Inject集合----远程线程注入(NtCreateThreadEx)

最新推荐文章于 2024-08-08 14:18:16 发布
最新推荐文章于 2024-08-08 14:18:16 发布
阅读量2.2k 收藏 3
点赞数
分类专栏: INJECT集合
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42021840/article/details/106135811
版权

介绍:

前面写过一片远程线程注入的文章,用到的是CreateRemoteThread函数来远程注入线程的,这次我们用NtCreateThreadEx来创建远程线程,其实并没有技术的升级,而是进行了创建远程线程函数的升级,下面是CreateRemoteThread在Reactos中的源码

    /* Create the Kernel Thread Object */
    Status = NtCreateThread(&hThread,
                            THREAD_ALL_ACCESS,
                            ObjectAttributes,
                            hProcess,
                            &ClientId,
                            &Context,
                            &InitialTeb,
                            TRUE);

 

可以发现CreaeteRemoteThread函数实现中调用了 NtCreateThread函数的,但我们这篇文章是使用NtCreateThreadEx 一个未公开的函数,使用方法和 CreaeteRemoteThread类似。

步骤:

  • 获取进程ID        __NtQuerySystemInformation
  • 打开进程,获取进程句柄  SeEnableSeDebugPrivilege OpenProcess
  • 在目标进程中申请内存空间 VirtualAllocEx
  • 在目标进程中写入DLL完整路径 WriteProcessMemory
  • 从Ntdll中获取NtCreateThreadEx地址,从Kernel32中获取LoadLibraryA/W地址
  • 调用NtCreateThreadEx创建远程线程

 代码:

获取进程ID

https://blog.csdn.net/qq_42021840/article/details/106137368

 打开进程,获取进程句柄

https://blog.csdn.net/qq_42021840/article/details/106137834

在目标进程中申请内存空间

	ULONG BufferLength = 0;
	//在目标进程空间中申请内存
	BufferLength = (_tcslen(BufferData) + 1) * sizeof(TCHAR);
	//目标进程空间中申请内存
	VirtualAddress = VirtualAllocEx(ProcessHandle, NULL, BufferLength, MEM_COMMIT, PAGE_READWRITE);

在目标进程中写入DLL完整路径

 

ProcessMemoryWriteSafe(ProcessHandle, VirtualAddress, BufferData, BufferLength, &ReturnLength)


BOOL ProcessMemoryWriteSafe(HANDLE ProcessHandle, LPVOID VirtualAddress, LPCVOID BufferData, SIZE_T BufferLength, SIZE_T* ReturnLength)
	{
		SIZE_T  v1 = 0;
		SIZE_T* v2 = 0;
		int    LastError = 0;
		DWORD  OldProtect = 0;
		BOOL   IsOk = FALSE;
		if ((ProcessHandle == 0) || (VirtualAddress == 0) || (BufferData == 0) || (BufferLength == 0))
		{

			LastError = ERROR_INVALID_PARAMETER;
			goto Exit;
		}
		if (!ReturnLength)
		{
			v2 = &v1;
		}
		else
		{
			v2 = ReturnLength;
		}

		if (!WriteProcessMemory(ProcessHandle, VirtualAddress, BufferData, BufferLength, v2))
			/*BOOL WriteProcessMemory(  ****函数能写入某一进程的内存区域
				HANDLE hProcess,       由OpenProcess返回的进程句柄。如参数传数据为 INVALID_HANDLE_VALUE 【即-1】目标进程为自身进程
				LPVOID lpBaseAddress,  要写的内存首地址 再写入之前,此函数将先检查目标地址是否可用,并能容纳待写入的数据
				LPVOID lpBuffer,       指向要写的数据的指针。
				DWORD nSize,           要写入的字节数。
				LPDWORD lpNumberOfBytesWritten  实际数据的长度
			);*/
		{
			if (VirtualProtectEx(ProcessHandle, VirtualAddress, BufferLength, PAGE_EXECUTE_READWRITE, &OldProtect))
			{
				if (WriteProcessMemory(ProcessHandle, VirtualAddress, BufferData, BufferLength, v2))
				{
					IsOk = TRUE;
				}
				else
				{
					LastError = GetLastError();
				}
				VirtualProtectEx(ProcessHandle, VirtualAddress, BufferLength, OldProtect, &OldProtect);
			}
			else
			{
				LastError = GetLastError();
			}
		}
		else
		{
			IsOk = TRUE;
		}
	Exit:

		SetLastError(LastError);
		return IsOk;
	}

从Ntdll中获取NtCreateThreadEx地址,从Kernel32中获取LoadLibraryA/W地址

	//当前exe模块中没有该函数导入
	__NtCreateThreadEx = (LPFN_NTCREATETHREADEX)GetProcAddress(NtdllModuleBase,
		"NtCreateThreadEx");

	if (__NtCreateThreadEx == NULL)
	{
		goto Exit;
	}

	//使用Kernel32模块中的导出函数地址  Anti(IAThook)

#ifdef UNICODE
	__LoadLibrary = (LPFN_LOADLIBRARYW)GetProcAddress(Kernel32ModuleBase, "LoadLibraryW");
#else
	__LoadLibrary = (LPFN_LOADLIBRARYA)GetProcAddress(Kernel32ModuleBase, "LoadLibraryA");
#endif

 

调用NtCreateThreadEx创建远程线程

//再目标进程中启动一个线程
	HANDLE ThreadHandle = INVALID_HANDLE_VALUE;
	IsOk = __NtCreateThreadEx(&ThreadHandle,
		THREAD_ALL_ACCESS, NULL, ProcessHandle, (LPTHREAD_START_ROUTINE)__LoadLibrary, VirtualAddress,
		FALSE, NULL, NULL, NULL, NULL);

WaitForSingleObject(ThreadHandle, INFINITE);

 

`Nobody
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用NtCreateThreadEx将Dll注入目标进程
KOOKNUT的博客
05-12 2343
第一遍学习这个注入方法时候,只知道NtCreateThreadEx是未公开的nt函数,当时要定义一个函数指针出来,好像在看雪上找到的这个函数的声明,,太久远了,记不清了。 在Windows2000的源码和Reactos中都无法找到NtCreateThreadEx的函数声明和实现,所以试了下用IDA看看ntdll的导出表,哇,好开心找到了,但是,,好像什么都没有,只有一个系统调用号,没有任何参数的信息。 我最后在https://securityxploded.com/ntcreatethreadex.php
LdrLoadDll+NtCreateThreadEx结合实现DLL的注入
技术引领巅峰=〉牛人无所不在
11-30 2957
项目要求实现对文件操作的监控,首先想到的就是通过HOOK的方式,先是通过setWindowsHookEx采用全局注入方式注入文件操作DLL,这种方式在WIN10操作系统有效,但是在WIN7上无效,后来又使用了CreateRemoteThread采用远程注入方式,结果还是只在WIN10上有限,又查了很多资料,最后看到网上又说可以使用LdrLoadDll+NtCreateThreadEx于是又采用这种...
Inject集合----远程线程注入(RtlCreateUserThread)
qq_42021840的博客
05-16 2000
之前我写过关于用CreateRemoteThread和NtCreateThreadEx 进行DLL注入,但是我想起之前还有一个函数可以实现远程线程注入,那就是今天的主角RtlCreateUserThread,它和NtCreateThreadEx 一样,也是一个未公开的函数,但是它和CreateRemoteThread和NtCreateThreadEx使用方法是一样的,并没有什么升级的操作。 我在网上看到说,RtlCreateUserThread其实是对NtCreateThreadEx的包装。 ...
杀软对抗 --->Bypass Ring3 Hook的魅力
最新发布
huohaowen的博客
08-08 991
The Charm Of By Passing Ring3 Hook!!
[转载]关于NtCreateUserProcess和NtCreateThreadEx的参数
angbagangzhe065140的博客
02-10 780
转自: http://hi.baidu.com/zzzevazzz/item/b2a9c9a4ea6805f615329ba7 这两个Vista新增的系统服务函数原型未公开,目前网上搜索到的资料有些问题,特别是对于最后一个参数的描述不确切。 首先说NtCreateUserProcess。网上找到的函数原型如下: DWORD newNtCreateUserProcess(PVOID ...
(开源) Ring3下的DLL注入工具 x64(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)
12-31
DLL注入工具有很多,但是也有很多无法注入系统进程如explorer.exe,notepad.exe等,特别是Win7以上平台。此注入工具核心注入部分使用NtCreateThreadEx + LdrLoadDlll方式实现,特色在于比一般的远程线程注入稳定,可以注入系统进程,服务进程等。 工具介绍:http://blog.csdn.net/sunflover454/article/details/50441014 开源介绍:http://blog.csdn.net/sunflover454/article/details/50441146
NtCreateThreadEx在Win7 x64位调用失败解决办法
qq_34471028的博客
03-25 943
问题 在研究进程注入的时候,发现在Win10 64位上调用NtCreateThreadEx可以执行成功,但是换到Win7 64位上会失败,并且返回GetLastError = 8,程序是以管理员运行且内部已实现提升进程访问权限。 解决方案 函数NtCreateThreadEx在32位和64位的定义有所不同,区分不同的系统位数选择函数声明节课解决在Win7 64位上调用失败的问题。 64位N...
inject-html-webpack-plugin:将脚本标签和样式链接注入到您的html中
05-09
var InjectHtmlPlugin = require ( 'inject-html-webpack-plugin' ) module . exports = { entry : { index : "./index.js" } , module : { loaders : [ ... ] } , output : { path : './dist' ,
sisu-inject-bean-1.4.2.jar
01-08
sisu-inject-bean-1.4.2.jar
rollup-plugin-inject-process-env:使用Rollup在process.env中注入环境变量
05-02
汇总插件注入过程环境 在浏览器汇总包中注入process.env环境变量。 为什么 ? 因为通常在一种情况下用rollup-plugin-replace字符串是rollup-plugin-replace : console . log ( process . env . NODE_ENV ) ; ......
inject-webpack-plugin:Webpack的依赖注入
05-13
$ npm install inject-webpack-plugin --save-dev 基本用法 在您的webpack.config.js import InjectWebpackPlugin from 'webpack-inject-plugin' ; export default { // ... plugins : [ new ...
(开源) Ring3下的DLL注入工具 x86(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)
12-31
DLL注入工具有很多,但是也有很多无法注入系统进程如explorer.exe,notepad.exe等,特别是Win7以上平台。此注入工具核心注入部分使用NtCreateThreadEx + LdrLoadDlll方式实现,特色在于比一般的远程线程注入稳定,可以注入系统进程,服务进程等。 工具介绍:http://blog.csdn.net/sunflover454/article/details/50441014 开源介绍:http://blog.csdn.net/sunflover454/article/details/50441146
C++ > (开源) Ring3下的DLL注入工具 x64(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)
04-28
DLL注入工具有很多,但是也有很多无法注入系统进程如explorer.exe,notepad.exe等,特别是Win7以上平台。此注入工具核心注入部分使用NtCreateThreadEx + LdrLoadDlll方式实现,特色在于比一般的远程线程注入稳定,可以注入系统进程,服务进程等。 工具介绍:http://blog.csdn.net/sunflover454/article/details/50441014 开源介绍:http://blog.csdn.net/sunflover4
内核线程注入x64
11-22
Win764位下通过驱动Attach到目标进程下再调用NtCreateThreadEx函数创建线程执行ShellCode来注入Dll。
javax-inject-1.0-201002241208.jar.zip
07-01
javax.inject是Java平台上的一个标准注入API,它是JSR 330的一部分,提供了一套核心的注解和接口来支持依赖注入。在本文中,我们将深入探讨javax.inject的核心概念、使用方法以及与Hibernate框架的集成。 一、javax...
(开源) Ring3下的DLL注入工具 x86&x64(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)
热门推荐
sunflover454的专栏
12-31 2万+
工具介绍及使用请移步:http://blog.csdn.net/sunflover454/article/details/50441014 本文首发在零日安全论坛:http://www.jmpoep.com/thread-833-1-1.html 使用NtCreateThreadEx + LdrLoadDll方式实现远程线程注入的特色在于比一般的远程线程注入稳定,可以注入系统进程,服务
CreateRemoteThread RtlCreateUserThread NtCreateThreadEx
dre4merp
05-16 831
函数原型 HANDLE CreateRemoteThread( HANDLE hProcess, // handle to process LPSECURITY_ATTRIBUTES lpThreadAttributes, // SD SIZE_T dwStackSize, // initial stack size LPTHREAD_START_ROUTINE lpStartAddress...
win7 64bit下远程线程注入技术(进程劫持入门技术)
扣的CODE
07-20 7563
http://blog.csdn.net/arvon2012/article/details/7766439 本文是配合上文学习和使用的。上文中,最后,我们生成了可以hook api的dll,那么怎么把它发射到其他进程中,让其他进程调用运行我们的dll呢? 远程线程注入技术可以解决这个问题。   原理: 远程线程注入是这样的,首先在当前运行的进程中找到目标进程,然后将我们的dll的内容写
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值