完美的线程注入和卸载

最新推荐文章于 2023-01-12 23:55:17 发布
最新推荐文章于 2023-01-12 23:55:17 发布
阅读量887 收藏 1
点赞数
分类专栏: Delphi 文章标签: function button dll access token integer

unit Unit1;

interface

uses
  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
  Dialogs, StdCtrls;

type
  TForm1 = class(TForm)
    Button1: TButton;
    Button2: TButton;
    procedure Button1Click(Sender: TObject);
    procedure Button2Click(Sender: TObject);
    function GetExplorId:Cardinal;
  private
    { Private declarations }
  public
    { Public declarations }
  end;

var
  Form1: TForm1;

implementation

{$R *.dfm}

var
  AsmBuf:Array [0..20] of Byte = ($B8,$00,$00,$00,$00,$68,$00,$00,$00,$00,$FF,$D0,$B8,$00,$00,$00,00,$6A,$00,$FF,$D0);

function EnabledDebugPrivilege(const bEnabled: Boolean):Boolean;
var
  hToken: THandle;
  tp: TOKEN_PRIVILEGES;
  a: DWORD;
const
  SE_DEBUG_NAME = 'SeDebugPrivilege';
begin
  Result:=False;
  if (OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, hToken)) then
  begin
    tp.PrivilegeCount :=1;
    LookupPrivilegeValue(nil,SE_DEBUG_NAME ,tp.Privileges[0].Luid);
    if bEnabled then
      tp.Privileges[0].Attributes := SE_PRIVILEGE_ENABLED
    else
      tp.Privileges[0].Attributes := 0;
    a:=0;
    AdjustTokenPrivileges(hToken,False,tp,SizeOf(tp),nil,a);
    Result:= GetLastError = ERROR_SUCCESS;
    CloseHandle(hToken);
  end;
end;

function InjectDll(pid:cardinal;Dll:string):Cardinal;
var
  hProc:Cardinal;
  wDllPath:PwideChar;
  pRemote:Pointer;
  cbSize:cardinal;
  TempVar:Cardinal;
begin
  result:=0;
  if pid=0 then exit;
  EnabledDebugPrivilege(true);
  cbSize:= length(Dll)*2+21;
  GetMem(wDllPath,cbSize);
  StringToWideChar(Dll,wDllPath,cbSize);
  hProc:=OpenProcess(PROCESS_ALL_ACCESS,false,pid);
  try
    pRemote:=VirtualAllocEx( hProc, nil, cbSize, MEM_COMMIT, PAGE_READWRITE);
    if WriteProcessMemory(hProc,pRemote, wDllPath, cbSize, TempVar) then
    begin
      TempVar:=0;
      Result := CreateRemoteThread(hProc, nil, 0,
                              GetProcAddress(GetModuleHandle('Kernel32'),
                              'LoadLibraryW'), pRemote, 0, TempVar);
    end;
  finally
    CloseHandle(hProc);
    FreeMem(wDllPath);
  end;
end;

function EjectDll(pid:cardinal;Dll:string):Cardinal;
type
    PDebugModule = ^TDebugModule;
    TDebugModule = packed record
    Reserved: array [0..1] of Cardinal;
    Base: Cardinal;
    Size: Cardinal;
    Flags: Cardinal;
    Index: Word;
    Unknown: Word;
    LoadCount: Word;
    ModuleNameOffset: Word;
    ImageName: array [0..$FF] of Char;
    end;
  type
    PDebugModuleInformation = ^TDebugModuleInformation;
    TDebugModuleInformation = record
    Count: Cardinal;
    Modules: array [0..0] of TDebugModule;
  end;
  type
    PDebugBuffer = ^TDebugBuffer;
    TDebugBuffer = record
      SectionHandle: THandle;
      SectionBase: Pointer;
      RemoteSectionBase: Pointer;
      SectionBaseDelta: Cardinal;
      EventPairHandle: THandle;
      Unknown: array [0..1] of Cardinal;
      RemoteThreadHandle: THandle;
      InfoClassMask: Cardinal;
      SizeOfInfo: Cardinal;
      AllocatedSize: Cardinal;
      SectionSize: Cardinal;
      ModuleInformation: PDebugModuleInformation;
      BackTraceInformation: Pointer;
      HeapInformation: Pointer;
      LockInformation: Pointer;
      Reserved: array [0..7] of Pointer;
    end;
const
  PDI_MODULES = $01;
  ntdll = 'ntdll.dll';
var
  HNtDll: HMODULE;
type
  TFNRtlCreateQueryDebugBuffer = function(Size: Cardinal;EventPair: Boolean): PDebugBuffer;stdcall;
  TFNRtlQueryProcessDebugInformation = function(ProcessId,
               DebugInfoClassMask: Cardinal; var DebugBuffer: TDebugBuffer): Integer;stdcall;
  TFNRtlDestroyQueryDebugBuffer = function(DebugBuffer: PDebugBuffer): Integer;stdcall;
var
  RtlCreateQueryDebugBuffer: TFNRtlCreateQueryDebugBuffer;
  RtlQueryProcessDebugInformation: TFNRtlQueryProcessDebugInformation;
  RtlDestroyQueryDebugBuffer: TFNRtlDestroyQueryDebugBuffer;

  function LoadRtlQueryDebug: LongBool;
  begin
    HNtDll := LoadLibrary(ntdll);
    if HNtDll <> 0 then
    begin
      RtlCreateQueryDebugBuffer := GetProcAddress(HNtDll, 'RtlCreateQueryDebugBuffer');
      RtlQueryProcessDebugInformation := GetProcAddress(HNtDll, 'RtlQueryProcessDebugInformation');
      RtlDestroyQueryDebugBuffer := GetProcAddress(HNtDll, 'RtlDestroyQueryDebugBuffer');
    end;
    Result := Assigned(RtlCreateQueryDebugBuffer) and
    Assigned(RtlQueryProcessDebugInformation) and
    Assigned(RtlQueryProcessDebugInformation);
  end;

  function ReleaseRtlQueryDebug: LongBool;
  begin
    result:=FreeLibrary(HNtDll);
  end;

var
  hProc:Cardinal;
  hMod:cardinal;
  TempVar:Cardinal;
  DbgBuffer: PDebugBuffer;
  i,j:integer;
  pd:PDWORD;
  pRemoteFunc:pointer;
begin
  result:=0;
  if pid=0 then exit;
  EnabledDebugPrivilege(true);
  LoadRtlQueryDebug;
  DbgBuffer := RtlCreateQueryDebugBuffer(0, False);
  if Assigned(DbgBuffer) then
    try
      if RtlQueryProcessDebugInformation(pid, PDI_MODULES, DbgBuffer^) >= 0 then
        for i:=0 to DbgBuffer.ModuleInformation.Count-1 do
          if UpperCase(DbgBuffer.ModuleInformation.Modules[i].ImageName)=
             UpperCase(Dll) then
          begin
            hMod:=DbgBuffer.ModuleInformation.Modules[i].Base;
            j:=DbgBuffer.ModuleInformation.Modules[i].LoadCount;
            Break;
          end;
    finally
      RtlDestroyQueryDebugBuffer(DbgBuffer);
      ReleaseRtlQueryDebug;
    end;
  hProc:=OpenProcess(PROCESS_ALL_ACCESS,false,pid);
  try
    TempVar:=DWORD(GetProcAddress(GetModuleHandle('Kernel32'),'FreeLibrary'));
    pd:=@AsmBuf[1];
    pd^:=TempVar;
    pd:=@AsmBuf[6];
    pd^:=hMod;
    TempVar:=DWORD(GetProcAddress(GetModuleHandle('Kernel32'),'ExitThread'));
    pd:=@AsmBuf[13];
    pd^:=TempVar;
    pRemoteFunc:=VirtualAllocEx( hProc, nil, 21, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
    if WriteProcessMemory(hProc, pRemoteFunc, @AsmBuf[0], 21, TempVar) then
    for i:=0 to j-1 do
    begin
      TempVar:=0;
      Result := CreateRemoteThread(hProc, nil, 0, pRemoteFunc, nil, 0, TempVar);
    end;
  finally
    CloseHandle(hProc);
  end;
end;
       
function TForm1.GetExplorId:Cardinal;
begin
  GetWindowThreadProcessId(GetWindow(Handle,GW_HWNDLAST),@result);
end;

procedure TForm1.Button1Click(Sender: TObject);
begin
  InjectDll(GetExplorId,'c:/ExHook.Dll');
end;

procedure TForm1.Button2Click(Sender: TObject);
begin           
  EjectDll(GetExplorId,'c:/ExHook.Dll');
end;

end.

 
beast1978
关注
专栏目录
Delphi 钩子 注入线程(2)
流年~~
04-10 2836
程序作用: 在Explorer.exe的窗口接到任何一个鼠标消息时在Explorer.exe进程注入一个线程,该线程显示一个窗体. 程序的问题,如果程序在Explorer.exe还没有接收到有效的鼠标消息之前被关闭,则进程注入不会成功. 启动程序: program Project1; uses Forms, Unit1 in 'Unit1.pas' {Form1}
一文带你实现远程线程注入卸载
m0_58554082的博客
07-14 714
1. 原理 主要通过API:CreateRemoteThread 来进行远程线程注入 2.远程线程注入Dll的步骤 1.通过进程Id打开指定的进程 2.在指定的进程,分配一段大小为要导入的dll文件名长度的一段内存空间,将dll的文件名写入到分配的内存中。 3.获取目的进程中的loadLibrary的函数地址。 4.创建远程线程,通过上一步获得的loadlibrary函数进行dll导入。 5.释放内存,卸载dll。 3.代码远程注入注意点 1.不能调用除kernel32和user32之外动态库中的
Delphi Cmdshell 线程注入、文件释放程序
04-09
Delphi Cmdshell 线程注入、文件释放程序
实战DELPHI:远程线程插入(DLL注入
weixin_34247155的博客
11-06 216
http://www.jx19.com/xxzl/Delphi/2010/04/17/ShiZhanDELPHI_YuanChengXianChengChaRu_DLLZhuRu/ 远程注入DLL方法有很多种,也是很多木马病毒所使用的隐藏进程的方法,因为通过程序加载的DLL在进程管理器是没有显示的.这里介绍一种用 CreateRemoteThread 远程建立线程的方式注入DLL. 首先,我们...
delphi完美线程注入卸载
最新发布
q304929130的专栏
01-12 631
/***************************************卸载dll**************************************//***********************************线程DLL***********************************//**********************************调整进程权限*******************************
delphi远程线程插入(DLL注入
hack_wg的专栏
09-21 2287
delphi远程线程插入(DLL注入)2009年07月18日 星期六 01:08远程注入DLL方法有很多种,也是很多木马病毒所使用的隐藏进程的方法,因为通过程序加载的DLL在进程管理器是没有显示的.这里介绍一种用 CreateRemoteThread 远程建立线程的方式注入DLL.首先,我们要提升自己的权限,因为远程注入必不可免的要访问到目标进程的内存空间,如果没有足够
易语言线程EIP注入卸载DLL
07-22
易语言线程EIP注入卸载DLL源码,线程EIP注入卸载DLL,打开线程,原_按钮2_被单击,线程EIP注入,取进线程ID,卸载DLL,GetThreadContext,SetThreadContext,打开进程_,OpenThread,关闭内核对象_,取进程线程标识符_,...
易语言源码易语言线程EIP注入卸载DLL源码.rar
02-21
易语言源码易语言线程EIP注入卸载DLL源码.rar 易语言源码易语言线程EIP注入卸载DLL源码.rar 易语言源码易语言线程EIP注入卸载DLL源码.rar 易语言源码易语言线程EIP注入卸载DLL源码.rar 易语言源码易语言线程EIP...
易语言线程EIP注入卸载DLL源码-易语言
06-13
学习和掌握易语言线程EIP注入卸载DLL源码,不仅有助于理解Windows底层机制,还能提升在安全领域的实践技能。不过,需要注意的是,这些技术如果被滥用,可能会涉及非法活动,因此在实际应用中应遵循合法、合规的原则...
易语言线程EIP注入卸载DLL源码
06-03
【易语言线程EIP注入卸载DLL源码】是一个涉及计算机编程技术的主题,主要针对易语言(EasyLanguage)和Windows系统下动态链接库(DLL)的管理。易语言是一种面向对象、简单易学的中文编程语言,而线程EIP注入是...
Delphi使用HOOK注入系统线程.rar
07-10
Delphi使用HOOK注入系统线程,调用了一个HOOK控件来完成,示例演示了注入一个网址进程的例子。
Code注入技术Delphi源代码
09-27
win系统下的COde注入技术,这是Delphi源码,非常值得收藏
Delphi安装卸载Hook键盘钩子典型实例原码
06-09
Delphi安装卸载Hook键盘钩子典型实例原码 Delphi安装卸载Hook键盘钩子典型实例原码
NtQuerySystemInformation判断线程是否被挂起/判断线程状态
03-20
NtQuerySystemInformation判断线程是否被挂起/判断线程状态
卸载线程中被注入dll
brain 的专栏
02-09 2565
int Uninject(DWORD pid, char *dll) {     HANDLE hProcess = NULL, hThread = NULL, hthSnapshot = NULL;     MODULEENTRY32 hMod = {sizeof(hMod)};     hthSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODU
WinAPI【远程注入】 远线程直接代码注入 Delphi实例
weixin_30627341的博客
12-22 150
unit main_pas; interfaceuseswindows ,SysUtils,psapi;typeTremoteparameter=record //声明远线程参数结构 rpopenprocess:dword; rpwaitforsingleobject:dword; rpfindfirstfile:dword; rpcopyfile:dwor...
VisualC++信息安全编程(5)获取windows登陆账户密码
tubaluer
01-06 369
Windows Logon Process,Windows NT 用户登陆程序,管理用户登录和退出。 因为登陆的域名和用户名是明文存储在winlogon进程里的,而Password是限定了查找本进程用户的密码&lt;167-174: GetEnvironmentVariableW(L"USERNAME", UserName, 0x400); GetEnvironmentVariableW (L...
VC++实现枚举进程与模块
我的编程之旅
01-01 1140
[cpp] view plaincopyprint? #pragma once  #define _WIN32_WINNT 0x0500   #include"windows.h"  #include"tlhelp32.h"  #include"stdio.h"  #include"NativeApi.h"  #include"wchar.h"  #include"
反调试系列 | 调试标志寄存器
WAJXY2021的博客
08-27 684
调试标志寄存器 系统表中的特殊标志寄存器,即停留在进程内存中的、由操作系统设置的标志寄存器,可以用来指示进程正在被调试。这些标志寄存器的状态可以通过使用特定的API函数或检查内存中的系统表来验证。 这些技术是恶意软件最常使用的。 1. 使用Win32 API 以下技术使用现有的API函数(WinAPI或NativeAPI),这些函数检查进程内存中的系统结构,以寻找表明进程现在正在被调试的特定标志寄存器。 1.1. IsDebuggerPresent() 函数kernel32!IsDebugger
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值