第五课 代码注入(C语言)

最新推荐文章于 2024-04-15 19:05:26 发布
最新推荐文章于 2024-04-15 19:05:26 发布
阅读量3.3k 收藏 23
点赞数 7
分类专栏: DLL注入 文章标签: 代码注入 线程函数 Injection 线程注入 CreateRemoteThread
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41917908/article/details/82390541
版权

下面用一个代码注入示例向notepad.exe进程注入简单的代码,注入后会弹出消息框,显示消息

首先,运行notepad.exe 查看notepad.exe的PID,我这里显示的是2608

·

在cmd窗口中运行CodeInjection.exe 并输入命令与参数

然后可以看到一个信息框被注入到notepad.exe进程当中

下面展示一下CodeInjection.exe的源码(用VS2017编译通过)

#include "stdafx.h"
#include "windows.h"
#include "stdio.h"

typedef struct _THREAD_PARAM
{
	FARPROC pFunc[2];               // LoadLibraryA(), GetProcAddress()
	char    szBuf[4][128];          // 接收传递过来的"user32.dll", "MessageBoxA", "www.xuenixiang.com", "Shin"这些字符串
} THREAD_PARAM, *PTHREAD_PARAM;

typedef HMODULE(WINAPI *PFLOADLIBRARYA)
(
	LPCSTR lpLibFileName
	);

typedef FARPROC(WINAPI *PFGETPROCADDRESS)//如果函数调用成功,返回值是DLL中的输出函数地址
(
	HMODULE hModule,//dll模块句柄
	LPCSTR lpProcName;//函数名
);

typedef int (WINAPI *PFMESSAGEBOXA)//MessageBoxA传参结构体
(
	HWND hWnd,
	LPCSTR lpText,
	LPCSTR lpCaption,
	UINT uType
	);

DWORD WINAPI ThreadProc(LPVOID lParam)//线程的起始地址,线程创建成功,返回非零值,否则为0
{
	PTHREAD_PARAM   pParam = (PTHREAD_PARAM)lParam;//接收线程传递给函数使用的CreateThread函数lpParameter参数数据
	HMODULE         hMod = NULL;
	FARPROC         pFunc = NULL;

	// LoadLibrary()
	hMod = ((PFLOADLIBRARYA)pParam->pFunc[0])(pParam->szBuf[0]);    // "user32.dll"
	if (!hMod)
		return 1;

	// GetProcAddress()
	pFunc = (FARPROC)((PFGETPROCADDRESS)pParam->pFunc[1])(hMod, pParam->szBuf[1]);  // "MessageBoxA"
	if (!pFunc)
		return 1;

	// MessageBoxA()
	((PFMESSAGEBOXA)pFunc)(NULL, pParam->szBuf[2], pParam->szBuf[3], MB_OK);

	return 0;
}

BOOL InjectCode(DWORD dwPID)//代码注入的核心部分
{
	HMODULE         hMod = NULL;
	THREAD_PARAM    param = { 0, };
	HANDLE          hProcess = NULL;
	HANDLE          hThread = NULL;
	LPVOID          pRemoteBuf[2] = { 0, };
	DWORD           dwSize = 0;

	hMod = GetModuleHandleA("kernel32.dll");//获取kernel32.dll动态链接库的模块句柄

	// set THREAD_PARAM
	param.pFunc[0] = GetProcAddress(hMod, "LoadLibraryA");//返回值是DLL中LoadLibraryA函数的地址
	param.pFunc[1] = GetProcAddress(hMod, "GetProcAddress");
	strcpy_s(param.szBuf[0], "user32.dll");
	strcpy_s(param.szBuf[1], "MessageBoxA");
	strcpy_s(param.szBuf[2], "www.xuenixiang.com");
	strcpy_s(param.szBuf[3], "Shin");

	// Open Process 打开一个已存在的进程对象,并返回进程的句柄
	if (!(hProcess = OpenProcess(PROCESS_ALL_ACCESS,   // dwDesiredAccess
		FALSE,                // bInheritHandle
		dwPID)))             // dwProcessId
	{
		printf("OpenProcess() fail : err_code = %d\n", GetLastError());
		return FALSE;
	}

	// Allocation for THREAD_PARAM
	dwSize = sizeof(THREAD_PARAM);
	if (!(pRemoteBuf[0] = VirtualAllocEx(hProcess,          // hProcess
		NULL,                 // lpAddress
		dwSize,               // dwSize
		MEM_COMMIT,           // flAllocationType
		PAGE_READWRITE)))    // flProtect
	{
		printf("VirtualAllocEx() fail : err_code = %d\n", GetLastError());
		return FALSE;
	}
	/*hProcess 由OpenProcess返回的进程句柄。
	如参数传数据为 INVALID_HANDLE_VALUE 【即 - 1】目标进程为自身进程
	lpBaseAddress要写的内存首地址
	再写入之前,此函数将先检查目标地址是否可用,并能容纳待写入的数据。
	lpBuffer
	指向要写的数据的指针。
	nSize
	要写入的字节数。
	返回值
	非零值代表成功。
	可用GetLastError获取更多的错误详细信息。*/
	if (!WriteProcessMemory(hProcess,                       // hProcess
		pRemoteBuf[0],                  // lpBaseAddress
		(LPVOID)&param,                 // lpBuffer
		dwSize,                         // nSize
		NULL))                         // [out] lpNumberOfBytesWritten
	{
		printf("WriteProcessMemory() fail : err_code = %d\n", GetLastError());
		return FALSE;
	}

	// Allocation for ThreadProc() 为线程函数申请内存空间 执行成功就返回分配内存的首地址,不成功就是NULL
	dwSize = (DWORD)InjectCode - (DWORD)ThreadProc;
	if (!(pRemoteBuf[1] = VirtualAllocEx(hProcess,          // hProcess
		NULL,                 // lpAddress
		dwSize,               // dwSize
		MEM_COMMIT,           // flAllocationType
		PAGE_EXECUTE_READWRITE)))    // flProtect
	{
		printf("VirtualAllocEx() fail : err_code = %d\n", GetLastError());
		return FALSE;
	}

	if (!WriteProcessMemory(hProcess,                       // hProcess
		pRemoteBuf[1],                  // lpBaseAddress
		(LPVOID)ThreadProc,             // lpBuffer
		dwSize,                         // nSize
		NULL))                         // [out] lpNumberOfBytesWritten
	{
		printf("WriteProcessMemory() fail : err_code = %d\n", GetLastError());
		return FALSE;
	}

	if (!(hThread = CreateRemoteThread(hProcess,            // hProcess
		NULL,                // lpThreadAttributes
		0,                   // dwStackSize
		(LPTHREAD_START_ROUTINE)pRemoteBuf[1],     // dwStackSize
		pRemoteBuf[0],       // lpParameter
		0,                   // dwCreationFlags
		NULL)))             // lpThreadId
	{
		printf("CreateRemoteThread() fail : err_code = %d\n", GetLastError());
		return FALSE;
	}

	WaitForSingleObject(hThread, INFINITE);
	CloseHandle(hThread);
	CloseHandle(hProcess);

	return TRUE;
}

BOOL SetPrivilege(LPCTSTR lpszPrivilege, BOOL bEnablePrivilege)
{
	TOKEN_PRIVILEGES tp;
	HANDLE hToken;
	LUID luid;
	//要对一个任意进程(包括系统安全进程和服务进程)进行指定了写相关的访问权的OpenProcess操作,
	//只要当前进程具有SeDeDebug权限就可以了。要是一个用户是Administrator或是被给予了相应的权限,
	//就可以具有该权限。可是,就算我们用Administrator帐号对一个系统安全进程执行
	//OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessID)还是会遇到“访问拒绝”的错误。什么原因呢?
	//原来在默认的情况下进程的一些访问权限是没有被启用(Enabled)的,所以我们要做的首先是启用这些权限。
	//与此相关的一些API函数有OpenProcessToken、LookupPrivilegevalue、AdjustTokenPrivileges。
	//我们要修改一个进程的访问令牌,首先要获得进程访问令牌的句柄,这可以通过OpenProcessToken得到
	if (!OpenProcessToken(GetCurrentProcess(),//用来打开与进程相关联的访问令牌
		TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY,
		&hToken))
	{
		printf("OpenProcessToken error: %u\n", GetLastError());
		return FALSE;
	}

	if (!LookupPrivilegeValue(NULL,           // lookup privilege on local system
		lpszPrivilege,  // privilege to lookup 
		&luid))        // receives LUID of privilege
	{
		printf("LookupPrivilegeValue error: %u\n", GetLastError());
		return FALSE;
	}

	tp.PrivilegeCount = 1;
	tp.Privileges[0].Luid = luid;
	if (bEnablePrivilege)
		tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
	else
		tp.Privileges[0].Attributes = 0;

	// Enable the privilege or disable all privileges.
	if (!AdjustTokenPrivileges(hToken,
		FALSE,
		&tp,
		sizeof(TOKEN_PRIVILEGES),
		(PTOKEN_PRIVILEGES)NULL,
		(PDWORD)NULL))
	{
		printf("AdjustTokenPrivileges error: %u\n", GetLastError());
		return FALSE;
	}

	if (GetLastError() == ERROR_NOT_ALL_ASSIGNED)
	{
		printf("The token does not have the specified privilege. \n");
		return FALSE;
	}

	return TRUE;
}

int main(int argc, char *argv[])
{
	DWORD dwPID = 0;

	if (argc != 2)
	{
		printf("\n USAGE  : %s <pid>\n", argv[0]);
		return 1;
	}

	// change privilege
	if (!SetPrivilege(SE_DEBUG_NAME, TRUE))
		return 1;

	// code injection
	dwPID = (DWORD)atol(argv[1]);
	InjectCode(dwPID);

	return 0;
}

 

 

InjectCode()是代码注入技术的核心部分。两次调用VirtualAllocEx和WriteProcessMemory,第一次调用分配内存空间并写入远程线程的数据,第二次调用分配内存空间并写入远程线程的代码。这是代码注入的一个非常重要的特征

 

下面动态调试代码注入的过程

首先用OD调试notepad.exe ,F9跑起来

然后设置OD,选项 调试设置 勾选中断于新线程

现在开始,每当notepad.exe进程中生成新的线程,调试器就暂停在线程函数开始的代码位置,现在运行CodeInjection.exe,输入相应的PID

[esp+8]就是Iparam参数

插入到notepad.exe进程的汇编代码(宏观)

高级语言中函数大小的计算方法类似于汇编语言中代码所占空间的计算方法(详情可以百度或者查阅《计算机组成原理和汇编语言》一书)

 

xuenixiang
关注
  • 7
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
【PHP代码注入】PHP代码注入漏洞
cc
03-06 6091
call_user_func()等函数都有调用其他函数的功能,其中的一个参数作为要调用的函数名,那如果这个传入的函数名可控,那就可以调用意外的函数来执行我们想要的代码,也就是存在任意代码执行漏洞。以call_user_func($fun,$para)函数为例,该函数的第一个参数作为回调函数,后面的参数为回调函数的参数,将$para这个参数传递给$fun这个函数去执行。我们可以利用file_get_contents()函数,写入文件,该函数的作用在于将第二个参数作为内容写入到第一个参数的文件中。
C语言程序设计(第五章)
现在还有点空白
02-27 1674
第5章循环结构程序设计 【例5.1】求1+2+3+……+100。 #include&amp;lt;stdio.h&amp;gt; int main() { int i=1,sum=0; while(i&amp;lt;=100) { sum=sum+i; i++; } printf(&quot;sum=%d\n&quot;,sum); return 0; } 运行结果: 【例5.2】用do……while语句求1+2+3+……+1
代码注入的三种方法(中英文合集)
05-11
代码注入code injection必看
【逆向工程核心原理:代码注入
qq_42363151的博客
03-24 1395
c代码注入和汇编代码注入
代码注入技术
最新发布
Kegi_的博客
04-15 275
代码注入技术是指在程序运行时向程序中插入额外的代码,从而改变程序的行为或执行额外的操作。SQL 注入:通过在应用程序与数据库交互时,向输入的 SQL 查询中插入恶意代码,从而获取数据库中的数据或执行未经授权的操作。Shellcode 注入:通过在应用程序中注入恶意的 shellcode,执行系统级代码,控制系统或执行恶意操作。代码注入:将额外的代码插入到应用程序的执行流程中,以执行恶意操作,如访问敏感信息、传播恶意软件等。通过以上防范措施,可以有效降低代码注入技术的风险,保护应用程序和系统的安全性。
代码注入(web安全入门)
黑战士的博客
12-19 2844
不少知名程序也用到了动态函数的写法,这种写法跟使用 call_user_func() 的初衷一样,用来更加方便的调用函数,但是一旦过滤不严格就会造成代码执行漏洞。call_user_func() 等函数都有调用其他函数的功能,其中一个参数作为要调用的函数名,那如果这个传入的函数名可控,那就可以调用以外的函数来执行我们想要的代码,也就是存在任意代码执行漏洞。我们可以利用 file_get_contents() 函数读取服务器任意文件,前提是知道文件的绝对路径(也可是相对路径)和读取权限。
逆向工程核心原理——代码注入
weixin_46601374的博客
12-22 2907
什么是代码注入代码注入是一种向目标进程插入独立运行代码并使之运行的技术,它一般调用CreateRemoteThread()API以远程线程形式运行插入的代码,所以也被称为线程注入。 使用代码注入的原因 其实,代码注入要实现的功能与DLL注入类似,但具体实施时要考虑的事项更多,使用起来 更加不便。那它的优点究竟是什么呢? 1.占用内存少 如果要注入代码与数据较少,那么就不需要将它们做成DLL的形式再注入。此时直接采用 代码注入的方式同样能够获得与DLL注入相同的效果,且占用...
C语言基础代码(5)
Cecilia3333的博客
04-16 672
1.编写函数: unsigned int reverse_bit(unsigned int value); 这个函数的返回值value的二进制位模式从左到右翻转后的值。 如: 在32位机器上25这个值包含下列各位: 00000000000000000000000000011001 翻转后:(2550136832) 10011000000000000000000000000000 ,程序结果返回:...
C语言课程设计 学生选修课系统设计.zip
12-04
C语言虽然不直接支持GUI,但可以通过第三方库如ncurses实现简单的终端界面,或者用C语言编写后端,与其他支持GUI的编程语言(如Python、Java)结合。 4. 错误处理与调试: 在编写代码时,错误处理和调试技巧是必须...
图书管理系统 c语言 可直接运行
06-08
2. 用户界面:虽然C语言不支持图形用户界面(GUI)的内置库,但可以通过第三方库,如GTK+、Qt或Allegro,来创建简单的命令行界面或者图形界面。用户可以通过输入命令进行图书查询、借阅、归还等操作。 3. 输入输出...
远程操作C语言(linux下)实现.zip
04-08
它包含客户端和服务端的源代码,展示了如何用C语言编写网络程序。阅读和理解这些代码将帮助你掌握远程操作的核心技术。 总结,本教程通过C语言在Linux环境下实现远程操作,涵盖了网络套接字、身份验证、文件传输和...
c语言学生成绩管理系统.zip
05-13
3. 用户界面:虽然C语言本身不支持图形用户界面(GUI),但可以通过第三方库如GTK+或SDL来构建简单的命令行界面。用户可以通过输入指令进行操作,如“添加学生”、“查询成绩”等。 4. 功能模块:系统的核心功能...
c语言毕业设计商品销售系统源码.zip
04-06
5. **界面交互**:虽然C语言本身并不支持图形用户界面(GUI),但可以通过第三方库如ncurses库来实现简单的文本界面,或者结合其他语言如Python的tkinter库来创建更友好的图形界面。 在实际开发过程中,学生还需要...
代码注入的三种方法
xumaojun的专栏
08-31 2134
http://www.vckbase.com/index.php/wv/1580   目录 Windows 钩子 CreateRemoteThread 和 LoadLibrary 技术 ――进程间通信 CreateRemoteThread 和 WriteProcessMemory 技术 ――如何用该技术子类化远程控件 ――何时使用 CreateRemoteThread
8、代码注入
Holothurian
04-19 497
一般修改原始的程序,是利用代码注入的方式,注入代码就会选择利用Framework和Dylib等三方库的方式注入.
使用c语言进行纯代码注入编写)
qq_46112324的博客
06-01 496
使用c语言进行纯代码注入编写
PHP的代码注入是什么意思?底层原理是什么?
长风破浪会有时的博客
05-13 338
当应用程序接收到用户提交的数据时,如果没有对数据进行充分的过滤和验证,攻击者就有可能通过构造恶意的输入,在应用程序中注入一些非法的代码。PHP的代码注入(Code Injection)指的是攻击者通过构造恶意的输入,在应用程序中注入一些非法的代码,从而在应用程序中执行攻击者的指令或代码。这种攻击方式通常会利用应用程序的漏洞,例如未对输入数据进行充分的过滤和验证,导致攻击者可以在应用程序中执行任意代码,造成严重的安全风险,如数据库被盗、系统崩溃等。
你不可不知的Spring注入宝典:让你的代码焕发活力
青轩桃李能几何,流光欺人忽蹉跎
06-30 73
构造函数注入的原理是,在创建目标类的实例时,Spring容器会自动解析该类所需的依赖,并将其作为参数传递给构造函数,完成对依赖对象的注入。字段注入的原理是,Spring容器在创建目标类的实例时,会通过反射机制直接访问和修改类的成员变量,并将依赖对象赋值给这些成员变量,完成依赖注入。总之,字段注入是一种简化代码结构的依赖注入方式,适用于简单的依赖注入场景。接口注入是一种依赖注入的方式,它通过在类中定义接口类型的成员变量,并在Spring容器初始化时将具体的实现对象注入到接口中,实现对依赖对象的注入
C语言程序设计:第一章 C语言概论.ppt
06-14
C语言程序设计:第一章 C语言概论.ppt

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xuenixiang

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值