win7下面创建远程线程的解决方案

最新推荐文章于 2021-07-25 10:13:45 发布
最新推荐文章于 2021-07-25 10:13:45 发布
阅读量1k 收藏
点赞数
分类专栏: c++

[文件] dll.c ~ 382B 

01#include <windows.h>
02  
03  
04BOOL APIENTRY DllMain(HINSTANCE hInstance, DWORD dwReason, LPVOID lpReserved)
05{
06    CHARBuff[256];
07      
08    switch(dwReason)
09    {
10        caseDLL_PROCESS_ATTACH:
11            _snprintf(Buff,sizeof(Buff)-1,"[*] DLL injected into process %u\n", GetCurrentProcessId());
12            OutputDebugString(Buff);
13            //__asm int 3
14        break;
15      
16        default:
17        break;
18     }
19     returnTRUE;
20}

[文件] injectdll7.c ~ 7KB   

001#define WIN32_LEAN_AND_MEAN
002#include <windows.h>
003#include <strsafe.h>
004#include <stdio.h>
005#include <stdlib.h>
006  
007#pragma comment (lib, "advapi32.lib")
008  
009DWORD GetDebugPrivilege()
010{
011    HANDLEhToken;
012    DWORDRet=1;
013    TOKEN_PRIVILEGES TP;
014  
015    if(!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &hToken))
016    {
017        printf("[-] Error in GetDebugPrivilege OpenProcessToken: %u\n", GetLastError());
018        Ret=0;
019        gotobye;   
020    
021      
022    if(!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &TP.Privileges[0].Luid))
023    {
024        printf("[-] Error in GetDebugPrivilege LookupPrivilegeValue: %u\n", GetLastError());
025        Ret=0;
026        gotobye;   
027          
028    }
029      
030    TP.PrivilegeCount=1;
031    TP.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;
032      
033    if(!AdjustTokenPrivileges(hToken,
034                            FALSE,
035                            &TP,
036                            0,
037                            NULL,
038                            NULL))
039    {
040        printf("[-] Error in GetDebugPrivilege with  AdjustTokenPrivileges: %u\n", GetLastError());
041        Ret=0;
042        gotobye;
043    }
044      
045bye:
046    CloseHandle(hToken);
047      
048    returnRet; 
049}
050  
051  
052/*
053kernelbase.dll
0547597BD24    6A 0C           PUSH 0C
0557597BD26    68 01000100     PUSH 10001
0567597BD2B    53              PUSH EBX
0577597BD2C    8D85 F0FDFFFF   LEA EAX, DWORD PTR SS:[EBP-210]
0587597BD32    50              PUSH EAX
0597597BD33    FF15 00129775   CALL NEAR DWORD PTR DS:[<&ntdll.CsrClientCallServer>]      ; ntdll.CsrClientCallServer
0607597BD39    8B85 10FEFFFF   MOV EAX, DWORD PTR SS:[EBP-1F0]
0617597BD3F    8985 E8FDFFFF   MOV DWORD PTR SS:[EBP-218], EAX
0627597BD45    399D E8FDFFFF   CMP DWORD PTR SS:[EBP-218], EBX
0637597BD4B    0F8C 13D80100   JL KERNELBA.75999564
064*/
065  
066DWORD __stdcall MyCsrClientCallServer(PVOIDArg1,PVOID Arg2, DWORD Arg3,DWORDArg4)
067{
068    *(PDWORD)((PBYTE)Arg1+0x20)=0;
069    return0;   
070}
071  
072  
073DWORD ScanIatForImportAddress(HANDLE hModule, PCHAR Import)
074{
075    PIMAGE_DOS_HEADER DosHeader;
076    PIMAGE_NT_HEADERS NtHeader;
077    PIMAGE_IMPORT_DESCRIPTOR ImportDescriptor;
078    PIMAGE_THUNK_DATA OriginalThunk;
079    PDWORD FirstThunk;
080    PIMAGE_IMPORT_BY_NAME ImportByName;
081    PCHARName;
082    DWORDi;
083      
084    if(hModule==NULL || Import==NULL)
085        return0;
086      
087    DosHeader=(PIMAGE_DOS_HEADER)hModule;
088    NtHeader=(PIMAGE_NT_HEADERS)((PBYTE)hModule+DosHeader->e_lfanew);
089    ImportDescriptor=(PIMAGE_IMPORT_DESCRIPTOR)((PBYTE)hModule+NtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);
090      
091    while(*(PDWORD)ImportDescriptor!=0)
092    {
093        //printf("[*] Module : %s\n", ((PBYTE)hModule+ImportDescriptor->Name));
094        OriginalThunk=(PIMAGE_THUNK_DATA)((PBYTE)hModule+ImportDescriptor->OriginalFirstThunk);
095        FirstThunk=(PDWORD)((PBYTE)hModule+ImportDescriptor->FirstThunk);
096        i=0;
097        while(*(PDWORD)OriginalThunk!=0)
098        {
099            ImportByName=(PIMAGE_IMPORT_BY_NAME)((PBYTE)hModule+OriginalThunk->u1.AddressOfData);
100            Name=(PCHAR)((PBYTE)ImportByName+sizeof(WORD));
101            //printf("[*] ImportName(%u): %s\n", ImportByName->Hint, Name);
102              
103            if(_stricmp(Name, Import)==0)
104                return(DWORD)&FirstThunk[i++];
105                  
106            OriginalThunk++;
107            i++;
108        }
109        ImportDescriptor++;
110    }
111      
112    return0;   
113}
114  
115  
116HANDLE WINAPI MyCreateRemoteThread(
117  __in   HANDLE hProcess,
118  __in   LPSECURITY_ATTRIBUTES lpThreadAttributes,
119  __in   SIZE_T dwStackSize,
120  __in   LPTHREAD_START_ROUTINE lpStartAddress,
121  __in   LPVOID lpParameter,
122  __in   DWORD dwCreationFlags,
123  __out  LPDWORD lpThreadId
124)
125{
126    HANDLEhThread;
127    DWORDImportAddress, OriginalCsrClientCallServer, OldProtect;
128  
129    ImportAddress=ScanIatForImportAddress(GetModuleHandle("kernelbase.dll"),"CsrClientCallServer");
130    if(ImportAddress==0)
131    {
132        printf("[-] Error in MyCreateRemoteThread with ScanIatForThunk : Cannot find thunk address\n");
133        returnNULL;
134    }
135    printf("[*] CsrClientCallServer import address at : 0x%x\n", ImportAddress);
136          
137    VirtualProtect((PVOID)ImportAddress,sizeof(DWORD), PAGE_EXECUTE_READWRITE, &OldProtect);
138    OriginalCsrClientCallServer=*(PDWORD)ImportAddress;
139    *(PDWORD)ImportAddress=(DWORD)MyCsrClientCallServer;
140      
141    hThread=CreateRemoteThread(hProcess, lpThreadAttributes, dwStackSize, lpStartAddress, lpParameter, dwCreationFlags, lpThreadId);
142    if(hThread==NULL)
143    {
144        printf("[-] Error in MyCreateRemoteThread with CreateRemoteThread : %u\n", GetLastError());
145        returnNULL;
146    }
147    *(PDWORD)ImportAddress=OriginalCsrClientCallServer;
148    VirtualProtect((PVOID)ImportAddress,sizeof(DWORD), OldProtect, &OldProtect);
149  
150    returnhThread;
151}
152  
153  
154BOOLEAN InjectDll(DWORD Pid, LPTSTR DllName)
155{
156    DWORDThreadID;
157    HANDLEhThread;
158    HANDLEhProcess;
159    DWORDInjectSize;
160    LPVOIDArg;
161    LPTHREAD_START_ROUTINE Injector;
162    CHARFullDllPath[MAX_PATH];
163      
164    RtlZeroMemory(FullDllPath,sizeof(FullDllPath));
165    GetCurrentDirectory(sizeof(FullDllPath)-sizeof(CHAR), FullDllPath);
166    StringCbCat(FullDllPath,sizeof(FullDllPath)-strlen(FullDllPath)-sizeof(CHAR),"\\");
167    StringCbCat(FullDllPath,sizeof(FullDllPath)-strlen(FullDllPath)-sizeof(CHAR), DllName);
168      
169    printf("[*] FullDllPath : %s\n", FullDllPath);
170  
171    if(!GetDebugPrivilege())
172    {
173        printf("[-] Error in InjectDll with GetDebugPrivilege : Cannot grant SeDebugPrivilege\n");
174        returnFALSE;
175    }
176  
177    hProcess=OpenProcess(PROCESS_VM_OPERATION|PROCESS_VM_WRITE|PROCESS_VM_READ|PROCESS_CREATE_THREAD|PROCESS_QUERY_INFORMATION, FALSE, Pid);
178    if(hProcess==NULL)
179    {
180        printf("[-] Error in InjectDll with  OpenProcess : %u\n", GetLastError());
181        returnFALSE;
182    }
183      
184    InjectSize=strlen(FullDllPath)+1;
185  
186    Arg=VirtualAllocEx(hProcess, NULL, InjectSize, MEM_COMMIT, PAGE_READWRITE);
187    if(Arg==NULL)
188    {
189        printf("[-] Error in InjectDll with VirtualAllocEx : %u\n", GetLastError());
190        CloseHandle(hProcess);
191        returnFALSE;
192    }
193  
194    if(WriteProcessMemory(hProcess, Arg, FullDllPath, InjectSize, 0)==FALSE)
195    {
196        printf("[-] Error in InjectDll with  WriteProcessMemory : %u\n", GetLastError());
197        CloseHandle(hProcess);
198        returnFALSE;
199    }
200  
201    Injector=(LPTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle("kernel32.dll"),"LoadLibraryA");
202    hThread=MyCreateRemoteThread(hProcess, NULL, 0, Injector , Arg, 0, &ThreadID);
203    if(hThread==NULL)
204    {
205        printf("[-] Error in InjectDll with MyCreateRemoteThread : %u\n", GetLastError());
206        CloseHandle(hProcess);
207        returnFALSE;
208    }
209  
210    if(WaitForSingleObject(hThread, INFINITE)==WAIT_FAILED)
211    {
212        printf("[-] Error in InjectDll with WaitForSingleObject : %u\n", GetLastError());
213  
214        CloseHandle(hProcess);
215        CloseHandle(hThread);
216        returnFALSE;
217    }
218  
219    if(VirtualFreeEx(hProcess, Arg, 0, MEM_DECOMMIT)==FALSE)
220    {
221        printf("[-] Error in InjectDll with VirtualFreeEx : %u\n", GetLastError());
222  
223        CloseHandle(hProcess);
224        CloseHandle(hThread);
225        returnFALSE;
226    }
227  
228    CloseHandle(hProcess);
229    CloseHandle(hThread);
230  
231    returnTRUE;
232}
233  
234  
235int __cdecl main(int argc, char * argv[])
236{
237    DWORDPid;
238      
239    printf("Custom CreateRemoteThread() which bypass subsystem control\nBy Ivanlef0u\nBE M4D !\n\n");
240      
241    if(argc<3)
242    {
243        printf("Usage is : %s <pid> <dll name>\n");
244        return0;
245    }
246      
247    Pid=strtoul(argv[1], NULL, 10);
248    if(Pid==0 || Pid==4)
249        return0;
250      
251    InjectDll(Pid, argv[2]);    
252      
253    printf("[+] Dll successfully injected !\n");
254      
255    return0;
256}
tix66
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
win7 64bit下远程线程注入技术(进程劫持入门技术)
扣的CODE
07-20 7513
http://blog.csdn.net/arvon2012/article/details/7766439 本文是配合上文学习和使用的。上文中,最后,我们生成了可以hook api的dll,那么怎么把它发射到其他进程中,让其他进程调用运行我们的dll呢? 远程线程注入技术可以解决这个问题。   原理: 远程线程注入是这样的,首先在当前运行的进程中找到目标进程,然后将我们的dll的内容写
服务器已联网 不能远程桌面,几种常见的Windows 服务器无法联网/无法连接远程桌面等故障解决方案...
weixin_31207855的博客
07-29 8724
SEO优化扫我一、服务器无法连接远程桌面1、Ping不通IP,网站打不开,不可以远程连接。可能是服务器死机了,或者网络有问题,请尝试Web重启服务器或联系服务商确认。2、Ping正常,网站可以打开,远程桌面无法连接,请尝试Web重启服务器或者联系服务商确认。另外你是否修改了远程桌面端口,而没有在防火墙例外该端口.3、终端服务器超出了最大允许连接数,Windows 2003 系统默认可以同时登陆2个...
win7 32位下实现远程线程注入
Cosmopolitan的博客
03-10 320
dllmain.cpp 生成注入的dll // dllmain.cpp : 定义 DLL 应用程序的入口点。 #include "stdafx.h" #include &lt;Windows.h&gt; #define PROCESS_NAME "notepad.exe" HINSTANCE hMod; HHOOK hHook; HWND hWnd; BOOL APIENTRY DllMain(...
win8连接远程计算机终止,关于win8.1“连接被远程计算机关闭”的一种解决方案...
weixin_35767338的博客
07-25 790
我就是连接的时候出现“连接被远程计算机关闭”,然后想着可能是win8更新之后网络协议 出问题了,后来无意中发现e信在第一次启动的时候会在网络适配器中会多出很多网卡,其中三个是带感叹号的,问题就出在这里。出问题的是mini Port(ip),mini Port(ipv6)(剩下一个忘记了)具体解决方法是这样的:1.右键我的电脑-》管理就这三个的问题,好了之后就没有感叹号了2.右键其中一个-》更新驱动...
DLL注入_远程线程注入
VI___
08-23 3280
什么是线程注入? 线程注入,是通过开启远程线程的方式,将DLL加载到目标宿主进程中的常用方式。 什么是动态链接库? 首先Windows中链接库分为两种:动态链接库DLL、静态链接库LIB。 ① 静态链接库:在运行的时候就直接把代码全部加载到程序中,调用方式比如: #prama comment (lib,"Psapi.lib") ② 动态链接库:在需要的时候加载,加载方式为...
优秀解决方案收藏
Joy 的博客
04-17 475
前端: Vue 和 Django语法冲突解决方案 Vue 实现一个简单的倒计时 数据库&amp;SQL: bat批处理教程:https://www.w3cschool.cn/dosmlxxsc1/wvqyr9.html SQLite: SQLite3 数据库日期与时间常见函数用法分析 SQLite-Python中如何返回、查询中文字段 MySQL : MySQL数据表中有自增长主键时...
远程线程注入 CreateRemoteThread 返回NULL
weixin_34266504的博客
02-05 500
在win10下测试成功的代码,在win7下CreateRemoteThread竟然返回0 GetLastError 返回 5 [拒绝访问] 调用OpenProcess是提供的参数 PROCESS_CREATE_THREAD | PROCESS_VM_WRITE | PROCESS_VM_OPERATION 想了半天没明白为啥拒绝访问,只好暴力解决 我的解决方案 :提供给OpenProces...
大灰狼远程控制的几个报错解决方案
ASP.NET的博客
09-05 3349
_beginthreadex : undeclared identifier报错和error C2065: 'sprintf_instead_use_StringCbPrintfA_or_StringCchPrintfA' : undeclared identifie解决方案
拦截API-通过远程线程dll注入目标进程
坚持不一定成功,但放弃一定失败~
05-17 1796
转自:http://www.cnblogs.com/cfas/p/5121614.html(侵删) 本文详细的介绍了在Visual Studio(以下简称VS)下实现API钩子的编程方法,阅读本文需要基础:有操作系统的基本知识(进程管理,内存管理),会在VS下编写和调试Win32应用程序和动态链接库(以下简称DLL)。 API钩子是一种高级编程技巧,常常用来完成一些特别的功能,比如词典
rdpwrap远程桌面服务,连接本机远程桌面,附带win10 win7等配置解决方案
02-14
在描述中提到了"win10 win7等配置解决方案",这意味着RDPWrap不仅支持最新的Windows 10,也兼容旧版如Windows 7的操作系统。对于每个版本的Windows,可能需要不同的配置文件或设置才能正确工作。通常,你需要确保你...
win7 CDB (Qt msvc调试必备工具)
04-17
"win7 CDB (Qt msvc调试必备工具)" 提供了在Windows 7环境下进行调试的解决方案,特别是针对Qt应用程序的开发。CDB(Console Debugging Debugger)是微软Windows SDK中的一员,它是一个命令行版本的调试器,可以替代...
win7 64位dll注入可注入系统进程不蓝屏
12-11
总结来说,Win7 64位系统的DLL注入技术结合了NtCreateThreadEx和LdrLoadDll的功能,能够实现高效且稳定的注入过程,特别是对于系统和服务进程,这种技术提供了安全的解决方案,减少了蓝屏的风险。然而,使用这样的...
owncloud在win7环境下的搭建
07-05
ownCloud 是一个开源的个人云存储解决方案,允许用户在自己的服务器上创建私有的云存储服务,从而实现文件同步、共享和远程访问。在Windows 7环境下搭建ownCloud服务需要几个关键步骤,包括安装Web服务器、PHP环境...
万能端口扫描器,自定义端口扫描器,兼容win7 win8[1433 135 445 3389]
09-28
端口扫描是网络管理员...它的自定义线程设置和高速TCP扫描技术使其在同类工具中脱颖而出,为用户提供了一种高效、灵活的端口扫描解决方案。然而,使用时必须遵守网络伦理和法律法规,避免对他人网络造成不必要的干扰。
基于Matlab的模糊PID控制系统设计及仿真.pdf
08-05
基于Matlab的模糊PID控制系统设计及仿真
黑马头条,黑马头条,黑马头条
08-05
黑马头条,黑马头条,黑马头条
基于ppo算法的计算卸载策略研究python
08-05
ppo算法 基于ppo算法的计算卸载策略研究 适用人群:学习不同技术领域的小白或进阶学习者;可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
SQLTools插件下载与使用说明
08-05
1
超声波测试方案+气体+液体
最新发布
08-05
超声波流量计应用的集成式超声波感应解决方案 (USS) 子系统
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值