利用CreateRemoteThread进行远程代码注入的技术在64位机上可能遇到的问题

最新推荐文章于 2022-10-31 01:13:26 发布
最新推荐文章于 2022-10-31 01:13:26 发布
阅读量2.7k 收藏 1
点赞数
分类专栏: c++ 文章标签: winapi properties thread dll exe manager
先看看相关函数的原型 :

    1.模块的加载与卸载
HMODULE WINAPI LoadLibraryA(const char* name);
HMODULE WINAPI LoadLibraryW(const wchar_t* name);
BOOL WINAPI FreeLibrary(HMODULE module);
逆风编程精品

    2.线程函数占位符
DWORD WINAPI ThreadFunc(LPVOID param); // windows.h
unsigned __stdcall thread_proc(void* param); // process.h

    3.获得线程返回值
BOOL WINAPI GetExitCodeThread(HANDLE thread,LPDWORD result);



一、 利用CreateRemoteThread在远程进程中加载模块应该是没有问题的。

LoadLibraryA( const char*  );
LoardLibraryW( const wchar_t * );
ThreadFunc( LPVOID  );
thread_proc( void * );
第1个参数均为指针,位长相同。

所以仍然可以
模块加载函数 线程函数
被加载模块的文件名 线程参数
启动远程线程

CreateRemoteThread( ... , LoadLibraryA , "injectant.dll" , ...);

注意: 一开始我是把 dll 与应用放到一个目录下 的  就是用了相对了路径, 其他最好应该用绝对的路径,要不然其他的程序注入不 了


当然, 这是伪代码。
该方法能工作还需要取得LoadLibraryA在远程进程中的地址,和在远程进程的地址空间中,写入"injectant.dll"。



二、 利用CreateRemoteThread在远程进程中卸载模块也应该是没有问题的。

FreeLibrary(HMODULE );
ThreadFunc(LPVOID );
thread_proc(void* );

指针为了能指向64位的地址空间, 需要64位长。
HMODULE用来表示模块的基地址, 而地址空间是64位, HMODULE也需要64位。

所以仍然可以
模块卸载函数线程函数
被加载模块句柄线程参数
启动远程线程
CreateRemoteThread( ... , FreeLibrary , hModule , ... );



三、 问题发生在:

如何取得被远程进程加载的模块句柄?


    三.1、 线程返回值

线程函数的原型从返回值类型可以分为2种: DWORD和unsigned

可以说,返回机器字长, 也就是unsigned是比较合理的。
而依赖于返回DWORD的代码也不会因为返回类型改为unsigned而出问题。
因为前者需求更少, 后者给于更多。
前者还需要作一次截断, 来取得32位的DWORD返回值。

线程函数以DWORD的原因, 可能是在16位机器上, 如果使用机器字长作返回值, 取值范围太少。
所以,线程函数的返回值, 有可能会改为 uint_least32_t
16位机器上, 使用2个机器字长拼装返回值  32位
32位机器上, 使用机器字长作返回值            32位
64位机器上, 使用机器字长作返回值            64位

也就是说, 线程函数是有可能返回64位的模块句柄的。
为什么不呢?  难道要在返回前作没必要的自行截断么?

    三.2、 取得线程返回值

BOOL GetExitCodeThread(HANDLE thread,LPDWORDresult);

可以将第2个参数改为指向机器字长数据的指针么?  也许不能。
因为函数要求更多 : result必须是指向机器字长数据的指针, 即result所指的连续8个字节都是可写的。
但调用者提供更少 : 调用者很有可能不提供机器字长, 而只提供指向连续4个字节的指针。

想想如下代码是多么普遍(尤其是喜欢使用windows定义的数据类型的同学)
DWORD code = 0;
GetExitCodeThread( thread , &code );
GetExitCodeThread绝对不可以写入8字节内容。

所以, 很有可能无法取得前一步所加载的模块的句柄, 从而无法卸载。



四、 总结

在64位机上, 仍然可以使用该技术远程加载模块。

但是否可以卸载, 还得看:
1. 64位的线程返回值类型
2. 取得线程返回值的函数能够取得多少字节的返回值。
如果2者都是64位, 该技术依然可行。

Win7 CreateRemoteThread 另类使用方法

没有发现在win7 不能注入的问题,按楼上说的,64为注入要用64位的dll,exe也要是64的,在64位下要操作注入,既要DLL是64位的,就连注入动作的EXE也要是64位的才行。感谢诸位的解答了。正解就是要用VS2010把DLL编译成64位的就行了

VS2010编译成64位设置值: Project ->properties->Configuration Properties ->Linker ->Advanced ->Target Machine

Lib库也要是 64 位的 : Project ->properties->Configuration Properties -> VC++ Directories

Properties->Configuration Properties,点击右上的Configuration Manager,查看列表中对应工程的platform是否设置为x64。我的问题,设置为x64就解决了。
x64cm.png 




判断系统是否是64位函数

/************************************************************************/
/* 
	return TRUE位64位  仅使用在应用程序是 32位的时候, 64位无效的
*/
/************************************************************************/
BOOL CDllInjectionDlg::IsWow64()
{
	typedef BOOL (WINAPI *LPFN_ISWOW64PROCESS) (HANDLE, PBOOL);
	LPFN_ISWOW64PROCESS fnIsWow64Process;

	BOOL bIsWow64 = FALSE;
	fnIsWow64Process =(LPFN_ISWOW64PROCESS)GetProcAddress(GetModuleHandle(TEXT("kernel32")),"IsWow64Process");
	if (NULL != fnIsWow64Process)
	{
		if (!fnIsWow64Process(GetCurrentProcess(),&bIsWow64))
		{
			MessageBox(TEXT("IsWow64 error!"));
		}

	}
	return bIsWow64;
}

注入相关链接: http://blog.csdn.net/ithzhang/article/details/7051558

cnstartech
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
使用CreateRemoteThread进行Dll注入(Win7-x86\x64 Win10-x86\x64)
KOOKNUT的博客
05-12 1526
实现思路:
API hook原理和实例快速入门(inline hook),以dll线程注入方式使用(win7-64bit)
热门推荐
扣的CODE
07-20 1万+
一个完整的hook,如果hook程序是以dll形式生成的,是分两步:1.完成dll本身的设计和生成,2.完成dll注入程序的设计和生成 本文完成第一步。 第二步在http://blog.csdn.net/arvon2012/article/details/7767437有详细讲解。   最近在64位win7上hook文件复制,拖拽和剪切的hook(这个要通过hook IFileOperat
CreateRemoteThread:从32位进程到64位进程
04-17
CreateRemoteThread 从32位进程到64位进程的CreateRemoteThread 借鉴: 更多细节:
Dll注入:X86/X64 远程线程CreateRemoteThread 注入
aijuzhou1959的博客
03-09 306
远线程注入原理是利用Windows 系统中CreateRemoteThread()这个API,其中第4个参数是准备运行的线程,我们可以将LoadLibrary()填入其中,这样就可以执行远程进程中的LoadLibrary()函数,进而将我们自己准备的DLL加载到远程进程空间中执行。 函数原型: HANDLE WINAPI CreateRemoteThread( ...
32位程序注入64位dll64位进程中失败
qq_36453052的博客
11-25 1947
测试32位程序注入64位dll到64 位的进程中失败。出现下面错误提示: 应用程序发生异常 未知软件异常(0xc0000409)错误 必须4使用64位程序注入64位dll64位的进程才能成功。 if (!DebuggerWasPresent) 0021DC04 83 3D A8 99 28 00 00 cmp         dword ptr [DebuggerWasPrese
汇编代码注入器,支持x64和x86
04-04
4. 创建远程线程:使用CreateRemoteThread在目标进程中创建一个新线程,使其从注入代码的起始地址开始执行。 三、x64架构的扩展 随着x64架构的普及,传统的x86注入技术需要进行调整。x64架构引入了新的寄存器、...
x86,x64 汇编代码注入器 C,C++写的
04-15
在计算机编程领域,代码注入是一种技术,它允许程序将代码插入到另一个正在运行的进程上下文中执行。这种技术通常用于调试、系统监控、性能优化,但也可能被滥用进行恶意活动。本文将深入探讨一个基于C和C++编写的...
莫离汇编代码注入器(X86X64)
最新发布
04-04
在IT领域,代码注入是一种技术手段,用于在运行时向其他进程或应用程序注入自定义代码,以实现特定的功能或者对目标程序进行调试、监控、篡改等操作。本文将围绕“莫离汇编代码注入器(X86X64)”这一工具,详细探讨...
64位远程注入小工具
04-29
64位远程注入小工具是一种专门用于在64位操作系统环境下将64位动态链接库(DLL注入64位进程的技术实现。这个小工具的目的是为了在目标进程中执行不在该进程自身代码中的功能,这在软件调试、系统监控、性能分析...
InjectDLL代码 实现远程注入线程.zip
03-28
在IT领域,远程线程注入是一种高级的编程技术,常用于系统监控、调试以及恶意软件中。本资源包"InjectDLL代码 实现远程线程注入.zip"提供了实现这一技术的相关代码和文档,让我们来深入探讨这个主题。 首先,我们要...
CreateRemoteThread简单应用之二
~ 飞 扬 的 天 空 ~
02-19 653
宿主进程 exe.exe #include #include #include int foo (void) { printf("foo\n"); // MessageBox(NULL, "foo", "Notice", MB_OK); #if 0 HINSTANCE hUser32 = LoadLibrary("User32.dll");
CreateRemoteThread注入DLL
weixin_30800807的博客
12-22 63
DLL注入的常用方式之一远程线程注入,实现代码如下 //CreateRemoteThread.cpp:Definestheentrypointfortheapplication. // #include"stdafx.h" #include<stdio.h> #include<tlhelp32.h> #pragmacom...
openprocess打开进程失败_利用API unhooking完成进程注入,成功绕过Bitdefender检测
weixin_39531780的博客
12-03 595
绕过端点防护软件(如AV/EDR)是红队行动中的一项重要工作,但是在完成这项工作之前,我们可能需要一些时间来了解这些防护软件是如何工作的。而随着网上发布了大量关于这个主题的资源,了解这些产品的工作原理以及如何绕过它们也变得更加容易。在这篇文章中,我将向大家展示如何利用windows API unhooking技术来绕过BitDefender全功能安全套装的。在此过程中,我们将为读者介绍关...
openprocess打开进程失败_【渗透实战】如何利用API unhooking执行进程注入,绕过Bitdefender安全检测...
weixin_39575054的博客
12-03 290
点击上方蓝字关注我们1概述绕过AV/EDR等端点检测是红队行动过程中的一项重要工作,在开始进行绕过时,我们需要先了解这些防护软件的工作方式。网络上公布了大量安全产品的工作原理以及绕过方法。本文主要分享如何利用Windows API unhooking 技术绕过Bitdefender安全防护软件,以下为演示视频:2什么是API Hooking?API hooking是一种用于拦截和检查w...
GetExitCodeThread
125096
05-05 693
#include #include DWORD WINAPI ThreadProc( LPVOID lpParameter); //GetExitCodeThread确定一个线程是否结束这个函数并不是一个好的方法 int main (void) { DWORD IDThread=0; DWORD ExitCode1=0; DWORD ExitCode2=0; HANDLE hThr
Wow64(32位进程)注入DLL64位进程
jiangqin115的专栏
07-04 5850
http://blog.poxiao.me/p/wow64-process-inject-dll-into-x64-process/#Wow64环境下32位进程注入64位进程 DLL注入 向其他进程注入DLL通常的做法是通过调用CreateRemoteThread这个API在目标进程内创建一个远程线程,用这个线程来调用LoadLibraryA或LoadLibraryW(下文统称Load
CreateRemoteThread 失败,错误码5
ly_chg的专栏
02-19 6079
GetLastError为5表示拒绝访问 采用远程线程向explorer.exe注入dll,调用CreateRemoteThread时总是失败,错误码为5。 原因:OS是64位,explorer.exe也是64位的,注入程序和dll都应该是64位的才可以。而自己的注入程序和dll都是32位的。修改一下,再次运行就可以了。
C#64位应用程序远程注入及代理地址的转换
zhoumingongheguo的博客
10-31 423
使用C#实现64位远程注入代码及其需要注意的事项。
DELPHI远程注入DLL教程:权限提升与CreateRemoteThread方法
本文档主要介绍了如何使用DELPHI编程语言实现远程注入DLL(动态链接库)的过程,这是一种常见的技术,尤其在恶意软件中被用于隐藏进程活动。作者分享的是一个具体实例,旨在帮助读者理解这种技术的工作原理。 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值