[c++]远程线程注入

最新推荐文章于 2023-07-12 20:55:02 发布
最新推荐文章于 2023-07-12 20:55:02 发布
阅读量600 收藏 1
点赞数 1
分类专栏: C 开发日记 文章标签: c++ mfc c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ap114/article/details/127606347
版权

网上例子很多,但对细枝末节的处理少,某些情况下这些细节决定了注入的成功与否。

花了一点时间,自己写了个通用的标准远程线程注入。

#include <iostream>
#include <Windows.h>
#include <tchar.h>
#include <tlhelp32.h>
#include <shlobj_core.h>
#include <psapi.h>
#pragma comment(lib, "psapi.lib")

// 寻找进程PID
DWORD FindPid(LPCTSTR name);
// 远程写入值
void WriteVal(LPVOID addr, LPVOID buff, SIZE_T size);
// 开启调试权限
BOOL EnableDebugPrivilege(BOOL fEnable);
// 提升特权
void PromotePrivilege();
// false=无特权  true=有特权
bool HasPrivilege();

HANDLE g_hProcess;
wchar_t* char2wchar(const char* cchar);

int main(int argc, char const* argv[])
{
    if (argc <= 1) return 0;
    // 提升管理员特权
    if (!HasPrivilege()) {
        printf("无特权,是否尝试提升特权?\n");
        system("pause");
        PromotePrivilege();
    }
    // 获取参数
    const char* dll_path = argv[1];
    wchar_t* process_name = char2wchar(argv[2]);
    DWORD pid = FindPid(process_name);
    if (pid <= 0) {
        printf("无效进程 \n");
        return 0;
    }
    printf("DLL路径:%s\n进程名:%ws (%d)(%0X)\n", dll_path, process_name, pid, pid);
    DWORD buffSize = strlen(dll_path) + 1;
    //1打开目标进程
    HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);
    if (hProcess == NULL) {
        printf("目标进程无效\n");
        return 0;
    }
    printf("目标进程HANDLE:%d\n", (int)hProcess);
    //2.申请远程内存空间
    char* str = (char*)VirtualAllocEx(hProcess, 0, buffSize, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
    printf("申请到的远程内存空间地址:%0X\n", (int)str);
    if (str == NULL) {
        printf("申请失败!\n");
        return 0;
    }
    //3.将dll文件路径写入到远程内存
    DWORD realWrite = 0;
    BOOL bs1 = WriteProcessMemory(hProcess, str, dll_path, buffSize, &realWrite);
    printf("将dll文件路径[%s]写入被注入程序的内存:%s\n", dll_path, bs1 ?"成功":"失败");
    //4.创建远程线程
    HMODULE hK32Mod = GetModuleHandleA("Kernel32.dll");
    if (hK32Mod == NULL) {
        printf("获取Kernel32.dll地址为空\n");
        return 0;
    }
    printf(" -- Kernel32.dll : %0X \n", (DWORD)hK32Mod);
    int* pLoadLibrary = (int*)GetProcAddress(hK32Mod, "LoadLibraryA");
    if (pLoadLibrary == NULL) {
        printf("获取LoadLibraryA地址为空\n");
        return 0;
    }
    printf("    LoadLibraryA : %0X \n", (DWORD)pLoadLibrary);
    HANDLE hThread = CreateRemoteThread(hProcess, 0, 0, (LPTHREAD_START_ROUTINE)pLoadLibrary, str, 0, 0);
    if (hThread == NULL) {
        printf("远程线程创建失败\n");
        return 0;
    }
    printf("使用CreateRemoteThread呼叫LoadLibraryA,远程线程句柄:%0X \n", (int)hThread);
    printf("等待信号量 ...\n");
    WaitForSingleObject(hThread, -1);
    printf("收到退出信号量 ...\n");
    DWORD pExitCode; // 线程退出代码,在这里当然是LoadLibrary的返回值啦
    GetExitCodeThread(hThread, &pExitCode);
    printf("被注入的DLL在对方内存的地址:%0X \n", pExitCode);
    CloseHandle(hThread); //关闭线程句柄
    //释放内存空间
    BOOL bs2 = VirtualFreeEx(hProcess, str, 0, MEM_RELEASE);
    printf("释放dll文件路径的内存空间:%s\n", bs2 ? "成功" : "失败");
    CloseHandle(hProcess);  //关闭进程句柄
    system("pause");
    return 0;
}

// 远程内存写入
void WriteVal(LPVOID addr, LPVOID buff ,SIZE_T size) {
    // 代码段置为可写
    DWORD oldProtect;
    VirtualProtect(addr, sizeof(DWORD), PAGE_READWRITE, &oldProtect);
    SIZE_T realWriteNum;

    WriteProcessMemory(g_hProcess, addr, buff, size, &realWriteNum);

    // 代码段置为不可写
    DWORD oldProtect2;
    VirtualProtect(addr, sizeof(WORD), oldProtect, &oldProtect2);

}

// 根据进程名获取进程id
DWORD FindPid(LPCTSTR name) {
    DWORD aProcesses[1024], cbNeeded, ModNeeded;
    if (!EnumProcesses(aProcesses, sizeof(aProcesses), &cbNeeded))
        return -1;
    HANDLE hProcess;
    HMODULE hMod;
    TCHAR szProcessName[MAX_PATH] = _T("unknown");
    int nProcesses = cbNeeded / sizeof(DWORD);
    for (int i = 0; i < nProcesses; i++) {
        hProcess = OpenProcess(PROCESS_QUERY_INFORMATION |
            PROCESS_VM_READ,
            FALSE, aProcesses[i]);
        if (NULL != hProcess) {
            if (EnumProcessModules(hProcess, &hMod, sizeof(hMod), &ModNeeded)) {
                GetModuleBaseName(hProcess, hMod, szProcessName, sizeof(szProcessName));
                if (lstrcmpi(szProcessName, name) == 0) {
                    return aProcesses[i];
                }
            }
            else
                continue;
        }
    }
    return -1;
}

// 单字符转宽字符
wchar_t* char2wchar(const char* cchar)
{
    wchar_t* m_wchar;
    int len = MultiByteToWideChar(CP_ACP, 0, cchar, strlen(cchar), NULL, 0);
    m_wchar = new wchar_t[len + 1];
    MultiByteToWideChar(CP_ACP, 0, cchar, strlen(cchar), m_wchar, len);
    m_wchar[len] = '\0';
    return m_wchar;
}

//提升为调试权限
BOOL EnableDebugPrivilege(BOOL fEnable) {   
    BOOL fOk = FALSE;    HANDLE hToken;
    // 以修改权限的方式,打开进程的令牌
    if (OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES,
        &hToken)) {
        // 令牌权限结构体
        TOKEN_PRIVILEGES tp;
        tp.PrivilegeCount = 1;
        //获得LUID
        LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &tp.Privileges[0].Luid);
        tp.Privileges[0].Attributes = fEnable ? SE_PRIVILEGE_ENABLED : 0;
        AdjustTokenPrivileges(hToken, FALSE, &tp, sizeof(tp), NULL, NULL); //修改权限
        fOk = (GetLastError() == ERROR_SUCCESS);
        CloseHandle(hToken);
    }
    return(fOk);
}

// 提升特权
void PromotePrivilege() {
    // 2. 获取当前程序路径
    WCHAR szApplication[MAX_PATH] = { 0 };
    DWORD cchLength = _countof(szApplication);
    QueryFullProcessImageName(GetCurrentProcess(), 0,
        szApplication, &cchLength);
    // 3. 以管理员权限重新打开进程
    SHELLEXECUTEINFO sei = { sizeof(SHELLEXECUTEINFO) };
    sei.lpVerb = L"runas";      // 请求提升权限
    sei.lpFile = szApplication; // 可执行文件路径
    sei.lpParameters = NULL;          // 不需要参数
    sei.nShow = SW_SHOWNORMAL; // 正常显示窗口
    if (ShellExecuteEx(&sei)) {
        // 重启获得特权
        printf("重启程序 尝试提权\n");
        exit(0);
    } else {
        // 已有特权
        return;
    }
}

// false=无特权  true=有特权
bool HasPrivilege() {
    HANDLE hToken = NULL;
    if (!OpenProcessToken(GetCurrentProcess(), TOKEN_QUERY, &hToken))
        return false;
    // 2. 获取提升类型
    TOKEN_ELEVATION_TYPE ElevationType = TokenElevationTypeDefault;
    BOOL                 bIsAdmin = false;
    DWORD                dwSize = 0;
    if (GetTokenInformation(hToken, TokenElevationType, &ElevationType,
        sizeof(TOKEN_ELEVATION_TYPE), &dwSize)) {
        // 2.1 创建管理员组的对应SID
        BYTE adminSID[SECURITY_MAX_SID_SIZE];
        dwSize = sizeof(adminSID);
        CreateWellKnownSid(WinBuiltinAdministratorsSid, NULL, &adminSID, &dwSize);
        // 2.2 判断当前进程运行用户角色是否为管理员
        if (ElevationType == TokenElevationTypeLimited) {
            // a. 获取连接令牌的句柄
            HANDLE hUnfilteredToken = NULL;
            GetTokenInformation(hToken, TokenLinkedToken, (PVOID)&hUnfilteredToken,
                sizeof(HANDLE), &dwSize);
            // b. 检查这个原始的令牌是否包含管理员的SID
            if (!CheckTokenMembership(hUnfilteredToken, &adminSID, &bIsAdmin))
                return false;
            CloseHandle(hUnfilteredToken);
        }
        else {
            bIsAdmin = IsUserAnAdmin();
        }
        CloseHandle(hToken);
    }
    // 3. 判断具体的权限状况
    BOOL bFullToken = false;
    switch (ElevationType) {
    case TokenElevationTypeDefault: /* 默认的用户或UAC被禁用 */
        if (IsUserAnAdmin())  bFullToken = true; // 默认用户有管理员权限
        else                  bFullToken = false;// 默认用户不是管理员组
        break;
    case TokenElevationTypeFull:    /* 已经成功提高进程权限 */
        if (IsUserAnAdmin())  bFullToken = true; //当前以管理员权限运行
        else                  bFullToken = false;//当前未以管理员权限运行
        break;
    case TokenElevationTypeLimited: /* 进程在以有限的权限运行 */
        if (bIsAdmin)  bFullToken = false;//用户有管理员权限,但进程权限有限
        else           bFullToken = false;//用户不是管理员组,且进程权限有限
    }
    return bFullToken;
}

使用方法,生成exe,假设名称为RemoteThreadDll.exe

exe同目录下创建一个bat文件,内容如下

RemoteThreadDll.exe D:\ap114\Dll1.dll kyodai.exe

注入器exe    dll文件路径   被注入的目标程序

 运行run.bat效果

 

你采不起的野花
关注
专栏目录
远程线程注入--DLL注入(C++)
啊渊的专栏
08-26 218
远程线程注入(Remote Thread Injection)是指通过创建远程线程的方式将代码注入到另一个进程的地址空间中。下面是一个简单的 C++ 示例,展示如何通过远程线程注入一个 DLL 到目标进程中。
使用远程线程注入DLL
08-04
远程线程注入是一种技术,主要用于在另一个进程的上下文中执行代码。这种技术在软件开发、调试、自动化测试以及恶意软件中都有应用。本篇将详细解释远程线程注入的概念、工作原理,以及如何通过代码实现。 远程线程...
C/C++ 实现常用的线程注入
CSDN
08-03 1万+
各种API远程线程注入的方法,分别是 远程线程注入,普通消息钩子注入,全局消息钩子注入,APC应用层异步注入,ZwCreateThreadEx强力注入,纯汇编实现的线程注入等。
C++远程线程注入
qq_29317353的博客
02-08 538
在一个进程中,调用CreateThread或CreateRemoteThreadEx函数,在另一个进程内创建一个线程(因为不在同一个进程中,所以叫做远程线程)。创建的线程一般为Windows API函数LoadLibrary,来加载一个动态链接库(DLL),从而达到在另一个进程中运行自己所希望运行的代码的目的。6、CreateRemoteThread函数开启远程线程执行我们刚刚向目标进程写入的代码。1、远程线程线程注入第一步首先要获取目标注入进程的PID(可以在任务管理器中查看)
c/c++ windows 远程线程注入
网瘾少年丶的博客
05-24 1000
常用的注入手段有两种:一种是远程的dll的注入,另一种是远程代码的注入; 远程线程注入——其主要核心在于一个Windows API函数CreateRemoteThread,通过它可以在另外一个进程中注入一个线程并执行。 被注入进程A, 注入 进程B HMODULE WINAPI LoadLibrary( _In_ LPCTSTR lpFileName); 以它为远程线程的回调; 它的...
C++笔记-远程线程注入
IT1995的博客
12-01 5585
目录 基本概念 代码与实例 基本概念 Kernel32.dll和user32.dll在大部分程序上都会调用dll,同一个dll在不同的进程中,不一定被映射(加载)在同一个内存地址。 但Kernel32.dll和user32.dll例外。他们都是被映射到进程的内存首选地址,因此,在所有使用这两个dll进程中,这两个dll的内存地址是相同的。在本进程获取的Kernel32....
远程线程注入
12-28
远程线程注入是一种高级的系统编程技术,常用于软件开发、调试、安全研究以及恶意软件中。这个技术涉及操作系统内部的进程间通信(IPC)和内存管理机制,尤其是在Windows操作系统中广泛使用。以下是对"远程线程注入...
DLL远程线程注入源码
01-20
VB(Visual Basic)虽然不是C++那样的底层语言,但也能实现远程线程注入。VB使用COM组件和WinAPI函数,同样可以调用`CreateRemoteThread`等函数。不过,VB的语法较为直观,对于初学者来说可能更易理解。 需要注意的...
c++down远程线程注入.rar_下载者_文件映射_线程注入_远程线程注入
09-21
C++实现远程线程注入与文件映射通信详解》 在计算机编程中,远程线程注入和文件映射通信是两种重要的技术,常用于进程间通信和系统级操作。本篇文章将深入探讨C++中如何实现这两种技术,并结合一个下载者程序的...
C++ 远程dll注入
11-20
C++远程DLL注入是一种技术,它允许一个进程(注入者)将动态链接库(DLL)加载到另一个正在运行的进程(宿主进程)中。这种技术在系统编程、调试、性能监控等领域有合法的应用,但同时也被恶意软件利用来执行非法...
注入 - 代码注入远程线程篇 - C_C++_Python_Java - 博客园.pdf
06-17
注入 - 代码注入远程线程篇 - C_C++_Python_Java - 博客园.pdf
一文带你实现远程线程注入和卸载
m0_58554082的博客
07-14 722
1. 原理 主要通过API:CreateRemoteThread 来进行远程线程注入 2.远程线程注入Dll的步骤 1.通过进程Id打开指定的进程 2.在指定的进程,分配一段大小为要导入的dll文件名长度的一段内存空间,将dll的文件名写入到分配的内存中。 3.获取目的进程中的loadLibrary的函数地址。 4.创建远程线程,通过上一步获得的loadlibrary函数进行dll导入。 5.释放内存,卸载dll。 3.代码远程注入注意点 1.不能调用除kernel32和user32之外动态库中的
免杀简述2(二次编译shellcode\远程加载shellcode\shellcode远程线程注入\内存申请优化\管道技术)
热门推荐
Shanfenglan's blog
08-09 33万+
二次编译 也可以理解成shellcode混淆,将shellcode执行前进行各种加密,然后执行的时候进行解密。Xor就是一个例子。原理是先将加密后的shellcode写入程序中,然后再在程序里面写入shellcode解密程序,这样子将shellcode混淆后,特征码等各种数值就会改变,可以绕过大部分的静态查杀,加密方法不限制,自己写也是可以的。Exp:xor加密shellcode代码: #include stdio.h #define KEY 0x97 //进行异或的字符unsigned char
代码注入远程线程
pi9nc的专栏
06-11 897
代码注入远程线程篇 引子           前些日子由于项目要求,在网上到处找资料,于无意中发现了 CodeProject 上的一篇很老的文章,文章标题为: Three Ways to Inject Your Code into Another Process 这篇文章呢,出来很久咯,还是 03 年的文章了,可惜我弄底层弄得时间不久哦,不然应该
远程线程DLL注入64位进程
weixin_30329623的博客
11-07 536
1 int main() 2 { 3 BOOL bFlag = FALSE; 4 5 char *szDllName = "MSGDLL.dll"; 6 //bFlag = EnablePrivilege(SE_DEBUG_NAME); //返回值为1时代表成功 7 8 9 //得到目标进程句柄 10 HA...
Windows C++远程线程(CreateRemoteThread)注入DLL方法、代码示例。
最新发布
Bobowen的博客
07-12 1804
这是盗版软件或者游戏外挂什么的经常使用的方式,在其他进程里搞一些自己的东西。使用远程线程CreateRemoteThread的方法可以在其他进程中注入自己想注入的DLL,千万不要用这个方法搞破坏哦。5. 在kernal32中获得LoadLibraryW的地址,此地址也是被注入进程的LoadLibraryW地址。被注入DLL的进程代码,这个可以随意写,只要程序能一直run就可以。我们搞一个可以弹窗的DLL代码,让进程只要LOAD DLL就会弹窗。1. 获得要注入进程的进程ID,可以使用进程名获得。
C++ DLL注入和代码注入
hyy829119的专栏
10-04 6869
void InjectDLL(DWORD PID,char *Path)  {      DWORD dwSize;      HANDLE hProcess=OpenProcess(PROCESS_ALL_ACCESS,false,PID);                               dwSize=strlen(Path)+1;   LPVOID lpP
C++远程线程注入Dll模块代码,全系统通用,超简单。
WorryFree
12-09 822
C++远程线程注入Dll模块代码,全系统通用,超简单
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值