標 題:
【原創】一種注入進程,獲得完全操控的方法之一
作 者:
menting
時 間: 2007-12-05,17:26
鏈 接: http://bbs.pediy.com/showthread.php?t=56036
好長時間沒貼東西了,今天就來貼點東西,廢話就不說了直接進入主題,喜歡的就支持,不喜歡的就看樂和!!
??今天說點什么呢~我們今天就說HOOK,實際提到這個大家都知道它的功用,如果要是抓取消息那肯定是用下面的函數:
//----------------------------------------------------------------------
::SetWindowsHookA(int?nFilterType,HOOKPROC?pfnFilterProc);
::CallNextHookEx(HHOOK?hhk,int?Code,WPARAM?wParam,LPARAM?lParam);
::UnhookWindowsHook(int?nCode,HOOKPROC?pfnFilterProc);
//它們的參數我就不說了,實在是太多了!!
//---------------------------------------------------------------------------
??今天我就給大家說一種別的方法來抓取WINDOWS消息的方法,這種方法雖然有點局限性,但是我感覺很不錯的哦!用我
的方法,可以抓取一個進程中的所有窗口的消息。不信就跟我一體來試試,如果看不太明白,那只好去學學相關知識了。我們
選擇的方法就是HOOK?API的方法。很多朋友都說網絡上流傳的HOOK?API的很多,但是我碰到的都是HOOK那個MessageBoxA函數,
沒什么意思,今天我就給大家一個全能的方法,我們不用了解太多PE結構,非要在IAT表中修改,我們先來看看我們要處理的
API為:
/*------------------------------------------------------------------------------------
?函數原型:LRESULT?CallWindowProc(WNDPROC?lpPrevWndFunc,HWND?hWnd.UINT?Msg,WPARAM?wParam,LPARAM?IParam);
????參數:
????lpPrevWndFunc:指向前一個窗口過程的指針。如果該值是通過調用GetWindowLong函數,并將該函數中的nlndex參數設為
GWL_WNDPROC或DWL_DLGPROC而得到的,那么它實際上要么是窗口或者對話框的地址,要么就是代表該地址的句柄。
????hWnd:指向接收消息的窗口過程的句柄。
????Msg:指定消息類型。
????wParam:指定其余的、消息特定的信息。該參數的內容與Msg參數值有關。
????IParam:指定其余的、消息特定的信息。該參數的內容與Msg參數值有關。
????返回值:返回值指定了消息處理結果,它與發送的消息有關
-----------------------------------------------------------------------------------*/
我想一般對這個函數,比較陌生點,用的人就不多了,就像我有時用ntdll.dll中LdrGetDllHandle這類函數一樣。因為它的功
能很多時候都不用知道的:)。
??我們為了能抓到消息,而且不用HOOK這類API函數,我們要在這個函數上做手腳,或許可以對DefWindowProc()這個函
數也做手腳,但是我想我要一個就可以了呵呵!因為我這里舉例是用自定義消息為例子的,為什么要用自定義消息呢!我還想
說明一點問題就是遠程注入進程。
??實際對于一個進程來講,只要給它放個DLL那么它就不得不聽你的了,我們可以給這個DLL發送一些命令,讓它按照命
令來操作我們的目標進程。有的時候我就特別的喜歡‘該死’,他做的系統就給我們一個空間,也就是0x400-0x7FF是為用戶自
定義的消息,我們就可以用如下的方法來設置命令:
#define?WM_CMD_EXIT??WM_USER+100???//退出進程
#define?WM_CMD_GETHWND??WM_USER+101???//獲取HWND句柄
#define?WM_CMD_GETCAPTION?WM_USER+102?//獲取窗口名稱
……等等,我們還可以調用進程的內部函數,讓進程做我們想讓它做的。實際就舉個例子來將,發給命令過去,讓QQ不斷顯示
廣告,或定時顯示廣告,我們幾乎就完全操作了進程了。如果沒道德,想抓取別人的隱私,那也是順手而已。可是我在發這篇
貼的時候,還是想過是否要發,因為我覺得我手里的東西就是把雙刃劍,能殺這邊,也能殺那邊。希望學會的朋友都不要把它
用于搞破壞上。
注入進程的方法太多了,我就不說了,我把它寫了一個類,大家就可以拿去直接用了。
//注意的是,路徑是絕對路徑,才能給其它進程注入。
//----------------------------------------------------------------------------
//?RemoteShell.h:?interface?for?the?CRemoteShell?class.
//
//////////////////////////////////////////////////////////////////////
#if?!defined(AFX_REMOTESHELL_H__6242FFA8_B8E3_4F9A_BE7D_197F76A78D03__INCLUDED_)
#define?AFX_REMOTESHELL_H__6242FFA8_B8E3_4F9A_BE7D_197F76A78D03__INCLUDED_
#if?_MSC_VER?>?1000
#pragma?once
#endif?//?_MSC_VER?>?1000
#include?"tlhelp32.h"
#pragma?comment(lib,"th32.lib")
class?CRemoteShell??
{
public:
??CRemoteShell();
??virtual?~CRemoteShell();
public:
public:
??CString??????????m_dllPath;
??DWORD????????????pId;
??DWORD????????????dwSize;
??LPVOID???????????pDll;
??HANDLE???????hDll;
??HANDLE???????????hToken;
??HANDLE???????????hProcess;
????LUID?????????????Luid;
??TOKEN_PRIVILEGES?tp;
public:
??int????Release(DWORD?procId=NULL);
??int????Load(LPCTSTR?dllpath,DWORD?pId=NULL);?//進程注入
??int????Load(LPCTSTR?dllpath,HWND?hWnd);??????//窗口注入
??HANDLE?GetDllHandle(LPCTSTR?path,DWORD?pid);
};
#endif?//?!defined(AFX_REMOTESHELL_H__6242FFA8_B8E3_4F9A_BE7D_197F76A78D03__INCLUDED_)
//-------------------------------------------------------------------------------------------
//?RemoteShell.cpp:?implementation?of?the?CRemoteShell?class.
//
//////////////////////////////////////////////////////////////////////
#include?"stdafx.h"
#include?"注入程序.h"
#include?"RemoteShell.h"
#ifdef?_DEBUG
#undef?THIS_FILE
static?char?THIS_FILE[]=__FILE__;
#define?new?DEBUG_NEW
#endif
//////////////////////////////////////////////////////////////////////
//?Construction/Destruction
//////////////////////////////////////////////////////////////////////
CRemoteShell::CRemoteShell()
{
??hToken??=NULL;
??hProcess=NULL;
??memset(&tp,0,sizeof(TOKEN_PRIVILEGES));
??//取得句柄的令牌:
????if?(!OpenProcessToken(GetCurrentProcess(),?//是要修改訪問權限的進程句柄
????TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY,???//指定你所需要的操作類型
????&hToken))??????????????????????????????//是返回的訪問令牌指針
????{
??????????return?;
????}
????
??//獲取權限的LUID值:
??if?(!LookupPrivilegeValue(NULL,???????????//系統的名稱,如果是本地系統只要指明為NULL就可以了
????SE_DEBUG_NAME,????????????????????????//指明了權限的名稱
????&Luid))???????????????????????????????//返回LUID的指針
????{
??????????return?;
????}
????tp.PrivilegeCount?=?1;
????tp.Privileges[0].Attributes?=?SE_PRIVILEGE_ENABLED;
????tp.Privileges[0].Luid?=?Luid;
????
??//訪問令牌進行修改:
??if?(!AdjustTokenPrivileges(hToken,????????//訪問令牌的句柄
????0,????????????????????????????????????//決定是進行權限修改還是除能(Disable)所有權限
????&tp,??????????????????????????????????//指明要修改的權限,指向TOKEN_PRIVILEGES結構的指針,該結構
包含一個數組,數據組的每個項指明了權限的類型和要進行的操作
????sizeof(TOKEN_PRIVILEGES),?????????????//是結構PreviousState的長度,如果PreviousState為空,該參
數應為NULL
????NULL,?????????????????????????????????//參數也是一個指向TOKEN_PRIVILEGES結構的指針,存放修改前
的訪問權限的信息,可空
????NULL))????????????????????????????????//實際PreviousState結構返回的大小
????{
??????????return?;
????}
}
CRemoteShell::~CRemoteShell()
{
??if(hToken!=NULL){::CloseHandle(hToken);}
??if(hProcess!=NULL){::CloseHandle(hProcess);}
}
//注入給指定進程:
int?CRemoteShell::Load(LPCTSTR?dllpath,DWORD?pId)
{
??hProcess???=NULL;
??pDll???????=NULL;
??m_dllPath??=dllpath;
??//如果指定進程ID為NULL,就注入給自己.
??if(pId==NULL){pId=::GetCurrentProcessId();}
??//打開進程:
??hProcess=::OpenProcess(PROCESS_CREATE_THREAD|PROCESS_VM_WRITE|PROCESS_VM_OPERATION,1,pId);
??if(hProcess==NULL){return?-20;}
??
??//分配內存:
????pDll=::VirtualAllocEx(hProcess,NULL,strlen(dllpath),MEM_COMMIT,PAGE_READWRITE);
??if(pDll==NULL){return?-21;}
??//注入DLL:
????BOOL?bRe=::WriteProcessMemory(hProcess,pDll,(void*)dllpath,strlen(dllpath),NULL);
??if(bRe==FALSE){return?-22;}
??//獲取LoadLibraryA函數地址:
????FARPROC?pLoadDll=GetProcAddress(GetModuleHandle("kernel32.dll"),"LoadLibraryA");
??if(pLoadDll==NULL){return?-23;}
??//創建線程:
????HANDLE?hRemote=CreateRemoteThread(hProcess,NULL,0,(LPTHREAD_START_ROUTINE)pLoadDll,pDll,NULL,0);?
??//等待線程結束:
??::WaitForSingleObject(hRemote,INFINITE);
??if(hRemote!=NULL){::CloseHandle(hRemote);}
??if(hProcess!=NULL){::CloseHandle(hProcess);}
??return?0;
}
//注入給指定程序句柄的進程:
int?CRemoteShell::Load(LPCTSTR?dllpath,HWND?hWnd)
{
??hProcess???=NULL;
??pDll???????=NULL;
??pId????????=NULL;
??m_dllPath??=dllpath;
??if(hWnd!=NULL){::GetWindowThreadProcessId(hWnd,&pId);}
??//如果指定進程ID為NULL,就注入給自己.
??if(pId==NULL){pId=::GetCurrentProcessId();}
??//打開進程:
??hProcess=::OpenProcess(PROCESS_CREATE_THREAD|PROCESS_VM_WRITE|PROCESS_VM_OPERATION,1,pId);
??if(hProcess==NULL){return?-20;}
??
??//分配內存:
????pDll=::VirtualAllocEx(hProcess,NULL,strlen(dllpath),MEM_COMMIT,PAGE_READWRITE);
??if(pDll==NULL){return?-21;}
??//注入DLL:
????BOOL?bRe=::WriteProcessMemory(hProcess,pDll,(void*)dllpath,strlen(dllpath),NULL);
??if(bRe==FALSE){return?-22;}
??//獲取LoadLibraryA函數地址:
????FARPROC?pLoadDll=::GetProcAddress(::GetModuleHandle("kernel32.dll"),"LoadLibraryA");
??if(pLoadDll==NULL){return?-23;}
??//創建線程:
??HANDLE?hRemote=CreateRemoteThread(hProcess,NULL,0,(LPTHREAD_START_ROUTINE)pLoadDll,pDll,NULL,0);?
??//等待線程結束:
??::WaitForSingleObject(hRemote,INFINITE);
??hDll=GetDllHandle(dllpath,pId);
??if(hRemote!=NULL){::CloseHandle(hRemote);}
??if(hProcess!=NULL){::CloseHandle(hProcess);}
??return?0;
}
int?CRemoteShell::Release(DWORD?procId)
{
??DWORD?id=NULL;
??
??if(hDll==NULL){return?-1;}
??if(pId!=NULL){id=pId;}
??if(procId!=NULL){id=procId;}
??if(id!=NULL){
??//打開進程:
??hProcess=::OpenProcess(PROCESS_CREATE_THREAD|PROCESS_VM_WRITE|PROCESS_VM_OPERATION,1,pId);
??if(hProcess==NULL){return?-20;}
??//FARPROC?pGetDllHandle=GetProcAddress(GetModuleHandle("ntdll.dll"),"LdrGetDllHandle");
??//獲取FreeLibraryA函數地址:
????FARPROC?pFreeDll=GetProcAddress(GetModuleHandle("kernel32.dll"),"FreeLibrary");
??if(pFreeDll==NULL){return?-23;}
??//創建線程:
????HANDLE?hRemote=::CreateRemoteThread(hProcess,NULL,0,
???????????????????(LPTHREAD_START_ROUTINE)
pFreeDll,hDll,NULL,0);?
??//等待線程結束:
??::WaitForSingleObject(hRemote,INFINITE);
??::VirtualFreeEx(hProcess,pDll,0,MEM_RELEASE);
??if(hRemote!=NULL){::CloseHandle(hRemote);}
??if(hProcess!=NULL){::CloseHandle(hProcess);}
??}else{AfxMessageBox("進程號為空!無法釋放!");}
??
??return?0;
}
HANDLE?CRemoteShell::GetDllHandle(LPCTSTR?path,DWORD?pid)
{
??if(pid==NULL){pid=::GetCurrentProcessId();}
??
??//打開進程:
??int?num=0;
??BOOL???bRe=FALSE;
??HANDLE?hModule=NULL;
????????????MODULEENTRY32*?minfo=NULL;
????????????minfo=new?MODULEENTRY32;
??if(NULL!=pid)
????{
????hModule=CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,pid);
????bRe=Module32First(hModule,?minfo);
????for(;bRe!=0;num++)
????{
??????if(lstrcmp(minfo->szExePath,path)==0||lstrcmp(minfo->szModule,path)==0)
??????{return?minfo->modBaseAddr;}
??????bRe=::Module32Next(hModule,minfo);
????}
????}
????????????if(minfo!=NULL){delete?minfo;}
??::CloseHandle(hModule);
??return?NULL;
}
//----------------------------------------------------------------------------------------------
我們用上面的類就可以輕松的把一個DLL注入到別的進程,并且還可以輕松的釋放。做到不知不覺。
話歸前題,我們要怎么樣才能對CallWindowProc這個API做手腳了。我們可以看到這個函數的入口地方很簡單:
//-------------------------------------------------------------
77D1E8EA?>??8BFF????????????mov?????edi,?edi
77D1E8EC????55??????????????push????ebp
77D1E8ED????8BEC????????????mov?????ebp,?esp
77D1E8EF????6A?01???????????push????1????????;只是和前面不一樣多了個參數1
77D1E8F1????FF75?18?????????push????dword?ptr?[ebp+18]
77D1E8F4????FF75?14?????????push????dword?ptr?[ebp+14]
77D1E8F7????FF75?10?????????push????dword?ptr?[ebp+10]
77D1E8FA????FF75?0C?????????push????dword?ptr?[ebp+C]
77D1E8FD????FF75?08?????????push????dword?ptr?[ebp+8]
77D1E900????E8?E9DCFFFF?????call????77D1C5EE
77D1E905????5D??????????????pop?????ebp
77D1E906????C2?1400?????????retn????14
//-----------------------------------------------------------------------
我們定義了一個函數類型:
typedef??LRESULT?(*CALLPROC)(WNDPROC,HWND,UINT,WPARAM,LPARAM,int);
這樣我們就可以輕松的調用這個函數了。
我們只需要把:
77D1E900????E8?E9DCFFFF?????call????77D1C5EE
改為我們自己的就可以了。
分析好以后,我們就在我們準備好的DLL中加入我們代替它的回調函數:
//----------------------------------------------------------------------------------------------------
LRESULT?CALLBACK?pnCallWindowProc(IN?WNDPROC?lpPrevWndFunc,
??????????IN?HWND?hWnd,IN?UINT?Msg,
??????????IN?WPARAM?wParam,IN?LPARAM?lParam,IN?int?unk)
{
??switch(Msg)
??{
??case?WM_CMD_EXIT:
????{???????//這里是我們自己定義給進程的命令,也就是自定義消息:
??????AfxMessageBox("獲取到命令");return?TRUE;
????}
??default:{break;}
??}
??//返回到原來的地址:
??return?lpSrcCallProc(lpPrevWndFunc,hWnd,Msg,wParam,lParam,unk);
}
//-------------------------------------------------------------------------------------------------------
我們在DLL加載時,把上面那個地方改掉就可以了。
//----------------------------------------------------------------------------------------------
void?CMyRemoteDllApp::SetHookApiCallBack()
{
??//獲取回調函數地址:
??hModule=::GetModuleHandle("User32.dll");
??FARPROC??fpCallWindowProc=::GetProcAddress(hModule,"CallWindowProcA");
??//這里需要做說明了,最好大家不要用虛擬絕對地址,建議用虛擬相對地址,這樣即使user32.dll的版本不一樣
??//也不會影響到我們的DLL,我這里都是通過計算得到的。
??//聲明結構對象,為了方便修改,我寫了個結構來處理:
??_ASM_CALL?_call;
??_call._01cmd?=0xE8;
??DWORD?dword=(DWORD)&pnCallWindowProc-((DWORD)fpCallWindowProc+0x16)-5;
??memcpy((PDWORD)_call._02dat,&dword,4);
??//獲取當前內存塊的保護類型,由于是系統DLL只給R的權限,我們必須把R改成RW才能把我們的函數替換進去:
??MEMORY_BASIC_INFORMATION?_base;
??::VirtualQuery((LPVOID)((DWORD)hModule+0x1000),&_base,sizeof(MEMORY_BASIC_INFORMATION));
??
??//保存原始入口地址,我們處理的是自定義消息,我們不需要處理全部,所以其他的都轉給原來的地址:
??//做到這里就想起病毒~~~,所以再三請大家不要用于它途
??lpSrcCallProc=(CALLPROC)(*(PDWORD)((DWORD)fpCallWindowProc+0x17));
??lpSrcCallProc=(CALLPROC)((DWORD)fpCallWindowProc+0x16+(DWORD)lpSrcCallProc+5);
??
??//處理為讀寫類型:
??::VirtualProtect(_base.BaseAddress,_base.RegionSize,PAGE_READWRITE,&_base.Protect);
??memcpy((LPVOID)((DWORD)fpCallWindowProc+0x16),&_call,5);
??//處理完成后,恢復保護類型:
??DWORD?dwProctect=NULL;
??::VirtualProtect(_base.BaseAddress,_base.RegionSize,_base.Protect,&dwProctect);
}
//-------------------------------------------------------------------------------------------------------
只加載不算完啊,我們要在DLL退出前把它再改回來的,要不程序會不正常的。
//-----------------------------------------------------------------------------------------
int?CMyRemoteDllApp::ExitInstance()?
{
??//?TODO:?Add?your?specialized?code?here?and/or?call?the?base?class
??
??//獲取回調函數地址:
??hModule=::GetModuleHandle("User32.dll");
??FARPROC??fpCallWindowProc=::GetProcAddress(hModule,"CallWindowProcA");
??//獲取當前內存塊的保護類型:
??MEMORY_BASIC_INFORMATION?_base;
??::VirtualQuery((LPVOID)((DWORD)hModule+0x1000),&_base,sizeof(MEMORY_BASIC_INFORMATION));
????
??DWORD?dword=(DWORD)lpSrcCallProc-((DWORD)fpCallWindowProc+0x16)-5;
??//聲明結構對象:
??_ASM_CALL?_call;
??_call._01cmd?=0xE8;
??memcpy((PDWORD)_call._02dat,&dword,4);
??//處理為讀寫類型:
??::VirtualProtect(_base.BaseAddress,_base.RegionSize,PAGE_READWRITE,&_base.Protect);
??memcpy((LPVOID)((DWORD)fpCallWindowProc+0x16),&_call,5);
??//處理完成后,恢復保護類型:
??DWORD?dwProctect=NULL;
??::VirtualProtect(_base.BaseAddress,_base.RegionSize,_base.Protect,&dwProctect);
??return?CWinApp::ExitInstance();
}
//-----------------------------------------------------------------------------------------
??在回調函數前必須加?CALLBACK,請大家要注意了,因為加與不加在匯編語言里是完全不一樣的:
//加了的:
//---------------------------------------------------------------------------------------------
1000129C????55??????????????push????ebp
1000129D????8BEC????????????mov?????ebp,?esp
1000129F????51??????????????push????ecx
100012A0????8B45?10?????????mov?????eax,?dword?ptr?[ebp+10]
100012A3????8945?FC?????????mov?????dword?ptr?[ebp-4],?eax
100012A6????817D?FC?6404000>cmp?????dword?ptr?[ebp-4],?464
100012AD????74?02???????????je??????short?100012B1
100012AF????EB?15???????????jmp?????short?100012C6
100012B1????6A?00???????????push????0
100012B3????6A?00???????????push????0
100012B5????68?64300010?????push????10003064
100012BA????E8?A7010000?????call????10001466?????????????????????????;?jmp?到?MFC42.#1200
100012BF????B8?01000000?????mov?????eax,?1
100012C4????EB?21???????????jmp?????short?100012E7
100012C6????8B4D?1C?????????mov?????ecx,?dword?ptr?[ebp+1C]
100012C9????51??????????????push????ecx
100012CA????8B55?18?????????mov?????edx,?dword?ptr?[ebp+18]
100012CD????52??????????????push????edx
100012CE????8B45?14?????????mov?????eax,?dword?ptr?[ebp+14]
100012D1????50??????????????push????eax
100012D2????8B4D?10?????????mov?????ecx,?dword?ptr?[ebp+10]
100012D5????51??????????????push????ecx
100012D6????8B55?0C?????????mov?????edx,?dword?ptr?[ebp+C]
100012D9????52??????????????push????edx
100012DA????8B45?08?????????mov?????eax,?dword?ptr?[ebp+8]
100012DD????50??????????????push????eax
100012DE????FF15?D4310010???call????dword?ptr?[100031D4]?????????????;?USER32.77D1C5EE
100012E4????83C4?18?????????add?????esp,?18
100012E7????8BE5????????????mov?????esp,?ebp
100012E9????5D??????????????pop?????ebp
100012EA????C2?1800?????????retn????18
//---------------------------------------------------------------------------------------------
沒加的,類似如下,沒加會在堆棧溢出,必須手動修改ESP,才能正常:
//-------------------------------------------------------------------------------------------------
100017A1????55??????????????push????ebp
100017A2????8BEC????????????mov?????ebp,?esp
100017A4????53??????????????push????ebx
……
10001831????8945?0C?????????mov?????dword?ptr?[ebp+C],?eax
10001834????8B45?0C?????????mov?????eax,?dword?ptr?[ebp+C]
10001837????5F??????????????pop?????edi
10001838????5E??????????????pop?????esi
10001839????5B??????????????pop?????ebx
1000183A????5D??????????????pop?????ebp
1000183B????C2?0C00?????????retn????0C
//--------------------------------------------------------------------------------------------------
再需要說明一下:
Call?地址不是實際地址是要算的哦
目的地址-當前地址-5
就是CALL?的值,這個是個簡單點的公式!!!大家用的著哦!
如果,大家要是在,DLL中加入了竊取信息的代碼,那么它就是個木馬了,只要發個消息它就工作,或者設定在收到某個消息后才工作,我想要比那些網上的木馬高明點,但是我還希望大家不要這么做,因為,這樣做的后果是可憐的哦:)。還有就是不要拿系統進程做實驗,容易死機
eek:?
?
?
?
?
好了,到現在我們所做的就完工了,還算是基本完美吧!大家發給消息給被注入進程,可以看到有如下圖的提示:
以后,再給大家說,怎么調用進程內部函數,這一篇就算結束了886~~~
看到大家對我的代碼提出了很好的意見,我很感謝!我粗略的看了看,改的地方比較多,我不做了,大家自己做的時候要注意了,用完HANDLE別忘記CloseHandle,這個習慣我正在改..大家有這個習慣的也注意了哦~~~程序的穩定,很重要的點滴..最近比較煩:(...