由于本人也是新手,如果有朋友不懂windows api相关知识,我相信查阅书籍或者百度会比我说有帮助的多,下面就我所做简单复述一下过程,欢迎指正缺点。

效果图示如下:

做的这个例子首先是创建了一个MFC 对话框程序,然后自己创建了一个 带有导出函数 (简单的减法) 的DLL , 这个Calc按键就是调用自己DLL里面的减法函数 计算1 - 1, 其次创建一个拥有能够修改进程中某函数的入口代码功能的DLL(为什么是DLL,网上有大量详细的资料,), 然后我们还创建一个windows控制台程序 也就是 调用CreateRemoteThread  让Calc 加载我们准备好的DLL(修改函数入口代码), 因为DLL被加载时我们可以在DLLMain中指定要执行的代码。

未注入代码之前:

执行我的 注入程序createremotethread.exe 之后 如下图:

可以看到注入成功了, 注入的是什么呢? 这就是 CreateRemoteThread的作用了, 我们向Calc.exe 注入了一个线程,然后这个线程执行了LoadLibrary 函数,

我告诉Calc 要Load 我指定的 DLL, 为什么呢? 因为 我指定的这个DLL 是我们自己创建的, 它里面的函数代码能找到Calc进程中 原来sub函数的地址,然后并

修改sub函数地址处的入口代码,也就是改成 jmp xxx 使Calc 执行我们指定的代码。

最重要的CreateRemoteThread:

   HANDLE hThread;

    char szLibPath[_MAX_PATH] = "E:\\vs2010project\\InjectDll\\Release\\InjectDll.dll"; //指定注入之后目标进程要加载的DLL

    DWORD hLibModule;

    HANDLE hProcess = NULL;

    hProcess = GetProcessByName("Calc.exe");

    DWORD ERRO = GetLastError();

    if(hProcess == NULL)

        return ;

    HMODULE modHandle = GetModuleHandle(_T("Kernel32")); //因为kernel32 每一个windows程序进程空间中都有 所以让他调用LOADLIBRARY不成问题

  void* pLibRemote = VirtualAllocEx(hProcess, NULL, sizeof(szLibPath), MEM_COMMIT, PAGE_EXECUTE_READWRITE);

    LPTHREAD_START_ROUTINE addr = (LPTHREAD_START_ROUTINE)GetProcAddress(modHandle, "LoadLibraryA");

    WriteProcessMemory( hProcess, pLibRemote, (void*)szLibPath, sizeof(szLibPath), NULL);

    hThread = CreateRemoteThread(hProcess, NULL, ,

                                addr,

                                pLibRemote,

                                ,

                                NULL);

    WaitForSingleObject(hThread, INFINITE);

    CloseHandle(hThread);

根据进程名字获取进程句柄也是本例子非常关键的部分,可以通过微软提供的api 拍摄进程列表快照, 然后再遍历寻找,代码如下:

HANDLE GetProcessByName(const char* name)

{

    EnableDebugPriv();

    DWORD pid = ;

    HANDLE snapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, );

    PROCESSENTRY32 process;

    ZeroMemory(&process, sizeof(process));

    process.dwSize = sizeof(process);

    if (Process32First(snapshot, &process))

    {

        do

        {

            if( stricmp(UnicodeToAnsi(process.szExeFile), name) == )

            {

                pid = process.th32ProcessID;

                break;

            }

        }while(Process32Next(snapshot, &process));

    }

    CloseHandle(snapshot);

    if(pid != )

    {

        HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);

        return hProcess;

    }

    return NULL;

}

其中 关于 CreateRemoteThread 部分的核心代码有许多需要注意的事情 主要有 执行OPENPROCESS之前需要开启特权 代码如下:

 void EnableDebugPriv()

 {

     HANDLE hToken;

     LUID luid;

     TOKEN_PRIVILEGES tkp;

     OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken);

     LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &luid);

     tkp.PrivilegeCount = ;

     tkp.Privileges[].Luid = luid;

     tkp.Privileges[].Attributes = SE_PRIVILEGE_ENABLED;

     AdjustTokenPrivileges(hToken, false, &tkp, sizeof(tkp), NULL, NULL);

     CloseHandle(hToken);

 }

接下来我们就可以调用openprocess 打开目标进程 进行进一步的操作(调用CreateRemoteThread)达到使目标进程加载我们指定DLL,进而指定DLL被加载时能执行指定代码。

最后 关于修改进程中 导入 dll 中的函数的入口处代码 的代码如下:

BYTE NewCode[]; //用来替换原入口代码的字节 (jmp xxxx)

typedef int (_cdecl* getsub)(int x,int y);    //typedef 比较少的用法 能定一个函数指针类型 即getsub

getsub mySub = NULL; //用新定义的类型定义一个变量

FARPROC pfar_sub;   //指向mySub函数的远指针

HANDLE hProcess = NULL; //所处进程的句柄

DWORD pid;    //所处进程ID

//修改mySub入口处代码

void modify()

{

    assert(hProcess != NULL);

    DWORD dwTemp=;

    DWORD dwOldProtect;

    VirtualProtectEx(hProcess, pfar_sub, , PAGE_READWRITE, &dwOldProtect); //将内存保护模式改为可读写,原保护模式保存入dwOldProtect

    WriteProcessMemory(hProcess, pfar_sub, NewCode, , );

    VirtualProtectEx(hProcess, pfar_sub, , dwOldProtect, &dwTemp); //恢复内存保护模式

}

int new_sub(int x,int y)

{

    return ;

}

int inject()

{

    DWORD dwPid = ::GetCurrentProcessId();

    hProcess = OpenProcess(PROCESS_ALL_ACCESS, , dwPid); 

    int addr_farpointer = ;

    //获取My_sub()函数地址

    HMODULE hmod = ::LoadLibrary(_T("E:\\vs2010project\\My_Sub\\Debug\\My_Sub.dll"));

    mySub = (getsub)::GetProcAddress(hmod, "mySub");

    pfar_sub=(FARPROC)mySub;

    addr_farpointer = (int)pfar_sub;

    if (pfar_sub == NULL)

    {

        MessageBox(NULL, TEXT("locate mySub failed!!"), TEXT("info"), MB_OK);

        return FALSE;

    }

    NewCode[] = 0xe9;//0xe9 == jmp

    _asm

    {

        lea eax, new_sub

        mov ebx, pfar_sub

        sub eax, ebx

        sub eax,

        mov dword ptr [NewCode + ],eax

    } 

    modify();

    MessageBox(NULL, TEXT("Modified SUCCESSFULLY!!"), TEXT("info"), MB_OK);

    return TRUE;

}

整体流程清楚了实践应该没啥问题(还是需要折腾的, 折腾也是进步的过程)。

附上主要工程文件链接 http://pan.baidu.com/s/1dD4WhZN

使用CreateRemoteThread把代码远程注入指定exe执行的更多相关文章

  1. windows:shellcode 代码远程APC注入和加载

    https://www.cnblogs.com/theseventhson/p/13197776.html  上一章介绍了通用的shellcode加载器,这个加载器自己调用virtualAlloc分配 ...

  2. WinAPI【远程注入】三种注入方案【转】

    来源:http://www.cnblogs.com/okwary/archive/2008/12/20/1358788.html 导言: 我 们在Code project(www.codeprojec ...

  3. HOOK -- DLL的远程注入技术详解(1)

    DLL的远程注入技术是目前Win32病毒广泛使用的一种技术.使用这种技术的病毒体通常位于一个DLL中,在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)中运 ...

  4. [转]远程注入DLL : 取得句柄的令牌 OpenProcessToken()

    http://hi.baidu.com/43755979/blog/item/3ac19711ea01bdc4a6ef3f6a.html 要对一个任意进程(包括系统安全进程和服务进程)进行指定了写相关 ...

  5. DLL的远程注入技术

    DLL的远程注入技术是目前Win32病毒广泛使用的一种技术.使用这种技术的病毒体通常位于一个DLL中,在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)中运 ...

  6. 将DLL挂接到远程进程之中(远程注入)

    线程的远程注入 要实现线程的远程注入必须使用Windows提供的CreateRemoteThread函数来创建一个远程线程该函数的原型如下:HANDLE CreateRemoteThread(    ...

  7. 【技巧总结】Penetration Test Engineer[3]-Web-Security(SQL注入、XXS、代码注入、命令执行、变量覆盖、XSS)

    3.Web安全基础 3.1.HTTP协议 1)TCP/IP协议-HTTP 应用层:HTTP.FTP.TELNET.DNS.POP3 传输层:TCP.UDP 网络层:IP.ICMP.ARP 2)常用方法 ...

  8. DLL远程注入实例

    一般情况下,每个进程都有自己的私有空间,理论上,别的进程是不允许对这个私人空间进行操作的,但是,我们可以利用一些方法进入这个空间并进行操作,将自己的代码写入正在运行的进程中,于是就有了远程注入了. 对 ...

  9. 在Eclipse中运行JAVA代码远程操作HBase的示例

    在Eclipse中运行JAVA代码远程操作HBase的示例 分类: 大数据 2014-03-04 13:47 3762人阅读 评论(2) 收藏 举报 下面是一个在Windows的Eclipse中通过J ...

随机推荐

  1. pptp协议的工作原理

    我的工作机是A,通信网卡是Aeth0, Appp0: 然后我的云主机是B, 通信的网卡是Beth0, Bppp0: 在网卡Bppp0上会不断地很清晰的数据包: 16:40:39.522917 IP 6 ...

  2. [HDU6304][数学] Chiaki Sequence Revisited-杭电多校2018第一场G

    [HDU6304][数学] Chiaki Sequence Revisited -杭电多校2018第一场G 题目描述 现在抛给你一个数列\(A\) \[ a_n=\begin{cases}1 & ...

  3. Linux 常用命令记录(学习笔记)

    不同机器间文件传输(转自:http://www.zhimengzhe.com/mac/323324.html) scp是什么? scp是secure copy的简写,用于在Linux下进行远程拷贝文件 ...

  4. sublime text : The emmet plugin doesn't work when tab key was pressed

    Today, I switched my sublime text to version 3. And then I found that  the emmet plugin doesn't work ...

  5. POJ1182:食物链(并查集)

    食物链 Time Limit: 1000MS   Memory Limit: 10000K Total Submissions: 94930   Accepted: 28666 Description ...

  6. HDU1166 敌兵布阵(树状数组实现

    敌兵布阵 Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 65536/32768 K (Java/Others)Total Submis ...

  7. oracle的rownum使用

    对于rownum来说它是Oracle系统顺序分配为从查询返回的行的编号,返回的第一行分配的是1,第二行是2,依此类推,这个伪字段可以用于限制查询返回的总行数,且rownum不能以任何表的名称作为前缀. ...

  8. hadoop更换硬盘

    hadoop服务器更换硬盘操作步骤(datanode hadoop目录${HADOOP_HOME}/bin    日志位置:/var/log/hadoop)1.登陆服务器,切换到mapred用户,执行 ...

  9. 学习python类

    类:Python 类提供了面向对象编程的所有基本特征: 允许多继承的类继承机制, 派生类可以重写它父类的任何方法, 一个方法可以调用父类中重名的方法. 对象可以包含任意数量和类型的数据成员. 作为模块 ...

  10. CSS盒模型之margin解析

    原文链接:http://www.jianshu.com/p/ccb534e9b588 文章分为: margin的使用 margin的叠压现象 margin的子债父偿现象 一.margin的使用 HTM ...