查看进程是否被注入线程(不在系统模块)

最新推荐文章于 2023-06-23 22:35:12 发布
最新推荐文章于 2023-06-23 22:35:12 发布
阅读量1.6k 收藏 3
点赞数 1
分类专栏: 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/henuyl/article/details/107518238
版权

有些进程被注入了某些恶意的线程(也可能不是恶意的)

首先我们拿到该进程的进程模块,用来对比进程中线程的模块是否在这里面

把这些模块放入到vector里面

便利该进程的所有线程获取模块的起始地址和大小,很快就可以得到伪装线程。

#pragma region 依赖
typedef enum _THREADINFOCLASS{
    ThreadBasicInformation,
    ThreadTimes,
    ThreadPriority,
    ThreadBasePriority,
    ThreadAffinityMask,
    ThreadImpersonationToken,
    ThreadDescriptorTableEntry,
    ThreadEnableAlignmentFaultFixup,
    ThreadEventPair_Reusable,
    ThreadQuerySetWin32StartAddress,
    ThreadZeroTlsCell,
    ThreadPerformanceCount,
    ThreadAmILastThread,
    ThreadIdealProcessor,
    ThreadPriorityBoost,
    ThreadSetTlsArrayAddress,
    ThreadIsIoPending,
    ThreadHideFromDebugger,
    ThreadBreakOnTermination,
    MaxThreadInfoClass
}THREADINFOCLASS;
typedef struct _CLIENT_ID{
    HANDLE UniqueProcess;
    HANDLE UniqueThread;
}CLIENT_ID;
typedef struct _THREAD_BASIC_INFORMATION{
    LONG ExitStatus;
    PVOID TebBaseAddress;
    CLIENT_ID ClientId;
    LONG AffinityMask;
    LONG Priority;
    LONG BasePriority;
}THREAD_BASIC_INFORMATION,*PTHREAD_BASIC_INFORMATION;
extern "C" LONG (__stdcall *ZwQueryInformationThread)(
    IN HANDLE ThreadHandle,
    IN THREADINFOCLASS ThreadInformationClass,
    OUT PVOID ThreadInformation,
    IN ULONG ThreadInformationLength,
    OUT PULONG ReturnLength OPTIONAL
    ) = NULL;
#pragma endregion

有些API或结构体是微软未公开的,但是被某些大牛给分析出来了,就比如ZwQueryInformationThread结构体。

 

当然,该检测是纯windows提供的API所写,某些“伪装者”可能利用一些方法,来隐藏自己。这时候需要写Windows驱动来检测,需要安装windows driver kit(WDK),这个以后再说把。

 

以下是本菜手写的API检测代码。

while (Process32Next(hProcessSnap,&process)){
		string s_szExeFile = process.szExeFile; // char* 转 string

		//if(s_szExeFile != "QQ.exe") continue;
		if(process.th32ProcessID == 0) continue;
		HANDLE hThreadSnap = INVALID_HANDLE_VALUE;			// 线程快照句柄 
		THREADENTRY32 te32;									// 线程快照信息
		// 创建线程快照
		hThreadSnap = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0);
		if (hThreadSnap == INVALID_HANDLE_VALUE){cout << "创建线程快照失败" << endl;continue;}

		// 为快照分派内存空间
		te32.dwSize = sizeof(THREADENTRY32);

		// 获取第一个线程的信息
		if (!Thread32First(hThreadSnap, &te32)){cout << "线程信息获取失败" << endl;continue;}
		// 拿进程所有模块信息
		HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,process.th32ProcessID);
		if (INVALID_HANDLE_VALUE == hSnapshot){continue;}
		MODULEENTRY32 mi; 
		mi.dwSize = sizeof(MODULEENTRY32); 
		BOOL bRet = Module32First(hSnapshot,&mi);
		struct szMoudleStr{
			DWORD modBaseAddr;
			ULONG32 modBaseSize;
			char szModule[256];
		};
		vector<szMoudleStr>szMoudleVec;
		while (bRet){   
			szMoudleStr sms;
			sms.modBaseAddr = (ULONG32)mi.modBaseAddr;
			sms.modBaseSize = (DWORD)mi.modBaseSize;
			strcpy(sms.szModule, mi.szModule);
			szMoudleVec.push_back(sms);
			bRet = Module32Next(hSnapshot,&mi);
		}

		// 遍历线程
		while (Thread32Next(hThreadSnap, &te32)){
			if(te32.th32OwnerProcessID == process.th32ProcessID){
				HANDLE hThread = ::OpenThread (
					THREAD_ALL_ACCESS,		// 访问权限,THREAD_ALL_ACCESS :所有权限
					FALSE,					// 由此线程创建的进程不继承线程的句柄
					te32.th32ThreadID		// 线程 ID
					);
				if(hThread == NULL){
					cout << "线程打开失败 :" << GetLastError() << "process:" << process.szExeFile << process.th32ProcessID << endl;
					continue;
				}
				setlocale(LC_ALL,".ACP");
				HINSTANCE hNTDLL = ::GetModuleHandle("ntdll");	
				(FARPROC&)ZwQueryInformationThread  = ::GetProcAddress(hNTDLL,"ZwQueryInformationThread");
				PVOID startaddr;						// 用来接收线程入口地址
				ZwQueryInformationThread(
					hThread,							// 线程句柄
					ThreadQuerySetWin32StartAddress,	// 线程信息类型,ThreadQuerySetWin32StartAddress :线程入口地址
					&startaddr,							// 指向缓冲区的指针
					sizeof(startaddr),					// 缓冲区的大小
					NULL								
				);
				
				int allFlag = true;
				int WgFlag = 0;
				int dbgFlag = true;

				if(dbgFlag)cout << "startAddr :" <<  startaddr;
				for(int i = 0; i < szMoudleVec.size(); i++){
					if((ULONG32)startaddr >= szMoudleVec[i].modBaseAddr && (ULONG32)startaddr < szMoudleVec[i].modBaseAddr + szMoudleVec[i].modBaseSize){
						allFlag = false;
						if(dbgFlag){
							printf("///modname : %s ----", szMoudleVec[i].szModule);
							cout << hex << "为系统模块 ---modBaseAddr:" << szMoudleVec[i].modBaseAddr << " ,modEndAddr:" << szMoudleVec[i].modBaseAddr + szMoudleVec[i].modBaseSize << endl;
						}
					}else{
						WgFlag = i;
					}
				}
				if(allFlag == true){
					if(dbgFlag){

						printf("pid = %d不是系统模块%s", process.th32ProcessID, szMoudleVec[WgFlag].szModule);
						cout << hex << "///modBaseAddr:" << szMoudleVec[WgFlag].modBaseAddr << " ,modEndAddr:" << szMoudleVec[WgFlag].modBaseAddr + szMoudleVec[WgFlag].modBaseSize << endl;
					}
					return true;
				}
			}
		}
	}
    return false;

加油啦!

henuyl
关注
专栏目录
进程注入检测方法
trents的专栏
09-18 5295
进程注入通常都是涉及 CreateRemoteThread调用。在内核会调用到NtCreateThread(2008,vista,win7是NtCreateThreadEx),所以检测方法是Hook NtCreateThread,在钩子函数中判别是否是CreateRemoteTh
进程模块查看工具-PCHunter
11-01
可以查看进程模块,检测DLL注入,手动清除木马病毒神器。
(转载)检测远程线程注入DLL
qq_39544982的博客
07-20 1161
作者:coNgY1 来源:CSDN 原文:https://blog.csdn.net/a893574301/article/details/80950571 参考GitHub上的AntiInject 1,远程进程注入DLL调用CreateRemoteThread这个API进行注入,而这个API会在目标进程中创建一个进程来调用LoadLibrary来加载自己想注入的DLL从而达到注入效果。 2,在一...
系统注入病毒排查
砚墨
08-17 604
1、#top –d 1 –c #查看异常进程 #netstat -anp #关注“SYN_SENT”进程 #lsof #查找异常进程 #ll /proc/PID |grep exe #查看进程物理路径 2、#Kill -19 PID (or kill -STOP PID) #暂停异常进程 #记录PID号,后面进行删除 3、删除对应的木马文件 先tar命令打包备份 #rm -fr /tmp/ssss 特殊文件删除 #chattr -aji file (可能还要操作目录#chattr -aji /tmp/) #
VC获取线程入口函数检测是否为远程注入
Koma的主页
07-23 695
之前用到过的,比较鸡肋的检测方法: DWORD_PTR g_dwLoadLibraryA = 0; DWORD_PTR g_dwLoadLibraryW = 0; DWORD_PTR g_dwLoadLibraryExA = 0; DWORD_PTR g_dwLoadLibraryExW = 0; DWORD_PTR WINAPI GetThreadStartAddr...
linux查进程注入,[翻译]向正在执行的linux程序中注入代码
weixin_39585378的博客
04-28 314
[翻译]向正在执行的linux程序中注入代码2016-5-30 11:224181[翻译]向正在执行的linux程序中注入代码2016-5-30 11:224181ps:文章是介绍Linux注入的,个人认为Linux和Android的注入基本相同,故放到Android安全板块了。原链接:http://www.codeproject.com/Articles/33340/Code-Injection...
三个小命令检查电脑是否被安装木马
yjmtv0817的专栏
11-01 474
一些基本的命令往往可以在保护网络安全上起到很大的作用,下面几条命令的作用就非常突出。一、检测网络连接如果你怀疑自己的计算机上被别人安装了木马,或者是中了病毒,但是手里没有完善的工具来检测是不是真有这样的事情发生,那可以使用Windows自带的网络命令来看看谁在连接你的计算机。具体的命令格式是:netstat -an这个命令能看到所有和本地计算机建立连接的IP,它包含四个部分
易语言远程线程注入模块
08-16
易语言远程线程注入模块是一种在编程中用于实现跨进程操作的技术,主要涉及Windows操作系统。这个模块允许程序在另一个已经运行的进程中创建并执行自定义的代码,从而实现诸如监控、调试、更新等目的。下面我们将...
C/C++ 进程模块内存注入[x86/x64]
05-30
2. **创建远程线程**:使用CreateRemoteThread函数在目标进程中创建一个新的线程,该线程将执行注入的代码。 3. **分配内存**:在目标进程中分配一块内存来存放DLL的路径或代码,可以使用VirtualAllocEx函数。 4. ...
易语言远程线程注入模块源码-易语言
06-13
在本压缩包中,"远程线程注入_080611_2314.e" 文件是一个易语言编写的类模块源码,专门用于实现远程线程注入的技术。 远程线程注入是Windows系统中的一种高级编程技术,常用于调试、监控、注入代码到其他进程等场景...
CC++ 进程模块内存注入[x86x64] Windows R3 无模块注入
最新发布
06-23
本文将深入探讨“CC++ 进程模块内存注入[x86x64]”的概念,这是一种针对Windows操作系统的技术,它允许代码在目标进程中执行而无需加载额外的模块。我们将讨论其工作原理、实现方法以及与Windows R3(Ring 3)权限...
绕开驱动层检测的无痕注入
陈子青的博客
07-18 1438
搜了标题相关的文章既然没有?想要源码可私信~~~
C# Hook(注入)指定进程
bruce135lee的专栏
08-03 5771
C# Hook(注入)指定进程,实现进程间通讯/数据转发demo demo实现HOOK ws2_32.dll两个函数Send和Recv,然后转入自己程序进行处理.详解C#EasyHook使用例子.源码分两部分,一部分是C#,一部分C++,C++的部分实现DllMain入口,C#注入进程以后创建Remoteing启动本地. 是新手学习C#注入进程/C# Hook 指定进程/C# Hook Socke...
Windows和Linux动态注入
梦的灰色边沿...
06-23 1522
  摘要:最近对动态注入有一些兴趣因此搜索了些资料,简单整理了下相关的技术实现。本文只能够带你理解何如注入以及大概如何实现,对注入的方法描述的并不详细。   关键字:dll注入,hook,提权   读者须知:读者需要对Windows和Linux dll加载的基本流程比较熟悉。   注入就是将自己的代码注入到目标进程中强制目标进程执行,而动态注入就是将动态库强制加载进目标进程进程空间从而对目标进程进行修改。动态注入有利有弊,可以用于反病毒、反外挂也可以用于投毒或者制作外挂。 1 DLL注入   DLL是wi
检测是否有dll被注入
125096
05-05 5425
#include #include #include #include #include using namespace std; typedef basic_string, allocator > tstring; int ProcessModule(DWORD); int CheckProcessModule(DWORD pid); BOOL IsModuleValid(tstr
逆向随笔——对可以过TP的注入驱动的一次逆向
Lixinist的博客
10-21 2399
前言: 逆一些东西,有点收获,就写篇随笔记录一下。因为写的随便,就不发看雪了。 今天一个朋友给我发了一个说是可以过TP的注入驱动,希望我逆一下看看是什么套路。 正文: 接收过来压缩包,看了一下 loadddll32和64分别是用在32和64的驱动,MemOpe和dnf.exe都是测试用例(不过我是用自己写的123.exe进行测试)。 先跑起来,看看线程模块上有没有什么特别的地方 有一个线程P...
遍历进程线程
qq_25420503的专栏
03-02 1388
typedef struct _CL_PROCESS_THREADINFO { LPVOID pvStartAddr; // 线程的起始地址 DWORD dwTid; // 线程Id WCHAR wszModuleName[MAX_PATH]; // 所属的模块路径 }CL_PROCESS_THREADINFO;  BOOL CLThread::QueryThreadInf
[笔记]Windows核心编程《番外篇》常用的NT API及使用示例
二次元怪兽的博客
05-19 1461
文章目录前言NtQueryInformationProcess函数原型附录用例总结 前言 NTAPI:泛指ntdll.dll模块不对外提供的API接口 一般通过动态载入库的方式(LoadLibrary + GetProcAddress)调用 NtQueryInformationProcess NtQueryInformationProcess NtQueryInformationProcess用法 函数原型 NTSYSCALLAPI NTSTATUS NTAPI NtQueryInformationPro
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值