前言

该技术是指通过在【目标进程】中创建一个【远程线程】来达到注入的目的。

创建的【远程线程】函数为LoadLibrary, 线程函数的参数为DLL名字, 想要做的工作在DLL中编写。

 示意图如下:

 相关API

1、创建远程线程

//该函数除了第一个参数为目标进程句柄外

//其他参数均和CreateThread一样

HANDLE hThread = CreateRemoteThread(

                __in HANDLE  hProcess,  //目标进程句柄

                __in_opt LPSECURITY_ATTRIBUTES lpThreadAttributes,

                __in SIZE_T dwStackSize,     //线程栈初始预定空间=Max(/STACK, dwStackSize, 初始调拨大小=(dwStackSize == 0?  /STACK, dwStackSize)

                __in LPTHREAD_START_ROUTINE lpStartAddress, //线程函数

                __in_opt LPVOID lpParameter,    //线程函数参数

                __in DWORD dwCreationFlags,     //标志

                __out_opt LPDWORD lpThreadId    //线程ID

               )

 失败返回NULL

2、根据进程ID获取进程句柄,并且传入相应权限标志,自定义函数

//根据进程ID获取进程句柄

HANDLE GetProcessHandle(DWORD deProcessID)

{

    HANDLE hProcess = OpenProcess(

        PROCESS_QUERY_INFORMATION  //查询进程句柄

        | PROCESS_VM_OPERATION     //PROCESS_VM_WRITE + PROCESS_VM_READ + x

        | PROCESS_CREATE_THREAD    //创建线程

        | PROCESS_VM_WRITE,        //WriteProcessMemory

        FALSE,                     //不继承

        deProcessID                //进程句柄

        ); 

    return hProcess;

}

3、获得LoadLibrary函数地址

由于LoadLibrary是个宏,而非实际的函数,因此需要使用GetProcAddress并传入LoadLibraryW 或 LoadLibraryA来获取真实地址

 4、从目标进程申请内存

当把Dll名字作为线程函数LoadLibraryW(A)的参数传给他时,由于此时的线程是运行在其他进程地址空间中的,因此当把本地进程中的字符串指针传给CreateRemoteThread函数时会引起访问违例,因此需要从目标进程地址空间中申请内存,并将本地Dll名字符串写入远程进程,然后使用远程进程中的地址作为CreateRemoteThread函数的参数。

//该函数除了第一个参数为进程句柄外

//其他参数和VirtualAlloc一样

LPVOID WINAPI VirtualAllocEx(

  __in      HANDLE hProcess,       //进程句柄

  __in_opt  LPVOID lpAddress,   //地址,为NULL自动找一个合适的地址

  __in      SIZE_T dwSize,           //内存块大小,单位为字节

  __in      DWORD flAllocationType, //分配类型,预定或调拨

  __in      DWORD flProtect             //保护属性

);

5、往远程进程中写输入, 即把本地DLL名字字符串 写入 远程进程地址空间中

BOOL WINAPI WriteProcessMemory(

  __in   HANDLE hProcess,         //进程句柄

  __in   LPVOID lpBaseAddress, //写入地址

  __in   LPCVOID lpBuffer,          //源缓冲区

  __in   SIZE_T nSize,                 //缓冲区大小,单位为字节

  __out  SIZE_T *lpNumberOfBytesWritten  //实际写入的字节数

);

No code you say a XX

本demo的作用是将一个DLL注入一个窗口标题为"Endl"的目标进程,该DLL的作用是在DLL_PROCESS_ATTACHExitProcess,即强制退出目标进程。

开发进程代码

//根据进程ID获取进程句柄

HANDLE GetProcessHandle(DWORD deProcessID)

{

    HANDLE hProcess = OpenProcess(

        PROCESS_QUERY_INFORMATION  //查询进程句柄

        | PROCESS_VM_OPERATION     //PROCESS_VM_WRITE + PROCESS_VM_READ + x

        | PROCESS_CREATE_THREAD    //创建线程

        | PROCESS_VM_WRITE,        //WriteProcessMemory

        FALSE,                     //不继承

        deProcessID                //进程句柄

        ); 

    return hProcess;

}

int _tmain(int argc, _TCHAR* argv[])

{

    DWORD dwErrCode = ;

    //获取进程ID

    //HWND hWnd = FindWindow(NULL, _T("计算器"));

    HWND hWnd = FindWindow(NULL, _T("Endl"));

    DWORD dwProcessID = ;

    GetWindowThreadProcessId(hWnd, &dwProcessID);

    HANDLE hDestProcess = GetProcessHandle(dwProcessID);

    if(NULL == hDestProcess)

    {

        cerr<<"打开进程句柄失败"<<endl;

        return ;

    }

    //获取KERNER32.DLL 模块句柄

    HMODULE hModule = GetModuleHandle(_T("kernel32.dll"));

    if(NULL == hModule)

    {

        cerr<<"获取kernel32.dll句柄失败"<<endl;

        return -;

    }

    //线程函数,kernerl32.dll被映射到所有进程内相同的地址

    LPTHREAD_START_ROUTINE lpThreadStartRoutine = 
                         (LPTHREAD_START_ROUTINE)GetProcAddress(hModule, "LoadLibraryW");

    if(NULL == lpThreadStartRoutine)

    {

        cerr<<"获取LoadLibraryW地址失败"<<endl;

        return -;

    }

    //从目标进程内申请堆内存

    LPVOID lpMemory = VirtualAllocEx(
                     hDestProcess, NULL, MAX_PATH, MEM_RESERVE | MEM_COMMIT, PAGE_READWRITE);

    if(NULL == lpMemory)

    {

        cerr<<"申请目标进程内存失败"<<endl;

        return -;

    }

    //注入DLL

    LPCTSTR lpDLLName = _T("DLLForRemoteThread.dll");

    //把DLL名字写入目标进程

    BOOL bWriteMemory = WriteProcessMemory(

        hDestProcess, lpMemory, lpDLLName, (_tcslen(lpDLLName) + ) * sizeof(lpDLLName[]), NULL);

    if(FALSE == bWriteMemory)

    {

        cerr<<"WriteProcessMemory失败"<<endl;

        dwErrCode = GetLastError();

        VirtualFreeEx(hModule, lpMemory, , MEM_RELEASE | MEM_DECOMMIT);

        return -;

    }

    //创建远程线程

    HANDLE hThread = CreateRemoteThread(

        hDestProcess,

        NULL,

        ,

        lpThreadStartRoutine,

        lpMemory,

        ,

        NULL);

    if (NULL == hThread || INVALID_HANDLE_VALUE == hThread)

    {

        cerr<<"创建远程线程CreateRomoteThread失败"<<endl;

        VirtualFreeEx(hModule, lpMemory, , MEM_RELEASE | MEM_DECOMMIT);

        return -;

    }

    VirtualFreeEx(hModule, lpMemory, , MEM_RELEASE | MEM_DECOMMIT);  

    return ;

}

 待注入DLL代码

BOOL APIENTRY DllMain( HMODULE hModule,

                       DWORD  ul_reason_for_call,

                       LPVOID lpReserved

                     )

{

    switch(ul_reason_for_call)

    {

    case DLL_PROCESS_ATTACH:

#if defined _DEBUG

        OutputDebugString(TEXT("\r\n*************DLL_PROCESS_ATTACH*************"));

#endif

        ExitProcess();

        break;

    case DLL_THREAD_ATTACH:

        break;

    case DLL_THREAD_DETACH:

        break;

    case DLL_PROCESS_DETACH:

        break;

    }

    return TRUE;

}

【windows核心编程】使用远程线程注入DLL的更多相关文章

  1. 【windows核心编程】远程线程DLL注入

    15.1 DLL注入 目前公开的DLL注入技巧共有以下几种: 1.注入表注入 2.ComRes注入 3.APC注入 4.消息钩子注入 5.远线程注入 6.依赖可信进程注入 7.劫持进程创建注入 8.输 ...

  2. 远程线程注入DLL突破session 0 隔离

    远程线程注入DLL突破session 0 隔离 0x00 前言 补充上篇的远程线程注入,突破系统SESSION 0 隔离,向系统服务进程中注入DLL. 0x01 介绍 通过CreateRemoteTh ...

  3. 远程线程注入DLL

    远程线程注入 0x00 前言 远程线程注入是一种经典的DLL注入技术.其实就是指一个新进程中另一个进程中创建线程的技术. 0x01 介绍 1.远程线程注入原理 画了一个图大致理解了下远程线程注入dll ...

  4. 远程线程注入dll,突破session 0

    前言 之前已经提到过,远线程注入和内存写入隐藏模块,今天介绍突破session 0的dll注入 其实今天写这个的主要原因就是看到倾旋大佬有篇文章提到:有些反病毒引擎限制从lsass中dump出缓存,可 ...

  5. 详细解读:远程线程注入DLL到PC版微信

    一.远程线程注入的原理 1.其基础是在 Windows 系统中,每个 .exe 文件在双击打开时都会加载 kernel32.dll 这个系统模块,该模块中有一个 LoadLibrary() 函数,可以 ...

  6. 《windows核心编程系列》十七谈谈dll

    DLL全称dynamic linking library.即动态链接库.广泛应用与windows及其他系统中.因此对dll的深刻了解,对计算机软件开发专业人员来说非常重要. windows中所有API ...

  7. 微信 电脑版 HOOK(WeChat PC Hook)- 远程线程注入dll原理

    Windows加载dll的特性 1.Windows系统中,每个exe软件运行的时候,会加载系统模块kernel32.dll 2.所有加载进exe软件的系统模块kernel32.dll,内存地址都是一样 ...

  8. CreateRemoteThread远程线程注入Dll与Hook

    CreateRemoteThread虽然很容易被检测到,但是在有些场合还是挺有用的.每次想用的时候总想着去找以前的代码,现在在这里记录一下. CreateRemoteThread远程注入 DWORD ...

  9. Windows核心编程 第十九章 DLL基础

    第1 9章 D L L基础 这章是介绍基本dll,我就记录一些简单应用,dll的坑点以及扩展后面两章会说,到时候在总结. 自从M i c r o s o f t公司推出第一个版本的Wi n d o w ...

随机推荐

  1. 日期工具类TimeUnit

    import java.util.concurrent.TimeUnit; 2 3 public class TimeUnitDemo { 4 private TimeUnit timeUnit =T ...

  2. ASP.Net WebForm学习笔记:一、aspx与服务器控件探秘

    作者:周旭龙 出处:http://edisonchou.cnblogs.com 开篇:毫无疑问,ASP.Net WebForm是微软推出的一个跨时代的Web开发模式,它将WinForm开发模式的快捷便 ...

  3. iOS 开发--开源图片处理圆角

    概述 开源项目名称:HYBImageCliped 当前版本:2.0.0 项目用途:可给任意继承UIView的控件添加任意多个圆角.可根据颜色生成图片且可带任意个圆角.给UIButton设置不同状态下的 ...

  4. Hibernate逍遥游记-第13章 映射实体关联关系-005双向多对多(使用组件类集合\<composite-element>\)

    1. <?xml version="1.0"?> <!DOCTYPE hibernate-mapping PUBLIC "-//Hibernate/Hi ...

  5. Nginx+Tomcat+Memcached负载均衡集群服务搭建

    操作系统:CentOS6.5  本文档主要讲解,如何在CentOS6.5下搭建Nginx+Tomcat+Memcached负载均衡集群服务器,Nginx负责负载均衡,Tomcat负责实际服务,Memc ...

  6. 英文论文写作之讨论与结论Discussion and Conclusion

    Discussion and Conclusion After viewing these maps, what should immediately appear is the level of r ...

  7. HBase的Shell操作

    1.进入命令行 bin/hbase shell 2.输入help 查看各种命令组. 命令是分组的,可以执行help 'general'查看general组的命令. 3.常用命令 --显示有哪些表 li ...

  8. 从unity3d官网下载教程

    http://unity3d.com/learn/tutorials/projects/tanks-tutorial 官网的教程提供的下载链接https://www.assetstore.unity3 ...

  9. WebActivatorEx

    using System; using NLog; using System.Web.Optimization; [assembly: WebActivatorEx.PreApplicationSta ...

  10. 使用 google gson 转换Timestamp为JSON字符串

    package com.test.base; import java.lang.reflect.Type; import java.sql.Timestamp; import java.text.Da ...