|
|
Posted on 2009-02-15 10:15 王勇良 閱讀(486) 評論(0) 編輯 收藏 引用 所屬分類: 軟件安全
今天要完成一個項內(nèi)容,運行另一個應用程序abc.exe,實現(xiàn)它的父進程是explorer.exe。
最開始的思路是獲得explorer.exe的句柄,用ShellExecute啟動abc.exe。但是用explorer.exe的句柄創(chuàng)建的進程的父進程依然是調(diào)用和進程,而不是傳入句柄的進程。
看來直接的不行,只能用間接的了。把運行abc.exe的代碼段寫到explorer.exe的內(nèi)存里面去。然后讓explorer來運行這段代碼。
  static DWORD CALLBACK ThreadProc()...{
 ::ShellExecute(NULL,"open","abc.exe",NULL,NULL,SW_SHOW); return TRUE;
 }
但是現(xiàn)在就出現(xiàn)問題了,ShellExecute在shell32模塊里,還需要LoadLibrary和GetProcAddress。同時它也
用了兩個字符串常量,這些字串會出現(xiàn)在本進程的內(nèi)存中,在explorer中運行代碼就會出錯,系統(tǒng)把它關掉。所以改用了WinExec來代替
ShellExecute,同時要把需要的字串和函數(shù)指針都寫到explorer的內(nèi)存區(qū)里。
 typedef UINT (WINAPI * WINEXEC)(LPCSTR,UINT);
typedef struct tagTHREADDATA...{
TCHAR fileName[20];
WINEXEC pWinexec;
}THREADDATA, *LPTHREADDATA;
static DWORD CALLBACK ThreadProc(LPTHREADDATA pData)...{
pData->pWinexec(pData->fileName,SW_SHOW);
return TRUE;
}
獲得explorer進程PID的方法
DWORD getExplorerPID()...{
HWND startButtonHandle;
DWORD processID;
startButtonHandle = ::FindWindow (TEXT("Shell_TrayWnd"),NULL);
::GetWindowThreadProcessId( startButtonHandle, &processID );
return processID;
}
注入內(nèi)存的過程:
user32Handle = ::GetModuleHandle(TEXT("kernel32"));
//得到kernel32模塊句柄
processHandle = ::OpenProcess(PROCESS_CREATE_THREAD | PROCESS_QUERY_INFORMATION | PROCESS_VM_OPERATION | PROCESS_VM_WRITE | PROCESS_VM_READ,FALSE,getExplorerPID());
//用explorer的PID來打開進程,并得到創(chuàng)建線程和寫的權限。
dataAddr = ::VirtualAllocEx(processHandle,0,sizeof(THREADDATA),MEM_COMMIT,PAGE_EXECUTE_READWRITE);
//在explorer的內(nèi)存內(nèi)里申請一塊內(nèi)存來存所用的數(shù)據(jù)
THREADDATA data = ...{TEXT("a.exe"),(WINEXEC)GetProcAddress(user32Handle,"WinExec"),};
WriteProcessMemory(processHandle,dataAddr,&data,sizeof(THREADDATA),&byteWrited);
//把數(shù)據(jù)寫到申請的內(nèi)存中
codeAddr = ::VirtualAllocEx(processHandle,0,sizeOfThreadProc,MEM_COMMIT,PAGE_EXECUTE_READWRITE);
//申請代碼的內(nèi)存區(qū)
WriteProcessMemory(processHandle,codeAddr,&ThreadProc,sizeOfThreadProc,&byteWrited);
//把代碼寫進去,這時我們己經(jīng)把我們要用的代碼和數(shù)據(jù)都準備好了。
threadHandle = CreateRemoteThread(processHandle,NULL,0, LPTHREAD_START_ROUTINE)codeAddr,dataAddr,0,(LPDWORD)threadID);
//在explorer中創(chuàng)建一個線程,來執(zhí)行啟動abc.exe的代碼。所需的數(shù)據(jù)都己經(jīng)在explorer的內(nèi)存塊中,所以不會出問題。
WaitForSingleObject(threadHandle, INFINITE);
VirtualFreeEx(processHandle,dataAddr,0,MEM_RELEASE);
VirtualFreeEx(processHandle,codeAddr,0,MEM_RELEASE);
CloseHandle(threadHandle);
CloseHandle(processHandle);
//等待執(zhí)行完畢,釋放內(nèi)存,關閉句柄。
這就完成了代碼的注入與執(zhí)行。
|