线程的远程注入

最新推荐文章于 2023-05-15 15:27:42 发布
最新推荐文章于 2023-05-15 15:27:42 发布
阅读量1k 收藏
点赞数
分类专栏: 【注入】

本文来自CSDN博客,转载请标明出处:http://blog.csdn.net/vcforever/archive/2005/03/15/320144.aspx

 

在上一篇文章《线程的远程注入》中介绍了如何让其他的进程中执行自己的代码的一种方法
及自己定义一个线程,在线程体中编写执行代码,然后使用VirtualAllocEx函数为线程体以
及线程中用到的字符常量和调用的MessageBox入口函数地址,在目标进程中开辟存储区,然
后再通过WriteProcessMemory函数,将这些数据写入目标进程的地址空间中。最后通过
CreateRemoteThread函数,让自己的线程运行在目标进程中。

上面的方法需要为线程和常量在目标进程中开辟足够的存储空间,而且这个空间的大小很难
确定,稍不注意就会发生访问违规的错误。

下面我来介绍另外一种在其他进程中执行自己的代码的方法,让目标进程加载我们自己编写的
DLL模块。

首先我们来创建一个DLL模块(稍后我们将要把这个DLL加载到目标进程中,让目标进程来运行
DLL中的代码)。
我们创建的这个DLL模块非常简单,只是得到加载该DLL的进程的ID,然后通过MessageBox函数
显示出来,当然也可以写一些复杂的代码。不过我们这里只是介绍一下方法,有个显示结果足
以:)。下面就是DLL模块的代码:

[cpp]  view plain copy
  1. //Test.dll源代码  
  2. //  
  3. #include <windows.h>  
  4. BOOL APIENTRY DllMain(HANDLE hMoudle, DWORD dwReason, LPVOID lpReserved)  
  5. {  
  6.     char* pszProcessId = (char*)malloc(10*sizeof(char));  
  7.     switch(dwReason) {  
  8.         case DLL_PROCESS_ATTACH:  
  9.         _itoa(GetCurrentProcessId(), pszProcessId, 10);  
  10.         MessageBox(NULL, pszProcessId, "Notice", MB_ICONINFORMATION | MB_OK);  
  11.         case DLL_PROCESS_DETACH:  
  12.         case DLL_THREAD_ATTACH:  
  13.         case DLL_THREAD_DETACH:  
  14.         break;  
  15.     }  
  16.     return TRUE;  
  17. }  
 

下一步我们就可以专注于如何把这个DLL挂接到目标进程中。

首先我们通过OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessId)来打开我们试图加载DLL的进程(注意
进程的打开权限一定要设置为PROCESS_ALL_ACCESS,因为我们要在目标进程中创建线程)。

然后我们可以使用CreateRemoteThread来创建LoadLibraryA线程来启动我们的这个DLL。
LoadLibraryA存在于系统的kernel32.dll中用来加载DLL模块,该函数只有一个参数就是DLL文件的名称(该
名称包括路径)。由于加载DLL的操作是在其他进程中进行,所以我们必须把DLL的文件名称拷贝到目标进程
的地址空间中。

我们必须计算出该文件名所占的内存空间

int nLength = (strlen(pszFileName)+1)*sizeof(char);
接下来使用VirtualAllocEx函数为DLL文件名在目标进程中分配地址空间,在使用WriteProcessMemory将
DLL的文件名拷贝到刚刚分配的地址中。

下一步就是取得LoadLibraryA函数的入口地址
PTHREAD_START_ROUTINE pfnLoadLibraryA =
(PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle("Kernel32.dll"), "LoadLibraryA");
因为kernel32.dll模块是系统的核心模块,所以该模块中的函数地址在所有进程中全都相同。
我们在本进程中得到的LoadLibraryA函数的入口地址同样适用于其他进程。

所有条件已经具备,最后我们使用CreateRemoteThread函数,将LoadLibraryA函数的入口地址以及DLL的文件
名作为参数,即可让目标进程加载我们自己的DLL,至于你要让你的DLL中运行什么代码,就自己看着办吧!

让远程进程挂接自己的DLL的思路就是这样,下面给出完整代码:

[cpp]  view plain copy
  1. #include <windows.h>  
  2. #include <psapi.h>  
  3. #include <string>  
  4. #include <iostream>  
  5. #pragma comment(lib, "Psapi.lib")  
  6. //提升进程访问权限  
  7. void enableDebugPriv()  
  8. {  
  9.     HANDLE hToken;  
  10.     LUID sedebugnamue;  
  11.     TOKEN_PRIVILEGES tkp;  
  12.     if (!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))  
  13.         return;  
  14.     if (!LookupPrivilegue(NULL, SE_DEBUG_NAME, &sedebugnamue)) {  
  15.         CloseHandle(hToken);  
  16.         return;  
  17.     }  
  18.     tkp.PrivilegeCount = 1;  
  19.     tkp.Privileges[0].Luid = sedebugnamue;  
  20.     tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;  
  21.     if (!AdjustTokenPrivileges(hToken, FALSE, &tkp, sizeof(tkp), NULL, NULL))  
  22.         CloseHandle(hToken);  
  23.     }  
  24.     //根据进程名称取得进程ID,如果有多个运行实例则返回第一个枚举出来的进程ID  
  25. DWORD getSpecifiedProcessId(const char* pszProcessName)  
  26. {  
  27.     DWORD processId[1024], cbNeeded, dwProcessesCount;  
  28.     HANDLE hProcess;  
  29.     HMODULE hMod;  
  30.     char szProcessName[MAX_PATH] = "UnknownProcess";  
  31.     DWORD dwArrayInBytes = sizeof(processId)*sizeof(DWORD);  
  32.     if (!EnumProcesses(processId, dwArrayInBytes, &cbNeeded))  
  33.         return 0;  
  34.     //计算数组中的元素个数  
  35.     dwProcessesCount = cbNeeded / sizeof(DWORD);  
  36.     enableDebugPriv();  
  37.     for (UINT i = 0; i < dwProcessesCount; i++) {  
  38.         hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, processId[i]);  
  39.         if (!hProcess) {  
  40.             continue;  
  41.         } else {  
  42.             if (EnumProcessModules(hProcess, &hMod, sizeof(hMod), &cbNeeded)) {  
  43.                 GetModuleBaseName(hProcess, hMod, szProcessName, sizeof(szProcessName));  
  44.                 if (!_stricmp(szProcessName, pszProcessName)) {  
  45.                     CloseHandle(hProcess);  
  46.                     return processId[i];  
  47.                 }  
  48.             }  
  49.         }  
  50.     }  
  51.     CloseHandle(hProcess);  
  52.     return 0;  
  53. }  
  54. int main(int argc, char* argv[])  
  55. {  
  56.     std::cout << "please input the name of target process !" << std::endl;  
  57.     //等待输入进程名称  
  58.     std::string strProcessName;  
  59.     std::cin >> strProcessName;  
  60.     //在这里为了简单起见,使用了绝对路径  
  61.     char szDllPath[MAX_PATH] = "D://test.dll";  
  62.     char szFileName[MAX_PATH] = "D://test.dll";  
  63.     //提升进程访问权限  
  64.     enableDebugPriv();  
  65.     if (strProcessName.empty()) {  
  66.         MessageBox(NULL, "The target process name is invalid !""Notice", MB_ICONSTOP);  
  67.         return -1;  
  68.     }  
  69.     //根据进程名称得到进程ID  
  70.     DWORD dwTargetProcessId = getSpecifiedProcessId(strProcessName.c_str());  
  71.     HANDLE hTargetProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwTargetProcessId);  
  72.     if (!hTargetProcess) {  
  73.         MessageBox(NULL, "Open target process failed !""Notice", MB_ICONSTOP);  
  74.         return -1;  
  75.     }  
  76.     //计算DLL文件名称所占的存储空间  
  77.     int memorySize = (strlen(szDllPath) + 1) * sizeof(char);  
  78.     //在目标进程中开辟存储空间,用来存放DLL的文件名称  
  79.     char* pszFileNameRemote = (char*)VirtualAllocEx(hTargetProcess,  
  80.         0, memorySize, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);  
  81.     if (!pszFileNameRemote) {  
  82.         MessageBox(NULL, "Alloc dll name string in target process failed !""Notice", MB_ICONSTOP);  
  83.         return -1;  
  84.     }  
  85.     //将DLL的文件名写入目标进程地址空间  
  86.     if (!WriteProcessMemory(hTargetProcess, pszFileNameRemote,  
  87.         (LPVOID)szFileName, memorySize, NULL)) {  
  88.         MessageBox(NULL, "Write dll name string to target process failed !",  
  89.             "Notice", MB_ICONSTOP);  
  90.         return -1;  
  91.     }  
  92.     PTHREAD_START_ROUTINE pfnStartAddr =  
  93.         (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle("kernel32.dll"), "LoadLibraryA");  
  94.     HANDLE hRemoteThread = CreateRemoteThread(hTargetProcess,  
  95.         NULL, 0, pfnStartAddr, pszFileNameRemote, 0, NULL);  
  96.     WaitForSingleObject(hRemoteThread, INFINITE);  
  97.     VirtualFreeEx(hTargetProcess, 0, memorySize, NULL);  
  98.     if (hRemoteThread)  
  99.         CloseHandle(hTargetProcess);  
  100.     return 0;  
  101. }  
 

本文参考了西祠高手shotgun的《揭开木马的神秘面纱》,代码为自己所写,放在这里供大家参考。
大家可以参考上面的步骤自己实现一遍!

眉头一皱计上心来
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用远程线注入DLL
08-04
远程线注入,含代码。 详细介绍远程线注入,并且包含完整代码。 远程线注入,含代码。 详细介绍远程线注入,并且包含完整代码。
远程线注入技术(3)之DLL以数据形式注入
bobopeng
06-02 713
这种方式介于注入DLL与注入数据之间,兼容了两种注入方式的优点。 这种注入
线程访问数据库插入数据
qq_38349413的博客
06-08 4102
数据量大,插入数据库耗时长,多线程插入数据,springBoot+线程池+mybatisPlus
intel cpu保护模式分页机制详细解析
HsiaoShawn的博客
05-15 840
intel实际上是先确定了页的大小,为4KB。那么物理页要求的索引应该是4096,也就是2的12次方,这个12次方实际上就是最后的12。当初的物理内存比较小,所以4个字节的PTE就够了,又因为页的尺寸是4K,所以一个页能存储1024个 PTE ,也就是2的10次方 第二个10也就确定了。第一个10同理,四字节的PDE,而页是4096,所以能储存1024个PDE,也就是2的10次方。页的大小是4K,这点是不能动的。那么最后12位依旧是12位。
远程线注入技术(2)之数据的注入
bobopeng
06-02 1280
首先我们需要知道对于“远程线程”以及“远程线注入代码”的定义。实际上,远程线程就是进程A在进程B中创建了一个线程,这个线程的代码将会做出我们已经在程序中描述的内容。说到这里,可能小伙伴们会有疑问了,在windows 9x之后虚拟存储器使每个进程都具有自己的地址空间,保证了每个进程之间互不干扰。但是在这里又说进程A可以在进程B中创建一个线程,你是在逗我吗?实际上我没有逗你。虽然每个进程在32位机上
远程线注入.rar
09-18
在 Windows 中有多种方法实现 DLL 注入,可以使用消息钩子注入 DLL(参考《DLL 注入之 Windows 消息钩子》这篇文章),...而使用远程线注入的方法可以实现准确地在指定时刻将 DLL 注入到指定的进程中,其可控性较好。
DLL远程线注入源码
01-20
DLL远程线注入源码结合VC++ VB等实现 包括说明
远程线注入_远程_远程线程_dll注入_注入_
10-01
创建远程线注入目标进程dll详情代码有注释
InjectDLL代码 实现远程注入线程.zip
03-28
InjectDLL代码 实现远程线注入.zip
枚举64位进程模块+查询64位进程的线程所属模块文件路径-易语言
06-12
该源码是 eWOW64Ext v1.21 的一个演示例子,完全使用了 eWOW64Ext 的方法 来枚举64位进程模块; 提供了两种方法来cha询64位进程的线程所属模块文件路径,该功能还没有易语言 方面的开源资料,本次为首次开源。
远程线注入DLL-读取指定进程中的模块
lk_HIT的博客
02-08 1082
步骤: (1)用VirtualAllocEx函数在远程进程的地址空间中分配一块内存 (2)用WriteProcessMemory把函数DLL的路径名字复制到第一步分配的内存中 (3)用GetProcAddress函数来得到LoadLibraryW或LoadLibraryA函数在Kernel32.dll中的实际地址 解释下为什么可以这么做: *为什么可以直接用GetProcAddress获...
远程线注入引出的问题
weixin_33713707的博客
08-30 553
远程线注入引出的问题   一、远程线注入基本原理 远程线注入——相信对Windows底层编程和系统安全熟悉的人并不陌生,其主要核心在于一个Windows API函数CreateRemoteThread,通过它可以在另外一个进程中注入一个线程并执行。在提供便利的同时,正是因为如此,使得系统内部出现了安全隐患。常用的注入手段有两种:一种是远程的dll的注入,另一种是远程代码的注入。后者...
第三章 远程线注入(附源码)
test\\的博客
12-01 1192
目录前言函数介绍OpenProcess函数语法参数返回值VirtualAllocEx函数语法参数返回值WriteProcessMemory函数语法参数返回值GetProcAddress函数语法参数返回值CreateRemoteThread函数语法参数返回值示例程序代码DLL代码测试原理学习 前言 远程线注入是指一个进程在另一个进程中创建线程的技术。 函数介绍 OpenProcess函数 打开一个已存在的进程对象,并返回进程的句柄。 语法 HANDLE OpenProcess( [in] DWORD d
Dll注入技术之远程线注入
热门推荐
Hades的博客
04-25 1万+
Dll注入技术之远程线注入测试环境系统:Windows 10 64bit注入目标: win7 64bit 计算器(这个软件用着习惯,所以我从win7上拷贝到win10上了)主要思路:1.使用进程PID打开进程,获得句柄2.使用进程句柄申请内存空间3.把dll路径写入内存4.创建远程线程,调用LoadLibrary5.释放收尾工作或者卸载dll主要函数://打开进程HANDLE WINAPI Op...
远程线注入
qq_40710190的博客
05-04 586
远程线注入 远程线注入是最基础的一种注入方式,因为其调用了CreateRemoteThread()函数而得名。但是因为其是最基础的注入方式,调用了windows API而特征明显,所以非常容易被检测出来。 这次的实验对象是notepad.exe #include <Windows.h> #include <stdio.h> #include <TlHelp32.h> #include <iostream> using namespace std; BOO
挂接CreateProcessW实现对进程创建的完全控制
08-05 1400
SystEm32:这份文档演示了如何实现全局HOOK>+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++【前言】【概述】【copy-on-write】【三种可行的办法】【完整演示代码】【资源】++++++++++++++++++++++++++++++++++++++
c# 创建远程线注入
最新发布
11-18
对于C语言,它是一种通用的高级编程语言,具有结构化编程和机器级语言相对应的特性。它由美国计算机科学家丹尼斯·里奇所发明,最早用于UNIX操作系统的开发。C语言在系统软件、应用软件、驱动程序、编译器等领域都...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值