远程线程注入实现自删除

最新推荐文章于 2024-09-23 14:57:13 发布
最新推荐文章于 2024-09-23 14:57:13 发布
阅读量545 收藏
点赞数
分类专栏: VC 文章标签: null thread winapi token access path
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaskying/article/details/7837686
版权

核心函数:

CreateRemoteThread    创建一个在其它进程地址空间中运行的线程(也称:创建远程线程).

#include <windows.h>

#include <Tlhelp32.h>
#pragma comment(lib,"kernel32.lib")
#pragma comment(lib,"user32.lib")

BOOL EnableDebugPriv( LPCTSTR szPrivilege )
{
    HANDLE hToken;
    LUID sedebugnameValue;
    TOKEN_PRIVILEGES tkp;
    
    if ( !OpenProcessToken( GetCurrentProcess(),
        TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY,
        &hToken ) )
    {
        return FALSE;
    }
    if ( !LookupPrivilegeValue( NULL, szPrivilege, &sedebugnameValue ) )
    {
        CloseHandle( hToken );
        return FALSE;
    }
    
    tkp.PrivilegeCount = 1;
    tkp.Privileges[0].Luid = sedebugnameValue;
    tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    
    if ( !AdjustTokenPrivileges( hToken, FALSE, &tkp, sizeof tkp, NULL, NULL ) )
    {
        CloseHandle( hToken );
        return FALSE;
    }
    
    return TRUE;
}

typedef struct sARGVDATA
{
    DWORD OpenProcessAddr ;
    DWORD WaitForSingleObjectAddr ;
    DWORD DeleteFileAddr ;
    DWORD TerminateProcessAddr ;
    char File[MAX_PATH] ;
    DWORD pid ;
} ARGVDATA ;


DWORD WINAPI func(ARGVDATA *pArgv)
{
    typedef HANDLE (__stdcall *MyOpenProcess)(DWORD,BOOL,DWORD) ;
    typedef DWORD (__stdcall *MyWaitForSingleObject)(HANDLE,DWORD) ;
    typedef BOOL (__stdcall *MyDeleteFile)(LPCSTR) ;
    typedef BOOL (__stdcall *MyTerminateProcess)(HANDLE, UINT) ;
    
    HANDLE hProc ;
    MyOpenProcess pOpenProcess ;
    MyWaitForSingleObject pWaitForSingleObject ;
    MyDeleteFile pDeleteFile ;
    MyTerminateProcess pTerminateProcess ;
    
    pOpenProcess = (MyOpenProcess)pArgv->OpenProcessAddr ;
    pWaitForSingleObject = (MyWaitForSingleObject)pArgv->WaitForSingleObjectAddr ;
    pDeleteFile = (MyDeleteFile)pArgv->DeleteFileAddr ;
    pTerminateProcess = (MyTerminateProcess)pArgv->TerminateProcessAddr ;
        
    hProc = pOpenProcess(PROCESS_ALL_ACCESS,FALSE,pArgv->pid) ;
    if (hProc!=NULL)
    {
        pTerminateProcess(hProc, 0);
        pWaitForSingleObject(hProc,INFINITE) ;
        pDeleteFile(pArgv->File) ;
    }
    else
    {
        //删除文件
        pDeleteFile(pArgv->File) ;
    }
    
    return 0 ;
}

int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow)
{
    ARGVDATA argc_data ;
    ARGVDATA *p_data ;
    HANDLE hSnap ;
    HANDLE hExp ;
    HINSTANCE hKernel ;
    FARPROC p_remote_thread ;
    PROCESSENTRY32 ps ;
    BOOL bRet ;
    
    hKernel = LoadLibrary("kernel32.dll") ;
    //填写远程线程参数
    argc_data.OpenProcessAddr = (DWORD)GetProcAddress(hKernel,"OpenProcess") ;
    argc_data.WaitForSingleObjectAddr = (DWORD)GetProcAddress(hKernel,"WaitForSingleObject") ;
    argc_data.DeleteFileAddr = (DWORD)GetProcAddress(hKernel,"DeleteFileA") ;
    argc_data.TerminateProcessAddr = (DWORD)GetProcAddress(hKernel,"TerminateProcess");
    argc_data.pid = GetCurrentProcessId() ;
    GetModuleFileName(NULL,argc_data.File,MAX_PATH) ;
    
    //打开目标进程,写入远程线程参数
    hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0) ;
    bRet = Process32First(hSnap,&ps) ;
    while (bRet)
    {
        if (!strcmp(ps.szExeFile,"explorer.exe"))         //要注入的进程
        {
            break ;
        }
        bRet = Process32Next(hSnap,&ps) ;
    }
    
    EnableDebugPriv("SeDebugPrivilege");

    hExp = OpenProcess(PROCESS_ALL_ACCESS, FALSE, ps.th32ProcessID) ;
    
    if (NULL==hExp)
    {
        MessageBox(0,"打开EXPLORER失败!","DEBUG",0) ;
        return -1 ;
    }
    p_data = (ARGVDATA *)VirtualAllocEx(hExp,
        NULL,
        sizeof(ARGVDATA),
        MEM_COMMIT,
        PAGE_READWRITE) ;
    if (NULL==p_data)
    {
        MessageBox(0,"给参数分配内存失败!","DEBUG",0) ;
        CloseHandle(hExp) ;
        return -1 ;
    }
    
    if (FALSE==WriteProcessMemory(hExp,p_data,&argc_data,sizeof(ARGVDATA),NULL))
    {
        MessageBox(0,"参数写入内存失败!","DEBUG",0) ;
        CloseHandle(hExp) ;
        return -1 ;
    }
    
    //写入远程线程代码
    p_remote_thread = (FARPROC)VirtualAllocEx(hExp,NULL,1024*5,MEM_COMMIT,PAGE_EXECUTE_READWRITE) ;
    
    if (NULL==p_remote_thread)
    {
        MessageBox(0,"给线程分配内存失败!","DEBUG",0) ;
        CloseHandle(hExp) ;
        return -1 ;
    }
    if (FALSE==WriteProcessMemory(hExp,p_remote_thread,(FARPROC)&func,1024*5,NULL))
    {
        MessageBox(0,"线程写入失败!","DEBUG",0) ;
        CloseHandle(hExp) ;
        return -1 ;
    }

    CreateRemoteThread(hExp,NULL,0,(LPTHREAD_START_ROUTINE)p_remote_thread,p_data,0,NULL) ;
    WaitForSingleObject(p_remote_thread,INFINITE) ;
    FreeLibrary(hKernel) ;
    CloseHandle(hExp) ;
    
    MessageBox(NULL,"远程线程自删除演示","ADH-CN",0) ;

    while (1)
    {
        Sleep(3000);
    }
}
seaskying
关注
专栏目录
windows-CODE注入远程线程注入
天使也掉毛
08-14 6010
远程线程注入
远程线程注入与卸载 修改版
新手学编程
01-22 1018
#include //快照需要的头文件 //快照判断进程是否已经注入 BOOL InjectModuleInto(DWORD dwProcessId) { BOOL bFound = NULL; HANDLE hModuleSnap = INVALID_HANDLE_VALUE; MODULEENTRY32 me32; hModuleSnap = CreateT
VC用远程线程实现程序自删除
wwhwayne的专栏
07-17 566
#include #include #include #include /* push dwTime call Sleep mov eax, [esp + 4] push eax call DeleteFileA ret 4 */ #pragma pack(push, 1) typedef stru
远程代码注入的介绍与代码防御
煜铭2011
10-07 1546
0x01 介绍     Web 应用程序使用操作系统呼叫来执行本机图像,以扩展它们的功能或运行旧版代码。不用说,直接抵达这些呼叫的用户输入当然极危险,因为如此一来,恶意用户便可以使用应用程序主机的凭证来运行本机代码,甚至造成彻底的系统伤害。传播到共享库装入方法(如 Java 的 java.lang.Runtime.loadLibrary)中的用户输入也同样危险,也应该避免。即便用户只
内核中劫持线程注入DLL并隐藏
人生苦短,我用python
04-18 1429
在驱动程序中,您可以通过调用PsSetCreateThreadNotifyRoutine或PsSetLoadImageNotifyRoutine等API来获取进程线程的通知。这时,您可以暂停线程并修改其上下文,以便在恢复时执行您的代码。为了实现这些功能,您需要学习Windows内核编程和驱动开发。在此过程中,您可能需要使用Windows Driver Kit(WDK)和Visual Studio。编写好驱动程序后,您需要在目标系统上加载和卸载它。在劫持线程后,您需要将目标DLL加载到目标进程的内存中。
远程线程注入的原理和实现方法
热门推荐
heluan123132的博客
06-08 2万+
转载:http://blog.csdn.net/whatday/article/details/8975930 一、远程线程注入基本原理 远程线程注入——相信对Windows底层编程和系统安全熟悉的人并不陌生,其主要核心在于一个Windows API函数CreateRemoteThread,通过它可以在另外一个进程中注入一个线程并执行。在提供便利的同时,正是因为如此,使得系统内部出现了安全隐患
VB远程DLL注入、卸载及自我删除
05-07
VB中实现DLL注入,通常需要使用API调用来创建远程线程,并将DLL路径传递给`LoadLibrary`或`GetProcAddress`等函数。 3. **远程线程创建**:在VB中,利用`CreateThread`或`QueueUserAPC`等API函数可以在远程进程中...
代码注入线程注入
Mi1k7ea
10-05 7097
代码注入概念 代码注入是一种向目标进程插入独立运行代码并使之运行的技术,其一般调用CreateRemoteThread() API以远程线程的形式运行插入的代码,亦称为线程注入。代码以线程过程(ThreadProcedure)形式插入,而代码中使用的数据则以线程参数的形式插入,即代码和数据是分别注入的。   代码注入与DLL注入的区别 DLL注入适用于代码量大且复杂的情况,而代码注入适用于...
Delphi Cmdshell 线程注入、文件释放程序
04-09
4. 创建远程线程:最后,通过CreateRemoteThread函数在目标进程中执行DLL导出函数,完成线程注入。 Cmdshell,通常指的是Windows命令提示符,是系统提供的一种命令行接口。在Delphi中,线程注入Cmdshell可以实现对...
远程线程注入实现木马进程隐藏
05-05
通过远程线程注入技术实现木马进程隐藏,内附有完整地代码以及详细的说明文档
Windows X86 远线程注入问题解惑
最新发布
**My Coding Family**
09-23 944
确保在汇编到机器码的过程中计算正确的相对地址。检查内存分配和权限设置是否正确。使用调试工具验证注入后的机器码是否按预期执行。在生成机器码时,特别是涉及call指令时,确保理解相对地址和绝对地址的区别,以及如何正确计算和插入相对偏移量。希望如上措施及解决方案能够帮到有需要的你。
01钩子线程Hook
冷炎嗄的博客
09-04 451
JVM进程的退出是由于JVM进程种没有活跃的非守护线程,或是收到了系统中断信号,向JVM程序注入一个Hook线程,在JVM进程退出的时候,Hook线程会启动执行,通过Runtime可以为JVM注入多个Hook线程: 结果: The program will is stopping. The hook thread 1 is running. The hook thread 2 is r...
c++ DLL注入与卸载
EEEEEEcho的博客
10-24 1681
#include<Windows.h> #include<stdio.h> void UnInjectDLL(int PID) { HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, PID); //使用CE找到的想要卸载的DLL的地址 LPVOID pRetAddress = (LPVOID)0x544B0000; //HMODULE hModule = LoadLibrary("KERNEL32.DLL")
VB远程线程注入与卸载技术解析
这篇内容介绍了一种利用`RtlCreateUserThread` API来实现远程线程注入的方法,虽然VB内置的多线程支持可能不够稳定,但通过API调用,开发者能够更好地控制远程线程的创建。 `RtlCreateUserThread`是Windows NT内核...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值