VB 远程注入/卸载/自我删除(RtlCreateUserThread)

最新推荐文章于 2022-09-09 23:27:00 发布
最新推荐文章于 2022-09-09 23:27:00 发布
阅读量7.4k 收藏 12
点赞数 1
文章标签: vb function string access dll 多线程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenhui530/article/details/3119107
版权
本文介绍了如何使用VB中的RtlCreateUserThread API创建远程线程,实现DLL的注入和卸载功能。通过示例代码展示了如何创建多线程,以及如何对指定进程进行DLL注入和卸载操作,适用于软件开发和外挂编写等场景。
摘要由CSDN通过智能技术生成

 最近才发现的“RtlCreateUserThread”(下步调用ZwCreateThread)这可是个好东西,可以创建远程线程,也可以用来写多线程程序,但是在VB里好像还是不是很稳定只能用API。

 

这篇文章给大家一种不同于(CreateRemoteThread)但是原理是一样(都是通过ZwCreateThread创建线程)创建远程线程,实现注入和卸载功能。对于一些编写外挂,或者对Shellcode感兴趣的人是非常有用的学习资料。

 

 

多线程实例

Public Function CreateThread(ByVal hProcess As Long, ByVal StartAddress As Long, ByVal Parameter As Long, ByRef Cid As CLIENT_ID) As Long
    Dim hThread As Long
    Dim ntStatus As Long
    ntStatus = RtlCreateUserThread(hProcess, ByVal 0&, 0, 0, 0, 0, StartAddress, Parameter, hThread, Cid)
    CreateThread = hThread
End Function

 

Public Sub ThreadProc(ByVal Parameter As Long)
    Do While gblnRunning
        Form1.List1.AddItem CStr(Parameter)
        Parameter = Parameter + 1
    Loop
    RtlExitUserThread 0
End Sub

 

 

 in form

 

Option Explicit

Private Sub cmdDelMe_Click()
    DeleteMe Val(txtInput(0).Text)
    Unload Me
End Sub

Private Sub cmdInject_Click()
    If Not IsNumeric(txtInput(0).Text) Then
        MsgBox "请输入正确的PID!!", vbCritical, "提示"
        txtInput(0).SetFocus
        Exit Sub
    End If
    If Dir(txtInput(1).Text, 1 Or 2 Or 4) = "" Then
        MsgBox "DLL不存在!!", vbCritical, "提示"
        txtInput(1).SetFocus
        Exit Sub
    End If
    InjectDll Val(txtInput(0).Text), txtInput(1).Text
End Sub

Private Sub cmdUnInject_Click()
    If Not IsNumeric(txtInput(0).Text) Then
        MsgBox "请输入正确的PID!!", vbCritical, "提示"
        txtInput(0).SetFocus
        Exit Sub
    End If
    If Dir(txtInput(1).Text, 1 Or 2 Or 4) = "" Then
        MsgBox "DLL不存在!!", vbCritical, "提示"
        txtInput(1).SetFocus
        Exit Sub
    End If
    UnInjectDll Val(txtInput(0).Text), txtInput(1).Text
End Sub
in module

 

 

Option Explicit

Public Type CLIENT_ID
    UniqueProcess As Long
    UniqueThread  As Long
End Type

Private Declare Function RtlCreateUserThread Lib "ntdll.dll" (ByVal hProcess As Long, _
                                                              ByRef ThreadSecurityDescriptor As Any, _
                                                              ByVal CreateSuspended As Long, _
                                                              ByVal ZeroBits As Long, _
                                                              ByVal MaximumStackSize As Long, _
                                                              ByVal CommittedStackSize As Long, _
                                                              ByVal StartAddress As Long, _
                                                              ByVal Parameter As Long, _
                                                              ByRef hThread As Long, _
                                   

最低0.47元/天 解锁文章
chenhui530
关注
RtlCreateUserThread实现Dll注入
KOOKNUT的博客
05-15 1982
RtlCreateUserThread函数当然也是ntdll导出的函数,这个比之前的NtCreateThreadEx是要强点的,最起码还能看得见参数有几个,hhhhh,难顶啊。 但是使用RtlCreateUserThread的过程中,需要注意一个问题,那就是需要自己结束自己。正常的启动线程函数比如CreateThread调用,他们的起始地址都是Ethread.StartAddress的地址(kernel32.dll下的 BaseThreadStart地址),线程函数由他们负责执行,然后执行后会调用Exi
深入理解反射式dll注入技术
m0_67698950的博客
06-22 1643
前言dll 注入技术是让某个进程主动加载指定的 dll 的技术。恶意软件为了提高隐蔽性,通常会使用 dll 注入技术将自身的恶意代码以 dll 的形式注入高可信进程。常规的 dll 注入技术使用 LoadLibraryA() 函数来使被注入进程加载指定的 dll。常规dll注入的方式一个致命的缺陷是需要恶意的 dll 以文件的形式存储在受害者主机上。这样使得常规 dll 注入技术在受害者主机上留下痕迹较大,很容易被 edr 等安全产品检测到。为了弥补这个缺陷,stephen fewer 提出了反射式 dll
VB远程注入
11-10
一个从pudn上得来的,稍微修改就可进行实际应用。 仅仅实现注入卸载,没别的功能。请注意甄别。
CreateRemoteThread RtlCreateUserThread NtCreateThreadEx
dre4merp
05-16 872
函数原型 HANDLE CreateRemoteThread( HANDLE hProcess, // handle to process LPSECURITY_ATTRIBUTES lpThreadAttributes, // SD SIZE_T dwStackSize, // initial stack size LPTHREAD_START_ROUTINE lpStartAddress...
DLL-Injector-In-VB.NET:以VB.NET实作CreateThread做LoadLibraryA远程注入DLL
06-27
DLL-Injector-In-Visual-Basic.NET 以VB.NET实作CreateThread做LoadLibraryA远程注入DLL.
RtlCreateUserThread创建用户线程
Rprop
02-19 5213
HANDLE WINAPI RLIBCreateThread(HANDLE hProcess, SECURITY_ATTRIBUTES *sa, SIZE_T stack, LPTHREAD_START_ROUTINE start, LPVOID param, DWORD flags, LPDWORD id ) { HANDLE handle; CLIENT_ID client_id; NT
Inject集合----远程线程注入RtlCreateUserThread
qq_42021840的博客
05-16 2155
之前我写过关于用CreateRemoteThread和NtCreateThreadEx 进行DLL注入,但是我想起之前还有一个函数可以实现远程线程注入,那就是今天的主角RtlCreateUserThread,它和NtCreateThreadEx 一样,也是一个未公开的函数,但是它和CreateRemoteThread和NtCreateThreadEx使用方法是一样的,并没有什么升级的操作。 我在网上看到说,RtlCreateUserThread其实是对NtCreateThreadEx的包装。 ...
VB远程线程注入卸载技术解析
"VB 远程注入卸载自我删除技术" 在VB编程中,远程线程注入是一种高级技术,常用于软件开发、调试以及某些特殊应用,如外挂的制作。该技术允许一个进程(注入者)在另一个进程中创建一个新的线程,并执行由注入者...
X32进程注入x64DLL到x64进程
墨鱼菜鸡
09-09 600
在x32程序中获得x64函数地址是找到这个项目,之后根据自己的理解稍微改了改代码,测试之后能够正常的注入,代码如下 #include "stdafx.h" #include "x32Injectx64.h" #include <Windows.h> #include "wow64ext.h" #pragma comment(lib,"wo...
内存启动EXE(VB源代码)
12-24
5. **模拟执行**:最后,使用`CreateThread`或`RtlCreateUserThread` API创建一个新的线程,让其从EXE的入口点开始执行。 6. **调用API**:VB中实现这些操作通常需要使用WinAPI函数,因此需要包含`kernel32.dll`和`...
vb.net远线程注入
08-02
vb.net远线程注入
旧话重提_关于vb, vb.net, c#.net下dll远线程注入
NicX的专栏
08-02 3343
最近有朋友向我询问其他.net语言下的远线程注入.具体原理请参见我原来在CSDN上发过的一篇文章:也谈VB远线程注入 Dll注入: http://topic.csdn.net/t/20060529/17/4786550.html  现在将C#的实现附上. http://dl2.csdn.net/down4/20070802/02085719635.rarvb.net的: htt
VB禁止Ctrl+Alt+Del的源码
gzhoney的专栏
12-11 2331
Option Explicit注意,以下所有双版本的API均声明成了 UNICODE 版。 并且许多地方与VB的API浏览器生成的代码有所不同。Private Declare Function OpenProcess Lib "kernel32" (ByVal dwDesiredAccess As Long, ByVal bInheritHandle As Long, ByVal dwProce
VB远程注入卸载DLL代码
gzhoney的专栏
12-11 1142
 http://community.csdn.net/Expert/topic/5219/5219055.xml?temp=.7609217很多人说VB不能远程注入DLL,其实是错误的VB其实也能象C++等其他语言一样轻松搞定!!不信请看下面代码!更多精彩的代码请访问我的博客。其实网上也有类似VB代码但是只有注入没有下载,而且注入通用性很差很多会出现非法操作,我的这个代码经过充分测试包括系统进
使用远程线程注入的三个函数CreateRemoteThread、NtCreateThreadEx、RtlCreateUserThread
商少
07-17 6182
远程线程注入的三个函数 CreateRemoteThread HANDLE WINAPI CreateRemoteThread( _In_ HANDLE hProcess, _In_ LPSECURITY_ATTRIBUTES lpThreadAttributes, _In_ SIZE_T dwSta
远程线程注入
weixin_41875267的博客
09-09 288
本文记录了最普通的一种dll注入方式——远程线程注入,以便日后复习用。 首先准备一个要注入dll(步骤略),准备一个32位程序,本文使用扫雷。将扫雷和dll放在同一目录,运行扫雷。 然后编写程序,将dll加载到扫雷的内存中。 // 多字节字符集 #include <Windows.h> #include <stdio.h> BOOL EnableDebugPrivilege(); int main() { // 提权(win10) EnableDebug...
DLL远程注入卸载技术详解
lithe的Blog
10-14 3538
 DLL远程注入技术是目前Win32病毒广泛使用的一种技术。使用这种技术的病毒体通常位于一个DLL中,在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)中运行。这样一来,普通的进程管理器就很难发现这种病毒了,而且即使发现了也很难清除,因为只要病毒寄生的进程不终止运行,那么这个DLL就不会在内存中卸载,用户也就无法在资源管理器中删除这个DLL文件,真可谓
VB 远线程注入技术 屏蔽 Ctrl+Alt+Del
yingfox的专栏
11-14 1501
 在NT平台下,用户登陆是使用Winlogon和GINA——Graphical Identification and Authentication,意思是图形化的身份认证。Winlogon是Windows系统的一部分,它专门提供交互式登陆支持,而GINA则是Winlogon用来实现认证的一个DLL——这个DLL就是msgina.dll。WlxInitialize、WlxActivateUs
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值