创建远程线程注入指定进程

最新推荐文章于 2023-11-24 23:35:05 发布
最新推荐文章于 2023-11-24 23:35:05 发布
阅读量3.9k 收藏 2
点赞数
分类专栏: Windows编程 文章标签: dll null winapi access thread query
 

创建远程线程使用CreateRemoteThread函数,在创建线程前还需要使用WriteProcessMemory等函数将线程
函数代码和参数写到目标进程空间中去.

关键API
CreateRemoteThread
为指定进程创建线程,线程将会在其他进程的进程空间中执行,访问其他进程资源.
HANDLE WINAPI CreateRemoteThread(
__in HANDLE hProcess,
__in LPSECURITY_ATTRIBUTES lpThreadAttributes,
__in SIZE_T dwStackSize,
__in LPTHREAD_START_ROUTINE lpStartAddress,
__in LPVOID lpParameter,
__in DWORD dwCreationFlags,
__out LPDWORD lpThreadId
);

hProcess:输入参数,需要为其创建线程的目标进程句柄.

The following table lists the process-specific access rights.
Value Meaning
PROCESS_ALL_ACCESS All possible access rights for a process object.
PROCESS_CREATE_PROCESS (0x0080) Required to create a process.
PROCESS_CREATE_THREAD (0x0002) Required to create a thread.
PROCESS_DUP_HANDLE (0x0040) Required to duplicate a handle using DuplicateHandle.
PROCESS_QUERY_INFORMATION (0x0400) Required to retrieve certain information about a process, such as its token, exit code, and priority class (see OpenProcessToken, GetExitCodeProcess, GetPriorityClass, and IsProcessInJob).
PROCESS_QUERY_LIMITED_INFORMATION (0x1000) Required to retrieve certain information about a process (see QueryFullProcessImageName). If you are granted PROCESS_QUERY_INFORMATION, you are also granted PROCESS_QUERY_LIMITED_INFORMATION.
PROCESS_SET_INFORMATION (0x0200) Required to set certain information about a process, such as its priority class (see SetPriorityClass).
PROCESS_SET_QUOTA (0x0100) Required to set memory limits using SetProcessWorkingSetSize.
PROCESS_SUSPEND_RESUME (0x0800) Required to suspend or resume a process.
PROCESS_TERMINATE (0x0001) Required to terminate a process using TerminateProcess.
PROCESS_VM_OPERATION (0x0008) Required to perform an operation on the address space of a process (see VirtualProtectEx and WriteProcessMemory).
PROCESS_VM_READ (0x0010) Required to read memory in a process using ReadProcessMemory.
PROCESS_VM_WRITE (0x0020) Required to write to memory in a process using WriteProcessMemory.
SYNCHRONIZE (0x00100000L) Required to wait for the process to terminate using the wait functions.
权限参照CreateThread函数
返回HANDLE值,为新创建进程的句柄

 

WriteProcessMemory
WriteProcessMemory函数可以将数据写入到目标进程的虚拟地址空间中.
BOOL WriteProcessMemory(
HANDLE hProcess,
LPVOID lpBaseAddress,
LPVOID lpBuffer,
DWORD nSize,
LPDWORD lpNumberOfBytesWritten
);


hProcess:输入参数,目标进程句柄,操作进程需要有目标进行的PROCESS_VM_WRITE和PROCESS_VM_OPERATION权限
lpBaseAddress:输入参数,写入数据地址,目标进程虚拟空间中的地址.
lpBuffer:输入参数,指向需要写入的数据
nSize:输入参数,写入数据大小,字节
lpNumberOfBytesWritten:输出参数,指向SIZE_T类型的变量,用于保存实际写入的数据大小.
返回值
失败用GetLastError函数获取错误信息

 

/* 头文件 */
#include <windows.h>
#include <Tlhelp32.h>

/*************************************
* BOOL EnablePrivilege (PCSTR name)
* 功能 提升本权限
*
* 参数 PCSTR name 所需的权限
* 返回是否成功
**************************************/
DWORD EnablePrivilege (PCSTR name)
{
HANDLE hToken;
BOOL rv;
//设置结构
TOKEN_PRIVILEGES priv = { 1, {0, 0, SE_PRIVILEGE_ENABLED} };
// 查找权限值
LookupPrivilegeValue (
   0,
   name,
   &priv.Privileges[0].Luid
   );
// 打开本进程Token
OpenProcessToken(
   GetCurrentProcess (),
   TOKEN_ADJUST_PRIVILEGES,
   &hToken
   );
// 提权
AdjustTokenPrivileges (
   hToken,
   FALSE,
   &priv,
   sizeof priv,
   0,
   0
   );
// 返回值,错误信息,如果操作成功,则应为ERROR_SUCCESS,为O
rv = GetLastError();
// 关闭Token
CloseHandle (hToken);
return rv;
}

/*************************************
* BOOL LoadRometeDll(DWORD dwProcessId, LPTSTR lpszLibName)
* 功能 通过创建远程线程给其他进程加载Dll
*
* 参数 DWORD dwProcessId 目标进程PID
*   LPTSTR lpszLibName Dll的路径
* 返回是否成功
**************************************/
BOOL LoadRometeDll(DWORD dwProcessId, LPTSTR lpszLibName)
{
BOOL   bResult          = FALSE; 
HANDLE hProcess         = NULL;
HANDLE hThread          = NULL;
PSTR   pszLibFileRemote = NULL;
DWORD cch;
PTHREAD_START_ROUTINE pfnThreadRtn;

__try 
{
   // 获得想要注入代码的进程的句柄.
   hProcess = OpenProcess(
    PROCESS_ALL_ACCESS, 
    FALSE, 
    dwProcessId
    );

   if (hProcess == NULL)
    __leave;

   // 计算DLL路径名需要的字节数.
   cch = 1 + lstrlen(lpszLibName);

   // 在远程线程中为路径名分配空间.
   pszLibFileRemote = (PSTR)VirtualAllocEx(
    hProcess, 
    NULL, 
    cch, 
    MEM_COMMIT, 
    PAGE_READWRITE
    );

   if (pszLibFileRemote == NULL) 
    __leave;

   // 将DLL的路径名复制到远程进程的内存空间.
   if (!WriteProcessMemory(
    hProcess, 
    (PVOID)pszLibFileRemote, 
    (PVOID)lpszLibName, 
    cch, 
    NULL)) 
    __leave;

   // 获得LoadLibraryA在Kernel32.dll中的真正地址. 
   pfnThreadRtn = (PTHREAD_START_ROUTINE)GetProcAddress(
    GetModuleHandle(TEXT("Kernel32")), TEXT("LoadLibraryA"));

   if (pfnThreadRtn == NULL) 
    __leave;

   // 创建远程线程,并通过远程线程调用用户的DLL文件. 
   hThread = CreateRemoteThread(
    hProcess, 
    NULL, 
    0, 
    pfnThreadRtn, 
    (PVOID)pszLibFileRemote, 
    0, 
    NULL
    );
   if (hThread == NULL) 
    __leave;

   // 等待远程线程终止.
   WaitForSingleObject(hThread, INFINITE);
   bResult = TRUE; 
}
__finally 
{ 
   // 关闭句柄. 
   if (pszLibFileRemote != NULL) 
    VirtualFreeEx(hProcess, (PVOID)pszLibFileRemote, 0, MEM_RELEASE);
   if (hThread != NULL) 
    CloseHandle(hThread);
   if (hProcess != NULL) 
    CloseHandle(hProcess);
}
return bResult;
}
/*************************************
* BOOL GetProcessIdByName(LPSTR szProcessName, LPDWORD lpPID)
* 功能 通过进程名获取进程PID
*
* 参数 LPSTR szProcessName 进程名
*   LPDWORD lpPID   指向保存PID的变量
* 返回是否成功
**************************************/
BOOL GetProcessIdByName(LPSTR szProcessName, LPDWORD lpPID)
{
// 变量及初始化
STARTUPINFO st;
PROCESS_INFORMATION pi;
PROCESSENTRY32 ps;
HANDLE hSnapshot;
ZeroMemory(&st, sizeof(STARTUPINFO));
ZeroMemory(&pi, sizeof(PROCESS_INFORMATION));
st.cb = sizeof(STARTUPINFO);
ZeroMemory(&ps,sizeof(PROCESSENTRY32));
ps.dwSize = sizeof(PROCESSENTRY32);
// 遍历进程
hSnapshot = CreateToolhelp32Snapshot( TH32CS_SNAPPROCESS, 0);
if(hSnapshot == INVALID_HANDLE_VALUE)
{
   return FALSE;
}

if(!Process32First(hSnapshot,&ps))
{
   return FALSE;
}
do
{
   // 比较进程名
   if(lstrcmpi(ps.szExeFile,"explorer.exe")==0)
   {
    // 找到了
    *lpPID = ps.th32ProcessID;
    CloseHandle(hSnapshot);
    return TRUE;
   }
}
while(Process32Next(hSnapshot,&ps));
// 没有找到
CloseHandle(hSnapshot);
return FALSE;
}
/*************************************
* int WinMain(
*    HINSTANCE hInstance,
*    HINSTANCE hPrevInstance,
*    LPSTR lpCmdLine,
*    int nCmdShow
*    )
**************************************/
int WinMain(
    HINSTANCE hInstance,
    HINSTANCE hPrevInstance,
    LPSTR lpCmdLine,
    int nCmdShow
    )
{
DWORD dwPID;
// 提权,获取SE_DEBUG_NAME权限,
// 可以在其他进程的内存空间中写入、创建线程
if(0!=EnablePrivilege (SE_DEBUG_NAME))
   return 0;
// 获取目录进程的PID
if(!GetProcessIdByName("explorer.exe",&dwPID))
   return 0;
// 通过创建远程线程加载DLL
// 将msg.dll放置在系统目录下
if(!LoadRometeDll(dwPID,"msg.dll"))
   return 0;
return 1;
}

msg文件创建msg.dll文件
/* 头文件 */
#include <Windows.h>
#include <Psapi.h>
/* 链接 */
#pragma comment (lib, "Psapi.lib") 
/* 函数声明 */

// 使用__declspec(dllexport)声明导出函数
__declspec(dllexport) DWORD ExportExample(LPSTR szMsg, DWORD dwCode);

/*************************************
* DllMain
**************************************/
BOOL WINAPI DllMain(
      HINSTANCE hinstDLL, // DLL模块的句柄
      DWORD fdwReason,     // 调用的情况
      LPVOID lpReserved ) // reserved
{
// 在不同的情况下都会调用DllMain函数,分别处理
switch( fdwReason ) 
{ 
   // 加载Dll
   case DLL_PROCESS_ATTACH:
   {
    CHAR lpMainMoudleName[MAX_PATH];
    CHAR lpMessage[MAX_PATH+64];
    // 获取PID 和主模块名,将弹出消息框
    DWORD dwPID = GetCurrentProcessId();
    GetModuleBaseName(GetCurrentProcess(),NULL,lpMainMoudleName,MAX_PATH);
    wsprintf(lpMessage,"Process name: %s, PID: %u ",lpMainMoudleName,dwPID);
    MessageBox(NULL,lpMessage,"msg.dll",MB_OK);
    break;
   }
   // 新建线程
case DLL_THREAD_ATTACH:
   break;
   // 线程退出
case DLL_THREAD_DETACH:
   break;
   // 释放Dll
case DLL_PROCESS_DETACH:

   break;
}
return TRUE;
}

/*************************************
* DWORD ExportExample(LPSTR szMsg, DWORD dwCode)
* 功能 导出函数,显示消息
*
* 参数 LPSTR szMsg 字符串; DWORD dwCode 整形
**************************************/
DWORD ExportExample(LPSTR szMsg, DWORD dwCode)
{
LPVOID lpShowOut = HeapAlloc(GetProcessHeap(), 0, lstrlen(szMsg)+100);
wsprintf(lpShowOut,"%s,%d",szMsg,dwCode);
MessageBox(NULL,lpShowOut,"由导出函数弹出的消息!",MB_OK);
HeapFree(GetProcessHeap(), 0, lpShowOut);
return 0;
}


 

bizhu12
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CreateProcess注入方法
Lyntion的Blog
10-02 4859
采用CreateProcess的方法,实现起来比较复杂,但没有上面几种方法的局限性。且可以用其他工具(VC等)调试注入DLL。下面进行介绍.原理如下: 1.  用CreateProcess(CREATE_SUSPENDED)启动目标进程。 2.  找到目标进程的入口,用ImageHlp中的函数可以实现。 3.  将目标进程入口的代码保存起来。 4.  在目标进程的入口写入LoadLi
代码注入(提升当前进程权限,创建远程线程
MessCodes
12-23 1587
代码注入源码分析: [cpp] view plaincopy #include    #pragma comment(lib, "Advapi32.lib")   #pragma comment(lib, "User32.lib")      #define PATHNAME_LENGTH 256      void EnableDebu
线程注入
qiume的专栏
06-03 422
运行关键是隐藏,神不知鬼不觉才是王道.要隐藏,先要隐藏进程,Windows操作系统中程序以进程的<br /> 方式运行,大多数操作系统也是如此.任务管理器就可以看到当前运行的进程,所以有人HOOK相关枚举进程的函<br /> 数,让任务管理器不显示 进程,也有人把自己的 注册成服务运行,"任务管理器"不显示服务的.这样做只<br /> 是障眼法,进程还是存在的,最好的方法是让进程不存在,让 作为其他进程的一个线程来运行.Windows操<br /> 作系统提出了DLL的概念,其系
Win32创建远程线程
aigo10000的博客
05-06 153
0x00 相关介绍: Windows系统的进程拥有独立的虚拟地址空间 进程之间的虚拟地址空间互不干扰 在应用层,进程A可以通过WIN32API CreateRemoteThread进程B的虚拟地址空间中创建一个线程并且执行 0x01 核心API说明: HANDLE WINAPI CreateRemoteThread( _In_ HANDLE...
[提权] 使用 ShellCode 注入其他进程
LYSM
11-27 989
背景 如果将shellcode注入到具有特定权限的进程中,使用 ShellCode 创建进程就可以获得与该进程相同的权限。 本次使用的工具,依旧是上次编写的PETools: https://www.cnblogs.com/LyShark/p/12960816.html 提权降权工具下载地址: https://www.blib.cn/soft/pexec.zip 枚举系统进程,与进程权限令牌等。 #include <stdio.h> #include <Windows.h> #inc
远程线程注入_远程_远程线程_dll注入_注入_
10-01
远程线程注入是通过在目标进程创建一个新的线程,并在该线程上下文中执行指定的代码。这允许一个进程注入者)在另一个进程(被注入者)中运行其代码,而无需修改被注入进程的可执行文件。这一过程通常涉及以下...
使用远程线程注入DLL
08-04
远程线程注入是一种技术,主要用于在另一个进程的上下文中执行代码。这种技术在软件开发、调试、自动化测试以及恶意软件中都有应用。本篇将详细解释远程线程注入的概念、工作原理,以及如何通过代码实现。 远程线程...
易语言源码易语言创建远程线程源码.rar
03-30
在易语言中,创建远程线程涉及的关键函数是`创建远程线程`,这个函数允许你在指定进程中启动一个新的线程来执行特定的函数。通常,你需要提供以下几个参数: 1. **目标进程句柄**:通过`打开进程`函数获取到的...
易语言远程线程注入类模块
08-16
远程线程注入是Windows API中的一种技术,它允许一个进程注入者)在另一个已存在的进程(被注入者)中创建一个新的线程,并在这个新线程中执行指定的代码。这种技术常用于动态加载DLL(动态链接库)或者执行特定...
远程线程注入实现木马进程隐藏
05-05
远程线程注入就是在一个进程创建一个线程,但该线程的执行代码并非来自当前进程,而是来自另一个进程。这样,被注入的代码可以在目标进程中运行,实现对目标进程的控制。 实现远程线程注入通常需要以下步骤: 1....
C#版DLL远程线程注入源代码
01-21
C#没有自动调用WIN32的一些API函数,我们可以手动添加内核库到我们自己的代码中,从而实现调用win32API函数。 此方法不仅仅用于远程线程注入,还可以用于从MFC转C#过程中不知道如何用C#实现功能,但有知道如何用MFC实现功能的方法。
Python 形参和实参,局部变量和全局变量的含义理解及使用
Liii_NN的博客
09-15 2683
1、形参和实参 1.1 形参的含义及使用 1.2 实参的含义及使用 2、局部变量和全局变量 2.1 变量作用域的概念 2.2 局部变量 2.3 全局变量 2.4 修改全局变量值
win32api之进程创建与使用(二)
xf555er的博客
03-19 1580
在计算机操作系统中,进程是正在运行中的程序的实例。进程是操作系统进行资源分配和管理的基本单位,包括内存、文件句柄、系统状态等。每个进程都有自己的独立内存空间和运行状态,因此它们不会互相干扰,也不会互相影响。多个进程可以在操作系统上同时运行,每个进程都在自己的空间里执行自己的代码。
C# Hook(注入)指定进程
bruce135lee的专栏
08-03 5725
C# Hook(注入)指定进程,实现进程间通讯/数据转发demo demo实现HOOK ws2_32.dll两个函数Send和Recv,然后转入自己程序进行处理.详解C#EasyHook使用例子.源码分两部分,一部分是C#,一部分C++,C++的部分实现DllMain入口,C#注入进程以后创建Remoteing启动本地. 是新手学习C#注入进程/C# Hook 指定进程/C# Hook Socke...
Windows核心编程 跨进程操作
最新发布
qq_61553520的博客
11-24 1266
Winodws核心编程 跨进程使用句柄,跨进程操作内存
Process相关函数
weixin_40332490的博客
04-09 1933
函数功能 用来创建一个新的进程和它的主线程,这个新进程运行指定的可执行文件。 基本原理 执行一个外部程序实质上可以认为就是创建一个进程 windows系统下创建一个进程意味着: ① 创建一个内核对象:内核对象是windows系统用于管理进程的一个工具,可以认为是一个数据结构。 ② 创建一个地址空间:用于存放可执行文件的代码和数据 当调用CreateProcess()时,windows会自动创建一个...
如何提升进程的权限
weixin_34380781的博客
10-22 186
我们可以通过WriteProcessMemory函数直接修改其他进程的内存从而实现内存补丁或者游戏修改之类的功能,但是,有个问题,并不是所有的程序都是能够被写内存的,这从前面的日志 通过CreateToolhelp32Snapshot函数获得系统中当前运行的进程信息2 可以看出来,好多程序的打开状态是失败的。所以,提升当前进程的权限非常非常必要。程序实现的代码如下: Code#include&...
PROCESS_INFORMATION结构体说明
weixin_42077546的博客
07-22 1668
​​​​​​PROCESS_INFORMATION结构体如下: typedef struct _PROCESS_INFORMATION { HANDLE hProcess; //存放每个对象的与进程相关的句柄 HANDLE hThread; //返回的线程句柄。 DWORD dwProcessId; //用来存放进程ID号 DWORD dwThreadId; //用来存放线程ID号 } PROCESS_INFORMATION, *PPROCESS_INFORMATION, *LPPROCE.
C#内存修改
weixin_30904593的博客
11-12 503
先通过 System.Diagnostics.Process类获取想要编辑的进程 调用API [Flags] public enum ProcessAccessType { PROCESS_TERMINATE = (0x0001),...
请使用c++写出远程线程注入dll代码
09-09
远程线程注入DLL是一种技术,用于在目标进程注入自定义的动态链接库(DLL)并执行其中的代码。以下是一个使用C语言编写的远程线程注入DLL的代码示例: ```c #include #include #include int main() { // ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值