CreateRemoteThread和WriteProcessMemory技术

最新推荐文章于 2024-04-04 20:58:35 发布
最新推荐文章于 2024-04-04 20:58:35 发布
阅读量8.1k 收藏 10
点赞数 1
分类专栏: Technology_PC 文章标签: 编译器 user api null access dll

CreateRemoteThread和WriteProcessMemory技术

示例程序:WinSpy

另一种注入代码到其他进程地址空间的方法是使用WriteProcessMemory API。这次你不用编写一个独立的DLL而是直接复制你的代码到远程进程(WriteProcessMemory)并用CreateRemoteThread执行之。

让我们看一下CreateRemoteThread的声明:

HANDLE CreateRemoteThread( 
   HANDLE hProcess,          //  handle to process to create thread in 
   LPSECURITY_ATTRIBUTES lpThreadAttributes,    //  pointer to security
                                               //  attributes 
   DWORD dwStackSize,        //  initial thread stack size, in bytes 
   LPTHREAD_START_ROUTINE lpStartAddress,       //  pointer to thread 
                                               //  function 
   LPVOID lpParameter,       //  argument for new thread 
   DWORD dwCreationFlags,    //  creation flags 
   LPDWORD lpThreadId        //  pointer to returned thread identifier 
);


和CreateThread相比,有一下不同:
●增加了hProcess参数。这是要在其中创建线程的进程的句柄。
●CreateRemoteThread的lpStartAddress参数必须指向远程进程的地址空间中的函数。这个函数必须存在于远程进程中,所以我们不能简单地传递一个本地ThreadFucn的地址,我们必须把代码复制到远程进程。
●同样,lpParameter参数指向的数据也必须存在于远程进程中,我们也必须复制它。


现在,我们总结一下使用该技术的步骤:
1.   得到远程进程的HANDLE(OpenProcess)。
2.   在远程进程中为要注入的数据分配内存(VirtualAllocEx)、
3.   把初始化后的INJDATA结构复制到分配的内存中(WriteProcessMemory)。
4.   在远程进程中为要注入的数据分配内存(VirtualAllocEx)。
5.   把ThreadFunc复制到分配的内存中(WriteProcessMemory)。
6.   用CreateRemoteThread启动远程的ThreadFunc。
7.   等待远程线程的结束(WaitForSingleObject)。
8.   从远程进程取回指执行结果(ReadProcessMemory 或 GetExitCodeThread)。
9.   释放第2、4步分配的内存(VirtualFreeEx)。
10.   关闭第6、1步打开打开的句柄。

另外,编写ThreadFunc时必须遵守以下规则:
1.   ThreadFunc不能调用除kernel32.dll和user32.dll之外动态库中的API函数。只有kernel32.dll和user32.dll(如果被加载)可以保证在本地和目的进程中的加载地址是一样的。(注意:user32并不一定被所有的Win32进程加载!)参考附录A。如果你需要调用其他库中的函数,在注入的代码中使用LoadLibrary和GetProcessAddress强制加载。如果由于某种原因,你需要的动态库已经被映射进了目的进程,你也可以使用GetMoudleHandle代替LoadLibrary。同样,如果你想在ThreadFunc中调用你自己的函数,那么就分别复制这些函数到远程进程并通过INJDATA把地址提供给ThreadFunc。

2.   不要使用static字符串。把所有的字符串提供INJDATA传递。为什么?编译器会把所有的静态字符串放在可执行文件的“.data”段,而仅仅在代码中保留它们的引用(即指针)。这样,远程进程中的ThreadFunc就会执行不存在的内存数据(至少没有在它自己的内存空间中)。

3.   去掉编译器的/GZ编译选项。这个选项是默认的(看附录B)。
4.   要么把ThreadFunc和AfterThreadFunc声明为static,要么关闭编译器的“增量连接(incremental linking)”(看附录C)。
5.   ThreadFunc中的局部变量总大小必须小于4k字节(看附录D)。注意,当degug编译时,这4k中大约有10个字节会被事先占用。
6.   如果有多于3tch分支的case语句,必须像下面这样分割开,或用if-else if代替.

     case constant1: statement1; goto END;
     case constant2: statement2; goto END;
     case constant3: statement2; goto END;
}

     case constant4: statement4; goto END;
     case constant5: statement5; goto END;
     case constant6: statement6; goto END;
}
END:

 

=====简单的CreateRemoteThread例程-初学者必看

 

//  _remotethreaddemo.cpp : Defines the entry point for the console application.
 //  Author:秋镇菜

#include  " stdafx.h "
#include  " windows.h "


//  ========== 定义一个代码结构,本例为一个对话框============
struct  MyData
{
  char  sz[ 64 ];  //  对话框显示内容
 DWORD dwMessageBox;  //  对话框的地址
};

 //  ========== 远程线程的函数 ==============================
DWORD __stdcall RMTFunc(MyData  * pData)
{
 typedef  int (__stdcall * MMessageBox)(HWND,LPCTSTR,LPCTSTR,UINT);
 MMessageBox MsgBox  =  (MMessageBox)pData -> dwMessageBox;
 MsgBox(NULL, pData -> sz, NULL, MB_OK);
  return   0 ;
}
 int  main( int  argc,  char *  argv[])
{
 //  ===== 获得需要创建REMOTETHREAD的进程句柄 ===============================
 HWND hWnd  =  FindWindow( " notepad " , NULL);  //  以NOTEPAD为例
 DWORD dwProcessId;
 ::GetWindowThreadProcessId(hWnd,  & dwProcessId);
 HANDLE hProcess  =  OpenProcess(
        PROCESS_ALL_ACCESS,
        FALSE,
        dwProcessId);

 //  ========= 代码结构 ================================================
 MyData data;
 ZeroMemory( & data,  sizeof  (MyData));
 strcat(data.sz,  " 对话框的内容. " );
 HINSTANCE hUser  =  LoadLibrary( " user32.dll " );
  if  ( !  hUser)
 {
  printf( " Can not load library. " );
   return   0 ;
 }
 data.dwMessageBox  =  (DWORD)GetProcAddress(hUser,  " MessageBoxA " );
 FreeLibrary(hUser);
  if  ( !  data.dwMessageBox)
   return   0 ;

 //  ======= 分配空间 ===================================================
  void   * pRemoteThread
   =  VirtualAllocEx(hProcess,  0 ,
       1024 * 4 , MEM_COMMIT | MEM_RESERVE,
      PAGE_EXECUTE_READWRITE);
  if  ( !  pRemoteThread)
   return   0 ;
  if  ( !  WriteProcessMemory(hProcess, pRemoteThread,  & RMTFunc,  1024 * 4 0 ))
   return   0 ;

 MyData  * pData
   =  (MyData * )VirtualAllocEx(hProcess,  0 ,
       sizeof  (MyData), MEM_COMMIT,
      PAGE_READWRITE);
  if  ( ! pData)
   return   0 ;

  if  ( !  WriteProcessMemory(hProcess, pData,  & data,  sizeof  (MyData),  0 ))
   return   0 ;

 //  =========== 创建远程线程 ===========================================
 HANDLE hThread
   =  CreateRemoteThread(hProcess,  0 ,
        0 , (LPTHREAD_START_ROUTINE)pRemoteThread,
       pData,  0 0 );
  if  ( !  hThread)
 {
  printf( " 远程线程创建失败 " );
   return   0 ;
 }
 CloseHandle(hThread);
 VirtualFreeEx(hProcess, pRemoteThread,  1024 * 3 , MEM_RELEASE);
 VirtualFreeEx(hProcess, pData,  sizeof  (MyData), MEM_RELEASE);
 CloseHandle(hProcess);
 printf( " Hello World! " );
  return   0 ;
}

zhuangyu1982@hotmail.com: 我用你的程序在windows xp下运行, 弹出messagebox之后, 只要点击确定宿主进程就会崩溃。 
而且不止是messagebox,调用其它的api函数也是一样,请问这是什么原因?有什么办法可以解决吗? 
 --------------------------------------------------------  

编译成RELEASE版本就不会出错了,主要是DEBUG版本加了一个__chkesp的函数导致调用了非法地址 
xuplus
关注
专栏目录
系统监测工具(WriteProcessMemory Monitor) v1.5.rar
07-09
WriteProcessMemory Monitor 是一款小巧的英文软件,它可以监测系统中写入其他进程的虚拟地址空间中的进程,保护系统不被木马病毒改写。
通过WriteProcessMemory改写进程的内存
weixin_34378922的博客
07-18 982
http://www.cnblogs.com/feiyucq/archive/2009/10/21/1587628.html 以PROCESS_ALL_ACCESS权限打开进程以后既能够使用ReadProcessMemory读取程序内存,也能够使用WriteProcessMemory改敲代码的内存,这也是一些内存补丁使用的招数,下面是程序的实现代码 #include <windo...
《Windows API巡礼》--CreateRemoteThreadWriteProcessMemory
ASCE1885
07-01 2782
<br />CreateRemoteThread函数用于为指定进程创建线程,该线程将会在其他进程的地址空间中执行,访问其他进程的资源:<br />HANDLE WINAPI CreateRemoteThread(<br />  __in   HANDLE hProcess, //需要为其创建线程的目标进程句柄,该目标进程需要具有如下权限:<br />                              //PROCESS_CREATE_THREADPROCESS_QUERY_INFORMATION、
CreateRemoteThreadWriteProcessMemory技术 简要的
天蓝的专栏
08-31 1938
CreateRemoteThreadWriteProcessMemory第三种方法的基本思想是拷贝一些代码到另一进程的地址空间中然后执行。这种方法代替了编写独立的DLL,而是直接将代码使用WriteProcessMemory API函数拷贝到远程进程中。然后通过CreateRemoteThread来执行它。本文前面已经介绍过CreateRemoteThread的函数原型,注意以下几点:
WriteProcessMemory做进程注入
manbug的专栏
08-26 4930
WriteProcessMemory做进程注入 今天要完成一个项内容,运行另一个应用程序abc.exe,实现它的父进程是explorer.exe。最开始的思路是获得explorer.exe的句柄,用ShellExecute启动abc.exe。但是用explorer.exe的句柄创建的进程的父进程依然是调用和进程,而不是传入句柄的进程。看来直接的不行,只能用间接的了。把运行ab
ProcessMemoryUtilities.Net:使用InlineIL使用通用类型参数实现高性能的ReadProcessMemoryWriteProcessMemory
05-08
不同的类允许您将通用类型参数与ReadProcessMemoryWriteProcessMemory一起使用,并调用更简单的函数(如OpenProcessCreateRemoteThread等),而不会产生任何开销。 虽然大多数方法都是使用等效的NtDll而不是...
三种向其他进程注入代码的技术详解
3. CreateRemoteThreadWriteProcessMemory 技术: 此方法更直接,它允许将代码直接写入目标进程的内存空间,然后使用CreateRemoteThread来执行这段代码。这种方法无需创建DLL,但需要精确地管理内存分配和代码...
ff.rar_The Process_WriteProcessMemory_dll memory
09-19
在这个上下文中,这些文件可能包含了实现WriteProcessMemoryDLL注入的代码逻辑。 总的来说,这个主题涵盖了Windows API中的核心内存操作技术,以及利用DLL进行进程间操作的方法。理解这些概念对于进行系统级编程...
DllInjection_CreateRemoteThread
04-30
本文将深入探讨DllInjection以及如何使用C++实现CreateRemoteThread技术。 首先,DllInjection的主要目的是在目标进程中执行自定义代码,这在多种场景下都有应用,比如调试、性能监控、自动化测试或恶意软件中。...
代码注入的三种方法
12-02
本文将介绍三种方法: 1、Windows 钩子 2、CreateRemoteThread 和 LoadLibrary 技术 ——进程间通信 3、CreateRemoteThreadWriteProcessMemory 技术 ——如何用该技术子类化远程控件 ——何时使用技术
WriteProcessMemory
backbin的专栏
04-24 734
<br />HWND gameh=::FindWindow(NULL,gameCaption);<br /> //获取窗口进程ID<br />DWORD processid;<br />::GetWindowThreadProcessId(gameh,&processid);<br /> //打开指定进程<br />HANDLE processH=::OpenProcess(PROCESS_ALL_ACCESS,false,processid);<br /> //读指定进程 内存数据<br />DWORD
WriteProcessMemory 函数 (memoryapi.h)
最新发布
程序猿的白兰日常
04-04 521
将数据从当前进程中的指定缓冲区复制到指定进程的地址范围。任何具有 PROCESS_VM_WRITE 句柄且PROCESS_VM_OPERATION访问要写入的进程的进程都可以调用 函数。如果请求的写入操作交叉到无法访问的进程区域,函数将失败。在进行数据传输之前,系统会验证指定大小的基址和内存中的所有数据是否可供写入访问,如果无法访问,则函数将失败。要修改的进程内存的句柄。指向缓冲区的指针,该缓冲区包含要写入指定进程的地址空间中的数据。要写入到的整个区域必须可访问,如果无法访问,则函数将失败。
WriteProcessMemory函数说明
weixin_30875157的博客
06-07 1575
WriteProcessMemory 目录 概览C++VB 编辑本段概览 WriteProcessMemory   此函数能写入某一进程的内存区域。入口区必须可以访问,否则操作将失败。 编辑本段C++   此函数能写入某一进程的内存区域(直接写入会出Access Violation错误,故需此函数)。   VC++声明   BOO...
WinAPI: WriteProcessMemory 写入数据到指定进程内存
weixin_30275415的博客
10-08 1075
BOOL WriteProcessMemory( HANDLE hProcess, // 进程的句柄(可由OpenProcess函数返回) LPVOID lpBaseAddress, // 进程地址 LPVOID lpBuffer, //数据当前存放地址 DWORD nSize, ...
WriteProcessMemory的用法
sanshao27的专栏
04-17 4660
WriteProcessMemory有好几个参数 其中的nSize怎么设置?? 比如Short型 Integer型?  nSize以字节为单位,一个字节Byte等于8位 基本数据类型的长度 ShortInt 8位 = 1Byte SmallInt 16位 = 2Byte Integer 16位 = 2Byte LongInt 32位 = 4Byte Word 16位 = 2Byte Lon
Windows C++远程线程(CreateRemoteThread)注入DLL方法、代码示例。
Bobowen的博客
07-12 1791
这是盗版软件或者游戏外挂什么的经常使用的方式,在其他进程里搞一些自己的东西。使用远程线程CreateRemoteThread的方法可以在其他进程中注入自己想注入的DLL,千万不要用这个方法搞破坏哦。5. 在kernal32中获得LoadLibraryW的地址,此地址也是被注入进程的LoadLibraryW地址。被注入DLL的进程代码,这个可以随意写,只要程序能一直run就可以。我们搞一个可以弹窗的DLL代码,让进程只要LOAD DLL就会弹窗。1. 获得要注入进程的进程ID,可以使用进程名获得。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值