DLL注入技术之远线程注入

DLL注入技术指的是将一个DLL文件强行加载到EXE文件中,并成为EXE文件中的一部分,这样做的目的在于方便我们通过这个DLL读写EXE文件内存数据,(例如 HOOK EXE文件中的API),或以被注入EXE的身份去执行一些操作等等。

    远线程注入原理是利用Windows 系统中CreateRemoteThread()这个API,其中第4个参数是准备运行的线程,我们可以将LoadLibrary()填入其中,这样就可以执行远程进程中的LoadLibrary()函数,进而将我们自己准备的DLL加载到远程进程空间中执行。

    当然除了CreateRemoteThread()和LoadLibrary()这个两个主要的API还是远远不够的,我们还需要以下表格所示的API:

OpenProcess 打开远程进程
VirtualAllocEx 在远程进程中申请空间
WriteProcessMemory 在远程进程中写入数据
WaitForSingleObject 等待信号量
VirtualFreeEx 释放远程进程中申请空间
CloseHandle 关闭句柄

主要代码如下:

  1. int CRemoteThreadInjectDLL::InjectDll(DWORD dwProcessId, PTCHAR szDllName)
  2. {
  3. if (szDllName[0] == NULL)
  4. return -1;
  5. //提高权限相关操作
  6. EnablePrivilege(TRUE);
  7. //1. 打开进程
  8. HANDLE hProcess = ::OpenProcess(  PROCESS_ALL_ACCESS,   //打开进程权限
  9. FALSE,                                              //是否可继承
  10. dwProcessId);                                       //进程ID
  11. if (hProcess == INVALID_HANDLE_VALUE)
  12. return -1;
  13. //2. 在远程进程中申请空间
  14. LPVOID pszDllName = ::VirtualAllocEx(hProcess, //远程进程句柄
  15. NULL,                                  //建议开始地址
  16. 4096,                                  //分配空间大小
  17. MEM_COMMIT,                            //空间初始化全0
  18. PAGE_EXECUTE_READWRITE);               //空间权限
  19. if (NULL == pszDllName)
  20. {
  21. return -1;
  22. }
  23. //3. 向远程进程中写入数据
  24. BOOL bRet = ::WriteProcessMemory( hProcess, pszDllName,
  25. szDllName, MAX_PATH, NULL);
  26. if (NULL == bRet)
  27. {
  28. return -1;
  29. }
  30. //4. 在远程进程中创建远程线程
  31. m_hInjecthread = ::CreateRemoteThread(hProcess,      //远程进程句柄
  32. NULL,                                            //安全属性
  33. 0,                                               //栈大小
  34. (LPTHREAD_START_ROUTINE)LoadLibrary,             //进程处理函数
  35. pszDllName,                                      //传入参数
  36. NULL,                                            //默认创建后的状态
  37. NULL);                                           //线程ID
  38. if (NULL == m_hInjecthread)
  39. {
  40. DWORD dwErr = GetLastError();
  41. return -1;
  42. }
  43. //5. 等待线程结束返回
  44. DWORD dw = WaitForSingleObject(m_hInjecthread, -1);
  45. //6. 获取线程退出码,即LoadLibrary的返回值,即dll的首地址
  46. DWORD dwExitCode;
  47. GetExitCodeThread(m_hInjecthread, &dwExitCode);
  48. m_hMod = (HMODULE)dwExitCode;
  49. //7. 释放空间
  50. BOOL bReturn = VirtualFreeEx(hProcess, pszDllName,
  51. 4096, MEM_DECOMMIT);
  52. if (NULL == bReturn)
  53. {
  54. return -1;
  55. }
  56. CloseHandle(hProcess);
  57. hProcess = NULL;
  58. //恢复权限相关操作
  59. EnablePrivilege(FALSE);
  60. return 0;
  61. }

此外,我们还需要提升进程权限以便于提高注入成功率,所需API如下表所示:

OpenProcessToken 得到令牌句柄
LookupPrivilegeValue 得到权限值
AdjustTokenPrivileges 提升令牌句柄权限
  1. int CRemoteThreadInjectDLL::EnablePrivilege(bool isStart)
  2. {
  3. //1. 得到令牌句柄
  4. HANDLE  hToken = NULL;      //令牌句柄
  5. if (!OpenProcessToken( GetCurrentProcess(),
  6. TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY | TOKEN_READ,
  7. &hToken))
  8. {
  9. return FALSE;
  10. }
  11. //2. 得到特权值
  12. LUID    luid = {0};         //特权值
  13. if (!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &luid))
  14. {
  15. return FALSE;
  16. }
  17. //3. 提升令牌句柄权限
  18. TOKEN_PRIVILEGES tp = {0};  //令牌新权限
  19. tp.PrivilegeCount = 1;
  20. tp.Privileges[0].Luid = luid;
  21. tp.Privileges[0].Attributes = isStart ? SE_PRIVILEGE_ENABLED : 0;
  22. if (!AdjustTokenPrivileges(hToken, FALSE, &tp, 0, NULL, NULL))
  23. {
  24. return FALSE;
  25. }
  26. //4. 关闭令牌句柄
  27. CloseHandle(hToken);
  28. return 0;
  29. }

当要在指定的进程中加载DLL时,我们就需要过滤指定名称的进程,这时遍历进程ID并进行对比,得到所指定的进程,所需API如表所示:

CreateToolhelp32Snapshot   创建进程快照  
Process32First   第一个进程快照
Process32Next   循环下一个进程快照  
  1. DWORD CRemoteThreadInjectDLL::GetProcessId(PTCHAR pszProcessName)
  2. {
  3. HANDLE hProcess = ::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
  4. if (INVALID_HANDLE_VALUE == hProcess)
  5. {
  6. return 0;
  7. }
  8. DWORD dwProcessId = 0;
  9. PROCESSENTRY32 process32 = {0};
  10. process32.dwSize = sizeof(PROCESSENTRY32);
  11. BOOL bRetProcess = FALSE;
  12. bRetProcess = ::Process32First(hProcess, &process32);
  13. do
  14. {
  15. if (_tcscmp(pszProcessName, process32.szExeFile) == 0)
  16. {
  17. dwProcessId = process32.th32ProcessID;
  18. break;
  19. }
  20. bRetProcess = ::Process32Next(hProcess, &process32);
  21. }while (bRetProcess);
  22. ::CloseHandle(hProcess);
  23. return dwProcessId;
  24. }

远线程注入API使用较多,不易实现。但是可以批量注入和卸载,这样对于需要反复调试的注入就非常的方便。

Dll注入技术之远程线程注入的更多相关文章

  1. 远程线程注入DLL

    远程线程注入 0x00 前言 远程线程注入是一种经典的DLL注入技术.其实就是指一个新进程中另一个进程中创建线程的技术. 0x01 介绍 1.远程线程注入原理 画了一个图大致理解了下远程线程注入dll ...

  2. 安全之路 —— 借助DLL进行远程线程注入实现穿墙与隐藏进程

    简介        大多数后门或病毒要想初步实现隐藏进程,即不被像任务管理器这样典型的RING3级进程管理器找到过于明显的不明进程,其中比较著名的方法就是通过远程线程注入的方法注入将恶意进程的DLL文 ...

  3. 安全之路 —— 无DLL文件实现远程线程注入

    简介         在之前的章节中,笔者曾介绍过有关于远程线程注入的知识,将后门.dll文件注入explorer.exe中实现绕过防火墙反弹后门.但一个.exe文件总要在注入时捎上一个.dll文件着 ...

  4. 详细解读:远程线程注入DLL到PC版微信

    一.远程线程注入的原理 1.其基础是在 Windows 系统中,每个 .exe 文件在双击打开时都会加载 kernel32.dll 这个系统模块,该模块中有一个 LoadLibrary() 函数,可以 ...

  5. 远程线程注入dll,突破session 0

    前言 之前已经提到过,远线程注入和内存写入隐藏模块,今天介绍突破session 0的dll注入 其实今天写这个的主要原因就是看到倾旋大佬有篇文章提到:有些反病毒引擎限制从lsass中dump出缓存,可 ...

  6. 远程线程注入DLL突破session 0 隔离

    远程线程注入DLL突破session 0 隔离 0x00 前言 补充上篇的远程线程注入,突破系统SESSION 0 隔离,向系统服务进程中注入DLL. 0x01 介绍 通过CreateRemoteTh ...

  7. 远程线程注入方法CreateRemoteThread

    最近在整理学习Windows注入方面的知识,这个远程注入前面早写过,现在看看人家博客的理解整理,整理, 需要源码的可以到我的github上下载. 链接是  https://github.com/Ars ...

  8. DLL注入技术之依赖可信进程注入

    DLL注入技术之依赖可信进程注入 依赖可信进程注入原理是利用Windows 系统中Services.exe这个权限较高的进程,首先将a.dll远线程注入到Services.exe中,再利用a.dll将 ...

  9. windows-CODE注入(远程线程注入)

    远程线程注入(先简单说,下面会详细说)今天整理下代码注入(远程线程注入),所谓代码注入,可以简单的理解为是在指定内进程里申请一块内存,然后把我们自己的执行代码和一些变量拷贝进去(通常是以启线程的方式) ...

随机推荐

  1. HTML5中的Canvas和SVG

    Canvas 和 SVG 都允许我们在浏览器中创建图形,但是它们在根本上是不同的. 1 SVG SVG 是一种使用 XML 描述 2D 图形的语言. SVG 基于 XML,这意味着 SVG DOM 中 ...

  2. centos 下安装 shpinx2.1.7 记录

    安装sphinx yum install -y mysql mysql-devel yum install automake autoconf cd /usr/local/src/ wget http ...

  3. (转)openfire插件开发(一)

    转:http://blog.csdn.net/lovexieyuan520/article/details/37774909 1. 在上一篇博文中,我介绍了Openfire3.9.3源代码导入ecli ...

  4. Java-Class-C:com.github.pagehelper.PageInfo

    ylbtech-Java-Class-C:com.github.pagehelper.PageInfo 1.返回顶部   2.返回顶部 1.1. import com.github.pagehelpe ...

  5. 4. Python数据类型之数字、字符串、列表

    开发过程中,我们需要处理文本.图形.音频.视频.网页等各种各样的数据,不同的数据,需要定义不同的数据类型.在Python中,能够直接处理的数据类型主要有以下几种:数字.字符串.列表.元组.字典.集合等 ...

  6. JSoup安装

    要运行任何jsoup示例,需要先安装好jsoup相关Jar包.到目前为止(2017年05月),jsoup的当前版本是1.10.2.0.安装jsoup主要有三种方法: 通过Maven的pom.xml配置 ...

  7. VIM查找空格

    匹配1到多个空格 /\s\+ 或者开启very magic模式 /\v\s+

  8. rpm升级时spec文件执行的流程

    转自:https://www.cnblogs.com/zafu/p/7423758.html %pre 和 %post 脚本片段分别在软件包安装前和安装后执行.%preun 和 %postun 脚本片 ...

  9. Java 整型数组只有一个整数是只出现一次的,其余都出现两次

    package writtenExamination; /** * @author lindaZ * @date 2015年10月22日 * @todo 找出数组中仅出现一次的数,其余数字出现两次 * ...

  10. Redis 小调研

    一. 概况: Redis是一款开源的.网络化的.基于内存的.可进行数据持久化的Key-Value存储系统.它的数据模型建立在外层,类似于其它结构化存储系统,是通过Key映射Value的方式来建立字典以 ...