对CreateRemoteThread的使用

最新推荐文章于 2018-09-11 15:35:52 发布
最新推荐文章于 2018-09-11 15:35:52 发布
阅读量346 收藏
点赞数
分类专栏: 代码注入 文章标签: 代码注入 线程 CreateRemo
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33522888/article/details/73435447
版权

本人小白水平,内容中有看不懂的地方请直接在留言中询问,如果代码中有错误或者用法不正确的地方还请立刻指出,本人QQ号 : 3216393922

对于 CreateRemoteThread,比较简单的用法是用LoadLibrary在目标进程中注入dll,也可以在远程线程中注入代码,并将它运行,不过,有一下几个注意点:

1、如何在远程线程中调用字符串?

所有的字符串必须在目标进程的地址空间中,所以我在目标进程内开辟了两个空间,一个用来存放代码,一个用来存放数据。将数据打包成结构体REMOTE_DATA,一次性运到目标进程中去,再将该结构体数据在目标进程中的地址作为线程函数的参数,这样就可以在线程函数中调用结构体中的字符串数据。

2、如何在远程线程中任意调用系统函数?

为了在远程线程中可以调用任何想调用的函数,必须拥有LoadLibraryW和GetProcAddress这两个函数,调用某一个函数时,先用LoadLibraryW得到函数所在的dll模块句柄,再用GetProcAddress得到函数地址。

例如:想要在远程线程函数内调用MessageBoxW函数,它在User32.dll中
先在数据结构体中定义函数名和dll名
CHAR szMessageBoxW[20] = “MessageBoxW”;
WCHAR szUser32[20] = TEXT(“user32.dll”);
再在远程线程函数中得到dll模块句柄
HMODULE hUser32 = LOADLIBRARYW(myData->szUser32);
然后申明MessageBoxW函数
typedef int(WINAPI* Func1)(HWND hwnd,LPCWSTR lpText,LPCWSTR lpCaption,UINT uType);
Func1 MESSAGEBOXW = (Func1)GETPROCADDRESS(hUser32, myData->szMessageBoxW);
最后调用MessageBoxW函数
MESSAGEBOXW(NULL, myData->szText, myData->szCaption, MB_OK);

3、如何得到函数代码在内存中的大小?

#pragma check_stack(off)
void test()
{
    //你的代码
}
void AfterFunc()
{
    return;
}
#pragma check_stack

调用SIZE_T cbSize = ((BYTE )(DWORD)AfterFunc - (BYTE )(DWORD)RemoteThreadFunc) + 10就可以得到函数test()的大小,该方法在Debug下无法使用,在Release中才可以使用。

目标是在进程PEView.exe中创建一个线程,线程中创建一个MessageBoxW
下面是代码:

#include <Windows.h>
#include <TlHelp32.h>
#include <stdlib.h>
#include <string>
#include <string.h>
#include <stdio.h>
#include <tchar.h>
#include <Psapi.h>
using namespace std;

//1.定义进程名称
const wstring& wsProcessName = TEXT("PEView.exe");

//2.定义远程线程中使用的数据
typedef struct
{
    WCHAR szCaption[50] = TEXT("123");
    WCHAR szText[50] = TEXT("456");

    //2.1需要使用的dll
    WCHAR szKernel32[20] = TEXT("kernel32.dll");
    WCHAR szUser32[20] = TEXT("user32.dll");
    WCHAR szGdi32[20] = TEXT("gdi32.dll");

    //2.2需要使用的函数
    CHAR szMessageBoxW[20] = "MessageBoxW";
    CHAR szLoadCursorW[20] = "LoadCursorW";
    CHAR szSetCursor[20] = "SetCursor";
    CHAR szSleep[20] = "Sleep";

    //2.3两个函数LoadLibraryW和GetProcAddressW的地址
    DWORD dwLoadLibraryW = 0;
    DWORD dwGetProcAddress = 0;

}REMOTE_DATA, *PREMOTE_DATA;
REMOTE_DATA remoteData;

//3.定义远程线程的函数
#pragma check_stack(off)
DWORD __stdcall RemoteThreadFunc(PREMOTE_DATA myData)
{
    //LoadLibraryW-->LOADLIBRARYW
    typedef HMODULE(WINAPI* LoadLibraryWFunc)(
        LPCWSTR lpFileName
        );
    LoadLibraryWFunc LOADLIBRARYW = (LoadLibraryWFunc)myData->dwLoadLibraryW;
    //GetProcAddress-->GETPROCADDRESS
    typedef FARPROC(WINAPI* GetProcAddressFunc)(
        HMODULE hModule,
        LPCSTR lpProcName
        );
    GetProcAddressFunc GETPROCADDRESS = (GetProcAddressFunc)myData->dwGetProcAddress;

    //加载hUser32.dll并得到其句柄
    HMODULE hKernel32 = LOADLIBRARYW(myData->szKernel32);
    HMODULE hUser32 = LOADLIBRARYW(myData->szUser32);
    HMODULE hGdi32 = LOADLIBRARYW(myData->szGdi32);

    //调用MessageBoxW
    typedef int(WINAPI* Func1)(
        HWND hwnd,
        LPCWSTR lpText,
        LPCWSTR lpCaption,
        UINT uType
        );
    Func1 MESSAGEBOXW = (Func1)GETPROCADDRESS(hUser32, myData->szMessageBoxW);
    MESSAGEBOXW(NULL, myData->szText, myData->szCaption, MB_OK);

    return 0;
}
void AfterFunc()
{
    return;
}
#pragma check_stack

BOOL AdjustProcessTokenPrivilege()
{
    LUID luidTmp;
    HANDLE hToken;
    TOKEN_PRIVILEGES tkp;

    if (!::OpenProcessToken(::GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))
    {
        return FALSE;
    }

    if (!::LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &luidTmp))
    {
        ::CloseHandle(hToken);
        return FALSE;
    }

    tkp.PrivilegeCount = 1;
    tkp.Privileges[0].Luid = luidTmp;
    tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

    if (!::AdjustTokenPrivileges(hToken, FALSE, &tkp, sizeof(tkp), NULL, NULL))
    {
        ::CloseHandle(hToken);
        return FALSE;
    }

    return TRUE;
}
BOOL Camp2str(wstring wsStrA, wstring wsStrB)
{
    int nSize = wsStrA.length();
    for (int i = 0; i < nSize; ++i)
    {
        if (wsStrA[i] >= 'A'&&wsStrA[i] <= 'Z')
            wsStrA[i] += 'a' - 'A';
    }
    nSize = wsStrB.length();
    for (int i = 0; i < nSize; ++i)
    {
        if (wsStrB[i] >= 'A'&&wsStrB[i] <= 'Z')
            wsStrB[i] += 'a' - 'A';
    }

    return wsStrA == wsStrB;
}
DWORD GetProcessIdByName(const wstring& wsProcessName)
{
    HANDLE hProcess = 0;
    DWORD dwProcess[2048], dwNeeded;
    TCHAR tcProcName[MAX_PATH] = { 0 };
    wstring wsNowProcessName = L"";
    int nTempSize = 0;
    int nPos = 0;

    //将所有进程的ID保存在数组dwProcess中,共dwNeeded个进程
    EnumProcesses(dwProcess, sizeof(dwProcess), &dwNeeded);

    //用ID打开每一个进程
    for (int i = 0; i < (dwNeeded / sizeof(DWORD)); ++i)
    {
        if (dwProcess[i] != 0)
        {
            hProcess = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, FALSE, dwProcess[i]);
            GetModuleFileNameEx(hProcess, NULL, tcProcName, MAX_PATH);
            nPos = wstring(tcProcName).find_last_of(L'\\');
            if (nPos != wstring::npos)
            {
                wsNowProcessName = wstring(wstring(tcProcName).substr(nPos + 1));
                if (Camp2str(wsProcessName, wsNowProcessName))
                {
                    DWORD aa = dwProcess[i];
                    return aa;
                }
            }
        }

    }

    return 0;
}

int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, PSTR szCmdLine, int iCmdShow)
{
    //1.提权
    if (!AdjustProcessTokenPrivilege())
    {
        MessageBox(NULL, TEXT("无法提升权限"), TEXT("Fail"), MB_ICONERROR);
        return -1;
    }

    DWORD dwProID = 0;
    HANDLE hProcess = NULL;
    HANDLE hModuleSnap = INVALID_HANDLE_VALUE;
    HANDLE hThread = NULL;
    void* pRemoteData = NULL;
    void* pRemoteThread = NULL;

    __try
    {
        //2.获取进程ID dwProPID
        if ((dwProID = GetProcessIdByName(wsProcessName)) == 0)
        {
            MessageBox(NULL, TEXT("无法由进程名找到进程"), TEXT("Fail"), MB_ICONERROR);
            __leave;
        }

        //3.打开进程句柄hProcess
        if ((hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProID)) == NULL)
        {
            MessageBox(NULL, TEXT("无法打开进程"), TEXT("Fail"), MB_ICONERROR);
            __leave;
        }

        //4.在宿主进程中找到LoadLibraryW函数和GetProcAddressW函数的地址
        //并分别赋给remoteData.dwLoadLibraryW和remoteData.dwGetProcAddress
        MODULEENTRY32W me32 = { sizeof(MODULEENTRY32W) };
        hModuleSnap = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwProID);
        if (hModuleSnap == INVALID_HANDLE_VALUE)
        {
            MessageBox(NULL, TEXT("无法获取模块快照"), TEXT("Fail"), MB_ICONERROR);
            __leave;
        }
        if (!Module32FirstW(hModuleSnap, &me32))
        {
            MessageBox(NULL, TEXT("无法获取模块快照"), TEXT("Fail"), MB_ICONERROR);
            __leave;
        }
        do
        {
            //找到目标进程中的Kernel32.dll
            if (lstrcmpiW(me32.szModule, TEXT("Kernel32.dll"))==0)
            {
                //获得本地hKernel32.dll或LoadLibraryW或GetProcAddress的地址
                HANDLE hKernel32 = GetModuleHandleW(TEXT("Kernel32.dll"));
                DWORD loadlibraryw = (DWORD)GetProcAddress((HMODULE)hKernel32, (LPCSTR)"LoadLibraryW");
                DWORD getprocaddress = (DWORD)GetProcAddress((HMODULE)hKernel32, (LPCSTR)"GetProcAddress");
                if (hKernel32 == NULL || loadlibraryw == 0 || getprocaddress == 0)
                {
                    MessageBox(NULL, TEXT("无法获得本地hKernel32.dll或LoadLibraryW或GetProcAddress的地址"), TEXT("Fail"), MB_ICONERROR);
                    __leave;
                }

                //获得目标进程hKernel32.dll或LoadLibraryW或GetProcAddress的地址
                remoteData.dwLoadLibraryW = loadlibraryw - (DWORD)hKernel32 + (DWORD)me32.hModule;
                remoteData.dwGetProcAddress = getprocaddress - (DWORD)hKernel32 + (DWORD)me32.hModule;
                break;
            }
        } while (Module32NextW(hModuleSnap, &me32));
        CloseHandle(hModuleSnap);
        hModuleSnap = INVALID_HANDLE_VALUE;
        if (remoteData.dwLoadLibraryW == 0 || remoteData.dwGetProcAddress == 0)
        {
            MessageBox(NULL, TEXT("未能在目标进程中找到kernel32.dll"), TEXT("Fail"), MB_ICONERROR);
            __leave;
        }

        //5.1在宿主进程里分配内存,用于存参数remoteData
        pRemoteData = VirtualAllocEx(hProcess, NULL, sizeof(remoteData), MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
        if (pRemoteData == NULL)
        {
            MessageBox(NULL, TEXT("无法在宿主进程中分配内存"), TEXT("Fail"), MB_ICONERROR);
            __leave;
        }
        //5.2把remoteData写入到目标进程的内存pRemoteData中去
        if (!WriteProcessMemory(hProcess, pRemoteData, &remoteData, sizeof(remoteData), NULL))
        {
            MessageBox(NULL, TEXT("无法将数据remoteData写入宿主进程中"), TEXT("Fail"), MB_ICONERROR);
            __leave;
        }
        //6.1在宿主进程里分配内存,用于写线程函数RemoteThreadFunc
        SIZE_T cbSize = ((BYTE *)(DWORD)AfterFunc - (BYTE *)(DWORD)RemoteThreadFunc) + 10;
        if (cbSize <= 0)
        {
            cbSize = 2048;
        }
        pRemoteThread = VirtualAllocEx(hProcess, NULL, cbSize, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
        if (pRemoteThread == NULL)
        {
            MessageBox(NULL, TEXT("无法在宿主进程中分配内存"), TEXT("Fail"), MB_ICONERROR);
            __leave;
        }
        //6.2.把RemoteThread指向的函数写入到目标进程的内存pRemoteThread中去
        if (!WriteProcessMemory(hProcess, pRemoteThread, &RemoteThreadFunc, cbSize, NULL))
        {
            MessageBox(NULL, TEXT("无法将线程函数RemoteThread写入宿主进程中"), TEXT("Fail"), MB_ICONERROR);
            __leave;
        }

        //7.启动注入宿主进程的线程
        hThread = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pRemoteThread, pRemoteData, 0, NULL);
        if (!hThread)
        {
            MessageBox(NULL, TEXT("无法在宿主进程中创建远程线程"), TEXT("Fail"), MB_ICONERROR);
            __leave;
        }

        //8.等待线程结束,然后清理内存
        WaitForSingleObject(hThread, INFINITE);
    }
    __finally
    {
        if (hProcess != NULL)
        {
            CloseHandle(hProcess);
        }
        if (hModuleSnap != INVALID_HANDLE_VALUE)
        {
            CloseHandle(hModuleSnap);
        }
        if (hThread != NULL)
        {
            CloseHandle(hThread);
        }
        if (pRemoteThread != NULL)
        {
            VirtualFreeEx(hProcess, pRemoteThread, 0, MEM_RELEASE);
        }
        if (pRemoteData != NULL)
        {
            VirtualFreeEx(hProcess, pRemoteData, 0, MEM_RELEASE);
        }
    }

    return 0;
}
昵称什么的最烦了啊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CreateRemoteThread 使用,源代码例子,还有说明。
07-15
CreateRemoteThread 使用,源代码例子,还有说明。
DllInjection_CreateRemoteThread
04-30
本文将深入探讨DllInjection以及如何使用C++实现CreateRemoteThread技术。 首先,DllInjection的主要目的是在目标进程中执行自定义代码,这在多种场景下都有应用,比如调试、性能监控、自动化测试或恶意软件中。...
CreateRemoteThread使用(转载)
bodybo的专栏
08-23 2165
先解释一下远程进程,其实就是要植入你的代码的进程,相对于你的工作进程(如果叫本地进程的话)它就叫远程进程,可理解为宿主。首先介绍一下我们的主要工具CreateRemoteThread,这里先将函数原型简单介绍以下。CreateRemoteThread可将线程创建在远程进程中。函数原型HANDLE CreateRemoteThread( HANDLE hProcess,              
线程的远程注入
vcforever的专栏
03-15 1万+
要实现线程的远程注入必须使用Windows提供的CreateRemoteThread函数来创建一个远程线程该函数的原型如下:HANDLE CreateRemoteThread(    HANDLE hProcess,    LPSECURITY_ATTRIBUTES lpThreadAttributes,    SIZE_T dwStackSize,    LPTHREAD_START_ROUTI
Win7 CreateRemoteThread 另类使用方法
热门推荐
Koma的主页
05-31 2万+
同样的代码,在XP下面随便你怎么整,WIN7的话是相当纠结的,具体哪些错误就不解释了~~
CreateRemoteThread 使用的两个例子
justin_bkdrong的专栏
11-08 953
CreateRemoteThread - 创建一个运行在其他进程的虚拟内存空间
hook_delphi_remote_createremotethread_hook_
10-03
总之,"hook_delphi_remote_createremotethread_hook_"是一个关于在Delphi中使用Hook技术监控和控制远程进程CreateRemoteThread调用的主题。理解和实践这一技术能够提升开发者对系统级编程和安全监控的理解,同时也...
CreateRemoteThread DLL源码
08-29
总之,“CreateRemoteThread DLL源码”涉及了C++和C#之间的跨语言交互、Windows API的使用,特别是DLL注入和远程线程创建,这些都是系统编程和逆向工程中的重要概念。理解和掌握这些技术对于提升系统级编程能力具有...
CreateRemoteThread:从32位进程到64位进程
04-17
本文将深入探讨`CreateRemoteThread`的原理、使用方法以及32位到64位进程间调用的挑战。 `CreateRemoteThread`是Windows API中的一部分,属于进程和线程管理的范畴。它通过系统内核服务,在指定的远程进程中创建一...
封装远程注入CreateRemoteThreadEx
hududumo
06-16 790
类初始化时传入要注入的DLL文件名 只使用两个函数 // 注入DLL到指定的地址空间BOOL InjectModuleInto(DWORD dwProcessId);// 从指定的地址空间卸载DLLBOOL EjectModuleFrom(DWORD dwProcessId); .h #pragma once #include &lt;windows.h&gt; //在头文件中...
C++封装远程注入CreateRemoteThreadEx实例
09-04
主要介绍了C++封装远程注入CreateRemoteThreadEx实例,详细讲述了注入DLL到指定的地址空间以及从指定的地址空间卸载DLL的方法,需要的朋友可以参考下
CreateRemoteThread函数
believe_s的博客
09-11 3178
CreateRemoteThread函数 创建在另一个进程的虚拟地址空间中运行的线程使用CreateRemoteThreadEx函数创建在另一个进程的虚拟地址空间中运行的线程,并可选择指定扩展属性。 语法 HANDLE CreateRemoteThread( HANDLE hProcess, LPSECURITY_ATTRIBUTES lp...
CreateRemoteThread 直接注入代码执行
lixiangminghate的专栏
12-12 3318
上回写到用CreateRemoteThread注入dll,这次换个方式直接注入代码
CreateRemoteThread简单应用
天蓝的专栏
08-31 1205
#pragma once#include #include #include "stdio.h"//线程参数结构体定义typedef struct _RemoteParam {char szMsg[12]; //MessageBox函数中显示的字符提示DWORD dwMessageBox;//MessageBox函数的入口地址} RemoteParam, * PRemoteParam;//定义Me
自己动手实现MyCreateRemoteThread
dianguai6102的博客
05-06 259
标 题:【原创】自己动手实现MyCreateRemoteThread作 者:hackerlzc时 间:2012-03-24,15:29:03链 接:http://bbs.pediy.com/showthread.php?t=148370 自己动手实现MyCreateRemoteThread 早就有了这个想法,可是一直没有做。最近实在闲,游戏不会打,书不想看...
使用远程线程注入的三个函数CreateRemoteThread、NtCreateThreadEx、RtlCreateUserThread
商少
07-17 5847
远程线程注入的三个函数 CreateRemoteThread HANDLE WINAPI CreateRemoteThread( _In_ HANDLE hProcess, _In_ LPSECURITY_ATTRIBUTES lpThreadAttributes, _In_ SIZE_T dwSta
CreateRemoteThread 牛刀小试
zgl7903的专栏
06-08 2188
// RmtTest.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include <windows.h> #include <shlwapi.h> #pragma comment(lib, "shlwapi.lib") #pragma comment(lib, "Advapi32.lib") BOOL Set...
工业视觉智能-分割模型基础知识
最新发布
08-18
根据《阿里云工业视觉智能高级工程师ACP认证免费课程》(https://edu.aliyun.com/course/3128115/lesson/342981389)创建的个人笔记
createremotethread使用中64位怎么用
03-23
对于使用64位的createremotethread,您需要使用64位的操作系统和64位的目标进程。您可以使用CreateRemoteThreadEx函数来创建远程线程,并将lpStartAddress参数设置为目标进程中的函数地址。此外,您还需要使用VirtualAllocEx函数在目标进程中分配内存,并使用WriteProcessMemory函数将您的数据写入该内存。最后,您可以使用CreateRemoteThreadEx函数启动远程线程,并传递您的参数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值