DLL注入技术之远线程注入

DLL注入技术指的是将一个DLL文件强行加载到EXE文件中,并成为EXE文件中的一部分,这样做的目的在于方便我们通过这个DLL读写EXE文件内存数据,(例如 HOOK EXE文件中的API),或以被注入EXE的身份去执行一些操作等等。

    远线程注入原理是利用Windows 系统中CreateRemoteThread()这个API,其中第4个参数是准备运行的线程,我们可以将LoadLibrary()填入其中,这样就可以执行远程进程中的LoadLibrary()函数,进而将我们自己准备的DLL加载到远程进程空间中执行。

    当然除了CreateRemoteThread()和LoadLibrary()这个两个主要的API还是远远不够的,我们还需要以下表格所示的API:

OpenProcess 打开远程进程
VirtualAllocEx 在远程进程中申请空间
WriteProcessMemory 在远程进程中写入数据
WaitForSingleObject 等待信号量
VirtualFreeEx 释放远程进程中申请空间
CloseHandle 关闭句柄

主要代码如下:

  1. int CRemoteThreadInjectDLL::InjectDll(DWORD dwProcessId, PTCHAR szDllName)
  2. {
  3. if (szDllName[0] == NULL)
  4. return -1;
  5. //提高权限相关操作
  6. EnablePrivilege(TRUE);
  7. //1. 打开进程
  8. HANDLE hProcess = ::OpenProcess(  PROCESS_ALL_ACCESS,   //打开进程权限
  9. FALSE,                                              //是否可继承
  10. dwProcessId);                                       //进程ID
  11. if (hProcess == INVALID_HANDLE_VALUE)
  12. return -1;
  13. //2. 在远程进程中申请空间
  14. LPVOID pszDllName = ::VirtualAllocEx(hProcess, //远程进程句柄
  15. NULL,                                  //建议开始地址
  16. 4096,                                  //分配空间大小
  17. MEM_COMMIT,                            //空间初始化全0
  18. PAGE_EXECUTE_READWRITE);               //空间权限
  19. if (NULL == pszDllName)
  20. {
  21. return -1;
  22. }
  23. //3. 向远程进程中写入数据
  24. BOOL bRet = ::WriteProcessMemory( hProcess, pszDllName,
  25. szDllName, MAX_PATH, NULL);
  26. if (NULL == bRet)
  27. {
  28. return -1;
  29. }
  30. //4. 在远程进程中创建远程线程
  31. m_hInjecthread = ::CreateRemoteThread(hProcess,      //远程进程句柄
  32. NULL,                                            //安全属性
  33. 0,                                               //栈大小
  34. (LPTHREAD_START_ROUTINE)LoadLibrary,             //进程处理函数
  35. pszDllName,                                      //传入参数
  36. NULL,                                            //默认创建后的状态
  37. NULL);                                           //线程ID
  38. if (NULL == m_hInjecthread)
  39. {
  40. DWORD dwErr = GetLastError();
  41. return -1;
  42. }
  43. //5. 等待线程结束返回
  44. DWORD dw = WaitForSingleObject(m_hInjecthread, -1);
  45. //6. 获取线程退出码,即LoadLibrary的返回值,即dll的首地址
  46. DWORD dwExitCode;
  47. GetExitCodeThread(m_hInjecthread, &dwExitCode);
  48. m_hMod = (HMODULE)dwExitCode;
  49. //7. 释放空间
  50. BOOL bReturn = VirtualFreeEx(hProcess, pszDllName,
  51. 4096, MEM_DECOMMIT);
  52. if (NULL == bReturn)
  53. {
  54. return -1;
  55. }
  56. CloseHandle(hProcess);
  57. hProcess = NULL;
  58. //恢复权限相关操作
  59. EnablePrivilege(FALSE);
  60. return 0;
  61. }

此外,我们还需要提升进程权限以便于提高注入成功率,所需API如下表所示:

OpenProcessToken 得到令牌句柄
LookupPrivilegeValue 得到权限值
AdjustTokenPrivileges 提升令牌句柄权限
  1. int CRemoteThreadInjectDLL::EnablePrivilege(bool isStart)
  2. {
  3. //1. 得到令牌句柄
  4. HANDLE  hToken = NULL;      //令牌句柄
  5. if (!OpenProcessToken( GetCurrentProcess(),
  6. TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY | TOKEN_READ,
  7. &hToken))
  8. {
  9. return FALSE;
  10. }
  11. //2. 得到特权值
  12. LUID    luid = {0};         //特权值
  13. if (!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &luid))
  14. {
  15. return FALSE;
  16. }
  17. //3. 提升令牌句柄权限
  18. TOKEN_PRIVILEGES tp = {0};  //令牌新权限
  19. tp.PrivilegeCount = 1;
  20. tp.Privileges[0].Luid = luid;
  21. tp.Privileges[0].Attributes = isStart ? SE_PRIVILEGE_ENABLED : 0;
  22. if (!AdjustTokenPrivileges(hToken, FALSE, &tp, 0, NULL, NULL))
  23. {
  24. return FALSE;
  25. }
  26. //4. 关闭令牌句柄
  27. CloseHandle(hToken);
  28. return 0;
  29. }

当要在指定的进程中加载DLL时,我们就需要过滤指定名称的进程,这时遍历进程ID并进行对比,得到所指定的进程,所需API如表所示:

CreateToolhelp32Snapshot   创建进程快照  
Process32First   第一个进程快照
Process32Next   循环下一个进程快照  
  1. DWORD CRemoteThreadInjectDLL::GetProcessId(PTCHAR pszProcessName)
  2. {
  3. HANDLE hProcess = ::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
  4. if (INVALID_HANDLE_VALUE == hProcess)
  5. {
  6. return 0;
  7. }
  8. DWORD dwProcessId = 0;
  9. PROCESSENTRY32 process32 = {0};
  10. process32.dwSize = sizeof(PROCESSENTRY32);
  11. BOOL bRetProcess = FALSE;
  12. bRetProcess = ::Process32First(hProcess, &process32);
  13. do
  14. {
  15. if (_tcscmp(pszProcessName, process32.szExeFile) == 0)
  16. {
  17. dwProcessId = process32.th32ProcessID;
  18. break;
  19. }
  20. bRetProcess = ::Process32Next(hProcess, &process32);
  21. }while (bRetProcess);
  22. ::CloseHandle(hProcess);
  23. return dwProcessId;
  24. }

远线程注入API使用较多,不易实现。但是可以批量注入和卸载,这样对于需要反复调试的注入就非常的方便。

Dll注入技术之远程线程注入的更多相关文章

  1. 远程线程注入DLL

    远程线程注入 0x00 前言 远程线程注入是一种经典的DLL注入技术.其实就是指一个新进程中另一个进程中创建线程的技术. 0x01 介绍 1.远程线程注入原理 画了一个图大致理解了下远程线程注入dll ...

  2. 安全之路 —— 借助DLL进行远程线程注入实现穿墙与隐藏进程

    简介        大多数后门或病毒要想初步实现隐藏进程,即不被像任务管理器这样典型的RING3级进程管理器找到过于明显的不明进程,其中比较著名的方法就是通过远程线程注入的方法注入将恶意进程的DLL文 ...

  3. 安全之路 —— 无DLL文件实现远程线程注入

    简介         在之前的章节中,笔者曾介绍过有关于远程线程注入的知识,将后门.dll文件注入explorer.exe中实现绕过防火墙反弹后门.但一个.exe文件总要在注入时捎上一个.dll文件着 ...

  4. 详细解读:远程线程注入DLL到PC版微信

    一.远程线程注入的原理 1.其基础是在 Windows 系统中,每个 .exe 文件在双击打开时都会加载 kernel32.dll 这个系统模块,该模块中有一个 LoadLibrary() 函数,可以 ...

  5. 远程线程注入dll,突破session 0

    前言 之前已经提到过,远线程注入和内存写入隐藏模块,今天介绍突破session 0的dll注入 其实今天写这个的主要原因就是看到倾旋大佬有篇文章提到:有些反病毒引擎限制从lsass中dump出缓存,可 ...

  6. 远程线程注入DLL突破session 0 隔离

    远程线程注入DLL突破session 0 隔离 0x00 前言 补充上篇的远程线程注入,突破系统SESSION 0 隔离,向系统服务进程中注入DLL. 0x01 介绍 通过CreateRemoteTh ...

  7. 远程线程注入方法CreateRemoteThread

    最近在整理学习Windows注入方面的知识,这个远程注入前面早写过,现在看看人家博客的理解整理,整理, 需要源码的可以到我的github上下载. 链接是  https://github.com/Ars ...

  8. DLL注入技术之依赖可信进程注入

    DLL注入技术之依赖可信进程注入 依赖可信进程注入原理是利用Windows 系统中Services.exe这个权限较高的进程,首先将a.dll远线程注入到Services.exe中,再利用a.dll将 ...

  9. windows-CODE注入(远程线程注入)

    远程线程注入(先简单说,下面会详细说)今天整理下代码注入(远程线程注入),所谓代码注入,可以简单的理解为是在指定内进程里申请一块内存,然后把我们自己的执行代码和一些变量拷贝进去(通常是以启线程的方式) ...

随机推荐

  1. 【转】Spring+Websocket实现消息的推送

    本文主要有三个步骤 1.用户登录后建立websocket连接,默认选择websocket连接,如果浏览器不支持,则使用sockjs进行模拟连接 2.建立连接后,服务端返回该用户的未读消息 3.服务端进 ...

  2. sql 链接查询

    连接查询是另一种类型的多表查询.连接查询对多个表进行JOIN运算,简单地说,就是先确定一个主表作为结果集,然后,把其他表的行有选择性地“连接”在主表结果集上. 例如,我们想要选出students表的所 ...

  3. 【LeetCode 1】两数之和

    描述 [题解] 用个map的话就是O(N)级别的了. [代码] class Solution { public: unordered_map<int,int> mymap; vector& ...

  4. Zookeeper集群介绍及其搭建

    1 Zookeeper集群简介 1为什么搭建Zookeeper集群 大部分分布式应用需要一个主控.协调器或者控制器来管理物理分布的子进程.目前,大多数都要开发私有的协调程序,缺乏一个通用机制,协调程序 ...

  5. Android Studio androidx 包冲突解决方法

    如果包冲突了会包如下这样的错: Android dependency 'androidx.core:core' has different version for the compile (1.0.0 ...

  6. docker 镜像中心搭建

    1.由于国外镜像很慢,所以用了网易蜂巢的镜像docker pull hub.c.163.com/library/registry:2.5.2本地的存储空间挂载到容器内部,持久保存镜像中心文件docke ...

  7. RocktMq安装和简单使用以及报错收集

    文章目录 安装 使用 报错 总结: rocketmq内存设置 配置brockerip 启动方式 如果往机器上部署,最好再本地看看报错吗 关于防火墙 看总结去吧 安装 准备: jdk1.8 maven ...

  8. this和super差异

    <三> this和super差异 1)super(参数):调用基类中的某一个构造函数(应该为构造函数中的第一条语句) 2)this(参数):调用本类中另一种形成的构造函数(应该为构造函数中 ...

  9. JSoup安装

    要运行任何jsoup示例,需要先安装好jsoup相关Jar包.到目前为止(2017年05月),jsoup的当前版本是1.10.2.0.安装jsoup主要有三种方法: 通过Maven的pom.xml配置 ...

  10. C# Windows服务相关

    代码及注释 ServiceController sc = new ServiceController("gupdatem"); sc.Stop();//停止服务 sc.Start( ...