java远程线程注入_Windows x86/ x64 Ring3层注入Dll总结

最新推荐文章于 2024-06-19 15:29:16 发布
最新推荐文章于 2024-06-19 15:29:16 发布
阅读量306 收藏 1
点赞数
文章标签: java远程线程注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39868248/article/details/114308128
版权

0x01.前言

提到Dll的注入,立马能够想到的方法就有很多,比如利用远程线程、Apc等等,这里我对Ring3层的Dll注入学习做一个总结吧。

我把注入的方法分成六类,分别是:1.创建新线程、2.设置线程上下背景文,修改寄存器、3.插入Apc队列、4.修改注册表、5.挂钩窗口消息、6.远程手动实现LoadLibrary。

那么下面就开始学习之旅吧!

0x02.预备工作

在涉及到注入的程序中,提升程序的权限自然是必不可少的,这里我提供了两个封装的函数,都可以用于提权。第一个是通过权限令牌来调整权限;第二个是通过ntdll.dll的导出的未文档化函数RtlAdjustPrivilege来调整权限。

// 传入参数 SE_DEBUG_NAME,提升到调试权限

BOOL GrantPriviledge(WCHAR* PriviledgeName)

{

TOKEN_PRIVILEGES TokenPrivileges, OldPrivileges;

DWORD dwReturnLength = sizeof(OldPrivileges);

HANDLE TokenHandle = NULL;

LUID uID;

// 打开权限令牌

if (!OpenThreadToken(GetCurrentThread(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, FALSE, &TokenHandle))

{

if (GetLastError() != ERROR_NO_TOKEN)

{

return FALSE;

}

if (!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &TokenHandle))

{

return FALSE;

}

}

if (!LookupPrivilegeValue(NULL, PriviledgeName, &uID)) // 通过权限名称查找uID

{

CloseHandle(TokenHandle);

return FALSE;

}

TokenPrivileges.PrivilegeCount = 1; // 要提升的权限个数

TokenPrivileges.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED; // 动态数组,数组大小根据Count的数目

TokenPrivileges.Privileges[0].Luid = uID;

// 在这里我们进行调整权限

if (!AdjustTokenPrivileges(TokenHandle, FALSE, &TokenPrivileges, sizeof(TOKEN_PRIVILEGES), &OldPrivileges, &dwReturnLength))

{

CloseHandle(TokenHandle);

return FALSE;

}

// 成功了

CloseHandle(TokenHandle);

return TRUE;

}

紧接着,既然我们要对目标进程注入Dll,那么获得目标进程的Id是不可或缺的吧,因为OpenProcess是肯定会使用的,这里我也提供了两种通过目标进程映像名称获得进程Id的方法。第一种是最常见的使用TlHelp创建系统的进程快照;第二种是借助Psapi枚举系列函数,不过这个方法我实现的有缺憾,32位下不能得到64位进程的Id。

// 使用ToolHelp系列函数

#include

BOOL GetProcessIdByProcessImageName(IN PWCHAR wzProcessImageName, OUT PUINT32 ProcessId)

{

HANDLE ProcessSnapshotHandle = INVALID_HANDLE_VALUE;

PROCESSENTRY32 ProcessEntry32 = { 0 };

ProcessEntry32.dwSize = sizeof(PROCESSENTRY32); // 初始化PROCESSENTRY32结构

ProcessSnapshotHandle = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); // 给系统所有的进程快照

if (ProcessSnapshotHandle == INVALID_HANDLE_VALUE)

{

return FALSE;

}

if (Process32First(ProcessSnapshotHandle, &ProcessEntry32)) // 找到第一个

{

do

{

if (lstrcmpi(ProcessEntry32.szExeFile, wzProcessImageName) == 0) // 不区分大小写

{

*ProcessId = ProcessEntry32.th32ProcessID;

break;

}

} while (Process32Next(ProcessSnapshotHandle, &ProcessEntry32));

}

CloseHandle(ProcessSnapshotHandle);

ProcessSnapshotHandle = INVALID_HANDLE_VALUE;

if (*ProcessId == 0)

{

return FALSE;

}

return TRUE;

}

// 使用Psapi系列枚举函数

#include

BOOL GetProcessIdByProcessImageName(IN PWCHAR wzProcessImageName, OUT PUINT32 ProcessId)

{

DWORD dwProcessesId[1024] = { 0 };

DWORD BytesReturned = 0;

UINT32 ProcessCount = 0;

// 获得当前操作系统中的所有进程Id,保存在dwProcessesId数组里

if (!EnumProcesses(dwProcessesId, sizeof(dwProcessesId), &BytesReturned))

{

return FALSE;

}

ProcessCount = BytesReturned / sizeof(DWORD);

// 遍历

for (INT i = 0; i < ProcessCount; i++)

{

HMODULE ModuleBase = NULL;

WCHAR wzModuleBaseName[MAX_PATH] = { 0 };

HANDLE ProcessHandle = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessesId[i]);

if (ProcessHandle == NULL)

{

continue;

}

if (EnumProcessModulesEx(ProcessHandle, &ModuleBase, sizeof(HMODULE), &BytesReturned, LIST_MODULES_ALL))

{

// 获得进程第一模块名称

GetModuleBaseName(ProcessHandle, ModuleBase, wzModuleBaseName, MAX_PATH * sizeof(WCHAR));

}

CloseHandle(ProcessHandle);

ProcessHandle = NULL;

if (lstrcmpi(wzModuleBaseName, wzProcessImageName) == 0) // 不区分大小写

{

*ProcessId = dwProcessesId[i];

break;

}

}

if (*ProcessId == 0)

{

return FALSE;

}

return TRUE;

}

然后在比如插入Apc队列、挂起线程等等操作中,需要对目标进程的线程操作,所以获得线程Id也有必要,同样的我也提供了两种通过进程Id获得线程Id的方法。第一个仍然是使用TlHelp创建系统的线程快照,把所有的线程存入vector模板里(供Apc注入使用);第二个是利用ZwQuerySystemInformation大法,枚举系统进程信息,这个方法我只返回了一个线程Id,已经够用了。

// 枚举指定进程Id的所有线程,压入模板中

#include

#include

using namespace std;

BOOL GetThreadIdByProcessId(IN UINT32 ProcessId, OUT vector& ThreadIdVector)

{

HANDLE ThreadSnapshotHandle = NULL;

THREADENTRY32 ThreadEntry32 = { 0 };

ThreadEntry32.dwSize = sizeof(THREADENTRY32);

ThreadSnapshotHandle = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0); // 给系统所有的线程快照

if (ThreadSnapshotHandle == INVALID_HANDLE_VALUE)

{

return FALSE;

}

if (Thread32First(ThreadSnapshotHandle, &ThreadEntry32))

{

do

{

if (ThreadEntry32.th32OwnerProcessID == ProcessId)

{

ThreadIdVector.emplace_back(ThreadEntry32.th32ThreadID); // 把该进程的所有线程id压入模板

}

} while (Thread32Next(ThreadSnapshotHandle, &ThreadEntry32));

}

CloseHandle(ThreadSnapshotHandle);

ThreadSnapshotHandle = NULL;

return TRUE;

}

// ZwQuerySystemInformation+SystemProcessInformation

typedef

NTSTATUS(NTAPI * pfnZwQuerySystemInformation)(

IN SYSTEM_INFORMATION_CLASS SystemInformationClass,

OUT PVOID SystemInformation,

IN UINT32 SystemInformationLength,

OUT PUINT32 ReturnLength OPTIONAL);

BOOL GetThreadIdByProcessId(IN UINT32 ProcessId, OUT PUINT32 ThreadId)

{

BOOL bOk = FALSE;

NTSTATUS Status = 0;

PVOID BufferData = NULL;

PSYSTEM_PROCESS_INFO spi = NULL;

pfnZwQuerySystemInformation ZwQuerySystemInformation = NULL;

ZwQuerySystemInformation = (pfnZwQuerySystemInformation)GetProcAddress(GetModuleHandle(L"ntdll.dll"), "ZwQuerySystemInformation");

if (ZwQuerySystemInformation == NULL)

{

return FALSE;

}

BufferData = malloc(1024 * 1024);

if (!BufferData)

{

return FALSE;

}

// 在QuerySystemInformation系列函数中,查询SystemProcessInformation时,必须提前申请好内存,不能先查询得到长度再重新调用

Status = ZwQuerySystemInformation(SystemProcessInformation, BufferData, 1024 * 1024, NULL);

if (!NT_SUCCESS(Status))

{

free(BufferData);

return FALSE;

}

spi = (PSYSTEM_PROCESS_INFO)BufferData;

// 遍历进程,找到我们的目标进程

while (TRUE)

{

bOk = FALSE;

if (spi->UniqueProcessId == (HANDLE)ProcessId)

{

bOk = TRUE;

break;

}

else if (spi->NextEntryOffset)

{

spi = (PSYSTEM_PROCESS_INFO)((PUINT8)spi + spi->NextEntryOffset);

}

else

{

break;

}

}

if (bOk)

{

for (INT i = 0; i < spi->NumberOfThreads; i++)

{

// 返出找到的线程Id

*ThreadId = (UINT32)spi->Threads[i].ClientId.UniqueThread;

break;

}

}

if (BufferData != NULL)

{

free(BufferData);

}

return bOk;

}

嗯,目前为止,预备工作差不多完工,那我们就开始正题吧!

0x03.注入方法一 -- 创建新线程

创建新线程,也就是在目标进程里,创建一个线程为我们服务,而创建线程的方法我找到的有三种:1.CreateRemoteThread;2.NtCreateThreadEx;3.RtlCreateUserThread。

基本思路是:1.在目标进程内存空间申请内存;2.在刚申请的内存中写入Dll完整路径;3.创建新线程,去执行LoadLibrary,从而完成注入Dll。

ps:这里直接使用从自己加载的kernel32模块导出表中获得LoadLibrary地址,是因为一般情况下,所有进程加载这类系统库在内存中的地址相同!

因为只是创线程所使用的函数不一样,所以下面的代码随便放开一个创线程的步骤,屏蔽其他两个,都是可以成功的,这里我放开的是NtCreateThreadEx。

typedef NTSTATUS(NTAPI* pfnNtCreateThreadEx)

(

OUT PHANDLE hThread,

IN ACCESS_MASK DesiredAccess,

IN PVOID ObjectAttributes,

IN HANDLE ProcessHandle,

IN PVOID lpStartAddress,

IN PVOID lpParameter,

IN ULONG Flags,

IN SIZE_T StackZeroBits,

IN SIZE_T SizeOfStackCommit,

IN SIZE_T SizeOfStackReserve,

OUT PVOID lpBytesBuffer);

#define NT_SUCCESS(x) ((x) >= 0)

typedef struct _CLIENT_ID {

HANDLE UniqueProcess;

HANDLE UniqueThread;

} CLIENT_ID, *PCLIENT_ID;

typedef NTSTATUS(NTAPI * pfnRtlCreateUserThread)(

IN HANDLE ProcessHandle,

IN PSECURITY_DESCRIPTOR SecurityDescriptor OPTIONAL,

IN BOOLEAN CreateSuspended,

IN ULONG StackZeroBits OPTIONAL,

IN SIZE_T StackReserve OPTIONAL,

IN SIZE_T StackCommit OPTIONAL,

IN PTHREAD_START_ROUTINE StartAddress,

IN PVOID Parameter OPTIONAL,

OUT PHANDLE ThreadHandle OPTIONAL,

OUT PCLIENT_ID ClientId OPTIONAL);

BOOL InjectDll(UINT32 ProcessId)

{

HANDLE ProcessHandle = NULL;

ProcessHandle = OpenProcess(PROCESS_ALL_ACCESS, FALSE, ProcessId);

// 在对方进程空间申请内存,存储Dll完整路径

UINT32 DllFullPathLength = (strlen(DllFullPath) + 1);

PVOID DllFullPathBufferData = VirtualAllocEx(ProcessHandle, NULL, DllFullPathLength, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);

if (DllFullPathBufferData == NULL)

{

CloseHandle(ProcessHandle);

return FALSE;

}

// 将DllFullPath写进刚刚申请的内存中

SIZE_T ReturnLength;

BOOL bOk = WriteProcessMemory(ProcessHandle, DllFullPathBufferData, DllFullPath, strlen(DllFullPath) + 1, &ReturnLength);

LPTHREAD_START_ROUTINE LoadLibraryAddress = NULL;

HMODULE Kernel32Module = GetModuleHandle(L"Kernel32");

LoadLibraryAddress = (LPTHREAD_START_ROUTINE)GetProcAddress(Kernel32Module, "LoadLibraryA");

pfnNtCreateThreadEx NtCreateThreadEx = (pfnNtCreateThreadEx)GetProcAddress(GetModuleHandle(L"ntdll.dll"), "NtCreateThreadEx");

if (NtCreateThreadEx == NULL)

{

CloseHandle(ProcessHandle);

return FALSE;

}

HANDLE ThreadHandle = NULL;

// 0x1FFFFF #define THREAD_ALL_ACCESS (STANDARD_RIGHTS_REQUIRED | SYNCHRONIZE | 0xFFFF)

NtCreateThreadEx(&ThreadHandle, 0x1FFFFF, NULL, ProcessHandle, (LPTHREAD_START_ROUTINE)LoadLibraryAddress, DllFullPathBufferData, FALSE, NULL, NULL, NULL, NULL);

/*

pfnRtlCreateUserThread RtlCreateUserThread = (pfnRtlCreateUserThread)GetProcAddress(GetModuleHandle(L"ntdll.dll"), "RtlCreateUserThread");

HANDLE ThreadHandle = NULL;

NTSTATUS Status = RtlCreateUserThread(ProcessHandle, NULL, FALSE, 0, 0, 0, LoadLibraryAddress, DllFullPathBufferData, &ThreadHandle, NULL);

*/

/*

HANDLE ThreadHandle = CreateRemoteThread(ProcessHandle, NULL, 0, LoadLibraryAddress, DllFullPathBufferData, 0, NULL); // CreateRemoteThread 函数

*/

if (ThreadHandle == NULL)

{

CloseHandle(ProcessHandle);

return FALSE;

}

if (WaitForSingleObject(ThreadHandle, INFINITE) == WAIT_FAILED)

{

return FALSE;

}

CloseHandle(ProcessHandle);

CloseHandle(ThreadHandle);

return TRUE;

}

0x04.注入方法二 -- 设置线程上下背景文

设置线程上下背景文的主要目的是让目标进程的某一线程转去执行我们的代码,然后再回来做他该做的事,而我们的代码,就是一串由汇编硬编码组成的ShellCode。

这串ShellCode做了三件事:1.传入Dll完整路径参数;2.呼叫LoadLibrary函数地址;3.返回原先的Eip或Rip。

这里我选用的呼叫指令是ff 15 和 ff 25,在32位下为跳转到15(25)指令后面字节码对应地址里面存放的地址,在64位下15(25)指令后面四字节存放的是偏移,该跳转为跳转到换算出来的地址里面存放的地址,这里我把偏移写成0,以便于计算。

#ifdef _WIN64

// 测试 64 位 dll被注,Bug已修复

/*</

最低0.47元/天 解锁文章
weixin_39868248
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java实现DLL注入(附完整源码)
希望我的博客,能帮上你解决学习中工作中所遇到的问题
06-15 330
java实现DLL注入(附完整源码)
java jna_Java使用JNA方式调用DLL(动态链接库)(原创,装载请注明出处)
weixin_42302026的博客
02-12 631
Java使用JNA调用DLL1.准备2.Java和C的数据类型对照表Java的数据类型和C的数据类型声明关键字有所不同,在java代码需要使用Java类型来代替C类型,下表为Java类型和C类型对照表。Java数据类型与C数据类型对照表table.png3.编写调用系统DLLJava代码1.在Eclipse新建Java工程2.把jna-4.0.0.jar加入到工程的库3.新建Java类...
java远程线程注入_测试远程线程注入Dll
weixin_30899023的博客
02-13 234
直接使用远程线程调用 LoadLibrary即可#include "stdafx.h"#include BOOL DllInject(DWORD dwProcessID,LPCTSTR lpDllName){HANDLE hProcess = 0;//1 打开指定进程hProcess = OpenProcess(PROCESS_ALL_ACCESS,FALSE,dwProcessID);if(hP...
推荐开源项目:jar-to-dll —— 将Java模组转换为DLL注入Minecraft
gitblog_00042的博客
06-06 435
推荐开源项目:jar-to-dll —— 将Java模组转换为DLL注入Minecraft 项目地址:https://gitcode.com/radioegor146/jar-to-dll 项目介绍 在Minecraft的自定义体验,许多玩家和开发者依赖于第三方模组来扩展游戏的功能。jar-to-dll 是一个简洁而实用的工具,专门设计用来将你的Java mod .jar 文件打包成.dll动态...
dll注入 java_内核通过给线程插apc注入dll
weixin_28724661的博客
03-02 294
void ApcLoadDll(PVOID NormalContext, PVOID SystemArgument1, PVOID SystemArgument2);void ApcLoadDllEnd();PMDL pMdl = NULL;void ApcKernelRoutine( IN struct _KAPC *Apc,IN OUT PKNORMAL_ROUTINE *NormalRout...
java远程线程注入_学习:远程线程实现DLL注入和shellcode注入以及OD调试原理
weixin_36286567的博客
02-17 522
远程线程:#include#include//函数地址:00C31740int main() {HANDLE hThread;HANDLE hProcess;// 1、得到要在其进程创建线程进程句柄hProcess = OpenProcess(PROCESS_ALL_ACCESS,false,10940);if (hProcess == NULL) {OutputDebugString("Op...
Windows x86/ x64 Ring3注入Dll总结
09-30
Windows x86/x64 Ring3注入Dll总结】 在Windows操作系统Ring3指的是用户模式,这是应用程序运行的次。Dll注入是一种技术,它允许一个进程将自己的代码(通常是一个动态链接库,Dll注入到另一个进程...
C/C++ 进程无模块内存注入[x86/x64]
05-30
本文将深入探讨“C/C++ 进程无模块内存注入[x86/x64]”这一主题,涵盖Windows下的R3无模块注入技术,以及如何实现对x86x64架构的通用支持。 首先,我们要理解什么是“进程无模块内存注入”。通常,内存注入涉及到...
C++ > (开源) Ring3下的DLL注入工具 x64(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)
04-28
注入工具核心注入部分使用NtCreateThreadEx + LdrLoadDlll方式实现,特色在于比一般的远程线程注入稳定,可以注入系统进程,服务进程等。 工具介绍:http://blog.csdn.net/sunflover454/article/details/50441014 ...
CC++ 进程无模块内存注入[x86x64] Windows R3 无模块注入
最新发布
06-23
总结起来,CC++ 进程无模块内存注入[x86x64]是利用编程技术在Windows R3环境下实现的一种代码注入方法,它避免了加载额外模块,提高了隐蔽性和兼容性。理解和掌握这项技术,可以帮助开发者更好地理解和应对进程级别...
内核线程注入x86
11-22
主要通过Ring0驱动Attach到目标进程然后调用NtCreateThreadEx来执行ShellCode,ShellCode做了一个注入Dll的简单行为。
DLL注入之远线程方式
04-20
线程注入 每个进程都有自己的虚拟地址空间,对32位进程来说,这个地址空间的大小为4GB。因为每个进程都有自己专有的地址空间,当进程的各个线程运行的时候,它们只能够访问属于自己进程的内存。这样做的一个好处是维护系统的安全,防止进程的私有空间被入侵。世界上有了矛就有了盾,windows也撕开了一个小口,提供了一些函数来让其它进程对另一个进程进行操作,当然亦邪亦正,全在于你。大名鼎鼎的CreateRemoteThread就是属于这样的函数。 远线程注入的基本原理就是通过在另一个进程创建远程线程的方法进入目标进程的内存地址空间。使用插入到目标进程远程线程将该DLL插入到目标进程的地址空间,即利用该线程通过调用Windows API LoadLibrary函数来加载DLL,从而实现获取目标进程空间的使用权。如下摘自ReactOS 3.14的代码所示,CreateRemoteThread实际实现的功能就是调用NtCreateThread创建一个属于目标进程线程
易语言 动态链接库注入
06-12
用于向进程注入动态链接库。 .版本 2 .子程序 InjectLibrary, 逻辑型, 公开, 注入动态链接库 .参数 lfLibrary, 文本型, , 动态链接库名称 .参数 lfProc, 文本型, , 子程序名称 .参数 lfProgress, 文本型, , 进程名称
java dll注入和启动是hook
qq_52308245的博客
06-19 122
【代码】java dll注入和启动是hook。
JAVA注册为WINDOW服务的方法
刘飞
07-22 188
一、采用JavaService.exe windows下想将jboss注册为系统服务,http://javaservice.objectweb.org/ 可以下载javaservice 的程序包,目前版本是2.0.10 拷贝InstallJBoss.bat,UninstallJBoss.bat,JavaService.exe这三个文件到JBOSS_HOME/bin目录, 并注册两个环境变量...
DLL注入技术之远线程注入
潜心学习
06-28 3193
玩了这么久的hack,竟然到最近玩一个QQ显IP小软件的时候才知道注入是干什么用的,惭愧惭愧。刚好看到一个论坛上有一系列简明的说dll注入的文章 特此转载 正规主题 作者: DLL注入技术之远线程注入 日期: 2013-05-31 来源: 黑客反病毒 (http://bbs.hackav.com)
DLL加载器-远程线程注入(常规dll注入
bring_coco的博客
08-30 1350
注入思路 先获取到LoadLibrary的函数地址,之后使用CreateRemoteThread加载这段地址即可 简单例子: D:\VS项目\Dll3\x64\Debug\Dll3.dll kernel.dll加载的地址在所有进程都是一样的 https://zhuanlan.zhihu.com/p/599915628?utm_id=0 DLL进程注入 dll注入器 生成dll-2-1.exe 这里注入的exe是notepad++,找到其进程注入dll是我cs生成的beacon.dll 主要思路是:
【PC微信探秘】用易语言编写一个微信DLL注入
赵庆明老师
06-03 4353
.版本 2 .程序集 窗口程序集_启动窗口 .子程序 _按钮1_被单击 .局部变量 快照句柄, 整数型 .局部变量 进程信息, LPPROCESSENTRY32 .局部变量 下一个, 逻辑型 .局部变量 微信PID, 整数型 .局部变量 微信句柄, 整数型 .局部变量 DLL文件, 文本型 .局部变量 DLL文件字符串长度, 整数型 .局部变量 申请内存地址, 整数型 .局部变量 LoadLi...
Windows x86/x64 Ring3 Dll注入方法详解与提权技巧
本文档详细介绍了Windows x86x64架构下Ring3动态链接库(Dll)注入的技术总结Ring3,也称为用户态或普通态,是操作系统核心模式(Ring 0)之外的执行级别,程序在此状态下运行时拥有较低的权限,但仍然允许进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值