首頁新隨筆新文章聯(lián)系聚合

2014年12月

>

日

一

二

三

四

五

六

30

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

1

2

3

4

5

6

7

8

9

10

常用鏈接

留言簿(40)

隨筆分類

隨筆檔案

友情鏈接

Kenny Kerr
The Old New Thing
代碼瘋子
酷殼
劉未鵬
阮一峰的博客
云風(fēng)

閱讀排行榜

評論排行榜

遠(yuǎn)程線程入門

遠(yuǎn)程線程作為一項"合法"的代碼注入技術(shù)，在windows上被大量使用，它的本質(zhì)就是把一塊可執(zhí)行代碼寫入到對方進程，然后讓其起運行起來。

一般它的實現(xiàn)過程是這樣的，通過VirtualAllocEx在目標(biāo)進程分配內(nèi)存空間，然后通過WriteProcessMemory將我們的可執(zhí)行代碼寫入到目標(biāo)進程，最后通過CreateRemoteThread讓我們的可執(zhí)行代碼在目標(biāo)進程里運行起來。

一般實現(xiàn)遠(yuǎn)程線程有2種方法，一種是《windows核心編程》里介紹的，通過線程函數(shù)和LoadLibrary API函數(shù)申明的相似性, 直接在目標(biāo)進程里調(diào)用LoadLibrary加載我們DLL，這樣我們只要在DLL_PROCESS_ATTACH里執(zhí)行我們的代碼就可以了。代碼如下, 通過InjectLib在目標(biāo)進程加載我們的DLL，通過EjectLib卸載我們的DLL:

///////////////////////////////////////////////////////////////////////////////
BOOL WINAPI InjectLibW(DWORD dwProcessId, PCWSTR pszLibFile)
{

   BOOL fOk = FALSE; // Assume that the function fails
   HANDLE hProcess = NULL, hThread = NULL;
   PWSTR pszLibFileRemote = NULL;

   __try {
      // Get a handle for the target process.
      hProcess = OpenProcess(
         PROCESS_QUERY_INFORMATION |   // Required by Alpha
         PROCESS_CREATE_THREAD     |   // For CreateRemoteThread
         PROCESS_VM_OPERATION      |   // For VirtualAllocEx/VirtualFreeEx
         PROCESS_VM_WRITE,             // For WriteProcessMemory
         FALSE, dwProcessId);
      if (hProcess == NULL)
      {
          __leave;
      }

      // Calculate the number of bytes needed for the DLL's pathname
      int cch = 1 + lstrlenW(pszLibFile);
      int cb  = cch * sizeof(WCHAR);

      // Allocate space in the remote process for the pathname
      pszLibFileRemote = (PWSTR)
         VirtualAllocEx(hProcess, NULL, cb, MEM_COMMIT, PAGE_READWRITE);
      if (pszLibFileRemote == NULL)
      {
         __leave;
      }

      // Copy the DLL's pathname to the remote process's address space
      if (!WriteProcessMemory(hProcess, pszLibFileRemote,
         (PVOID) pszLibFile, cb, NULL))
      {
         __leave;
      }

      // Get the real address of LoadLibraryW in Kernel32.dll
      PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE)
         GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryW");
      if (pfnThreadRtn == NULL)
      {
          __leave;
      }

      // Create a remote thread that calls LoadLibraryW(DLLPathname)
      hThread = CreateRemoteThread(hProcess, NULL, 0,
         pfnThreadRtn, pszLibFileRemote, 0, NULL);
      if (hThread == NULL)
      {
         __leave;
      }

      // Wait for the remote thread to terminate
      WaitForSingleObject(hThread, INFINITE);

      fOk = TRUE; // Everything executed successfully
   }
   __finally { // Now, we can clean everthing up

      // Free the remote memory that contained the DLL's pathname
      if (pszLibFileRemote != NULL)
         VirtualFreeEx(hProcess, pszLibFileRemote, 0, MEM_RELEASE);

      if (hThread  != NULL)
         CloseHandle(hThread);

      if (hProcess != NULL)
         CloseHandle(hProcess);
   }

   return(fOk);
}

///////////////////////////////////////////////////////////////////////////////

BOOL WINAPI InjectLibA(DWORD dwProcessId, PCSTR pszLibFile)
{

   // Allocate a (stack) buffer for the Unicode version of the pathname
   PWSTR pszLibFileW = (PWSTR)
      _alloca((lstrlenA(pszLibFile) + 1) * sizeof(WCHAR));

   // Convert the ANSI pathname to its Unicode equivalent
   wsprintfW(pszLibFileW, L"%S", pszLibFile);

   // Call the Unicode version of the function to actually do the work.
   return(InjectLibW(dwProcessId, pszLibFileW));
}

///////////////////////////////////////////////////////////////////////////////

BOOL WINAPI EjectLibW(DWORD dwProcessId, PCWSTR pszLibFile)
{

   BOOL fOk = FALSE; // Assume that the function fails
   HANDLE hthSnapshot = NULL;
   HANDLE hProcess = NULL, hThread = NULL;

   __try {
      // Grab a new snapshot of the process
      hthSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwProcessId);
      if (hthSnapshot == INVALID_HANDLE_VALUE)
      {
         __leave;
      }

      // Get the HMODULE of the desired library
      MODULEENTRY32W me = { sizeof(me) };
      BOOL fFound = FALSE;
      BOOL fMoreMods = Module32FirstW(hthSnapshot, &me);
      for (; fMoreMods; fMoreMods = Module32NextW(hthSnapshot, &me)) {
         fFound = (lstrcmpiW(me.szModule,  pszLibFile) == 0) ||
                  (lstrcmpiW(me.szExePath, pszLibFile) == 0);
         if (fFound) break;
      }
      if (!fFound)
      {
         __leave;
      }

      // Get a handle for the target process.
      hProcess = OpenProcess(
         PROCESS_QUERY_INFORMATION |   // Required by Alpha
         PROCESS_CREATE_THREAD     |
         PROCESS_VM_OPERATION,  // For CreateRemoteThread
         FALSE, dwProcessId);
      if (hProcess == NULL)
      {
         __leave;
      }

      // Get the real address of LoadLibraryW in Kernel32.dll
      PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE)
         GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "FreeLibrary");
      if (pfnThreadRtn == NULL)
      {
         __leave;
      }

      // Create a remote thread that calls LoadLibraryW(DLLPathname)
      hThread = CreateRemoteThread(hProcess, NULL, 0,
         pfnThreadRtn, me.modBaseAddr, 0, NULL);
      if (hThread == NULL)
      {
         __leave;
      }

      // Wait for the remote thread to terminate
      WaitForSingleObject(hThread, INFINITE);

      fOk = TRUE; // Everything executed successfully
   }
   __finally { // Now we can clean everything up

      if (hthSnapshot != NULL)
         CloseHandle(hthSnapshot);

      if (hThread     != NULL)
         CloseHandle(hThread);

      if (hProcess    != NULL)
         CloseHandle(hProcess);
   }

   return(fOk);
}

///////////////////////////////////////////////////////////////////////////////

BOOL WINAPI EjectLibA(DWORD dwProcessId, PCSTR pszLibFile)
{

   // Allocate a (stack) buffer for the Unicode version of the pathname
   PWSTR pszLibFileW = (PWSTR)
      _alloca((lstrlenA(pszLibFile) + 1) * sizeof(WCHAR));

   // Convert the ANSI pathname to its Unicode equivalent
   wsprintfW(pszLibFileW, L"%S", pszLibFile);

   // Call the Unicode version of the function to actually do the work.
   return(EjectLibW(dwProcessId, pszLibFileW));
}

///////////////////////////////////////////////////////////////////////////////

上面這種方法注入的代碼它的優(yōu)點是開發(fā)比較簡單，我們只要用C++寫一個DLL，然后調(diào)用InjectLibW(processID, dllName)就可以了，但是因為代碼是運行在一個DLL里，別人可以通過一些枚舉模塊的工具看到我們的DLL，所以隱蔽性不是很好。

還有一種遠(yuǎn)程線程的實現(xiàn)方法是羅云彬《Windows環(huán)境下32位匯編語言程序設(shè)計》里介紹的，我們不通過DLL，而是直接把可執(zhí)行代碼拷貝到目標(biāo)進程后運行，所以它是真正的遠(yuǎn)程線程，通過這種方法，我們的代碼和目標(biāo)進程已經(jīng)完全融為一體，其他人根本無法察覺。

用這種方法實現(xiàn)，它的要點是：

(1) Kernel32.DLL加載的基址在任何進程里都是一樣的（其實上一種LoadLibrary方法也用到了這點), 所以GetProcAddress，GetModuleHandleA(W), LoadLibraryA(W)這些API的地址在任何進程里都是一樣的, 所以我們在其他進程中用和本進程相同的地址調(diào)用這些API。

(2) 因為涉及到全局變量的重定位問題，所以注入的代碼需要用匯編編寫, 并用以下匯編解決重定位問題

call @F
@@:
pop ebx
sub ebx, offset @B

下面寫了一個無DLL實現(xiàn)遠(yuǎn)程線程的測試代碼，他會在桌面Shell進程(explorer.exe)里彈一個MessageBox，按照這個例子，我們已經(jīng)可以通過調(diào)用LoadLibraryA(W)和GetProcAddress來調(diào)用任何API了，所以要實現(xiàn)一些復(fù)雜的功能也不是難事。

如果要避免用匯編來重定位，可以把全局變量都打包放在線程參數(shù)里，這樣單用Ｃ＋＋就可以完全實現(xiàn)無DLL的遠(yuǎn)程線程了，當(dāng)然我們只能用Release版本(Debug版加了一些用到全局變量的調(diào)試信息, 堆棧檢測等)。

還有一個問題是遠(yuǎn)程線程很難調(diào)試, 很多時候你在目標(biāo)進程里注入代碼后可能就只會看到一個Crash的窗口,也不知道哪里代碼有問題。如何才能單步調(diào)試呢？我的方法是在CreateRemoteThread之前把線程的入口地址用MessageBox打印出來，然后用Windbg Attach到目標(biāo)進程，在該地址上設(shè)置斷點，這樣繼續(xù)運行就可以用Windbg單步調(diào)試了(當(dāng)然只能以匯編的形式)。

遠(yuǎn)程線程測試代碼下載（Asm): RemoteThreadTest

遠(yuǎn)程線程測試代碼下載(C++): RemoteThreadTest_New

posted on 2012-06-20 15:38 Richard Wei 閱讀(4015) 評論(5) 編輯收藏引用所屬分類: windows desktop

FeedBack:

# re: 遠(yuǎn)程線程入門

2012-06-20 21:06 | 飯中淹

注入代碼其實無所謂用什么寫，線程有個LPVOID的參數(shù)，把需要的數(shù)據(jù)全部事先寫入遠(yuǎn)程進程，然后把數(shù)據(jù)地址作為參數(shù)傳給遠(yuǎn)程線程就可以了。這樣無需訪問全局變量。回復(fù) 更多評論

# re: 遠(yuǎn)程線程入門

2012-06-20 21:30 | Richard Wei

@飯中淹
是的，我們可以先在目標(biāo)進程中把需要的數(shù)據(jù)分配好，然后通過線程參數(shù)把地址傳進去，這樣可以避免全局變量。
關(guān)于代碼注入，這篇文章不錯：http://www.vckbase.com/index.php/wv/1580 回復(fù) 更多評論

# re: 遠(yuǎn)程線程入門

2012-06-20 23:53 | Richard Wei

@飯中淹
不依賴匯編重定位的代碼注入也做了下嘗試，發(fā)現(xiàn)挺好用的，測試代代碼也放上去了，單純用Ｃ＋＋就可以了，就是注入代碼大小不太好算。回復(fù) 更多評論

# re: 遠(yuǎn)程線程入門

2013-10-20 12:53 | flighta

Dear,

我碰到一種情況,需要將系統(tǒng)正在調(diào)用的dll文件,替換成新的dll文件. 它問題的起因是我們在做系統(tǒng)開發(fā)時,我是負(fù)責(zé)其中的一個dll文件,開發(fā)需要不斷調(diào)試.但是每次打開整個軟件需要比較長的時間.我是想能否直接在軟件中將這個dll熱替換,避免重起開啟整個軟件. (新舊兩個dll的接口完全相同)

Best regards,
Flighta 回復(fù) 更多評論

# re: 遠(yuǎn)程線程入門

2013-10-24 19:45 | Richard Wei

@flighta
如果別人已經(jīng)保存了你這個DLL的HINSTANCE，你想熱替換它，這個恐怕不好弄，只能讓別人Free后再Load。回復(fù) 更多評論

刷新評論列表

只有注冊用戶登錄后才能發(fā)表評論。
【推薦】100%開源！大型工業(yè)跨平臺軟件C++源碼提供，建模，組態(tài)！

相關(guān)文章: Windows內(nèi)存小結(jié) Windows系統(tǒng)機制筆記 GDI VS Dxgi Windows進程筆記深入解析結(jié)構(gòu)化異常處理(SEH) 如何給開源的DUILib支持Accessibility 如何在桌面上透明的繪畫如何檢測資源泄露如何基于純GDI實現(xiàn)alpha通道的矢量和文字繪制如何抓取揚聲器的聲音

網(wǎng)站導(dǎo)航: 博客園 IT新聞 BlogJava 博問 Chat2DB 管理

青青草原综合久久大伊人导航_色综合久久天天综合_日日噜噜夜夜狠狠久久丁香五月_热久久这里只有精品

常用鏈接

留言簿(40)

隨筆分類

隨筆檔案

友情鏈接

最新評論

閱讀排行榜

評論排行榜