远端线程注入

最新推荐文章于 2021-12-11 14:19:48 发布
最新推荐文章于 2021-12-11 14:19:48 发布
阅读量302 收藏
点赞数 1
分类专栏: Windows编程 文章标签: VC++ 线程注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014291956/article/details/53884450
版权

在编写进程注入程序中最常见的部分就是远端线程注入:将本地的程序(一般为动态链接库)注入目的进程,以实现本地程序在目的进程空间执行。这里面有两个关键点:

1)  远端进程中创建远端线程

在Windows中提供对应的API(CreateRemoteThread)来创建远端线程,远端线程执行的函数必须为目的进程空间,但进程地址空间独立,一般选择为系统默认函数以此函数为基点运行我们的程序,这里选择加载动态链接库函数LoadLibrary。通过执行加载动态链接库函数来实现运行我们的程序;在dllman函数中执行我们想要执行的代码。

2)  远端进程中内存分配

目的进程分配地址空间的分配采用系统提供的API:VirtualAllocEx和WriteProcessMemory,前者实现内存分配,后者实现内存写操作,将参数写入指定地址空间。

3)  解除注入

当动态链接库执行完成后,就需要卸载对应的动态链接库,此时需要遍历目的进程的地址空间找出我们的库,再通过关键点(1)来实现动态链接库的卸载。

基于以上原理,两部分源码如下

进程注入源码:

BOOL WINAPI InjectLibW(DWORD dwProcessId,PCWSTR pszLibFile)
{
	BOOL bOk = FALSE;
	HANDLE hProcess = NULL,hThread = NULL;
	PWSTR pszLibFileRemote = NULL;

	__try {
		// Get a handle for the target process
		hProcess= OpenProcess(PROCESS_QUERY_INFORMATION |
			PROCESS_CREATE_THREAD |
			PROCESS_VM_OPERATION |
			PROCESS_VM_READ |
			PROCESS_VM_WRITE,
			FALSE,dwProcessId);
		
		if(hProcess == NULL) __leave;
		int cch = 1 + lstrlenW(pszLibFile);
		int cb = cch * sizeof(wchar_t);

		// Allocate space in the remote process's address space
		pszLibFileRemote = (PWSTR)VirtualAllocEx(hProcess,NULL,cb,MEM_COMMIT,PAGE_READWRITE);
		 if (pszLibFileRemote == NULL) __leave;

		// Copy the DLL's pathname to the remote process's address space
		if(!WriteProcessMemory(hProcess,pszLibFileRemote,(PVOID)pszLibFile,cb,NULL)) __leave;

		// Get the real address of LoadLibraryW in kernel32.dll
		PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle(TEXT("Kernel32")),"LoadLibraryW");
		if(pfnThreadRtn == NULL) __leave;

		// Create the remote thread
		hThread = CreateRemoteThread(hProcess,NULL,0,pfnThreadRtn,pszLibFileRemote,0,NULL);
		if(hThread == NULL) __leave;
		// Wait for the remote thread terminate
		WaitForSingleObject(hThread,INFINITE);
		
		// 判断注入是否成功
		DWORD dwExitCode = 0;
		bOk = GetExitCodeThread(hThread, &dwExitCode);
		if (NULL == dwExitCode)
		{
			bOk = FALSE;
		}

		bOk = TRUE;

	}
	__finally{
		// Free the remote memory
		if(pszLibFileRemote != NULL)
			VirtualFreeEx(hProcess,pszLibFileRemote,0,MEM_RELEASE);
		if(hThread != NULL)
			CloseHandle(hThread);
		if(hProcess != NULL)
			CloseHandle(hProcess);
	}

	return bOk;
}
进程卸载源码如下: 

BOOL WINAPI EjectLibW(DWORD dwProcessId,PCWSTR pszLibFile)
{
	BOOL bOk = FALSE;
	HANDLE hthSnapshot = NULL;
	HANDLE hProcess = NULL,hThread = NULL;

	__try {
		// Grab a new snapshot of the process
		hthSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,dwProcessId);
		if(hthSnapshot == INVALID_HANDLE_VALUE) __leave;

		// Get the module of target library
		MODULEENTRY32W me = {sizeof(me)};
		BOOL bFound = FALSE;
		BOOL bMoreMods = Module32FirstW(hthSnapshot,&me);

		for(;bMoreMods;bMoreMods = Module32NextW(hthSnapshot,&me)) {
			bFound = (_wcsicmp(me.szModule,pszLibFile) == 0) || (_wcsicmp(me.szExePath,pszLibFile) == 0);
			if(bFound) break;
		}

		if(!bFound) __leave;

		hProcess = OpenProcess(PROCESS_QUERY_INFORMATION |
			PROCESS_CREATE_THREAD |
			PROCESS_VM_OPERATION,
			FALSE,dwProcessId);
		if(hProcess == NULL) __leave;

		// Get the real address of LoadLibraryW in kernel32.dll
		PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle(TEXT("Kernel32")),"FreeLibrary");
		if(pfnThreadRtn == NULL) __leave;

		// Create the remote thread
		hThread = CreateRemoteThread(hProcess,NULL,0,pfnThreadRtn,me.modBaseAddr,0,NULL);
		if(hThread == NULL) __leave;
		// Wait for the remote thread terminate
		WaitForSingleObject(hThread,INFINITE);
		
			// 判断注入是否成功
		DWORD dwExitCode = 0;
		bOk = GetExitCodeThread(hThread, &dwExitCode);
		if (NULL == dwExitCode)
		{
			bOk = FALSE;
		}

		bOk = TRUE;

	
	}__finally {
		if (hthSnapshot != NULL) 
         CloseHandle(hthSnapshot);

		if(hThread != NULL)
			CloseHandle(hThread);
		if(hProcess != NULL)
			CloseHandle(hProcess);
	}

	return bOk;
}
运行结果如下:


卸载结果:


具体原理可见<<Windows核心编程>>,测试源码在这里


__dazhi
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
进程线程及协程的区别
weixin_49199646的博客
10-21 1万+
一、概念 **进程:**进程是一个具有一定独立功能的程序关于某个数据集合上的一次运行活动,是系统资源分配和独立运行的最小单位; **线程:**线程进程的一个执行单元,是任务调度和系统执行的基本单位; 二、区别 **1、根本区别:**进程是操作系统资源分配和独立运行的最小单位;线程是任务调度和系统执行的最小单位。 **2、地址空间区别:**每个进程都有独立的地址空间,一个进程崩溃不影响其它进程;一个线程组中多个线程共享一个进程的地址空间,一个线程的非法操作会使整个进程崩溃。 **3、上下文切换开销区别:**
远程线程注入
hambaga的博客
08-07 494
本文记录了最普通的一种dll注入方式——远程线程注入,以便日后复习用。 首先准备一个要注入的dll(步骤略),准备一个32位程序,本文使用扫雷。将扫雷和dll放在同一目录,运行扫雷。 然后编写程序,将dll加载到扫雷的内存中。 // 多字节字符集 #include <Windows.h> #include <stdio.h> BOOL EnableDebugPrivilege(); int main() { // 提权(win10) EnableDebugPrivileg
远程线程注入引出的问题
weixin_33713707的博客
08-30 555
远程线程注入引出的问题   一、远程线程注入基本原理 远程线程注入——相信对Windows底层编程和系统安全熟悉的人并不陌生,其主要核心在于一个Windows API函数CreateRemoteThread,通过它可以在另外一个进程注入一个线程并执行。在提供便利的同时,正是因为如此,使得系统内部出现了安全隐患。常用的注入手段有两种:一种是远程的dll的注入,另一种是远程代码的注入。后者...
远程线程注入(二)线程注入
热门推荐
Miibotree
10-26 1万+
这里我们要用到上篇中的那个 msg.dll 下面的代码还是使用的统一的宽字符版本,已经在VS2010下编译通过。 首先上代码,然后慢慢解释: #include #include BOOL LoadRemoteDll(DWORD dwProcessId, LPTSTR lpszLibName) { BOOL bResult = FALSE;
什么是远程线程注入
航行的土豆的博客
12-11 7166
远程线程注入 首先,要说明白远程线程注入,必须得弄明白什么是远程线程以及什么是注入! 远程线程 这里的远程指的是别的进程空间,大家应该都在自己代码中或多或少运用过多线程,这里给出常见的win32创建线程接口的使用,如下: 本地线程创建 1 、官方给的接口: HANDLE CreateThread( [in] LPSECURITY_ATTRIBUTES lpThreadAttributes, //安全描述符,一般填NULL [in] SIZE_T dwStac
远程线程入门
weixin_34221332的博客
07-05 232
摘要: 远程线程作为一项"合法"的代码注入技术,在windows上被大量使用, 它的本质就是把一块可执行代码写入到对方进程,然后让其起运行。 一般它的实现过程是这样的, 通过VirtualAllocEx在目标进程分配内存空间,然后通过WriteProcessMemory将我们的可执行代码写入到目标进程,最后通过CreateRemoteThread让我们的可执行代...
vc++ windows远端线程注入插入任意api调用的方法
最新发布
10-31
vc++远端线程注入插入任意api调用的方法
c++down远程线程注入.rar_下载者_文件映射_线程注入_远程线程注入
09-21
C++实现远程线程注入与文件映射通信详解》 在计算机编程中,远程线程注入和文件映射通信是两种重要的技术,常用于进程间通信和系统级操作。本篇文章将深入探讨C++中如何实现这两种技术,并结合一个下载者程序的...
远程注入 Socket通讯 项目一个程序
04-17
3. 创建线程:使用`CreateRemoteThread`在远程进程中创建一个新的线程,这个线程会调用DLL的入口点,即`DllMain`函数。 接下来,我们关注Socket通讯。Socket是网络编程的基本接口,它提供了进程间的通信能力,无论...
易语言远程注入源码
10-10
4. **执行注入代码**:在目标进程中创建一个新的线程,使注入的代码得以执行。这可以通过`CreateRemoteThread` API实现。 5. **通信机制**:控制端与被注入程序之间的通信,可能是通过共享内存、管道、套接字等方式...
远程实现相关源码和jar包
04-02
在Android中,由于平台限制,网络操作必须在异步线程中执行,因此理解Android的AsyncTask、Handler、Service、BroadcastReceiver等机制也至关重要。 JavaWeb项目jar包中可能包含了各种运行时依赖,如数据库连接池、...
基于VC++的Solidworks 插件开发
u014291956的专栏
05-13 6222
Solidworks插件开发中,通过VC++自动生成所有的模板文件后,主要添加一些逻辑代码及菜单,就可以进行直接的开发: 1.      添加符号表,处理函数
解析C#中reference与out关键字
u014291956的专栏
01-14 2555
C#中数据类型分为两种:值类型和引用类型,值类型为:基本类型(枚举、数值、布尔)、String、Struct类型,而其他均为引用类型。在引用类型中,reference标注是否对该类型无影响呢? 测试程序如下: class A { public A() { Console.WriteLine("A::A()"); }
C# 中的泛型与重载
u014291956的专栏
07-28 1991
C#中如泛型与重载有相同类型(类型等价),普通函数会优先调用,而且在决议过程中,泛型函数中的where条件未计入考虑。测试程序如下: class A { public override string ToString() { return "Class A"; } } interface ITest {
VS2010 Coredump文件生成
u014291956的专栏
04-14 1467
在VS2010中系统通过调试产生的exe文件,通过项目属性->调试->启用非托管代码调试功能来调试程序。 生成exe后,如出现异常终止,通过任务管理器创建转储文件: 然后通过VS2010打开该转储文件,点击调试就会看到异常的代码了。
模板约束
u014291956的专栏
08-20 1214
C++模板不同,C#模板增加了对于泛化类的约束问题,泛化类约束共计4中类型: 基类约束:要求泛化类必须继承至某个基类。 接口约束:要求泛化类必须实现某个接口。 构造函数约束:要求泛化类必须提供默认的构造函数。 值/引用数据类型约束:要求泛化类只能为值类型或引用类型。 1. 基类约束,当出现多个约束时,基类约束必须放在最前面,基类约束中的基类不能是sealed class(密封类)和非值
C#判断对象相等
u014291956的专栏
08-13 1145
C#语言中,由于内存为系统自动管理,且重载Equals方法形参为Object基类,加上C#建议实现GetHashCode方法来加快判断,这样在判断相等方面就多了几步: 1.       判断两个对象是否对象相等; 2.       判断两个对象类型是否相等; 3.       判断两个对象GetHashCode方法是否相等; 4.       判断基类对象是否相等; 5.       判
sharepoint 2013 安装问题记录
u014291956的专栏
04-12 1043
独立安装SharePoint2013碰到的"SDDL"问题及解决方法 参考 http://www.cnblogs.com/huaen/p/3770297.html Exception: System.ArgumentException: TheSDDL string contains an invalid sid or a sid that cannot be translated.
VB远线程注入技术示例与源代码
本文档探讨了VB(Visual Basic)远线程注入技术,一种在VB编程环境下利用Windows API进行高级操作的方法。主要关注的是如何在不依赖DLL的情况下实现键盘拦截功能。以下是文档的关键知识点: 1. **VB代码示例**: - ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值