Dll注入新姿势:SetThreadContext注入

VIP文章 已于 2023-02-19 12:01:13 修改
阅读量206 收藏
点赞数
分类专栏: windows逆向安全 文章标签: windows
于 2023-02-08 17:26:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rosykee/article/details/128939360
版权

目前,有多种方法可用于将DLL注入到进程中,但每个都有其优点和缺点。在这些方法中,最简单的是使用CreateRemoteThread函数在目标进程中创建一个新线程,并将线程的启动函数指向LoadLibrary函数。这种方法最容易实现,但也是最容易被检测到,因为可以通过多种方式“感知”到创建的新线程,例如使用ETW事件。如果系统中存在一个驱动程序,并且该驱动程序正在hooking使用PsSetCreateThreadNotifyRoutine创建的线程,那么该行为自然会被安全检测工具识别到。

一种隐蔽的方法是使用现有的线程来执行DLL注入,其中一种方法是使用APC通过调用QueueUserApc 将APC附加到目标进程的线程队列中去,并使用APC调用LoadLibrary函数。使用APC执行DLL注入存在的问题是被注入线程必须进入可唤醒状态才能“处理”APC并执行我们的LoadLibrary调用,但要保证一个线程永远处于可唤醒状态是很困难的。为了增加成功的机会,可以向指定进程的每一个线程都插入一个APC,但这种做法在某些情况下是不起作用的。一个典型的例子就是cmd.exe,据我所知其单线程从不进入可唤醒状态。

这篇文章将阐述另一种使目标进程调用LoadLibrary函数的方法,但这次我们将通过操作现有线程的上下文来执行DLL注入,线程的指令指针被转移到一个自定义的代码段,然后被重定向回来。这种方法很难检测,因为这些操作看起来就像是一个正常线程正在做的事情,下面让我来阐述如何在x86和x64平台中完成这种DLL注入。

DLL注入

首先,我们需要做的第一件事就是找到一个目标进程并在该进程中选择一个线程,从技术上来讲,它可以是目标进程中的任何线程,但是一个处于“等待

最低0.47元/天 解锁文章
rosykee
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
挂起目标线程注入(SetThreadContext)--Ring3注入
KOOKNUT的博客
05-20 1301
这段时间一直在复习之前的知识点,今天看到了这种注入,记录一下,与诸位分享。 预备知识点: 当一个正在执行的线程被挂起之后,系统会保存此时线程的上下背景文(Context),当我们把线程恢复执行的时候,系统会把之前的Context恢复,使线程从Context.Eip处开始执行。 注入思路: 当我们准备注入一个目标进程的时候,找到一个进程中的线程,调用SuspendThread将其挂起,然后向修改Context.Eip的处地址为我们存放ShellCode的地址。之后手动恢复线程执行,线程会执行我们的ShellC
LdrLoadDll驱动dll注入源码
01-20
通过LdrLoadDl的驱动dll注入源码 在xp系统可以注入dll到保护的进程
完美的内存中加载DLL支持32位和64位DLL
02-20
一位高手写的内存中加载DLL的源代码,支持32位和64位的DLL,支持XE,完美的处理32/64位Windows动态库的加载模,网上很少能下载到了,放到这里备份一下
离线注入驱动
07-03
PE下使用换主板无法系统删除驱动
驱动进程保护 隐藏 注入
08-04
驱动进程保护 隐藏 注入 W7 W8 W10 32 64位都支持 不蓝屏
X86软件逆向分析实战(一)
10-21
对于那些“不听话”的软件,怎么办?你是想忍声吞气凑合着用?还是想“修理”一顿,让它乖乖地按照你的意思办?本课程教你“驯服”那些你看中的软件! 掌握这个技能,无论它是什么软件,只能乖乖按你的意思办! 课程内容会涉及到与X86软件逆向分析相关的各种杂项与细节实现,其中涵盖OD、CE、IDA、WinAPI、Visual Studio 2019、易语言、C/C++、C#、汇编等使用技巧与编程技巧。若你是编程初学者,认真学习本课程后,你的能力将会有极大的提升。若你是编程大佬,建议勿跳过每一节课,一定会有所收获!
windows10驱动 x64--- 驱动实现隐藏驱动模块(五)
weixin_41725706的博客
11-11 629
隐藏任意内核驱动
网络靶场实战-免杀技术之dll注入技术详解
蛇矛实验室
12-19 1137
对于 Windows 操作系统,操作系统的大部分功能都是由 DLL 提供的。此外,当您在这些 Windows 操作系统上运行程序时,该程序的大部分功能可能由 DLL 提供。例如,一些程序可能包含许多不同的模块,程序的每个模块都包含在DLL中并分布在DLL中。DLL 的使用有助于促进代码的模块化、代码重用、有效的内存使用和减少磁盘空间。因此,操作系统和程序加载速度更快,运行速度更快,并且在计算机上占用的磁盘空间更少。当程序使用 DLL 时,称为依赖性的问题可能会导致程序无法运行。
[Rootkit] dll 隐藏 - VAD
墨鱼菜鸡
06-10 394
3环下要想隐藏dll,仅仅靠断链和抹去PE头信息是不够的;这样做能骗过同样在3环运行的调试器,但是骗不过在0环通过驱动做检测的PChunter、Process Hacker等工具;要想彻底隐藏,需要更进一步搞定驱动层的各种...
实现SetThreadContext注入
柳似烟的专栏
08-17 534
shellcode: void __declspec(naked) inject_func() { __asm { pushad; push 11111111h; // dll路径 mov eax, 22222222h; // LoadLibrary call eax; // 调用LoadLibrary popad; push 33333333h; // 返回地址 } } 话不多说,撸代码,看代码 int inject_running_thread(i
驱动DLL注入源码
12-23
驱动DLL注入源码 没有什么好说的 ,超强的源码
使用LdrLoadDll 注入DLL,支持注入64位dll
06-03
源码是c++代码翻译过来的, 所以, 那些指针读写的偏移我就不做过多的讲解.....那些偏移都是对应某个成员.... 众所周知, 易语言的数据类型是个坑, 所以, 申请一块空间当成一个结构使用了。愿意研究的话, 结构是这个。注入流程:。1. 创建远程线程。2. 注入一段代码到目标进程里执行。3. 这段代码调用 LdrLoadDll 加载dll。4. 调用 LdrGetProcedureAddress 获取函数地址, 然后调用, 返回。2021-12-17 更。使用了eWOW64Ext http://www.sanye.cx/?id=12671。1. 注入32位进程只能使用32位的dll。2. 注入64位进程只能使用64位的dll。支持注入任务管理器。@福仔。
DLL驱动注入源码
10-16
DLL驱动注入C++源码,都懂的,驱动拥有系统最高权限,可以注入任意游戏。
MagicWall-master ( 火绒注入demo ).zip_DEMO_magic wall_内核注入_火绒注入_驱动注入
07-14
火绒注入手法便是如此了,别人的源码,转来的
易语言实现DLL注入 与 隐藏源码-易语言
06-12
易语言实现DLL注入 与 隐藏源码
易语言线程EIP注入卸载DLL
07-22
易语言线程EIP注入卸载DLL源码,线程EIP注入卸载DLL,打开线程,原_按钮2_被单击,线程EIP注入,取进线程ID,卸载DLL,GetThreadContext,SetThreadContext,打开进程_,OpenThread,关闭内核对象_,取进程线程标识符_,...
Windows-DLL-Injector:为x86和x64 Windows OS进程实现的C ++中的某些DLL注入技术
05-27
WindowsDLLInjector 一些用C ++编写的针对32位和64位Windows OS的DLL注入技术...QueueUserAPC SetWindowsHookEx RtlCreateUserThread(通过ntdll.dllWindows本机API) SetThreadContext 反射莳萝注入CreateRemoteThre
补丁模块(带源码)InlinePatch,Hook,内存DLL注入等等
09-24
子程序 InjectDll, 逻辑型, 公开, 向目标进程中注入一个指定 Dll 模块文件;注入成功返回 true, 注入失败则返回 false,CreateRemoteThread法 .参数 进程ID, 整数型, , 进程PID .参数 DLL文件名, 文本型, , 欲注入的...
delphi Assertion failure: “(!”SetThreadContext failed”)
09-02
Delphi 2007 或2009 在Windows 7 x64 以及其他x64 系统下,退出IDE 时,调试器会产生一个断言错误,错误窗口标题为:bds.exe –bordbk120N.dll,内容为:Assertion failure: “(!”SetThreadContext failed”)”in .....
.版本 2 .子程序 清空调试器 .局部变量 sHandle, 整数型 .局部变量 lpTe, THREADENTRY32 .局部变量 Found, 整数型 .局部变量 ret, 整数型 .局部变量 sThread, 整数型 .局部变量 tFound, 整数型 .局部变量 当前线程ID, 整数型 .局部变量 Context, ConTEXT .局部变量 l_线程句柄, 整数型 当前线程ID = GetCurrentThreadId () sThread = CreateToolhelp32Snapshot (#TH32CS_SNAPTHREAD, 0) lpTe.dwSize = 28 tFound = Thread32First (sThread, lpTe) .判断循环首 (tFound ≠ 0) .如果真 (lpTe.th32OwnerProcessID = 进程_取自进程ID ()) Context.ContextFlags = 位或 (65543, 65552) .如果真 (lpTe.th32ThreadID ≠ 当前线程ID) l_线程句柄 = OpenThread (#THREAD_ALL_ACCESS, 0, lpTe.th32ThreadID) SuspendThread (l_线程句柄) GetThreadContext (l_线程句柄, Context) Context.Dr0 = 0 Context.Dr1 = 0 Context.Dr2 = 0 Context.Dr3 = 0 Context.Dr7 = 0 SetThreadContext (l_线程句柄, Context) ResumeThread (l_线程句柄) CloseHandle (l_线程句柄) .如果真结束 .如果真结束 tFound = Thread32Next (sThread, lpTe) .判断循环尾 () CloseHandle (sThread) 写成c++代码
最新发布
07-10
#include <windows.h> #include <tlhelp32.h> void ClearDebugger() { HANDLE sThread, l_线程句柄; THREADENTRY32 lpTe; BOOL Found, tFound; DWORD ret, sHandle, sThreadID, 当前线程ID; CONTEXT Context; 当前线程ID = GetCurrentThreadId(); sThread = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0); lpTe.dwSize = sizeof(lpTe); tFound = Thread32First(sThread, &lpTe); while (tFound != FALSE) { if (lpTe.th32OwnerProcessID == GetCurrentProcessId()) { Context.ContextFlags = CONTEXT_DEBUG_REGISTERS; if (lpTe.th32ThreadID != 当前线程ID) { l_线程句柄 = OpenThread(THREAD_ALL_ACCESS, 0, lpTe.th32ThreadID); SuspendThread(l_线程句柄); GetThreadContext(l_线程句柄, &Context); Context.Dr0 = 0; Context.Dr1 = 0; Context.Dr2 = 0; Context.Dr3 = 0; Context.Dr7 = 0; SetThreadContext(l_线程句柄, &Context); ResumeThread(l_线程句柄); CloseHandle(l_线程句柄); } } tFound = Thread32Next(sThread, &lpTe); } CloseHandle(sThread); }

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值