DLL:

// dllmain.cpp : Defines the entry point for the DLL application.

#include "stdafx.h"

#include <Windows.h>

#include <stdio.h>

INT APIENTRY DllMain(HMODULE hDLL, DWORD Reason, LPVOID Reserved) {

    /* open file */

    FILE *file;

    fopen_s(&file, "D:\\Case Folders\\2019-11-27\\CreateRemoteThread\\temp.txt", "a+");

    switch (Reason) {

    case DLL_PROCESS_ATTACH:

        fprintf(file, "DLL attach function called.\n");

        break;

    case DLL_PROCESS_DETACH:

        fprintf(file, "DLL detach function called.\n");

        break;

    case DLL_THREAD_ATTACH:

        fprintf(file, "DLL thread attach function called.\n");

        break;

    case DLL_THREAD_DETACH:

        fprintf(file, "DLL thread detach function called.\n");

        break;

    }

    /* close file */

    fclose(file);

    return TRUE;

}

CreateRemoteThread program:

#include <Windows.h>

#include <stdio.h>

#include <iostream>

#include <TlHelp32.h>

#include <tchar.h>

bool Inject(DWORD pId, const char *dllName)

{

    HANDLE h = OpenProcess(PROCESS_ALL_ACCESS, false, pId);

    if (h)

    {

        LPVOID LoadLibAddr = (LPVOID)GetProcAddress(GetModuleHandleA("kernel32.dll"), "LoadLibraryA");

        LPVOID dereercomp = VirtualAllocEx(h, NULL, strlen(dllName), MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);

        WriteProcessMemory(h, dereercomp, dllName, strlen(dllName), NULL);

        HANDLE asdc = CreateRemoteThread(h, NULL, NULL, (LPTHREAD_START_ROUTINE)LoadLibAddr, dereercomp, , NULL);

        if (asdc == NULL) {

            printf("Error: the remote thread could not be created.\n");

        }

        else {

            printf("Success: the remote thread was successfully created.\n");

        }

        WaitForSingleObject(asdc, INFINITE);

        VirtualFreeEx(h, dereercomp, strlen(dllName), MEM_RELEASE);

        CloseHandle(asdc);

        CloseHandle(h);

        return true;

    }

    return false;

}

int _tmain(int argc, _TCHAR* argv[]) {

    const char* buffer = "D:\\Case Folders\\2019-11-27\\CreateRemoteThread\\inject\\Debug\\inject.dll";

    /*

    * Get process handle passing in the process ID.

    */

    int procID = ;

    Inject(, "D:\\Case Folders\\2019-11-27\\CreateRemoteThread\\inject\\Debug\\inject.dll");

    //HANDLE process = OpenProcess(PROCESS_ALL_ACCESS, FALSE, procID);

    //if (process == NULL) {

    //    printf("Error: the specified process couldn't be found.\n");

    //}

    ///*

    //* Get address of the LoadLibrary function.

    //*/

    //LPVOID addr = (LPVOID)GetProcAddress(GetModuleHandle(L"kernel32.dll"), "LoadLibraryA");

    //if (addr == NULL) {

    //    printf("Error: the LoadLibraryA function was not found inside kernel32.dll library.\n");

    //}

    ///*

    //* Allocate new memory region inside the process's address space.

    //*/

    //LPVOID arg = (LPVOID)VirtualAllocEx(process, NULL, strlen(buffer), MEM_RESERVE | MEM_COMMIT, PAGE_READWRITE);

    //if (arg == NULL) {

    //    printf("Error: the memory could not be allocated inside the chosen process.\n");

    //}

    ///*

    //* Write the argument to LoadLibraryA to the process's newly allocated memory region.

    //*/

    //int n = WriteProcessMemory(process, arg, buffer, strlen(buffer), NULL);

    //if (n == 0) {

    //    printf("Error: there was no bytes written to the process's address space.\n");

    //}

    ///*

    //* Inject our DLL into the process's address space.

    //*/

    //HANDLE threadID = CreateRemoteThread(process, NULL, 0, (LPTHREAD_START_ROUTINE)addr, arg, NULL, NULL);

    //int err = GetLastError();

    //if (threadID == NULL) {

    //    printf("Error: the remote thread could not be created.\n");

    //}

    //else {

    //    printf("Success: the remote thread was successfully created.\n");

    //}

    /*

    * Close the handle to the process, becuase we've already injected the DLL.

    */

    //CloseHandle(process);

    getchar();

    return ;

}

检查被插入的进程是否包含inject.dll

#include <windows.h>

#include <Tlhelp32.h>

#include <iostream>

#include <vector>

#include <string>

using namespace std;

typedef basic_string<TCHAR, char_traits<TCHAR>, allocator<TCHAR> > tstring;

int ProcessModule(DWORD);

int CheckProcessModule(DWORD pid);

BOOL IsModuleValid(tstring szModuleName);

int dwCount = ;

vector<tstring> patch;

vector<tstring> checkpatch;

int main(void)

{

    //进程创建完毕后的模块快照

    ProcessModule();

    cout << "******************当前模块*****************" << endl;

    for (int i = ; i < patch.size(); i++)

    {

        cout << patch[i].c_str() << endl;

    }

    cout << endl << endl;

    LoadLibrary(TEXT("user32.dll"));//加载user32.dll测试

    HANDLE hStdout = GetStdHandle(STD_OUTPUT_HANDLE);

    SetConsoleTextAttribute(hStdout, FOREGROUND_GREEN | FOREGROUND_INTENSITY);

    //检测是否存在不同的模块

//    CheckProcessModule(GetCurrentProcessId());

    cout << "******************检测模块*****************" << endl;

    for (int j = ; j < checkpatch.size(); j++)

    {

        cout << checkpatch[j].c_str() << endl;;

    }

    cout << endl << endl;

    if (patch.size() == checkpatch.size())

    {

        cout << "没有检测到注入模块" << endl;

    }

    return ;

}

//获取进程模块

int ProcessModule(DWORD pid)

{

    HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, pid);

    if (hProcessSnap)

    {

        MODULEENTRY32 me32;

        me32.dwSize = sizeof(MODULEENTRY32);

        Module32First(hProcessSnap, &me32);//获取进程第一个模块信息

        do

        {

            patch.push_back(me32.szModule);

            //printf("模块路径:%s\n",me32.szExePath);

            //printf("模块名:%s\n",me32.szModule);

            //printf("模块基址:0x%08X\n",(DWORD)me32.modBaseAddr);

        } while (Module32Next(hProcessSnap, &me32));

        CloseHandle(hProcessSnap);

        return ;

    }

    else

    {

        cout << "获取进程快照失败" << endl;;

        return ;

    }

    return ;

}

int CheckProcessModule(DWORD pid)

{

    HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, pid);

    if (hProcessSnap)

    {

        MODULEENTRY32 me32;

        me32.dwSize = sizeof(MODULEENTRY32);

        Module32First(hProcessSnap, &me32);//获取进程第一个模块信息

        do

        {

            checkpatch.push_back(me32.szModule);

            if (!IsModuleValid(me32.szModule))

            {

                cout << "[可疑模块]:" << me32.szExePath << endl;

                dwCount++;

            }

            //printf("模块路径:%s\n",me32.szExePath);

            //printf("模块名:%s\n",me32.szModule);

            //printf("模块基址:0x%08X\n",(DWORD)me32.modBaseAddr);

        } while (Module32Next(hProcessSnap, &me32));

        CloseHandle(hProcessSnap);

        if (dwCount)

        {

            cout << "可疑模块数:" << dwCount << endl;

        }

        return ;

    }

    else

    {

        cout << "获取进程快照失败" << endl;

        return ;

    }

    return ;

}

BOOL IsModuleValid(tstring szModuleName)

{

    // 遍历起始状态的模块列表

    for (int i = ; i < patch.size(); i++)

    {

        if (patch[i] == szModuleName)

            return TRUE;

    }

    return FALSE;

}

部分解释:

介绍将用于将DLL注入到进程的地址空间中的整个过程。为了清楚地表明我们将要执行的操作,请看下面的图片,在该图片中,我们将向其中注入DLL的过程标有紫色,并命名为受害者。但是,我们需要澄清另外两个难题。首先,我们需要确定如果要将DLL注入到某个进程中,则必须首先拥有要注入的DLL。DLL以绿色呈现,并具有名称inject.dll。但是我们还必须有一个程序,该程序会将DLL注入受害者的地址空间。该程序以蓝色显示,名称为program.exe。

为了能够将DLL注入受害者的地址空间,program.exe必须顺序调用提供的函数。首先,它必须调用OpenProcess来获取受害者进程的句柄。之后,它必须调用GetProcAddress函数来获取kernel32.dll库中LoadLibraryA函数的地址。在这里,我们可以运行任何我们喜欢的函数,但是它必须存在于DLL中,该DLL已经加载在进程的地址空间中。我们知道每个程序都使用kernel32.dll库,因此将DLL注入到进程的地址空间中的最佳方法是查找LoadLibraryA函数并调用它。为了加载DLL,我们必须将DLL路径传递给LoadLibraryA函数,但是该名称需要存储在进程地址空间内的某个位置。明显,DLL的路径已经不太可能出现在进程的地址空间中,这就是为什么我们需要接下来的两个函数:VirtualAllocEx和WriteProcessMemory。第一个函数在进程的地址空间内分配一个新的内存范围。该内存区域的大小仅需要大到适合其内部DLL的名称即可;通常将大小四舍五入以占据至少一页。WriteProcessMemory是实际上将DLL的路径写入受害者的地址空间的函数。最后,调用CreateRemoteThread,该调用在受害者的地址空间内调用LoadLibraryA函数以向其中注入DLL。

更多信息请参考:https://resources.infosecinstitute.com/using-createremotethread-for-dll-injection-on-windows/#gref

使用CreateRemoteThread注入DLL的更多相关文章

  1. CreateRemoteThread注入DLL

    DLL注入的常用方式之一远程线程注入,实现代码如下 // CreateRemoteThread.cpp : Defines the entry point for the application.// ...

  2. N种内核注入DLL的思路及实现

    内核注入,技术古老但很实用.现在部分RK趋向无进程,玩的是SYS+DLL,有的无文件,全部存在于内存中.可能有部分人会说:"都进内核了.什么不能干?".是啊,要是内核中可以做包括R ...

  3. [转]N种内核注入DLL的思路及实现

    内核注入,技术古老但很实用.现在部分RK趋向无进程,玩的是SYS+DLL,有的无文件,全部存在于内存中.可能有部分人会说:“都进内核了.什么不能干?”.是啊,要是内核中可以做包括R3上所有能做的事,软 ...

  4. Windows x86/ x64 Ring3层注入Dll总结

    欢迎转载,转载请注明出处:http://www.cnblogs.com/uAreKongqi/p/6012353.html 0x00.前言 提到Dll的注入,立马能够想到的方法就有很多,比如利用远程线 ...

  5. 【windows核心编程】使用远程线程注入DLL

    前言 该技术是指通过在[目标进程]中创建一个[远程线程]来达到注入的目的. 创建的[远程线程]函数为LoadLibrary, 线程函数的参数为DLL名字, 想要做的工作在DLL中编写.  示意图如下: ...

  6. [C#] - 注入DLL

    原文:http://xyzlht.blog.163.com/blog/static/69301417200882834211787/ ) { MessageBox.Show("创建远程线程失 ...

  7. Wow64(32位进程)注入DLL到64位进程

    转载自: https://blog.poxiao.me/p/wow64-process-inject-dll-into-x64-process/ 向其他进程注入DLL通常的做法是通过调用CreateR ...

  8. 详细解读:远程线程注入DLL到PC版微信

    一.远程线程注入的原理 1.其基础是在 Windows 系统中,每个 .exe 文件在双击打开时都会加载 kernel32.dll 这个系统模块,该模块中有一个 LoadLibrary() 函数,可以 ...

  9. 使用远程线程来注入DLL

    使用远程线程来注入DLL DLL注入技术要求我们目标进程中的一个线程调用LoadLibrary来载入我们想要的DLL (1)用OpenProcess函数打开目标进程(2)用VirtualAllocEx ...

随机推荐

  1. eclipse下写html

    3.创建静态web工程 打开eclipse,选择file,new project 或者 new other...,选择web项中的static web project ,next. 输入你的项目名,如 ...

  2. 并发编程之原子Atomic&Unsafe

    1.原子更新基本类型类   用于通过原子的方式更新基本类型,Atomic包提供了以下三个类: AtomicBoolean:原子更新布尔类型. AtomicInteger:原子更新整型. AtomicL ...

  3. 重学Python - Day 07 - python基础 -> linux命令行学习 -- 常用命令 一

    常用命令和使用方法如下: man man 命令 #可以查询命令的用法 cat 和 tac cat是正序显示文件内容 tac是倒叙显示文件内容 sort 对文件内容排序 uniq 忽略文件中重复行 hi ...

  4. pytorch中的激励函数(详细版)

          初学神经网络和pytorch,这里参考大佬资料来总结一下有哪些激活函数和损失函数(pytorch表示)      首先pytorch初始化:   import torch import t ...

  5. python+selenium显示等待、隐式等待和强制等待的区别

    在实际使用selenium或者appium时,等待下个等待定位的元素出现,特别是web端加载的过程,都需要用到等待,而等待方式的设置是保证脚本稳定有效运行的一个非常重要的手段,在selenium中(a ...

  6. 一篇文章搞懂python2、3编码

    说在前边: 编码问题一直困扰着每一个程序员的编程之路,如果不将它彻底搞清楚,那么你的的这条路一定会走的格外艰辛,尤其是针对使用python的程序员来说,这一问题更加显著, 因为python有两个版本, ...

  7. 从入门到自闭之Python整型,字符串以及for循环

    Day 01 整型: 对比: 在python 2 版本中有整型,长整型long 在python 3 版本中全部都是整型 用于计算和比较 整型和布尔值的转换 二进制转换成十进制: ​ print (in ...

  8. js判断设备,跳转app应用、android市场或者AppStore

    js移动设备判断方法大全 <!DOCTYPE html> <html> <head> <meta charset="UTF-8" > ...

  9. zabbix-3.4.6安装

    先安装myql和phpmysql5.7.17: http://www.cnblogs.com/cjsblogs/p/8116782.htmlphp7.2.1: http://www.cnblogs.c ...

  10. Codeforces 1201D. Treasure Hunting

    传送门 看一眼感觉就是 $dp$,但是似乎状态太多了 考虑推推性质 首先每到一行都要把所有宝藏都走到,那么一定会走到最左边的和最右边的宝藏 注意到一旦走完所有宝藏时肯定是在最左边或者最右边的宝藏位置 ...