由于本人也是新手,如果有朋友不懂windows api相关知识,我相信查阅书籍或者百度会比我说有帮助的多,下面就我所做简单复述一下过程,欢迎指正缺点。

效果图示如下:

做的这个例子首先是创建了一个MFC 对话框程序,然后自己创建了一个 带有导出函数 (简单的减法) 的DLL , 这个Calc按键就是调用自己DLL里面的减法函数 计算1 - 1, 其次创建一个拥有能够修改进程中某函数的入口代码功能的DLL(为什么是DLL,网上有大量详细的资料,), 然后我们还创建一个windows控制台程序 也就是 调用CreateRemoteThread  让Calc 加载我们准备好的DLL(修改函数入口代码), 因为DLL被加载时我们可以在DLLMain中指定要执行的代码。

未注入代码之前:

执行我的 注入程序createremotethread.exe 之后 如下图:

可以看到注入成功了, 注入的是什么呢? 这就是 CreateRemoteThread的作用了, 我们向Calc.exe 注入了一个线程,然后这个线程执行了LoadLibrary 函数,

我告诉Calc 要Load 我指定的 DLL, 为什么呢? 因为 我指定的这个DLL 是我们自己创建的, 它里面的函数代码能找到Calc进程中 原来sub函数的地址,然后并

修改sub函数地址处的入口代码,也就是改成 jmp xxx 使Calc 执行我们指定的代码。

最重要的CreateRemoteThread:

   HANDLE hThread;

    char szLibPath[_MAX_PATH] = "E:\\vs2010project\\InjectDll\\Release\\InjectDll.dll"; //指定注入之后目标进程要加载的DLL

    DWORD hLibModule;

    HANDLE hProcess = NULL;

    hProcess = GetProcessByName("Calc.exe");

    DWORD ERRO = GetLastError();

    if(hProcess == NULL)

        return ;

    HMODULE modHandle = GetModuleHandle(_T("Kernel32")); //因为kernel32 每一个windows程序进程空间中都有 所以让他调用LOADLIBRARY不成问题

  void* pLibRemote = VirtualAllocEx(hProcess, NULL, sizeof(szLibPath), MEM_COMMIT, PAGE_EXECUTE_READWRITE);

    LPTHREAD_START_ROUTINE addr = (LPTHREAD_START_ROUTINE)GetProcAddress(modHandle, "LoadLibraryA");

    WriteProcessMemory( hProcess, pLibRemote, (void*)szLibPath, sizeof(szLibPath), NULL);

    hThread = CreateRemoteThread(hProcess, NULL, ,

                                addr,

                                pLibRemote,

                                ,

                                NULL);

    WaitForSingleObject(hThread, INFINITE);

    CloseHandle(hThread);

根据进程名字获取进程句柄也是本例子非常关键的部分,可以通过微软提供的api 拍摄进程列表快照, 然后再遍历寻找,代码如下:

HANDLE GetProcessByName(const char* name)

{

    EnableDebugPriv();

    DWORD pid = ;

    HANDLE snapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, );

    PROCESSENTRY32 process;

    ZeroMemory(&process, sizeof(process));

    process.dwSize = sizeof(process);

    if (Process32First(snapshot, &process))

    {

        do

        {

            if( stricmp(UnicodeToAnsi(process.szExeFile), name) == )

            {

                pid = process.th32ProcessID;

                break;

            }

        }while(Process32Next(snapshot, &process));

    }

    CloseHandle(snapshot);

    if(pid != )

    {

        HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);

        return hProcess;

    }

    return NULL;

}

其中 关于 CreateRemoteThread 部分的核心代码有许多需要注意的事情 主要有 执行OPENPROCESS之前需要开启特权 代码如下:

 void EnableDebugPriv()

 {

     HANDLE hToken;

     LUID luid;

     TOKEN_PRIVILEGES tkp;

     OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken);

     LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &luid);

     tkp.PrivilegeCount = ;

     tkp.Privileges[].Luid = luid;

     tkp.Privileges[].Attributes = SE_PRIVILEGE_ENABLED;

     AdjustTokenPrivileges(hToken, false, &tkp, sizeof(tkp), NULL, NULL);

     CloseHandle(hToken);

 }

接下来我们就可以调用openprocess 打开目标进程 进行进一步的操作(调用CreateRemoteThread)达到使目标进程加载我们指定DLL,进而指定DLL被加载时能执行指定代码。

最后 关于修改进程中 导入 dll 中的函数的入口处代码 的代码如下:

BYTE NewCode[]; //用来替换原入口代码的字节 (jmp xxxx)

typedef int (_cdecl* getsub)(int x,int y);    //typedef 比较少的用法 能定一个函数指针类型 即getsub

getsub mySub = NULL; //用新定义的类型定义一个变量

FARPROC pfar_sub;   //指向mySub函数的远指针

HANDLE hProcess = NULL; //所处进程的句柄

DWORD pid;    //所处进程ID

//修改mySub入口处代码

void modify()

{

    assert(hProcess != NULL);

    DWORD dwTemp=;

    DWORD dwOldProtect;

    VirtualProtectEx(hProcess, pfar_sub, , PAGE_READWRITE, &dwOldProtect); //将内存保护模式改为可读写,原保护模式保存入dwOldProtect

    WriteProcessMemory(hProcess, pfar_sub, NewCode, , );

    VirtualProtectEx(hProcess, pfar_sub, , dwOldProtect, &dwTemp); //恢复内存保护模式

}

int new_sub(int x,int y)

{

    return ;

}

int inject()

{

    DWORD dwPid = ::GetCurrentProcessId();

    hProcess = OpenProcess(PROCESS_ALL_ACCESS, , dwPid); 

    int addr_farpointer = ;

    //获取My_sub()函数地址

    HMODULE hmod = ::LoadLibrary(_T("E:\\vs2010project\\My_Sub\\Debug\\My_Sub.dll"));

    mySub = (getsub)::GetProcAddress(hmod, "mySub");

    pfar_sub=(FARPROC)mySub;

    addr_farpointer = (int)pfar_sub;

    if (pfar_sub == NULL)

    {

        MessageBox(NULL, TEXT("locate mySub failed!!"), TEXT("info"), MB_OK);

        return FALSE;

    }

    NewCode[] = 0xe9;//0xe9 == jmp

    _asm

    {

        lea eax, new_sub

        mov ebx, pfar_sub

        sub eax, ebx

        sub eax,

        mov dword ptr [NewCode + ],eax

    } 

    modify();

    MessageBox(NULL, TEXT("Modified SUCCESSFULLY!!"), TEXT("info"), MB_OK);

    return TRUE;

}

整体流程清楚了实践应该没啥问题(还是需要折腾的, 折腾也是进步的过程)。

附上主要工程文件链接 http://pan.baidu.com/s/1dD4WhZN

使用CreateRemoteThread把代码远程注入指定exe执行的更多相关文章

  1. windows:shellcode 代码远程APC注入和加载

    https://www.cnblogs.com/theseventhson/p/13197776.html  上一章介绍了通用的shellcode加载器,这个加载器自己调用virtualAlloc分配 ...

  2. WinAPI【远程注入】三种注入方案【转】

    来源:http://www.cnblogs.com/okwary/archive/2008/12/20/1358788.html 导言: 我 们在Code project(www.codeprojec ...

  3. HOOK -- DLL的远程注入技术详解(1)

    DLL的远程注入技术是目前Win32病毒广泛使用的一种技术.使用这种技术的病毒体通常位于一个DLL中,在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)中运 ...

  4. [转]远程注入DLL : 取得句柄的令牌 OpenProcessToken()

    http://hi.baidu.com/43755979/blog/item/3ac19711ea01bdc4a6ef3f6a.html 要对一个任意进程(包括系统安全进程和服务进程)进行指定了写相关 ...

  5. DLL的远程注入技术

    DLL的远程注入技术是目前Win32病毒广泛使用的一种技术.使用这种技术的病毒体通常位于一个DLL中,在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)中运 ...

  6. 将DLL挂接到远程进程之中(远程注入)

    线程的远程注入 要实现线程的远程注入必须使用Windows提供的CreateRemoteThread函数来创建一个远程线程该函数的原型如下:HANDLE CreateRemoteThread(    ...

  7. 【技巧总结】Penetration Test Engineer[3]-Web-Security(SQL注入、XXS、代码注入、命令执行、变量覆盖、XSS)

    3.Web安全基础 3.1.HTTP协议 1)TCP/IP协议-HTTP 应用层:HTTP.FTP.TELNET.DNS.POP3 传输层:TCP.UDP 网络层:IP.ICMP.ARP 2)常用方法 ...

  8. DLL远程注入实例

    一般情况下,每个进程都有自己的私有空间,理论上,别的进程是不允许对这个私人空间进行操作的,但是,我们可以利用一些方法进入这个空间并进行操作,将自己的代码写入正在运行的进程中,于是就有了远程注入了. 对 ...

  9. 在Eclipse中运行JAVA代码远程操作HBase的示例

    在Eclipse中运行JAVA代码远程操作HBase的示例 分类: 大数据 2014-03-04 13:47 3762人阅读 评论(2) 收藏 举报 下面是一个在Windows的Eclipse中通过J ...

随机推荐

  1. java线程(7)——阻塞队列BlockingQueue

    回顾: 阻塞队列,英文名叫BlockingQueue.首先他是一种队列,联系之前Java基础--集合中介绍的Queue与Collection,我们就很容易开始今天的阻塞队列的学习了.来看一下他们的接口 ...

  2. [Java] 各种常用函数

    1.writeInt()和readInt() 这两个函数并不是写入一个整数,读取一个整数.它们实际上是写入4个字节,读取4个字节. writeInt(int i)把i按四个字节,二进制形式写到输出流里 ...

  3. LeetCode -- 3SumCloset

    Question: Given an array S of n integers, find three integers in S such that the sum is closest to a ...

  4. hbase(0.94) get、scan源码分析

    简介 本文是需要用到hbase timestamp性质时研究源码所写.内容有一定侧重.且个人理解不算深入,如有错误请不吝指出. 如何看源码 hbase依赖很重,没有独立的client包.所以目前如果在 ...

  5. EOS docker开发环境

    EOS Wiki提供了有关如何使用docker容器编译最新版本代码的说明.但可能有它自己的一些问题,因此我们鼓励你在学习时引用下面镜像.这样最初会更容易,更快. 如果你还没有安装docker,请在此处 ...

  6. 为什么比IPVS的WRR要好?

    动机 五一临近,四月也接近尾声,五一节乃小长假的最后一天.今天是最后一天工作日,竟然感冒了,半夜里翻来覆去无法安睡,加上窗外大飞机屋里小飞机(也就是蚊子)的骚扰,实在是必须起来做点有意义的事了!    ...

  7. 关于 WizTools.org RESTClient的使用

    今天分享一个很好用的测试service的工具,很好用 提供两种方法使用这个东东. 第一种方法 通过cmd命令窗口. (1)cd C:\Users\li_weifeng\Desktop\c4d2(文件存 ...

  8. ViBe(Visual Background extractor)背景建模或前景检测

    ViBe算法:ViBe - a powerful technique for background detection and subtraction in video sequences 算法官网: ...

  9. HNOI2002 彩票 [搜索]

    题目描述 某地发行一套彩票.彩票上写有1到M这M个自然数.彩民可以在这M个数中任意选取N个不同的数打圈.每个彩民只能买一张彩票,不同的彩民的彩票上的选择不同. 每次抽奖将抽出两个自然数X和Y.如果某人 ...

  10. Codeforces Round #487 (Div. 2) A Mist of Florescence (暴力构造)

    C. A Mist of Florescence time limit per test 1 second memory limit per test 256 megabytes input stan ...