windows下远程线程注入的一个小实例

最新推荐文章于 2024-09-05 16:56:56 发布
最新推荐文章于 2024-09-05 16:56:56 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: Windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq981378640/article/details/51781723
版权 
#pragma warning(disable: 4996)        
#include <windows.h>
#include <stdio.h>
#include <Tlhelp32.h>


#define RemoteProcessName "notepad++.exe" 


HANDLE CreateRemoteThreadProc(char* szProcessName);
DWORD WINAPI WatchThreadProc(LPVOID lParam);
DWORD WINAPI RemoteProc(LPVOID lParam);
DWORD ProcessNameToID(char *szProcessName);
HANDLE MyRemoteThread(HANDLE hProcesHandle, LPTHREAD_START_ROUTINE pThredProc, LPVOID pThreadBuffer);
BOOL EnablePrivileges(const char* szNewPriveliges);
BOOL IsVistaOrLaterVersion();
BOOL ResetWindowsSystem(DWORD dwFlag, BOOL bIsForce);


typedef struct _RemoteParameter
{
	DWORD       dwWaitForSingleObject; // 地址
	DWORD       dwOpenProcess;
	DWORD       dwWinExec;
	DWORD       dwProcessPID; //本地进程ID
	HANDLE      hProcessHandle;
	char        szPath[MAX_PATH]; //本地程序地址
}REMOTEPARAM;



typedef DWORD(WINAPI *PFNTCREATETHREADEX)
(
PHANDLE                 ThreadHandle,
ACCESS_MASK             DesiredAccess,
LPVOID                  lpObjectAttributes,
HANDLE                  ProcessHandle,
LPTHREAD_START_ROUTINE  lpStartAddress,
LPVOID                  lpParameter,
BOOL                    bCreateSuspended,
DWORD                   dwStackSize,
DWORD                   dwFlag1,
DWORD                   dwFlag2,
LPVOID                  lpUnknown
);



HANDLE CreateRemoteThreadProc(char* szProcessName)
{
	HANDLE hThreadHandle;
	char szFilePath[MAX_PATH] = { 0 };
	GetModuleFileName(NULL, szFilePath, MAX_PATH);
	printf("[%s:%d] FilePath:%s\n", __FUNCTION__, __LINE__, szFilePath);

	DWORD dwProcessID = ProcessNameToID(szProcessName);
	printf("[%s:%d] ProcessID:%d\n", __FUNCTION__, __LINE__, dwProcessID);

	HINSTANCE hKernel32Instance;
	HANDLE rpHandle;
	char* szRemoteThread;
	char* szRemoteParam;

	// 写入代码
	int size = sizeof(char)* 4 * 1024;
	rpHandle = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessID);
	if (rpHandle == NULL)
	{
		printf("[%s:%d] OpenProcess failed\n", __FUNCTION__, __LINE__);
	}
		
	szRemoteThread = (PTSTR)VirtualAllocEx(rpHandle, NULL, size, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
	if (szRemoteThread == NULL)
	{
		printf("[%s:%d] VirtualAllocEx failed\n", __FUNCTION__, __LINE__);
		::CloseHandle(rpHandle);
	}

	if (WriteProcessMemory(rpHandle, szRemoteThread, (LPVOID)RemoteProc, size, NULL) == FALSE)
	{
		printf("[%s:%d] WriteProcessMemory failed\n", __FUNCTION__, __LINE__);
		VirtualFreeEx(rpHandle, szRemoteThread, 0, MEM_RELEASE);
		::CloseHandle(rpHandle);
	}

	// 写入参数
	REMOTEPARAM rp;
	memset((char*)&rp, 0, sizeof(rp));
	hKernel32Instance = GetModuleHandle("kernel32.dll");
	if (hKernel32Instance == NULL)
	{
		printf("[%s:%d] GetModuleHandle failed\n", __FUNCTION__, __LINE__);
		VirtualFreeEx(rpHandle, szRemoteThread, 0, MEM_RELEASE);
		CloseHandle(rpHandle);
	}

	rp.dwProcessPID = GetCurrentProcessId();
	rp.dwOpenProcess = (DWORD)GetProcAddress(hKernel32Instance, "OpenProcess");
	rp.dwWinExec = (DWORD)GetProcAddress(hKernel32Instance, "WinExec");
	rp.dwWaitForSingleObject = (DWORD)GetProcAddress(hKernel32Instance, "WaitForSingleObject");
	strcpy_s(rp.szPath, szFilePath);
	size = sizeof(char) * sizeof(rp);
	szRemoteParam = (PTSTR)VirtualAllocEx(rpHandle, NULL, size, MEM_COMMIT, PAGE_READWRITE);
	if (szRemoteParam == NULL)
	{
		printf("[%s:%d] VirtualAllocEx failed\n", __FUNCTION__, __LINE__);
		VirtualFreeEx(rpHandle, szRemoteThread, 0, MEM_RELEASE);
		::CloseHandle(rpHandle);
	}

	if (WriteProcessMemory(rpHandle, szRemoteParam, (LPVOID)&rp, size, NULL) == FALSE)
	{
		printf("[%s:%d] WriteProcessMemory failed\n", __FUNCTION__, __LINE__);
		VirtualFreeEx(rpHandle, szRemoteThread, 0, MEM_RELEASE);
		VirtualFreeEx(rpHandle, szRemoteParam, 0, MEM_RELEASE);
		::CloseHandle(rpHandle);
	}

	hThreadHandle = MyRemoteThread(rpHandle, (LPTHREAD_START_ROUTINE)szRemoteThread, (LPVOID)szRemoteParam);
	if (hThreadHandle == NULL)
	{
		printf("[%s:%d] MyRemoteThread create failed\n", __FUNCTION__, __LINE__);
		VirtualFreeEx(rpHandle, szRemoteThread, 0, MEM_RELEASE);
		VirtualFreeEx(rpHandle, szRemoteParam, 0, MEM_RELEASE);
		::CloseHandle(rpHandle);
	}
	return hThreadHandle;
}



DWORD WINAPI WatchThreadProc(LPVOID lParam)
{
	HANDLE hRemoteThreadHandle = (HANDLE)lParam;
	DWORD dwExitCode = 0;
	GetExitCodeThread(hRemoteThreadHandle, &dwExitCode);

	while (true)
	{
		if (dwExitCode != STILL_ACTIVE)
		{
			printf("[%s:%d] hRemoteThreadHandle is over\n", __FUNCTION__, __LINE__);
			hRemoteThreadHandle = CreateRemoteThreadProc(RemoteProcessName);
		}
		Sleep(1000);
	}
	return 0;
}


DWORD WINAPI RemoteProc(LPVOID lParam)
{
	REMOTEPARAM *rp = (REMOTEPARAM *)lParam;

	// 定义函数只争类型
	typedef UINT (WINAPI *EWinExec) (LPCSTR, UINT);
	typedef HANDLE (WINAPI *EOpenProcess) (DWORD, BOOL, DWORD);
	typedef DWORD (WINAPI *EWaitForSingleObject) (HANDLE, DWORD);

	EWinExec tWinExec;
	EOpenProcess tOpenProcess;
	EWaitForSingleObject tWaitForSingleObject;

	// 获取参数
	tOpenProcess = (EOpenProcess)rp->dwOpenProcess;
	tWaitForSingleObject = (EWaitForSingleObject)rp->dwWaitForSingleObject;
	tWinExec = (EWinExec)rp->dwWinExec;

	rp->hProcessHandle = tOpenProcess(PROCESS_ALL_ACCESS, FALSE, rp->dwProcessPID); //打开自己的进程
	tWaitForSingleObject(rp->hProcessHandle, INFINITE); // 无限等待
	tWinExec(rp->szPath, SW_SHOW); // 重新执行
	return 0;
}



DWORD ProcessNameToID(char *szProcessName)
{
	STARTUPINFO startInfo;
	PROCESS_INFORMATION proccessInfo;
	PROCESSENTRY32 ps;
	HANDLE hSnapshot;
	DWORD dwProcessID;
	memset(&startInfo, 0, sizeof(startInfo));
	memset(&proccessInfo, 0, sizeof(proccessInfo));
	ps.dwSize = sizeof(PROCESSENTRY32);

	hSnapshot = ::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	if (hSnapshot == INVALID_HANDLE_VALUE)
	{
		printf("[%s:%d] CreateToolhelp32Snapshot failed\n", __FUNCTION__, __LINE__);
		return FALSE;
	}

	if (::Process32First(hSnapshot, &ps) == FALSE)
	{
		return FALSE;
	}

	do 
	{
		if (strcmp(ps.szExeFile, szProcessName) == 0)
		{
			dwProcessID = ps.th32ProcessID;
			::CloseHandle(hSnapshot);
			return dwProcessID;
		}
	} while (::Process32Next(hSnapshot, &ps));

	::CloseHandle(hSnapshot);
	return 0;
}


HANDLE MyRemoteThread(HANDLE hProcesHandle, LPTHREAD_START_ROUTINE pThredProc, LPVOID pThreadBuffer)
{
	HANDLE hThread = NULL;
	FARPROC pFunc = NULL;
	// XP 和XP之前的系统不能使用NtCreateThreadEx函数,win7 64Bit才能使用NtCreateThreadEx
	if (IsVistaOrLaterVersion() == TRUE)
	{
		pFunc = GetProcAddress(GetModuleHandle("ntdll.dll"), "NtCreateThreadEx"); 
		if (pFunc == NULL)
		{
			printf("[%s:%d] GetProcAddress failed, ErrorCode:%d\n", __FUNCTION__, __LINE__, GetLastError());
			return FALSE;
		}

		((PFNTCREATETHREADEX)pFunc)(&hThread, 0x1FFFFF, NULL, hProcesHandle, pThredProc, pThreadBuffer, FALSE, NULL, NULL, NULL, NULL);
		//((PFNTCREATETHREADEX)pFunc)(&hThread, GENERIC_ALL, NULL, hProcesHandle, pThredProc, pThreadBuffer, FALSE, NULL, NULL, NULL, NULL);
		if (hThread == NULL)
		{
			printf("[%s:%d] NtCreateThreadEx failed, ErrorCode:%d\n", __FUNCTION__, __LINE__, GetLastError());
			return FALSE;
		}
	}
	else
	{
		hThread = CreateRemoteThread(hProcesHandle, NULL, 0, pThredProc, pThreadBuffer, 0, NULL);
		if (hThread == NULL)
		{
			printf("[%s:%d] CreateRemoteThread failed, ErrorCode:%d\n", __FUNCTION__, __LINE__, GetLastError());
			return FALSE;
		}
	}

	if (WAIT_FAILED == WaitForSingleObject(hThread, INFINITE))
	{
		printf("[%s:%d] WaitForSingleObject failed, ErrorCode:%d\n", __FUNCTION__, __LINE__, GetLastError());
		return FALSE;
	}
	return hThread;
}


/**
 * @Function:EnablePrivileges
 * @Param1: szNewPrivelige, 进程权限要提升的级别,例如SE_DEBUG_NAME,SE_SHUTDOWN_NAME(关机)
 * @Return: 成功返回TRUE,失败返回FALSE
 * @Description:
 *			提升进程权限
 */
BOOL EnablePrivileges(const char* szNewPriveliges)
{
	BOOL bRet = FALSE;
	HANDLE tokenHandle = INVALID_HANDLE_VALUE;
	TOKEN_PRIVILEGES structTkp = { 0 };

	do 
	{
		// 令牌,Token,打开本地进程权限表,提升本地进程权限
		if (::OpenProcessToken(::GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &tokenHandle) == FALSE)
		{
			break;
		}

		if (::LookupPrivilegeValue(NULL, szNewPriveliges, &structTkp.Privileges[0].Luid) == FALSE)
		{
			break;
		}

		structTkp.PrivilegeCount = 1;
		structTkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
		if (::AdjustTokenPrivileges(tokenHandle, FALSE, &structTkp, sizeof(structTkp), NULL, NULL) == FALSE)
		{
			break;
		}

		bRet = TRUE;
	} while (FALSE);

	if (tokenHandle != INVALID_HANDLE_VALUE)
	{
		::CloseHandle(tokenHandle);
		tokenHandle = INVALID_HANDLE_VALUE;
	}
	return bRet;
}


BOOL IsVistaOrLaterVersion()
{
	OSVERSIONINFO osVersion;
	ZeroMemory(&osVersion, sizeof(OSVERSIONINFO));
	osVersion.dwOSVersionInfoSize = sizeof(OSVERSIONINFO);
	if (GetVersionEx(&osVersion))
	{
		if (osVersion.dwMajorVersion >= 6) // XP->5,Vista->6.0,Win7->6.1 
		{
			return TRUE;
		}
	}
	return FALSE;
}


/**
 * @Function: ResetWindowsSystem
 * @Param1: dwFlag  EWX_SHUTDOWN(关机) EWX_LOGOFF  EWX_REBOOT(重启)
 * @Param2: bIsEnforce 是否强制执行,值为TRUE时表示强制,FALSE表示安全模式
 * @Return: 成功返回TRUE,失败返回FALSE
 * @Description: 
 *			重置windows系统,重启,注销,关机等操作
 */
BOOL ResetWindowsSystem(DWORD dwFlag, BOOL bIsForce)
{
	BOOL bRet = FALSE;
	do 
	{
		if (EnablePrivileges(SE_SHUTDOWN_NAME) == FALSE)
		{
			break;
		}

		if (bIsForce == TRUE)
		{
			dwFlag |= EWX_FORCE;
		}

		if (ExitWindowsEx(dwFlag, 0) == FALSE)
		{
			SetLastError(GetLastError());
			break;
		}

		bRet = TRUE;
	} while (FALSE);
	return bRet;
}


int main(int argc, char* argv[])
{
	HANDLE hRemoteThreadHandle;
	HANDLE hLocalThreadHandle;
	if (EnablePrivileges(SE_DEBUG_NAME))
	{
		hRemoteThreadHandle = CreateRemoteThreadProc(RemoteProcessName);
		hLocalThreadHandle = CreateThread(NULL, NULL, WatchThreadProc, (LPVOID)hRemoteThreadHandle, NULL, NULL);
		WaitForSingleObject(hLocalThreadHandle, INFINITE);
		WaitForSingleObject(hRemoteThreadHandle, INFINITE);
	}
	return 0;
}

Bob_1993
关注
专栏目录
windows远程线程注入【学习笔记】
lygl35的博客
02-25 914
远程注入要满足两个条件 例如A进程调用B进程 1、这个被调用的函数在B进程。 2、B进程这个被调用函数的格式是:一个返回值,一个参数四个字节 远程注入的思路 封装一个函数loadDLL 远程注入实现过程 第一步:获取进程句柄 第二步:计算DLL路径字符的长度,目的是在目标进程分配一块空间,把这个路径写进去 第三步:在目标进程分配空间,VirtualAllocEx可以在指定的目标进程分配空间。 第四步:向目标进程写入DLL的路径,通过WriteProcessMemory可以向其它进程写入数..
远程线程注入示例
精彩的艺术
03-01 423
#include "stdafx.h" #include #include void Inject(DWORD dwPid,TCHAR* szPath) { DWORD dwWriteSize = 0; HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPid); //得到的地址不是本进程内的,是目标进程的地址,str
Windows安全】远程线程注入
最新发布
TakakiTohno的博客
09-05 685
最近空闲,然后刚巧刷到关于Windows安全技术的博客,随就记录一下。好了,废话不多说,开始!每天学习一点小技术,总有一天会成为大牛的,加油!!!看十遍不如写一遍,动动手指,你也能成为我这样的小白菜。
创建远程线程注入DLL
ytfrdfiw的专栏
02-03 4358
  偶尔在 http://bbs.77169.com/read-htm-tid-240420.html 上看到此文,甚好,现分享如下。       大家都知道,在 Win32 中每个进程都拥有一个独立的 40 亿字节的内存空间,也就是 4 GB ,这个 4 GB 的内存空间相对于进程来说是独立的,也就是说,你不能在你的进程空间内直接操作别的进程的空间,因为内存相对于进程来说独立的,这样做的
远程线程注入
tooyoungtosimple的博客
08-17 2379
在win32进程中,每个进程都有自己独立的4GB地址空间,各个进程之间相互不影响,win32API中提供能够了2个函数,writeProcessMemory和readProcessMemory,这两个函数可以在指定进程的内存中进行读写操作。 HANDLE CreateRemoteThread(      HANDLE hProcess,      LPSECURITY_ATTRIBUTES ...
c++down远程线程注入.rar_下载者_文件映射_线程注入_远程线程注入
09-21
远程线程注入是一种在目标进程中创建并执行新线程的技术,通常用于调试、监控、注入代码或修改目标进程的行为。在C++中,我们可以利用Windows API中的`CreateRemoteThread`函数来实现。该函数允许我们在指定的远程...
InjectDLL代码 实现远程注入线程.zip
03-28
总的来说,"InjectDLL代码 实现远程注入线程.zip"这个压缩包提供了一个学习和实践远程线程注入实例,有助于提升对系统级编程的理解和技能。通过深入研究提供的代码和文档,你可以更好地掌握如何在不同进程中注入...
易语言 远程线程注入DLL呼出窗口 源码(无模块)
11-24
总结来说,这个资源提供了一个易语言实现的远程线程注入DLL的实例,包括源码和可执行文件,可以作为学习和研究进程间通信技术的一个参考。同时,开发者希望社区成员能够交流经验和解决问题,这表明开源和社区协作...
dll远程线程注入(支持64bit win7)
07-20
远程线程注入中,目标是将DLL的代码放入另一个进程的一个线程中执行。 3. **注入DLL**:注入DLL通常通过向目标进程发送特定的API调用来实现,如`CreateRemoteThread`和`VirtualAllocEx`。`CreateRemoteThread`...
易语言远程线程注入DLL呼出
08-24
易语言远程线程注入DLL呼出 注入进程 全部的完整源码
DLL远程线程注入源码
01-20
DLL远程线程注入源码结合VC++ VB等实现 包括说明
Dll注入技术之远程线程注入
ProgrammingRing的专栏
02-06 3183
转自:黑客反病毒 DLL注入技术之远线程注入     DLL注入技术指的是将一个DLL文件强行加载到EXE文件中,并成为EXE文件中的一部分,这样做的目的在于方便我们通过这个DLL读写EXE文件内存数据,(例如 HOOK EXE文件中的API),或以被注入EXE的身份去执行一些操作等等。     远线程注入原理是利用Windows 系统中CreateRemoteThread()这
Win32学习笔记(26)远程线程注入
wzprabbit的博客
03-05 686
1.什么是注入? 所谓注入就是在第三方进程不知道或者不允许的情况下将模块或者代码写入对方进程空间,并设法执行的技术。 在安全领域,"注入"是非常重要的的一种技术手段,注入与反注入也一直处于不断变化的,而且也愈来愈激烈地对抗。 已知的注入方式: 远程线程注入、APC注入、消息钩子注入、注册表注入、导入表注入、输出发注入等等。 看一下上图。之前我们说的是,B进程帮A进程创建了一个线程。可是执行的是A进程中的代码,如果我们能执行自己的代码是不是就可以为所欲为了? 那么怎么实现呢?...
win7 32位下实现远程线程注入
Cosmopolitan的博客
03-10 340
dllmain.cpp 生成注入的dll // dllmain.cpp : 定义 DLL 应用程序的入口点。 #include "stdafx.h" #include &lt;Windows.h&gt; #define PROCESS_NAME "notepad.exe" HINSTANCE hMod; HHOOK hHook; HWND hWnd; BOOL APIENTRY DllMain(...
远程线程注入DLL
qq_41155858的博客
10-21 262
这是本人第一次写博客,如果写的不好请见谅. 主要给新手看,非喜勿喷 主要代码如写,DLL代码自己写,这里主要教你注入的方法 // InjectDll.cpp : 定义控制台应用程序的入口点。 #include "stdafx.h" #include <windows.h> #include <string.h> #define DLLName "写你自己...
利用远程线程注入DLL
weixin_43799752的博客
11-26 1605
远程线程注入 dll注入
VB远线程注入技术示例与源代码
本文档探讨了VB(Visual Basic)远线程注入技术,一种在VB编程环境下利用Windows API进行高级操作的方法。主要关注的是如何在不依赖DLL的情况下实现键盘拦截功能。以下是文档的关键知识点: 1. **VB代码示例**: - ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值