程注入代码
Shatty的专栏
01-29 5642
                                                              远程线程注入代码        远程线程注入可以实现向一个正在运行进程注入特定的代码。每个进程都有自己的私有空间。远程线程注入可以实现向一个正在运行进程注入代码。通过进程名找到进程ID,在远程进程开辟空间,启动一个线程,执行一个DLL中的函数,通过得到kernel32
windows-CODE注入远程线程注入
天使也掉毛
08-14 5987
远程线程注入
SetThreadContext注入
lixiangminghate的专栏
12-24 5555
这文章其实不能算原创了只是把别人的代码搬过来注释然后测试一下。     原文链接->http://bbs.pediy.com/showthread.php?t=159536 作者通过修改Context.Eip来达到Hook EIP的目的,不过这种方式我表示在我的win2003上没有成功。同时,作者提供了在github上的源码,源码中作者修改的是Context.Eax。起初很不解,eax跟返回值相
Windows C++遍历进程查找exe是否在运行 CreateToolhelp32Snapshot函数
C++ 爱好者 make_it_simple888
02-12 427
参考:CreateToolhelp32Snapshot函数 #include "tlhelp32.h"//Kernel32.dll Kernel32.lib DWORD FindProcessIDByName(const std::wstring& processName)//0 not found ; other found; processName "processName.exe...
代码注入实战:远程线程技术解析
本文主要探讨的是"注入 - 代码注入远程线程篇",着重于C/C++、Python和Java等编程语言的实现。文章源于一篇2003年的经典文章《Three Ways to Inject Your Code into Another Process》,该文章在CodeProject上...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值