远程线程+hook=监控?

最新推荐文章于 2023-10-23 00:42:13 发布
最新推荐文章于 2023-10-23 00:42:13 发布
阅读量2.3k 收藏 2
点赞数
文章标签: hooks 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xjp342023125/article/details/122401843
版权

见字如面,我是东北码农。

今天文章的关键字是“远程线程”,会带大家使用远程线程+inlinehook实现一个简陋的监控系统,偷偷记录用户执行了哪些程序,可能就像你单位的监控系统一样。

关注微信“东北码农”,回复remotethread可获取代码地址。

下面是效果图,可以记录执行哪些程序、函数参数、执行时间。你也会发现一些有趣的事,例如有时仅仅打开一个目录,就会触发git的缓存进程。

 

1、双击启动程序时发生了什么?

实现功能前,我们需要了解当我们双击执行一个程序时,到底发生了什么?

1.1、桌面程序-explorer.exe

例如启动一个浏览器,第一步需要先在桌面找到浏览器的图标。在windows系统中,桌面进程是explorer.exe,有点类似linux的shell。如果你现在打开任务管理器,就可以发现explorer.exe进程,如果结束掉explorer.exe进程,桌面就会马上会消失。

1.2、双击执行时发生了什么?

当双击浏览器图标时,就会启动浏览器进程。桌面程序explorer.exe会调用CreateProcess接口,把各项参数填好去创建一个进程。CreateProcess有很多参数,我们监控时只需要关心前两个参数就好,程序执行路径和程序函数。

1.3、如何实现监控?

我们需要在explorer.exe进程空间内hook CreateProcess。就像发射炮弹一样,hook CreateProcess我们可以写到一个dll中,作为炮弹。现在的问题是如何让这枚炮弹发射到explorer.exe进程中。这里进入本文正题:远程线程dll注入。

2、远程线程注入实现

本章节会介绍如何实现一个通用的远程线程注入的小工具,并使用这个工具注入我们的dll到explorer.exe中。

相信对Windows底层编程和系统安全熟悉的人并不陌生,远程线程实现时需要借助于一个Windows API函数CreateRemoteThread,通过它可以在另外一个进程中注入一个线程并执行。

实现函数很简单,仅仅20行代码(没有做返回值判断,仅为了展示记录)代码如下:

static bool remotethread_inject(DWORD pid,const char* dll_path) {
  HANDLE pro = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);
  
  // step1:在目标进程申请内存  
  int dll_path_len = strlen(dll_path )+1;
  void* remote_buf = VirtualAllocEx(pro, NULL, dll_path_len, MEM_COMMIT, PAGE_READWRITE);  
  // step2:在目标进程写入dll路径
  BOOL ret = WriteProcessMemory(pro, remote_buf, (LPVOID)dll_path, dll_path_len, NULL);
    // step3:获取LoadLibraryA地址
  auto load_func = GetProcAddress(GetModuleHandle(L"kernel32.dll"), "LoadLibraryA");
    
    // step4:执行远程线程
  HANDLE remote_thread = CreateRemoteThread(pro, NULL, 0, (LPTHREAD_START_ROUTINE)load_func, remote_buf, 0, NULL);
    // step5:等待执远程线程行完毕
    WaitForSingleObject(remote_thread, 10000);
  return true;
}

远程线程注入dll,就是在目标进程中创建一个线程,执行LoadLibrary,加载我们的dll。

2.1、写入线程函数的参数

  // step1:在目标进程申请内存  
  int dll_path_len = strlen(dll_path )+1;
  void* remote_buf = VirtualAllocEx(pro, NULL, dll_path_len, MEM_COMMIT, PAGE_READWRITE);  

  // step2:在目标进程写入dll路径
  BOOL ret = WriteProcessMemory(pro, remote_buf, (LPVOID)dll_path, dll_path_len, NULL);

首先需要把线程入口函数的参数,也就是dll的路径,写入目标进程。需要先在目标进程申请空间,再写入。

2.2、执行远程线程

// step3:获取LoadLibraryA地址
  auto load_func = GetProcAddress(GetModuleHandle(L"kernel32.dll"), "LoadLibraryA");
    
    // step4:执行远程线程
  HANDLE remote_thread = CreateRemoteThread(pro, NULL, 0, (LPTHREAD_START_ROUTINE)load_func, remote_buf, 0, NULL);
    // step5:等待执远程线程行完毕
    WaitForSingleObject(remote_thread, 10000);

我们需要在目标进程中获取LoadLibrary的地址,因为LoadLibrary在kernel32.dll里,加载比较早,所以在每个进程内地址都一样,所以我们可以在本进程获取直接使用。

然后调用CreateRemoteThread执行远程线程,再调用WaitForSingleObject等待执行结束。

3、dll实现

3.1、dll入口函数

每个dll都有一个入口函数DllMain,在dll加载时会调用,我们把hook操作写在这里。

static bool init = false;
    if (!init) {
        init = true;
        // 打开控制台
        if (AllocConsole())
        {
            freopen("CONOUT$", "w", stdout);
            freopen("CONIN$", "r", stdin);
            SetConsoleTitleA("Console");
            SetConsoleTextAttribute(GetStdHandle(STD_OUTPUT_HANDLE), FOREGROUND_RED | FOREGROUND_GREEN | FOREGROUND_BLUE);
            printf("dll injectok!\n");
        }
        {
            // 制作跳板
            xx_mem_unprotect(tra_cw, 1024);
            xx_make_trampoline(&CreateProcessW, tra_cw, 0xf);
            // HOOK
            xx_mem_unprotect(&CreateProcessW, 1024);
            xx_setjmp(&CreateProcessW, &MyCreateProcessW);
        }
    }

先打开一个控制台,在控制台展示hook的信息。然后再进行hook,为了防止多次执行,使用static变量控制一下。

3.3、hook CreateProcess

char tra_cw[1024];
BOOL WINAPI MyCreateProcessW(
    _In_opt_ LPCWSTR lpApplicationName,
    _Inout_opt_ LPWSTR lpCommandLine,
    _In_opt_ LPSECURITY_ATTRIBUTES lpProcessAttributes,
    _In_opt_ LPSECURITY_ATTRIBUTES lpThreadAttributes,
    _In_ BOOL bInheritHandles,
    _In_ DWORD dwCreationFlags,
    _In_opt_ LPVOID lpEnvironment,
    _In_opt_ LPCWSTR lpCurrentDirectory,
    _In_ LPSTARTUPINFOW lpStartupInfo,
    _Out_ LPPROCESS_INFORMATION lpProcessInformation
) {
    time_t now = time(nullptr);
    printf("================\n");
    printf("%s", ctime(&now));
    wprintf(L"execute=%s\npara=%s\n\n" ,lpApplicationName,lpCommandLine );
    auto ori = xx_trampoline_to_func(&CreateProcessW, tra_cw);
    return (*ori)(lpApplicationName,
        lpCommandLine,
        lpProcessAttributes,
        lpThreadAttributes,
        bInheritHandles,
        dwCreationFlags,
        lpEnvironment,
        lpCurrentDirectory,
        lpStartupInfo,
        lpProcessInformation);
}

hook以后,打印信息,再调用原函数,毕竟我们只是监控,如果想组织,就需要再额外加一些逻辑了。

4、远程线程+hook的其它应用

二者其实可以实现很多有意思的东西:可以hook connect、recv、send来监控网络流量;外挂也可以靠注入+hook实现外挂功能。大家可以开动脑筋做一些有意思的小程序。

最后,东北码农,求关注、点赞、转发,谢谢~

东北码农
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows黑客编程——远程线程注入(1)
Think88666的博客
03-26 1908
前言 远程线程注入是指一个进程在另一个进程中创建线程的技术,在病毒、木马以及外挂中经常使用到该技术。 使用场景 调试器中也使用了该技术;可以通过宿主来执行一些隐藏操作如一些木马病毒;可以实现HOOK API来修改目标进程的行为如实现隐藏进程、隐藏文件、隐藏注册表项等;修改目标进程的数据如外挂;等我想到了再补充... 实现流程 其流程大致如下: 代码实现 测试函数代码如下,可根据实际情况再做更改 BOOL CreateRemoteThreadInjectDll( .
内核级利用通用Hook函数方法检测进程
zhiyuanjack的专栏
06-24 815
请参阅:http://www.xfocus.net/articles/200505/798.html
[转贴]远程线程实例1
Nest of Nonsenser
12-14 833
#include "stdafx.h"#include #include #include void usage(char *);int main(int argc, char* argv[]){ //char *Dll = "C://DLL.dll"; HANDLE hProcess = NULL,hRometeThread = NULL,hRometeThread2 = NULL;  LPVO
【软件逆向】如何在windows下远程注入dll并进行虚表hook
最新发布
zhangjiuding的博客
10-23 1644
如何在windows下远程注入dll并进行虚表hook
Zephyr printk输出分析
生命不息,奋斗不止!
05-10 1783
1. 说明 参考的单板: stm32f429i_disc1 zephyr版本: zephyr v1.10.0 2. 编译过程追踪: cd $ZEPHYR_BASE source ./zephyr-env.sh cd samples/hello_world make BOARD=stm32f429i_disc1 注意以下输出 CC  drivers/console/uart_con...
易语言远程HOOK模块源码-易语言
06-13
这通常通过创建远程线程并在目标进程中执行DLLMain函数来完成。 2. **钩子函数**:钩子函数是实际执行HOOK操作的代码,它会在特定事件发生时被调用。在易语言中,你需要编写这些函数,并确保它们能够正确处理被HOOK...
用Apihook实现的打印监控
05-23
1. 钩子选择:选择合适的钩子技术,如SetWindowsHookEx(系统级钩子)、Detours库(函数替换)、EasyHook库(远程线程注入)等。每种方法都有其特点和适用场景,应根据项目需求选择。 2. 钩子函数编写:创建一个...
易语言远程线程注入源码-易语言
06-13
易语言远程线程注入是一种在计算机编程中实现进程间通信和控制的技术,尤其在系统调试、性能监控以及恶意软件中常见。本资源提供的是用易语言编写的远程线程注入的源码,对于想要深入理解和实践这一技术的开发者来说...
VC++远程线程注入
01-25
它涵盖了从基本的线程概念到复杂的远程线程注入技术,以及与之相关的hook编程,这些都是游戏外挂开发中不可或缺的知识点。 首先,我们来了解一下“线程”。线程是操作系统调度的基本单位,它允许程序在同一时间执行...
远程注入HookIAT
09-15
远程注入和HookIAT是两种在编程中常用于系统监控、调试或篡改程序行为的技术。在易语言环境中,这两种技术结合使用可以实现强大的功能。 首先,我们来理解"远程注入"。远程注入是一种将代码植入到另一个正在运行的...
x64进程远程hook,x64_远程调用函数,源码更新V1.8.2:2021/4/12-易语言
06-11
x64进程远程hook,x64_远程调用函数,源码更新V1.8.2:2021/4/12 源码为下方连接帖子后续更新内容: 浅谈64位进程远程hook技术: https://bbs.125.la/forum.php?mod=viewthreadtid=14666356extra= 不管您是转载还是使用请保留版权,源码在精益论坛免费发布本人未获利,请不要用于非法途径。 --------------------------------------------------------------- 2021/4/12 模块源码 v1.8.2更新 1:修复 x64_远调用函数()在 易语言 主线程调用时造成消息无法回调,导致易语言主线程窗口卡死的问题。      感谢楼下易友发现的BUG,已经第一时间更新 2021/4/12 模块源码 v1.8.1更新 1:修复 hook全部卸载时的流程写法的一个错误,由于句柄的提前关闭导致多个hook点卸载不干净的问题 2:改写了消息回调时线程传参的代码优化,优化了其他一些小问题 3:  鉴于很多朋友需要,改写了模块自带实列,对TCP,UDP的两组封包函数做了hook实列写法 4:列子中同样增加对x64_远调用函数()的应用写了几个列子,如使用套接字取得本地或远端IP端口API调用的的应用实列 5:本hook模块不支持非模块内存区hook,如申请的动态分配页等,不是不能支持,只是觉得没有任何意义,对这方面有需求的,自行改写模块源码使用 提醒:hook回调函数中尽量减少耗时代码,时间越长返回越慢,回调中谨慎操作控件,如必须要用到可参考源码中实列写法采用线程操作 历史更新 --------------------------------------------------------------- 2021/3/1   模块源码v1.6更新: 1:修复  x64_远程调用函数()命令,在没有提供 寄存器 参数时,没有返回值的BUG。 --------------------------------------------------------------- 2021/2/28 模块源码v1.5更新: 一:修复win7 64位系统下枚举模块 出现部分模块长度出现负数的问题,从而导致部分win7用户不能使用 二:强化 远程hook64指令_安装 的稳定性:        1,穿插代码中增加对标志位的保护,避免hook位置长度下一条指令为跳转时产生跳转错乱的问题,强化了hook任意位置的定位        2,因为穿插代码中会调用API函数,而64位汇编必须遵守栈指针16字节对齐,故对穿插代码进行栈指针16字节对齐,增强稳定性        3,hook指令安装支持长度由6-127字节 变动 为 6-119字节,原因么没必要说了,代码优化造成的,稍微少了一点无所谓了        4,对模块回调进行了适当优化处理,增强稳定性 三:应支持的朋友需要故增加 x64_远程调用函数()命令,易语言可以直接远call64进程,且无需写汇编代码或机器码指令,支持15个参数,支持返回值,支持16个通用寄存器全部取得返回值       该功能调用即16字节栈对齐,不要用户管堆栈,代码内部构成,远线程执行,你只需要知道call有几个参数,需要什么寄存器,对应提供即可。 四:有朋友说原模块x64英文看了烦,那好吧就给改成了中文标识,弄得我自己也不习惯 五:源码内列子改了改,可以自己看,需要注意的是模块注释的很详细,使用前最好看一看,尤其是hook回调接口的写法和安装的写法最好按照模块列子中的写法来,除非你能把64hook模块组看懂一遍,对于一些对本模块一知半解的朋友请不要乱改乱发,这个模块我会继续增强的,只是工作原因时间有限,只能一点一点来
Hook函数任意地址 c++
10-22
该实例实现了Hook函数任意地址的功能,并可以获取CPU寄存器的内容。
HOOK监视文件变化
10-05
文件 监视 hook 监视文件的变化 希望有用 ~~~~
hook-std:钩并修改stdoutstderr
05-26
钩子标准 钩并修改stdout和stderr 安装 $ npm install hook-std 用法 const assert = require ( 'assert' ) ; const hookStd = require ( 'hook-std' ) ; ( async ( ) => { const promise = hookStd . stdout ( output => { promise . unhook ( ) ; assert . strictEqual ( output . trim ( ) , 'unicorn' ) ; } ) ; console . log ( 'unicorn' ) ; await promise ; } ) ( ) ; 您还可以使用第二个transform方法参数来摘机: ( async ( ) => { const
易语言api hook CreateProcessA 创建进程
511遇见
05-25 6096
CreateProcessA我们非常熟悉,就是创建一个进程,这个API的函数hook非常实用,本课我们可以通过CreateProcessA来运行系统的计算器,或者记事本等等。 CreateProcessA .版本 2 .DLL命令 CreateProcessA, 整数型, "kernel32.dll", "CreateProcessA", , 创建进程。 .参数 lpApplicationName, 文本型 .参数 lpCommandLine, 文本型 .参数 lpPr
Android Hook神器——XPosed入门(登陆劫持演示)
热门推荐
北漂周的专栏(微信:stchou_zst)
08-14 1万+
前段时间写了一篇有关于CydiaSubstrate的广告注入的文章(地址:http://blog.csdn.net/yzzst/article/details/47318751),大家都直呼过瘾。但是,真正了解这一方面的同学应该这道,其实还有一个比CydiaSubstrate更出名的工具:XPosed。不是因为Xposed比CydiaSubstrate做的多好,而是
C/C++:Windows编程—IAT Hook实例(程序启动拦截)
重庆李四
01-08 3190
C/C++:Windows编程—IAT Hook实例(程序启动拦截) 前言+思路 本文默认读者有IAT Hook的相关的基础知识了哈,记录笔者在IAT Hook实战中遇到到问题以及解决思路。 笔者想实现一个功能能够拦截到程序的启动。经过调研,大多程序如果是通过双击或者鼠标启动的 一般都是有 Windows资源管理器explorer.exe进程进行创建的。最近刚好学习了IAT Hook就用IAT H...
通过远程桌面操作程序出现hook cannot be created(SendKeys语句错误)的解决
weixin_30819163的博客
11-05 366
在网上G了很多资料,也没找到针对性的解决方法; 后来装了.net2.0的全角补丁,问题得到解决。 转载于:https://www.cnblogs.com/rexying/archive/2009/11/05/1596910.html...
API+HOOK技术思路讲解
jizhi84305445的博客
01-22 1144
远程注入参考文档:http://blog.csdn.net/ithzhang/article/details/7042613 apihook参考文档:http://blog.csdn.net/friendan/article/details/12222651 推荐书籍:《windows核心编程》   技术概述 API HOOK技术包括两个主要的技术。1、远程注入API技术, 2、APIH
揭秘Native+Hook技术:GOT/PLT、Trap与Inline Hook的原理与对比
Native+Hook技术是一种强大的编程手段,用于截获程序对特定API函数的调用,并通过改变其执行流程来实现特定功能,如监控、修复漏洞或进行劫持。本文主要探讨了三种常见的Native Hook技术:GOT/PLT Hook、Trap Hook和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值