远程线程
先创建一个线程:
#include <stdio.h>
#include <windows.h>
void Fun()
{
for (int i = 0; i < 10; i++)
{
Sleep(200);
printf("FUN(%d)-------------------\n",i+1);
}
}
DWORD WINAPI ThreadProc(LPVOID lpParameter)
{
Fun();
return 0;
}
int main()
{
HANDLE hThread = CreateThread(NULL, 0,ThreadProc, NULL, 0, NULL);
CloseHandle(hThread);
getchar();
return 0;
}
远程线程函数
#include <stdio.h>
#include <windows.h>
BOOL WINAPI Remote(DWORD dwProcessid,DWORD dwProcessAddr)
{
//1.获取进程句柄
HANDLE hProcess;
HANDLE hThread;
DWORD dwThreadid;
dwThreadid = 0;
hProcess = 0;
hThread = 0;
hProcess = OpenProcess(PROCESS_ALL_ACCESS,FALSE,dwProcessid);
if(hProcess == NULL)
{
OutputDebugString("OpenProcess ERROR!");
return FALSE;
}
//2.创建远程线程
hThread = CreateRemoteThread(hProcess,NULL,0,(LPTHREAD_START_ROUTINE )dwProcessAddr,NULL,0,&dwThreadid);
if(hThread == NULL)
{
OutputDebugString("CreateRemoteThread ERROR!");
return FALSE;
}
//3.关闭
CloseHandle(hProcess);
CloseHandle(hThread);
return TRUE;
}
int main()
{
Remote(10708,0x004010C0);
return 0;
}
最后调用Remote函数参数:
一个是在processExplorer查看pid
一个是在创建的进程中调试获得
运行一次远程线程,之前的线程就运行一次
远程线程注入
使用:
使用InjectDll.exe,注入myhack.dll
查看processexplore 和 debugview:
远程线程注入的示例
根据《逆向工程核心原理》的注入部分:
InjectDll.exe和修改后的myhack.dll
注释摘自https://the_itach1.gitee.io/2021/03/09/DLL%E6%B3%A8%E5%85%A5%E6%8A%80%E6%9C%AF/
#include"Windows.h"
#include"tchar.h"
#include"stdio.h"
BOOL InjectDll(DWORD dwPID, LPCTSTR szDllPath)
{
HANDLE hProcess = NULL, hThread = NULL;//目标进程的句柄
HMODULE hMod = NULL;
LPVOID pRemoteBuf = NULL; //向目标进程申请内存空间的首地址。
DWORD dwBufSize = (DWORD)(_tcslen(szDllPath) + 1) * sizeof(TCHAR);//我们写的DLL路径的字符串长度大小,记得加一个1,字符串以'\0'结尾。
LPTHREAD_START_ROUTINE pThreadProc; //线程的起点函数地址。
//获得目标进程的句柄,让我们可以操作这个进程
if (!(hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID)))
{
_tprintf(L"OpenProcess(%d) failed!!! [%d]\n", dwPID, GetLastError());
return false;
}
//向目标进程申请一个可以存放DLL路径字符串长度大小的空间。
pRemoteBuf = VirtualAllocEx(hProcess, NULL, dwBufSize, MEM_COMMIT, PAGE_READWRITE);
//将DLL路径字符串写人这个申请的空间。
WriteProcessMemory(hProcess, pRemoteBuf, (LPVOID)szDllPath, dwBufSize, NULL);
//获取"kernel32.dll"动态链接库的模块句柄,用来调用其中的"LoadLibraryW"函数。
hMod = GetModuleHandle(L"kernel32.dll");
//所执行的线程函数地址设置为LoadLibraryW()API函数,使这个函数调用pRemoteBuf这个参数,也就是加载我们的DLL。
pThreadProc = (LPTHREAD_START_ROUTINE)GetProcAddress(hMod, "LoadLibraryW");
//创建一个线程,hProcess为目标进程, pThreadProc为线程函数地址, pRemoteBuf为向这个函数传入的参数。
hThread = CreateRemoteThread(hProcess, NULL, 0, pThreadProc, pRemoteBuf, 0, NULL);
WaitForSingleObject(hThread, INFINITE);
CloseHandle(hThread); //关闭线程句柄
CloseHandle(hProcess); //关闭进程句柄
return TRUE;
}
int _tmain(int argc, TCHAR* argv[])
{
if (argc != 3)//这里是描述使用方法
{
_tprintf(L"USAGE:%s pid dll_path\n", argv[0]);
return 1;
}
if (InjectDll((DWORD)_tstol(argv[1]), argv[2])) //argv[1]是目标进程的PID, argv[2]是我们要注入DLL的绝对地址。 然后_tstol是将字符串型的PID转为整型的。
_tprintf(L"InjectDll(\"%s\") success!!!\n", argv[2]);
else
_tprintf(L"InjectDll(\"%s\") failed!!!\n", argv[2]);
return 0;
}
// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "windows.h"
#include "tchar.h"
#include "pch.h"
DWORD WINAPI ThreadProc(LPVOID lParam)//弹出一个输出hellow world的窗口
{
CHAR message[] = "WELCOME_TO_MYHACKDLL";
CHAR title[] = "ARE_YOU_OK_?";
MessageBoxA(NULL, message, title, MB_OK);
return 0;
}
BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved)
{
HANDLE hThread = NULL;
switch (fdwReason)
{
case DLL_PROCESS_ATTACH:
OutputDebugString(L"<myhack.dll> Injection!!!");//Debugview
hThread = CreateThread(NULL, 0, ThreadProc, NULL, 0, NULL);
CloseHandle(hThread);
break;
}
return TRUE;
}
先运行目标进程:目标进程.exe
#include <stdio.h>
#include <windows.h>
void Fun()
{
for (int i = 0; i < 10; i++)
{
Sleep(200);
printf("FUN(%d)-------------------\n",i+1);
}
}
DWORD WINAPI ThreadProc(LPVOID lpParameter)
{
Fun();
return 0;
}
int main()
{
HANDLE hThread = CreateThread(NULL, 0,ThreadProc, NULL, 0, NULL);
CloseHandle(hThread);
getchar();
return 0;
}
processexplorer查看PID
cmd传参,执行Inject DLL.exe
注入成功