X64--线程劫持-Suspend-Inject-Resume

最新推荐文章于 2024-05-22 11:03:03 发布
最新推荐文章于 2024-05-22 11:03:03 发布
阅读量1.5k 收藏 4
点赞数
分类专栏: windows编程 基础知识 文章标签: 线程 asm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18218335/article/details/75308957
版权

X64–线程劫持-Suspend-Inject-Resume

  • X64与X86 的原理是一样的。这里不做多解释
#include <stdio.h>
#include <Windows.h>
#include <string.h>
#include <Psapi.h>
#include <TlHelp32.h>
#include <tchar.h>
EXTERN_C VOID asm_code();
#define     RIP_PARAM   0x1234567812345679
#define     RIP_TARGET  0x1234567812345670
#define     RIP_PRE     0x1234567812345678
#define     RIP_END     0x78563412
static DWORD asm_code_size = 0;
PBYTE GetStealthStubPtr()
{
    PBYTE Ptr = (PBYTE)asm_code;

    if (*Ptr == 0xE9)
    {
        Ptr += *((PINT)(Ptr + 1)) + 5;
    }

    return Ptr;
}
ULONG32 GetStealthStubSize()
{
    PUCHAR      Ptr = NULL;
    PUCHAR      BasePtr = NULL;
    ULONG32     Index = 0;
    ULONG32     Signature = 0;

    if (asm_code_size != 0)
    {
        return asm_code_size;
    }

    BasePtr = Ptr = GetStealthStubPtr();

    for (Index = 0; Index < 2000; Index++)
    {
        Signature = *((PULONG)Ptr);

        if (Signature == RIP_END)
        {
            asm_code_size = (ULONG)(Ptr - BasePtr);

            return asm_code_size;
        }

        Ptr++;
    }
    printf("Error:没有找到:%p\n", RIP_END);
    return 0;
}
VOID suspendInjectResume(HANDLE hHandle, LPVOID loadLibAddr, LPVOID dllPathAddr) {

    HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0);
    HANDLE thread = NULL;
    THREADENTRY32   te;
    CONTEXT         ctx;
    DWORD firstThread = 0;

    LPVOID scAddr;

    int i;

    unsigned char sc[0x100];
    memcpy(sc, GetStealthStubPtr(), GetStealthStubSize());

    te.dwSize = sizeof(THREADENTRY32);
    ctx.ContextFlags = CONTEXT_FULL;

    // Suspend Threads
    if (Thread32First(hSnapshot, &te)) {
        do {
            if (te.th32OwnerProcessID == GetProcessId(hHandle)) {

                thread = OpenThread(THREAD_ALL_ACCESS | THREAD_GET_CONTEXT, FALSE, te.th32ThreadID);
                if (thread != NULL) {
                    printf("\t[+] Suspending Thread 0x%08x\n", te.th32ThreadID);
                    SuspendThread(thread);
                    break;
                }
                else {
                    printf("\t[+] Could not open thread!\n");
                }
            }
        } while (Thread32Next(hSnapshot, &te));
    }
    else {
        printf("\t[+] Could not Thread32First! [%d]\n", GetLastError());
        CloseHandle(hSnapshot);
        exit(-1);
    }
    CloseHandle(hSnapshot);

    if (GetThreadContext(thread, &ctx) == 0)
        printf("[!] GetThreadContext Failed!\n");
    ULONG_PTR   ptr = (ULONG_PTR)sc;
    for (int Index = 0; Index < GetStealthStubSize(); Index++)
    {

#pragma warning(disable:4311)   // 关闭截断警告
        if (*(PULONG_PTR)ptr == RIP_PARAM)
        {
            *(PULONG_PTR)ptr = (ULONG_PTR)dllPathAddr;

        }
        else if (*(PULONG_PTR)ptr == RIP_PRE)   // NETEntry
        {
            *(PULONG_PTR)ptr = (ULONG_PTR)ctx.Rip;

        }
        else if (*(PULONG_PTR)ptr == RIP_TARGET)    // NETEntry
        {
            *(PULONG_PTR)ptr = (ULONG_PTR)loadLibAddr;
        }
        ptr++;
    }
    scAddr = VirtualAllocEx(hHandle, NULL, GetStealthStubSize(), MEM_COMMIT, PAGE_EXECUTE_READWRITE);

    WriteProcessMemory(hHandle, scAddr, (LPCVOID)sc, GetStealthStubSize(), NULL);

    ctx.Rip = (DWORD64)scAddr;
    printf("new RIP:%p\n", scAddr);
    if (SetThreadContext(thread, &ctx) == 0)
        printf("[!] SetThreadContext Failed!\n");
    getchar();
    getchar();
    ResumeThread(thread);
    getchar();
    getchar();
}

#define SE_DEBUG_PRIVILEGE  20
typedef long(__fastcall *pfnRtlAdjustPrivilege64)(ULONG, ULONG, ULONG, PVOID);
pfnRtlAdjustPrivilege64 RtlAdjustPrivilege;
BOOL EnableDebugPrivilegeX64()
{
    DWORD dwRetVal;
    RtlAdjustPrivilege = (pfnRtlAdjustPrivilege64)GetProcAddress((HMODULE)(GetModuleHandle(_T("ntdll.dll"))), "RtlAdjustPrivilege");
    if (RtlAdjustPrivilege == NULL)
    {
        return FALSE;
    }
    /**
    .常量 SE_BACKUP_PRIVILEGE, "17", 公开
    .常量 SE_RESTORE_PRIVILEGE, "18", 公开
    .常量 SE_SHUTDOWN_PRIVILEGE, "19", 公开
    .常量 SE_DEBUG_PRIVILEGE, "20", 公开
    */
    return RtlAdjustPrivilege(SE_DEBUG_PRIVILEGE, 1, 0, &dwRetVal);
}

BOOL Inject(DWORD ProcessId, LPCSTR szPar)
{
    DWORD   dwOldProtect;
    CONST PVOID StartPoint = (PVOID)GetStealthStubPtr();

    EnableDebugPrivilegeX64();
    HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, ProcessId);
    if (hProcess == NULL)
    {
        printf("Error :OPenProcess\n");
        return FALSE;
    }

    PVOID   funRemote = 0;
    if (!(funRemote = (PVOID)GetProcAddress(LoadLibrary(_T("kernel32.dll")), "LoadLibraryA")))//"User32.dll")),"MessageBoxA")))
    {
        printf("Error :GetProcAddress\n");
        return FALSE;
    }

    PVOID   strRemote = NULL;
    if (!(strRemote = VirtualAllocEx(hProcess, NULL, (size_t)(strlen(szPar) + 1) * sizeof(char), MEM_COMMIT, PAGE_READWRITE)))
    {
        printf("Error :VirtualAllocEx\n");
        return FALSE;
    }

    if (!WriteProcessMemory(hProcess, strRemote, szPar, (strlen(szPar) + 1) * sizeof(char), NULL))
    {
        printf("Error :WriteProcessMemory\n");
        return FALSE;
    }
    suspendInjectResume(hProcess, funRemote, strRemote);
    return TRUE;
}

int main()
{
    HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);

    PROCESSENTRY32      pe = { 0 };
    pe.dwSize = sizeof(pe);
    if (Process32First(hSnapshot, &pe)) {
        while (Process32Next(hSnapshot, &pe))
        {
            if (!_stricmp(pe.szExeFile, "showfour.exe"))
            {
                CHAR*           szDll = "\\SimpleDll.dll";
                CHAR            szFullPath[MAX_PATH] = { 0 };
                GetCurrentDirectory(MAX_PATH, szFullPath);
                strcat_s(szFullPath, szDll);
                if (Inject(pe.th32ProcessID, szFullPath))
                {
                    //ShowMessage(_T("注入成功"));
                }
                else
                {
                    printf("注入失败\n");
                }
                break;
            }
        }
    }
    else {
        printf("\t[+] Could not ProcessFirst! [%d]\n", GetLastError());
        CloseHandle(hSnapshot);
        exit(-1);
    }
    CloseHandle(hSnapshot);

    return 0;
}
  • 核心的汇编代码
.CODE
public asm_code
asm_code PROC
    push rax
    push r12
    push rcx
    pushfq


    mov r12,rsp
    and r12,15
    test r12 , r12
    jne ok
    sub rsp , 8
ok:
    sub rsp , 4 * 8 + 8
    mov         rcx, 1234567812345679h
    mov         rax, 1234567812345670h
    call        rax
    test r12 , r12
    jne next
    add rsp , 8
next:
    add rsp , 4 * 8 + 8

    popfq       ; POPFQ pops 64 bits from the stack, loads the lower 32 bits into RFLAGS, and zero extends the upper bits of RFLAGS.
    pop     rcx
    pop     r12

    sub     rsp,8
    pop     rax
    pop     rax
    mov     qword ptr [rsp-16],rax  ;因为要用rax ,将它放到栈外面的位置了

    mov     rax,1234567812345678h   ;设置返回值
    push    rax
    mov     qword ptr rax,[rsp - 8] ;恢复一下rax

    ret
    ; 硬编码 获得ASM-CODE 长度

    db 12h
    db 34h
    db 56h
    db 78h
asm_code ENDP
END

       这里需要注意的是,在调用ResumeThread 之后,线程的部分寄存器与GetThreadContext 获得到的值不一样,但是运行是没有出错的,不知道是什么原因,如果为了稳定的话,应该在外面保存整个Context 结构,在申请代码空间的时候同样的为需要存储的寄存器存储空间并将所得到的地址传递给汇编代码。这样才可以保证在执行我们的代码前后目标线程的执行环境不变。这里不给出实现了,后面介绍esayhook 的代码的时候会有这样的实现。

截图展示了线程暂停阶段与开始执行之后的区别

kiki商
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
内核线程注入(x64)
拉塞尔的博客
11-22 5695
阅读BlackBone源码从里面扣出来的关于内核线程注入方法的使用。 经过自己修改后做成的Demo,功能主要通过Ring0层驱动Attach到目标进程(目标进程可以是32位进程也可以是64位进程,使用不同的ShellCode进行注入操作),然后调用NtCreateThreadEx来执行ShellCode,ShellCode做了一个注入Dll的简单行为(加载Dll使用的是Ntdll模块下的LdrL...
X86 PUSHF/PUSHFD/PUSHFQ 指令详解
ross1206的博客
06-01 9602
SDM指令功能描述(PUSHF/PUSHFD/PUSHFQ) 总体描述: 根据操作数宽度的不同: 32: 栈指针递减4,然后压入eflags寄存器的值 16: 栈指针递减2,然后压入eflags的低16位 64: 栈指针递减8,然后压入rflags寄存器的值 当把eflags复制到栈顶的时候,VM(bit16)和RF(bit17)位不会被复制,而 会用 0填充**在虚808
内核中劫持线程注入DLL并隐藏
人生苦短,我用python
04-18 1293
在驱动程序中,您可以通过调用PsSetCreateThreadNotifyRoutine或PsSetLoadImageNotifyRoutine等API来获取进程线程的通知。这时,您可以暂停线程并修改其上下文,以便在恢复时执行您的代码。为了实现这些功能,您需要学习Windows内核编程和驱动开发。在此过程中,您可能需要使用Windows Driver Kit(WDK)和Visual Studio。编写好驱动程序后,您需要在目标系统上加载和卸载它。在劫持线程后,您需要将目标DLL加载到目标进程的内存中。
x86和x64区别
最新发布
qq_30531921的博客
05-22 1558
总的来说,x64架构相对于x86架构在性能、内存地址空间等方面有更大的优势,但在软件兼容性和驱动程序兼容性方面可能存在一些问题。在选择使用哪种架构时,需要根据具体的应用需求和硬件支持情况来决定。
关于进程劫持注入的一点分析与思考
輚至消亡
04-03 2452
1. 劫持进程实现注入 今天我尝试对win10 x64上的计算器进程进行进程劫持注入劫持进程实现注入要执行如下步骤: 以挂起方式启动目标进程 采用其他注入方式将DLL注入目标进程 继续目标进程的主线程使目标进程继续运行 这种注入方式的优点: 被注入的进程来不及做任何防御就会被注入。 因为以挂起方式启动进程,该进程的地址空间内除了目标进程的exe模块和ntdll.dll模块外 还来不及解析导入表将所需dll全部导入,也就是说作为防护的dll模块或者线程可能也来不及导入和执行,这大大提高了注入
线程劫持技术
weixin_43799752的博客
11-27 896
windows 线程劫持
VB-.NET多线程编程的详细说明(完整版).doc
12-03
线程控制方法包括Start、Stop、Abort、Suspend和Resume等,它们允许开发者管理和终止线程。值得注意的是,Stop和Suspend方法可能造成线程挂起在不安全的位置,导致问题。因此,通常推荐使用线程的状态标志或...
NXP i.MX RT1052 RT-Thread实战:线程管理
12-01
线程可以通过调用`rt_thread_suspend`暂时停止执行,等待其他线程执行。相反,`rt_thread_resume`可以恢复一个已挂起的线程: ```c rt_thread_suspend(tid); rt_thread_resume(tid); ``` #### 4. 优先级与时间片 RT...
Andriod PM suspend-resume 电源管理
10-27
Android PM(电源管理)的suspend-resume机制是优化电池寿命的重要组成部分,它涉及到低功耗模式、动态电压和频率调整以及时钟与电源开关控制。 1. 低功耗模式:嵌入式芯片通常具有多种低功耗状态,如STOP、WAIT和...
java考试试卷及答案-初级.doc
11-15
`suspend()`和`resume()`方法已过时,现在推荐使用`wait()`和`notify()`,选项B错误。共享数据的访问权限可以设置为私有,但这并不是强制的,选项C错误。Java没有内置的死锁检测机制,但程序员可以通过避免死锁策略...
PEx64-Injector:将x64位可执行文件注入到任何进程中,并将其屏蔽为合法的进程,以进行防病毒规避
03-04
PEx64进样器(过程迁移器) 将任何x64 exe迁移到任何x64进程(Net FrameWork 3.5) 无需管理员权限。 GIF演示 怎么用? 下载。 用法:Migrator.exe有效负载(fpath)Migratefile(fpath) 示例:Migrator.exe C:\ Users \ User \ Desktop \ Putty64.exe C:\ Windows \ System32 \ notepad.exe 请注意,当您指定migrationfile时,它将作为新进程启动,并且不会迁移到已经运行的进程。 此类工具可用于规避影音,并在合法程序下掩盖恶意软件。 待办事项:下载/执行功能以加载远程文件。 特别感谢 。
ThreadBoat:程序使用线程执行劫持将本地Shell代码注入到标准Win32应用程序中
05-04
线程船 程序使用线程劫持将本机Shellcode注入到标准Win32应用程序中。 关于 我开发了这个小项目,以继续我对不同代码注入方法的经验,并允许RedTeam安全专业人员将这种方法用作执行软件渗透测试的独特方法。 使用线程劫持,它允许hijacker.exe程序在target.exe程序中暂停一个线程,从而使我们可以将Shellcode写入该目标线程,然后再执行(通过; WriteProcessMemory(),SetThreadContext(),ResumeThread(), CreateThread())。 GIF示例(存入残局) 用法 int main () { System sys; Interceptor incp; Exception exp ; sys. returnVersionState (); if (sys. returnPrivilegeEscala
Ninja-Gradle-Plugin:忍者Gradle插件
07-06
suspend = 如果为 true,则等待调试器附加。 contextPath = '/' port = 8080 scanDirs = sourceSets.main.runtimeClasspath.getFiles() watchResources = true hotswapEnable = false debugEnabled = true...
黑客编程之线程劫持
weixin_42071117的博客
04-25 655
#include <Windows.h> #include <stdio.h> #pragma pack(1) typedef struct _STCode { BYTE PushCode; // push指令码 DWORD DllAddress; // 注入的dll字符串地址 USHORT CallCode; // call指令码 DWORD FuncAddress; // LoadLibrary函数地址 BYTE LoopCode[7]; // 循环指令 }ST
DLL注入线程劫持
FISH的专栏
04-03 2811
  大家好,我是FISH ,以下代码只是属于思路,都是我自己KEY进去的,有错误很抱歉,我尽量注意,  内容来自Greg hoglund 的> .    给应用程序注入新的代码,最常用的技巧是DLL注入,使用这个方法,可以让远线程加载到你自己设计的DLL. DLL本身的功能可以是挂钩函数,修改目标程序的内存空间,DLL注入是很隐藏,很方便的注入手段,(实际上,该方法很容易被发现,有
汇编语言基础1
pureman_mega的博客
12-13 819
x86是基于Intel8086处理器的小端(little-endian)体系结构(就是先存储低位的字节)。处理器通常可以运行在两种模式下:实模式和保护模式。实模式是指处理器刚通电后只支持16位指令集的状态。保护模式是指处理器支持虚拟内存,分页以及其他的功能状态,也是运行当代操作系统的状态。 寄存器 寄存器是cpu内部的高速存储单元,访问速度比内存快得多,用来存取程序运行中的各种信息。常用的
在NT系列操作系统里让自己“消失”
竹君子之家
09-10 1695
创建时间:2004-03-06文章属性:原创文章提交:SoBeIt (kinsephi_at_hotmail.com)===================[ 在NT系列操作系统里让自己“消失”]==================                                               SoBeIt            作者:Holy_Father     
保护模式 80386
风二中的博客
11-15 295
控制寄存器
RT-Thread 线程创建
04-05
RT-Thread 是一个实时操作系统,支持多线程操作。线程是 RT-Thread 中的基本执行单元,可以通过 RT-Thread 的 API 来创建和管理线程。 RT-Thread 线程创建 API 主要有以下几个: 1. rt_thread_t rt_thread_create...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值