S.l.e!ep.￠%

像打了激速一樣，以四倍的速度運轉，開心的工作
簡單、開放、平等的公司文化；尊重個性、自由與個人價值；

posts - 1098, comments - 335, trackbacks - 0, articles - 1

C++博客 :: 首頁 :: 新隨筆 :: 聯系 :: 聚合

:: 管理

CreateRemoteThread-實現進程代碼注入

Posted on 2010-02-05 21:33 S.l.e!ep.￠% 閱讀(2478) 評論(0) 編輯收藏引用所屬分類: RootKit

CreateRemoteThread-實現進程代碼注入

2008年12月27日星期六 00:19

起因:哇卡卡同學昨天叫我幫他看一個進程代碼注入的程序問題,運行到CreateRemoteThread就出錯,由于之前沒做過這種事情看了一下他寫的代碼大體上就明白怎么做了,于是自己重新又做了一個,遇到多少艱辛就不說了,不過讓我有種寫shellcode的感覺:-D,自己run一次才是自己的東西嘛.

方法很多種,下面只是介紹其中的一種而已.

大體思路:首先明確目標在NOTEPAD.EXE中彈出MessageBox.現在系統中找出NOTEPAD.EXE進程,兩次用VirtualAllocEx在NOTEPAD.EXE進程聲明一塊可讀寫運行的內存塊,用WriteProcessMemory寫入我們代碼注入的線程函數和傳給線程函數的參數,最后運用CreateRemoteThread,變可讓我們之前寫入的線程函數運行.

技巧一:我們這里使用形如下面的形式來計算需要寫入函數的大小:

#pragma check_stack (off)

static DWORD WINAPI ThreadProc (LPVOID lpParameter){}

static void AfterThreadProc (void) { }

#pragma check_stack

DWORD cbCodeSize = (BYTE*)AfterThreadProc - (BYTE*)ThreadProc;

技巧二:我們這里聲明一個HYPINJECT結構,里面存放一些函數的地址,然后傳遞給線程函數,不然直接在線程函數里面寫Win 32 API函數,可能導致崩潰.結構如下:

typedef struct tagHYPINJECT {

?????? ProcLoadLibrary??? fnLoad;

?????? ProcGetProcAddress fnGetProc;

?????? char MsgStr [MAX_PATH];

?????? char DLLName [MAX_PATH];

?????? char ProcName [MAX_PATH];

} HYPINJECT;

關于編寫線程函數的注意事項: (自己總結加網上資料)

線程函數里面最好不要調用除Kernel32和User32以外的所有函數,貌似User32里面的部分函數在調用的時候也會出現崩潰的局面,如果要調用其他庫的函數可以把LoadLibrary和GetProcAddress的地址當作線程函數的參數傳過去(下面的代碼就是這么實現的),不過如果已知某動態鏈接庫已經加載了,最好還是使用GetModuleHandle取代LoadLibrary.當然如果你想調用自己寫的函數的話也要把函數代碼復制到目標進程里面去,然后把地址通過線程函數的參數傳過去.

而且不要使用任何的靜態字符串,線程函數最好寫成靜態(貌似也可以直接禁止增量鏈接 ), 函數和變量之類大小也不要太大不然可能在VirtualAllocEx的時候就不能成功

……

全部代碼如下:

#include <windows.h>

#include <Tlhelp32.h.>

typedef HINSTANCE (WINAPI *ProcLoadLibrary)(char*);

typedef FARPROC (WINAPI *ProcGetProcAddress)(HMODULE, LPCSTR);

typedef int (WINAPI *ProcMessageBox)(HWND,LPCTSTR,LPCTSTR,UINT);

typedef struct tagHYPINJECT {

?????? ProcLoadLibrary??? fnLoad;

?????? ProcGetProcAddress fnGetProc;

?????? char MsgStr [MAX_PATH];

?????? char DLLName [MAX_PATH];

?????? char ProcName [MAX_PATH];

} HYPINJECT;

#pragma check_stack (off)

static DWORD WINAPI ThreadProc (LPVOID lpParameter)

{

?????? HYPINJECT* p = (HYPINJECT*)lpParameter;

?????? HMODULE hDLL = p->fnLoad (p->DLLName);

??? ProcGetProcAddress GetProc = p->fnGetProc;

?????? ProcMessageBox MsgBox = (ProcMessageBox)GetProc(hDLL,p->ProcName);

??? MsgBox(NULL,p->MsgStr,p->MsgStr,MB_OK);

?????? return 0;

}

static void AfterThreadProc (void) { }

#pragma check_stack

HYPINJECT hypInject;

BOOL InjectFunc(DWORD PID)

{

?????? HMODULE hk = LoadLibrary ("kernel32.dll");

?????? hypInject.fnLoad = (ProcLoadLibrary)GetProcAddress (hk, "LoadLibraryA");

?????? hypInject.fnGetProc = (ProcGetProcAddress)GetProcAddress (hk, "GetProcAddress");

?????? strcpy(hypInject.MsgStr," hyp's Knowledge Base");

?????? strcpy (hypInject.DLLName, "user32.dll");

?????? strcpy (hypInject.ProcName, "MessageBoxA");

?????? PVOID pCode = NULL;

?????? PVOID pData = NULL;

?????? BOOL bc = FALSE;

?????? DWORD cbCodeSize = (BYTE*)AfterThreadProc - (BYTE*)ThreadProc;

?????? HANDLE hProc = OpenProcess(

????????????? PROCESS_QUERY_INFORMATION |??

????????????? PROCESS_CREATE_THREAD???? |

????????????? PROCESS_VM_OPERATION????? |

????????????? PROCESS_VM_WRITE,???????????

????????????? FALSE, PID);

?????? if (hProc == NULL)

?????? {

????????????? return FALSE;

?????? }

??????

?????? pCode=VirtualAllocEx(hProc,NULL,cbCodeSize,MEM_COMMIT,PAGE_EXECUTE_READWRITE);

?????? if(pCode == NULL)

?????? {

????????????? return FALSE;

?????? }

?????? bc = WriteProcessMemory(hProc,pCode,(LPVOID)(DWORD) ThreadProc,cbCodeSize,NULL);

?????? if (!bc)

?????? {

????????????? return FALSE;

?????? }

?????? pData = VirtualAllocEx (hProc,NULL, sizeof (hypInject), MEM_COMMIT, PAGE_EXECUTE_READWRITE);

?????? if(pData == NULL)

?????? {

????????????? return FALSE;

?????? }

?????? bc = WriteProcessMemory (hProc, pData, &hypInject, sizeof (hypInject), NULL);

?????? if (!bc)

?????? {

????????????? return FALSE;

?????? }

?????? HANDLE ht=CreateRemoteThread(hProc,NULL,NULL,(LPTHREAD_START_ROUTINE)pCode,pData,0,NULL);

?????? if(ht == NULL)

?????? {

????????????? return FALSE;

?????? }

?????? CloseHandle(hProc);

?????? return TRUE;

}

int main()

{

?????? HANDLE hSnapshot = NULL;

?????? hSnapshot=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,NULL);

?????? PROCESSENTRY32 pe;

?????? pe.dwSize = sizeof(PROCESSENTRY32);

?????? Process32First(hSnapshot,&pe);

?????? do

?????? {

????????????? if(stricmp(pe.szExeFile,"NOTEPAD.EXE")==0)

????????????? {

???????????????????? InjectFunc(pe.th32ProcessID);

???????????????????? break;

????????????? }

?????? }

?????? while(Process32Next(hSnapshot,&pe)==TRUE);

?????? CloseHandle (hSnapshot);????

?????? return 0;

}

只有注冊用戶登錄后才能發表評論。
【推薦】100%開源！大型工業跨平臺軟件C++源碼提供，建模，組態！

相關文章: Load Driver protect_pwd.txt Windows下Hook API技術 inline hook 對付API-splicing的一種簡單方法修改IAT實現API HOOK API-HOOK and ANTI-API-HOOK For Ring3 API Hook jmp 法 DirectX Input 鍵盤實現收藏一個反鍵盤記錄工具的分析不用hook 實現掛機鎖

網站導航: 博客園 IT新聞 BlogJava 博問 Chat2DB 管理

S.l.e!ep.￠%

CreateRemoteThread-實現進程代碼注入

日歷

公告

常用鏈接

留言簿(5)

隨筆分類(1107)

隨筆檔案(1098)

文章檔案(1)

相冊

收藏夾(3)

DataStruct

搜索

積分與排名

最新評論

閱讀排行榜

評論排行榜