前言

该技术是指通过在【目标进程】中创建一个【远程线程】来达到注入的目的。

创建的【远程线程】函数为LoadLibrary, 线程函数的参数为DLL名字, 想要做的工作在DLL中编写。

 示意图如下:

 相关API

1、创建远程线程

//该函数除了第一个参数为目标进程句柄外

//其他参数均和CreateThread一样

HANDLE hThread = CreateRemoteThread(

                __in HANDLE  hProcess,  //目标进程句柄

                __in_opt LPSECURITY_ATTRIBUTES lpThreadAttributes,

                __in SIZE_T dwStackSize,     //线程栈初始预定空间=Max(/STACK, dwStackSize, 初始调拨大小=(dwStackSize == 0?  /STACK, dwStackSize)

                __in LPTHREAD_START_ROUTINE lpStartAddress, //线程函数

                __in_opt LPVOID lpParameter,    //线程函数参数

                __in DWORD dwCreationFlags,     //标志

                __out_opt LPDWORD lpThreadId    //线程ID

               )

 失败返回NULL

2、根据进程ID获取进程句柄,并且传入相应权限标志,自定义函数

//根据进程ID获取进程句柄

HANDLE GetProcessHandle(DWORD deProcessID)

{

    HANDLE hProcess = OpenProcess(

        PROCESS_QUERY_INFORMATION  //查询进程句柄

        | PROCESS_VM_OPERATION     //PROCESS_VM_WRITE + PROCESS_VM_READ + x

        | PROCESS_CREATE_THREAD    //创建线程

        | PROCESS_VM_WRITE,        //WriteProcessMemory

        FALSE,                     //不继承

        deProcessID                //进程句柄

        ); 

    return hProcess;

}

3、获得LoadLibrary函数地址

由于LoadLibrary是个宏,而非实际的函数,因此需要使用GetProcAddress并传入LoadLibraryW 或 LoadLibraryA来获取真实地址

 4、从目标进程申请内存

当把Dll名字作为线程函数LoadLibraryW(A)的参数传给他时,由于此时的线程是运行在其他进程地址空间中的,因此当把本地进程中的字符串指针传给CreateRemoteThread函数时会引起访问违例,因此需要从目标进程地址空间中申请内存,并将本地Dll名字符串写入远程进程,然后使用远程进程中的地址作为CreateRemoteThread函数的参数。

//该函数除了第一个参数为进程句柄外

//其他参数和VirtualAlloc一样

LPVOID WINAPI VirtualAllocEx(

  __in      HANDLE hProcess,       //进程句柄

  __in_opt  LPVOID lpAddress,   //地址,为NULL自动找一个合适的地址

  __in      SIZE_T dwSize,           //内存块大小,单位为字节

  __in      DWORD flAllocationType, //分配类型,预定或调拨

  __in      DWORD flProtect             //保护属性

);

5、往远程进程中写输入, 即把本地DLL名字字符串 写入 远程进程地址空间中

BOOL WINAPI WriteProcessMemory(

  __in   HANDLE hProcess,         //进程句柄

  __in   LPVOID lpBaseAddress, //写入地址

  __in   LPCVOID lpBuffer,          //源缓冲区

  __in   SIZE_T nSize,                 //缓冲区大小,单位为字节

  __out  SIZE_T *lpNumberOfBytesWritten  //实际写入的字节数

);

No code you say a XX

本demo的作用是将一个DLL注入一个窗口标题为"Endl"的目标进程,该DLL的作用是在DLL_PROCESS_ATTACHExitProcess,即强制退出目标进程。

开发进程代码

//根据进程ID获取进程句柄

HANDLE GetProcessHandle(DWORD deProcessID)

{

    HANDLE hProcess = OpenProcess(

        PROCESS_QUERY_INFORMATION  //查询进程句柄

        | PROCESS_VM_OPERATION     //PROCESS_VM_WRITE + PROCESS_VM_READ + x

        | PROCESS_CREATE_THREAD    //创建线程

        | PROCESS_VM_WRITE,        //WriteProcessMemory

        FALSE,                     //不继承

        deProcessID                //进程句柄

        ); 

    return hProcess;

}

int _tmain(int argc, _TCHAR* argv[])

{

    DWORD dwErrCode = ;

    //获取进程ID

    //HWND hWnd = FindWindow(NULL, _T("计算器"));

    HWND hWnd = FindWindow(NULL, _T("Endl"));

    DWORD dwProcessID = ;

    GetWindowThreadProcessId(hWnd, &dwProcessID);

    HANDLE hDestProcess = GetProcessHandle(dwProcessID);

    if(NULL == hDestProcess)

    {

        cerr<<"打开进程句柄失败"<<endl;

        return ;

    }

    //获取KERNER32.DLL 模块句柄

    HMODULE hModule = GetModuleHandle(_T("kernel32.dll"));

    if(NULL == hModule)

    {

        cerr<<"获取kernel32.dll句柄失败"<<endl;

        return -;

    }

    //线程函数,kernerl32.dll被映射到所有进程内相同的地址

    LPTHREAD_START_ROUTINE lpThreadStartRoutine = 
                         (LPTHREAD_START_ROUTINE)GetProcAddress(hModule, "LoadLibraryW");

    if(NULL == lpThreadStartRoutine)

    {

        cerr<<"获取LoadLibraryW地址失败"<<endl;

        return -;

    }

    //从目标进程内申请堆内存

    LPVOID lpMemory = VirtualAllocEx(
                     hDestProcess, NULL, MAX_PATH, MEM_RESERVE | MEM_COMMIT, PAGE_READWRITE);

    if(NULL == lpMemory)

    {

        cerr<<"申请目标进程内存失败"<<endl;

        return -;

    }

    //注入DLL

    LPCTSTR lpDLLName = _T("DLLForRemoteThread.dll");

    //把DLL名字写入目标进程

    BOOL bWriteMemory = WriteProcessMemory(

        hDestProcess, lpMemory, lpDLLName, (_tcslen(lpDLLName) + ) * sizeof(lpDLLName[]), NULL);

    if(FALSE == bWriteMemory)

    {

        cerr<<"WriteProcessMemory失败"<<endl;

        dwErrCode = GetLastError();

        VirtualFreeEx(hModule, lpMemory, , MEM_RELEASE | MEM_DECOMMIT);

        return -;

    }

    //创建远程线程

    HANDLE hThread = CreateRemoteThread(

        hDestProcess,

        NULL,

        ,

        lpThreadStartRoutine,

        lpMemory,

        ,

        NULL);

    if (NULL == hThread || INVALID_HANDLE_VALUE == hThread)

    {

        cerr<<"创建远程线程CreateRomoteThread失败"<<endl;

        VirtualFreeEx(hModule, lpMemory, , MEM_RELEASE | MEM_DECOMMIT);

        return -;

    }

    VirtualFreeEx(hModule, lpMemory, , MEM_RELEASE | MEM_DECOMMIT);  

    return ;

}

 待注入DLL代码

BOOL APIENTRY DllMain( HMODULE hModule,

                       DWORD  ul_reason_for_call,

                       LPVOID lpReserved

                     )

{

    switch(ul_reason_for_call)

    {

    case DLL_PROCESS_ATTACH:

#if defined _DEBUG

        OutputDebugString(TEXT("\r\n*************DLL_PROCESS_ATTACH*************"));

#endif

        ExitProcess();

        break;

    case DLL_THREAD_ATTACH:

        break;

    case DLL_THREAD_DETACH:

        break;

    case DLL_PROCESS_DETACH:

        break;

    }

    return TRUE;

}

【windows核心编程】使用远程线程注入DLL的更多相关文章

  1. 【windows核心编程】远程线程DLL注入

    15.1 DLL注入 目前公开的DLL注入技巧共有以下几种: 1.注入表注入 2.ComRes注入 3.APC注入 4.消息钩子注入 5.远线程注入 6.依赖可信进程注入 7.劫持进程创建注入 8.输 ...

  2. 远程线程注入DLL突破session 0 隔离

    远程线程注入DLL突破session 0 隔离 0x00 前言 补充上篇的远程线程注入,突破系统SESSION 0 隔离,向系统服务进程中注入DLL. 0x01 介绍 通过CreateRemoteTh ...

  3. 远程线程注入DLL

    远程线程注入 0x00 前言 远程线程注入是一种经典的DLL注入技术.其实就是指一个新进程中另一个进程中创建线程的技术. 0x01 介绍 1.远程线程注入原理 画了一个图大致理解了下远程线程注入dll ...

  4. 远程线程注入dll,突破session 0

    前言 之前已经提到过,远线程注入和内存写入隐藏模块,今天介绍突破session 0的dll注入 其实今天写这个的主要原因就是看到倾旋大佬有篇文章提到:有些反病毒引擎限制从lsass中dump出缓存,可 ...

  5. 详细解读:远程线程注入DLL到PC版微信

    一.远程线程注入的原理 1.其基础是在 Windows 系统中,每个 .exe 文件在双击打开时都会加载 kernel32.dll 这个系统模块,该模块中有一个 LoadLibrary() 函数,可以 ...

  6. 《windows核心编程系列》十七谈谈dll

    DLL全称dynamic linking library.即动态链接库.广泛应用与windows及其他系统中.因此对dll的深刻了解,对计算机软件开发专业人员来说非常重要. windows中所有API ...

  7. 微信 电脑版 HOOK(WeChat PC Hook)- 远程线程注入dll原理

    Windows加载dll的特性 1.Windows系统中,每个exe软件运行的时候,会加载系统模块kernel32.dll 2.所有加载进exe软件的系统模块kernel32.dll,内存地址都是一样 ...

  8. CreateRemoteThread远程线程注入Dll与Hook

    CreateRemoteThread虽然很容易被检测到,但是在有些场合还是挺有用的.每次想用的时候总想着去找以前的代码,现在在这里记录一下. CreateRemoteThread远程注入 DWORD ...

  9. Windows核心编程 第十九章 DLL基础

    第1 9章 D L L基础 这章是介绍基本dll,我就记录一些简单应用,dll的坑点以及扩展后面两章会说,到时候在总结. 自从M i c r o s o f t公司推出第一个版本的Wi n d o w ...

随机推荐

  1. windows下安装ubantu

        首先声明我是一个linux大菜鸟,之所以学这个,一个是好玩,另外做DL的一些软件如Caffe要在这个平台上运行,所以没事就鼓捣鼓捣.linux是一种内核,市场上支持这种内核的操作系统有uban ...

  2. Debug模式应用程序输出Debug调试信息(现成的宏定义,用于格式化打印信息)

    // Debug模式,主要输出一些调试的信息. #ifdef UNICODE #define _FILE_          _STR2WSTR(__FILE__) #define _FUNCTION ...

  3. swift:类型转换(is用作判断检测、as用作类型向下转换)

    类型转换是一种检查类实例的方式,并且哦或者也是让实例作为它的父类或者子类的一种方式.   类型转换在Swift中使用is 和 as操作符实现.这两个操作符提供了一种简单达意的方式去检查值的类型或者转换 ...

  4. Android ListView高度自适应和ScrollView冲突解决

    在ScrollView中嵌套使用ListView,ListView只会显示一行到两行的数据.起初我以为是样式的问题,一直在对XML文件的样式进行尝试性设置,但始终得不到想要的效果.后来在网上查了查,S ...

  5. UVa 1473 - Dome of Circus 三分

    把所有的点都映射到XOZ这个平面的第一象限内,则这个三维问题可以转化二维问题: 求一条直线,使所有点在这条直线的下方,直线与X轴和Z轴围成的三角形旋转形成的圆锥体积最小. 这样转化之后可以看出直线的临 ...

  6. trackr: An AngularJS app with a Java 8 backend – Part II

    该系列文章来自techdev The Frontend 在本系列的第一部分我们已经描述RESTful端建立在Java 8和Spring.这一部分将介绍我们的第一个用 AngularJS建造的客户端应用 ...

  7. bzoj4154

    一开始读错题,各种不会做,后来发现染色只是染孩子…… 那不就简单了吗……注意这题是允许离线的 染色如果没有距离限制,它就是个dfs序 距离限制怎么做呢?我们考虑扩展一维变成二维的问题,将每个点变为二维 ...

  8. 不知还有人遇到这个问题没有:数据库 'xxx' 的版本为 706,无法打开。此服务器支持 661 版及更低版本。不支持降级路径。

    一般情况是要给数据库升级 但我一直在百度看看有没有不动低版本数据库的方法 终于...发现..可能别人发现,但我没查到的 我可以用一个更高版本的数据库打开,然后生成脚本,然后把脚本拿出来

  9. UVa 11174 (乘法逆元) Stand in a Line

    题意: 有n个人排队,要求每个人不能排在自己父亲的前面(如果有的话),求所有的排队方案数模1e9+7的值. 分析: <训练指南>上分析得挺清楚的,把公式贴一下吧: 设f(i)为以i为根节点 ...

  10. 如果你只会JQuery的插件式开发, 那么你可以进来看看?

    对于JQuery的学习,已经有3年多的时间了,直到去年与我的组长一起做项目,看到他写的JS,确实特别漂亮,有时甚至还看不太懂, 我才发现其实我不太会JQuery.所以我有时间就会去看看他写的JS代码, ...