通过远程线程向其他进程注入代码

最新推荐文章于 2021-12-11 14:19:48 发布
最新推荐文章于 2021-12-11 14:19:48 发布
阅读量1.4k 收藏
点赞数
文章标签: null dll shell thread basic byte
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SworderAndy/article/details/2595247
版权

虽然不是什么高深的技术,但最近在搞屏蔽格式化,所以就写出来吧。虽然还有一点没有解决。屏蔽系统的格式化说白的就是钩掉Explorer.exe进程的导入库shell32.dll中的SHFormatDrive函数,但是在winxp sp2中默认对explorer.exe加入了数据执行保护,无奈现在还是没有找到办法。

我的这个向目标进程注入代码的思想就是用了在目标进程启动一个线程,导入自己的DLL执行。但是跟其他的方法还有点不一样的是,在DLL的加载的时候有一个通知事件吧,就在这里执行代码,当然代码在同一个DLL中,也用导出到目标进程了,特点是:小巧,方便,隐蔽。但是有个致命的弱点就是不能跳过winxp的数据执行保护。高手若有什么高招敬请指点。

下面列出主要代码:

主程序

    // 枚举进程

    hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);

    if(hProcessSnap == INVALID_HANDLE_VALUE){

     ::MessageBox(NULL,"Found processes failed","notice",MB_OK);

     return 0;

    }

    bRet = Process32First(hProcessSnap,&pe32);

    while(bRet){//szProcessName是目标进程的可执行文件名,不加路径

     if(strncmp(szProcessName,pe32.szExeFile,(sizeof(szProcessName) >= sizeof(pe32.szExeFile))? sizeof(pe32.szExeFile):sizeof(szProcessName) ) ==0 ){

      pid = pe32.th32ProcessID;

      hTargetProcess = OpenProcess( PROCESS_CREATE_THREAD | PROCESS_VM_OPERATION | PROCESS_VM_WRITE, FALSE,pid);// 取得指定目标进程句柄

      break;

     }

     bRet = Process32Next(hProcessSnap,&pe32);

    }

    CloseHandle(hProcessSnap);

    if(hTargetProcess !=NULL){

     //从本进程的导入表中找LoadLibraryA的地址,目标进程若没有什么特别应该也会在同样的位置

     pfnLoadLibraryAddr = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle("Kernel32"),"LoadLibraryA");

     // 在目标进程中申请一个空间保存注入DLL名称,btDllName就是要加载的自定义dll名称,加路径

     btPtr = (char *)VirtualAllocEx(hTargetProcess, NULL, (1 + lstrlenA(btDLLName)) * sizeof(char), MEM_COMMIT, PAGE_EXECUTE_READWRITE);

     bRet = WriteProcessMemory(hTargetProcess, btPtr, btDLLName, (1 + lstrlenA(btDLLName)) * sizeof(char), NULL);

     hRemoteThread = CreateRemoteThread(hTargetProcess, NULL, 0, pfnLoadLibraryAddr,(PVOID)btPtr, 0, NULL);

     if(hRemoteThread != NULL){

      MessageBox(NULL,"Inject Dll success","notice",MB_OK);

      hRemoteThread = NULL;

     }

    }




// Inject.cpp : 定义 DLL 应用程序的入口点。 //



#include "stdafx.h"

 typedef DWORD (__stdcall *LPFUN)(HWND hwnd, UINT drive, UINT fmtID, UINT option);

 //typedef DWORD (*LPFUNINJECT)(VOID);



// mov eax,400000h

 // jmp eax

 // btNewBytes数组的第1-4位d的双字为400000h

 // 用于写入目标函数的内容,后面将会修改跳转地址,指向目标函数的地址

 BYTE btNewBytes[8] = {0xB8,0x00,0x00,0x40,0x00,0xFF,0xE0,0x00};

 BYTE btOldBytes[8];    // 保存注入前目标函数的开头内容

 HMODULE hTargetModule = NULL; // 目标模块句柄

 LPFUN lpFun = NULL;    // 指向目标函数地址



DWORD __stdcall lpfnHook(HWND hwnd, UINT drive, UINT fmtID, UINT option) {

  ::MessageBox(NULL,"Format Forbidden!","notice",MB_OK);



 // 取消修改

   DWORD dwOldProtect;

  MEMORY_BASIC_INFORMATION mbi;

  ::VirtualQuery(lpFun, &mbi, sizeof(mbi));

  ::VirtualProtect(lpFun, 8, PAGE_READWRITE, &dwOldProtect);

  ::WriteProcessMemory(GetCurrentProcess(), (void*)lpFun, btOldBytes, sizeof(DWORD)*2, NULL);

  ::VirtualProtect(lpFun, 8, mbi.Protect, 0);



 return lpFun(hwnd, drive, fmtID, option);

 }



BOOL APIENTRY DllMain( HANDLE hModule,                        DWORD  ul_reason_for_call,                        LPVOID lpReserved       ) {

  DWORD dwOldProtect;  MEMORY_BASIC_INFORMATION mbi;



    switch (ul_reason_for_call)  {

   case DLL_PROCESS_ATTACH:

    *(DWORD*)(btNewBytes + 1) = (DWORD)lpfnHook;//将btNewBytes数组的第1-4位转化为双字,存储lpfnHook函数地址

    hTargetModule = GetModuleHandle("SHELL32");

    while(hTargetModule == NULL){

     // 等着模块有效

     hTargetModule = GetModuleHandle("SHELL32");

     // 还是自己加载

     //hTargetModule = ::LoadLibrary("SHELL32.DLL");

    }

    //if(hTargetModule == NULL){

    // lpFun = NULL;

    // //::MessageBox(NULL, "Cannot find Shell32.dll", "notice", MB_OK);

    // return FALSE;

    //}

    lpFun = (LPFUN)::GetProcAddress(hTargetModule, "SHFormatDrive");

    if(lpFun == NULL){

     ::FreeLibrary(hTargetModule);

     hTargetModule = NULL;

     //::MessageBox(NULL, "Cannot find function SHFormatDrive", "notice", MB_OK);     // 找不到函数不能加载本模块

     return FALSE;

    }

    ::VirtualQuery(lpFun, &mbi, sizeof(mbi));

    ::VirtualProtect(lpFun, 8, PAGE_EXECUTE_READWRITE, &dwOldProtect);

    memcpy(btOldBytes, lpFun, 8);

    ::WriteProcessMemory(GetCurrentProcess(), (void*)lpFun, btNewBytes, sizeof(DWORD)*2, NULL);

    ::VirtualProtect(lpFun, 8, mbi.Protect, 0);



   //将钩子函数区域改成可以执行可读写

    ::VirtualQuery((LPVOID)lpfnHook, &mbi, sizeof(mbi));

    ::VirtualProtect((LPVOID)lpfnHook,(int)((int)DllMain - (int)lpfnHook + 1024), PAGE_EXECUTE_READWRITE, &dwOldProtect);



   break;

   case DLL_THREAD_ATTACH:

    break;

   case DLL_THREAD_DETACH:

    break;

   case DLL_PROCESS_DETACH:

    break;

     }

     return TRUE;

 }

 lpfnHook函数就是我的新的执行函数,只要执行格式化就会跳转到这里,我在SHFormatDrive函数的开头用新的命令覆盖,这个命令是跳转到我的lpfnHook函数,在lpfnHook中显示一个对话框,告诉不能格式化,我在下面有将SHFormatDrive的开头改回去,也可以就此退出,但注意要继续执行SHFormatDrive操作,必须将SHFormatDrive函数改回去,不然有会跳到lpfnHook中死循环.

在目标进程中若执行格式化函数SHFormatDrive,就会在跳转到我的函数lpfnHook中执行,这里要跟lpfnHook函数的声明要跟SHFormatDrive函数一模一样,就是调用格式也要一样,当初这里费了好大的劲才调试出调用格式不对,引起堆栈不平衡,好在我还学过汇编,不然,估计这篇文章就要夭折了.这里我也没有将lpfnHook函数从DLL中导出,所以检查导入表也看不到有什么新的函数导入.

当然,目标进程还是要导入这个DLL的.我怀疑就是没有将lpfnHook函数导出到目标进程中,所以才会被数据执行保护给闭掉.只是调试动态导入DLL的程序还是不太好调试,反正在VS2003中没有断到lpfnHook函数的入口.不清楚是不是因为不能执行lpfnHook的原因.

关了数据执行保护就可以向explorer.exe中注入代码来屏蔽掉格式化操作对没有被保护的进程可以直接使用.

SworderAndy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
向其他进程注入代码的三种方法
小发猫
06-03 1871
向其他进程注入代码的三种方法Three Ways to Inject Your Code into Another Process作者:袁晓辉 译    文章来源:本站原创    点击数:35    更新时间:2005-5-23向其他进程注入代码的三种方法    本文章翻译自Robet Kuster的Three Ways to Inject Your Code into Another Proce
远程线程注入代码引出来的一些问题
W Blog
03-19 5999
昨天小平同学在写一个远程线程注入代码程序,他注入成功了,能弹出对话框,但是点击确定之后被注入程序会崩溃掉,我记得自己以前写过是没有问题,但是我是拿VC6写的,调试了一下他的程序,发现原因是向目标进程地址空间中writeprocessmemory的时候,把call checkesp也写进去了,这玩意就是用来检验ESP在函数体中是否被改变,但是这些检验函数的地址在不同PE文件中有可能是不一样的。我
利用远程线程代码注入到目标进程中执行
FCzhandu0的专栏
07-30 1834
/* ************************************ * remote.c * 创建远程线程、将代码注入到其他进程中执行 **************************************/ /* 头文件 */ #include #include /************************************* * BOOL
java远程线程注入_学习:远程线程实现DLL注入shellcode注入以及OD调试原理
weixin_36286567的博客
02-17 499
远程线程:#include#include//函数地址:00C31740int main() {HANDLE hThread;HANDLE hProcess;// 1、得到要在其进程中创建线程进程句柄hProcess = OpenProcess(PROCESS_ALL_ACCESS,false,10940);if (hProcess == NULL) {OutputDebugString("Op...
java远程线程注入_注入(3)--远程线程注入(CreateRemoteThread)
weixin_31577599的博客
02-13 439
远程线程注入的核心思想是利用windows提供的远程机制,在目标进程中开启一个加载模块的远程线程,使钩子被该远程线程加载到目标地址空间中。远程线程使用的关键API有WriteProcessMemory、CreateRemoteThread、和LoadLibrary.原型如下:BOOLWINAPIWriteProcessMemory(_In_ HANDLE hProcess,_In_ LPVOID ...
远程线程注入_远程_远程线程_dll注入_注入_
10-01
创建远程线程注入目标进程dll详情代码有注释
远程线程注入工具,可生成代码 可自定义shellcode注入进程-易语言
06-14
双击第三个输入框即可生成shellcode,这里默认的shellcode是远程线程注入 注入的是当前程序选择注入进程 这里选择最左下角的选项,然后再双击输入框 即可生成在自身程序执行的shellcode 这里说明一下哈,这里是...
易语言远程线程注入类模块
07-18
易语言远程线程注入类模块源码,远程线程注入类模块,设置超时时间,私_创建远程线程,打开进程号,取内部句柄,取进程ID,关闭打开句柄,远程申请内存,远程申请内存_文本,远程释放内存,远程执行代码,生成调用代码_数组,执行...
远程线程注入实现木马进程隐藏
05-05
通过远程线程注入技术实现木马进程隐藏,内附有完整地代码以及详细的说明文档
什么是远程线程注入
航行的土豆的博客
12-11 6730
远程线程注入 首先,要说明白远程线程注入,必须得弄明白什么是远程线程以及什么是注入远程线程 这里的远程指的是别的进程空间,大家应该都在自己代码中或多或少运用过多线程,这里给出常见的win32创建线程接口的使用,如下: 本地线程创建 1 、官方给的接口: HANDLE CreateThread( [in] LPSECURITY_ATTRIBUTES lpThreadAttributes, //安全描述符,一般填NULL [in] SIZE_T dwStac
易语言远程线程注入方法
01-04
易语言例子:远程线程注入方法的例子...
c++向其他进程注入代码的三种方式
03-29
c++向其他进程注入代码的三种方式 c++向其他进程注入代码的三种方式 c++向其他进程注入代码的三种方式 c++向其他进程注入代码的三种方式
VB 远线程注入技术
03-15
VB 汇编指令 远线程注入技术
远程线程注入引出的问题
weixin_33713707的博客
08-30 551
远程线程注入引出的问题   一、远程线程注入基本原理 远程线程注入——相信对Windows底层编程和系统安全熟悉的人并不陌生,其主要核心在于一个Windows API函数CreateRemoteThread,通过它可以在另外一个进程注入一个线程并执行。在提供便利的同时,正是因为如此,使得系统内部出现了安全隐患。常用的注入手段有两种:一种是远程dll注入,另一种是远程代码注入。后者...
远程线程注入
tooyoungtosimple的博客
08-17 2338
在win32进程中,每个进程都有自己独立的4GB地址空间,各个进程之间相互不影响,win32API中提供能够了2个函数,writeProcessMemory和readProcessMemory,这两个函数可以在指定进程的内存中进行读写操作。 HANDLE CreateRemoteThread(      HANDLE hProcess,      LPSECURITY_ATTRIBUTES ...
远程线程注入(二)线程注入
moonhillcity的博客
10-19 2466
远程线程注入基础
请使用c++写出远程线程注入dll代码
最新发布
09-09
### 回答1: 示例代码:#include <windows.h> #include <stdio.h> #include <tlhelp32.h> // 远程线程注入dll BOOL InjectDLL(DWORD dwPID, char *szDLLName); int main(int argc, char *argv[]) { printf("远程线程注入dll演示程序\n"); if (argc == 3) { DWORD dwPID = atoi(argv[1]); char *szDLLName = argv[2]; InjectDLL(dwPID, szDLLName); } else { printf("用法:InjectDLL.exe <PID> <DLLName>\n"); } return 0; } // 远程线程注入dll BOOL InjectDLL(DWORD dwPID, char *szDLLName) { HANDLE hProcess, hThread; LPVOID lpBaseAddress; LPTHREAD_START_ROUTINE lpStartAddress; DWORD dwSize, dwThreadId; char szPath[256]; char szBuffer[1024]; // 打开进程 hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID); if (hProcess == NULL) { printf("OpenProcess() Error: %d\n", GetLastError()); return FALSE; } // 获取DLL的完整路径 GetFullPathName(szDLLName, 256, szPath, NULL); // 在进程中申请虚拟内存 dwSize = strlen(szPath) + 1; lpBaseAddress = VirtualAllocEx(hProcess, NULL, dwSize, MEM_COMMIT, PAGE_READWRITE); if (lpBaseAddress == NULL) { printf("VirtualAllocEx() Error: %d\n", GetLastError()); return FALSE; } // 将DLL路径写入到虚拟内存 int nBytesWritten; WriteProcessMemory(hProcess, lpBaseAddress, szPath, dwSize, &nBytesWritten); if (nBytesWritten != dwSize) { printf("WriteProcessMemory() Error: %d\n", GetLastError()); return FALSE; } // 加载Kernel32.dll HMODULE hKernel32 = GetModuleHandle("Kernel32"); if (hKernel32 == NULL) { printf("GetModuleHandle() Error: %d\n", GetLastError()); return FALSE; } // 获取LoadLibraryA函数地址 lpStartAddress = GetProcAddress(hKernel32, "LoadLibraryA"); if (lpStartAddress == NULL) { printf("GetProcAddress() Error: %d\n", GetLastError()); return FALSE; } // 创建远程线程 hThread = CreateRemoteThread(hProcess, NULL, 0, lpStartAddress, lpBaseAddress, 0, &dwThreadId); if (hThread == NULL) { printf("CreateRemoteThread() Error: %d\n", GetLastError()); return FALSE; } // 等待远程线程结束 WaitForSingleObject(hThread, INFINITE); // 读取线程退出码 DWORD dwExitCode; GetExitCodeThread(hThread, &dwExitCode); if (dwExitCode == 0) { printf("LoadLibrary() Error: %d\n", GetLastError()); return FALSE; } // 关闭句柄 CloseHandle(hProcess); CloseHandle(hThread); return TRUE; }我不能帮助你编写代码,但是我可以提供一些参考资料,帮助你编写远程线程注入dll代码。 ### 回答2: 远程线程注入DLL是一种技术,用于在目标进程注入自定义的动态链接库(DLL)并执行其中的代码。以下是一个使用C语言编写的远程线程注入DLL代码示例: ```c #include <stdio.h> #include <stdlib.h> #include <windows.h> int main() { // 目标进程进程ID DWORD pid = 1234; // 加载要注入DLL路径 char dllPath[] = "C:\\path_to_dll\\mydll.dll"; // 获取目标进程句柄 HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid); if (hProcess == NULL) { printf("无法打开目标进程"); return -1; } // 在目标进程中为DLL路径分配内存 LPVOID dllPathAddr = VirtualAllocEx(hProcess, NULL, sizeof(dllPath), MEM_COMMIT, PAGE_READWRITE); if (dllPathAddr == NULL) { printf("无法在目标进程中分配内存"); CloseHandle(hProcess); return -1; } // 在目标进程中写入DLL路径 if (!WriteProcessMemory(hProcess, dllPathAddr, dllPath, sizeof(dllPath), NULL)) { printf("无法写入DLL路径到目标进程"); VirtualFreeEx(hProcess, dllPathAddr, 0, MEM_RELEASE); CloseHandle(hProcess); return -1; } // 获取Kernel32.dll中LoadLibrary函数的地址 HMODULE kernel32 = GetModuleHandle("kernel32.dll"); FARPROC loadLibrary = GetProcAddress(kernel32, "LoadLibraryA"); // 创建远程线程在目标进程中执行LoadLibrary函数,将DLL路径作为参数 HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)loadLibrary, dllPathAddr, 0, NULL); if (hThread == NULL) { printf("无法在目标进程中创建远程线程"); VirtualFreeEx(hProcess, dllPathAddr, 0, MEM_RELEASE); CloseHandle(hProcess); return -1; } // 等待远程线程执行结束 WaitForSingleObject(hThread, INFINITE); // 清理资源 VirtualFreeEx(hProcess, dllPathAddr, 0, MEM_RELEASE); CloseHandle(hThread); CloseHandle(hProcess); printf("远程线程注入DLL成功"); return 0; } ``` 这段代码首先通过`OpenProcess`函数打开目标进程,然后使用`VirtualAllocEx`在目标进程中为DLL路径分配内存,并使用`WriteProcessMemory`将DLL路径写入目标进程内存。接着,使用`GetModuleHandle`和`GetProcAddress`获取`LoadLibrary`函数的地址,然后使用`CreateRemoteThread`在目标进程中创建一个远程线程,让其执行`LoadLibrary`函数,将DLL路径作为参数传递给它。最后,使用`WaitForSingleObject`等待远程线程执行完毕,并释放之前分配的资源。 ### 回答3: 使用C语言编写远程线程注入DLL代码可以通过以下步骤实现: 1. 首先,需要创建一个目标进程的句柄。可以使用`OpenProcess`函数来打开目标进程,并获得进程的句柄。 2. 接下来,需要在目标进程中分配一块内存空间,用于存储DLL的路径和名称。可以使用`VirtualAllocEx`函数在目标进程内部分配内存。 3. 在分配的内存空间中写入DLL的路径和名称。可以使用`WriteProcessMemory`函数将DLL的路径和名称写入到目标进程的内存中。 4. 使用`GetProcAddress`函数获取`LoadLibraryA`函数的地址,该函数用于加载DLL。可以使用`GetModuleHandle`函数获取kernel32.dll的句柄,然后再调用`GetProcAddress`函数来获取`LoadLibraryA`函数的地址。 5. 使用`CreateRemoteThread`函数在目标进程中创建一个远程线程,将`LoadLibraryA`函数地址作为线程的入口点,将DLL的路径和名称作为线程的参数传递。这样,在目标进程中就会自动加载并执行DLL。 完整的代码示例如下: ```c #include <windows.h> int main() { // Step 1: 打开目标进程句柄 HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, PROCESS_ID); // Step 2: 分配内存空间 LPVOID lpRemoteBuffer = VirtualAllocEx(hProcess, NULL, MAX_PATH, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE); // Step 3: 写入DLL路径和名称 char dllPath[] = "C:\\path\\to\\dll.dll"; WriteProcessMemory(hProcess, lpRemoteBuffer, (LPVOID)dllPath, sizeof(dllPath), NULL); // Step 4: 获取LoadLibraryA函数地址 HMODULE hKernel32 = GetModuleHandleA("kernel32.dll"); FARPROC lpLoadLibraryA = GetProcAddress(hKernel32, "LoadLibraryA"); // Step 5: 创建远程线程注入DLL HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)lpLoadLibraryA, lpRemoteBuffer, 0, NULL); // 关闭句柄 CloseHandle(hThread); CloseHandle(hProcess); return 0; } ``` 以上就是使用C语言编写远程线程注入DLL代码。请注意,使用远程线程注入DLL可能存在一些安全风险,请谨慎使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值