钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。总感觉这是windows留下来的应用程序的后门之类的吧。

  第一次接触这个,是刚来新公司,领导给了我一个任务,需要监听另外一个系统从串口获取的数据,之前也做过一些串口编程之类的。经过长时间的调研(google),才知道串口是独占的,虽然CreateFile 有参数是否独占,但是windows 规定串口只能独占,所以即使你设置共享模式,也没用。这就有问题了,人家CNS系统在占用串口,我怎么用。当时查询资料说是用钩子,但是查了好久,网上大都是不是勾键盘,就是勾MessageBox。机制如我,想到了既然可以勾MessageBox ,那就一定能勾住ReadFile,这两货都是windows API 。 所以当时就这么干了。

  网上有很多方法,有的需要更改导入表之类的,太高深了,幸好微软自己提供了专门的库叫Detours,这个东西就可以勾住任何的windows API ,大喜,经过测试之后,果然可以。不过又有了新问题,我需要注入到其他应用程序啊,怎么办,有个CreateRemoteThread这个函数可以做到,从字面意思看,就是创建一个远程线程,又喜,开始埋头找这个函数的用法之类的,当然中途也遇到了诸如提权 之类的新问题。不过Google是个好东西。不过这种方式呢需要将我们的程序封装成dll的形式,然后才能加载。

BOOL EnableDebugPrivilege();

DWORD GetTargetProcessID(const char *processExeName)

{

    if(!EnableDebugPrivilege()){

        printf("EnableDebugPrivilege faild\n");

    }

    if (processExeName == NULL) {

        return ;

    }  

    HANDLE hSnapshot;  

    hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, );

    if (INVALID_HANDLE_VALUE == hSnapshot) {

        printf("%d\n", GetLastError());

        return ;

    }  

    PROCESSENTRY32 pe;

    BOOL bRet = FALSE;  

    pe.dwSize = sizeof (PROCESSENTRY32);

    bRet = Process32First(hSnapshot, &pe);

    while (bRet) {

        _bstr_t b(pe.szExeFile);

        const char* c = b;

        if (strstr(processExeName, c)) {

            return pe.th32ProcessID;

        } else {

            ZeroMemory(&pe, sizeof (PROCESSENTRY32));

            pe.dwSize = sizeof (PROCESSENTRY32);

            bRet = Process32Next(hSnapshot, &pe);

        }

    }  

    return ;

}

BOOL  EnableDebugPrivilege()

{

    HANDLE hSnap;

    HANDLE hkernel32 = NULL;    //被注入进程的句柄

    PROCESSENTRY32 pe;

    BOOL bNext;

    HANDLE hToken;

    TOKEN_PRIVILEGES tp;

    LUID Luid;

    LPVOID p;

    FARPROC pfn;

    if (!OpenProcessToken(GetCurrentProcess(),TOKEN_ALL_ACCESS_P,&hToken))

    {

        printf("Warning:提升权限失败\n");

        system("pause");

        return ;

    }

    if (!LookupPrivilegeValue(NULL,SE_DEBUG_NAME,&Luid))

    {

        printf("Warning:提升权限失败\n");

        system("pause");

        return ;

    }

    tp.PrivilegeCount = ;

    tp.Privileges[].Attributes = SE_PRIVILEGE_ENABLED;

    tp.Privileges[].Luid = Luid;

    if (!AdjustTokenPrivileges(hToken,,&tp,sizeof(TOKEN_PRIVILEGES),NULL,NULL))

    {

        printf("Warning:提升权限失败\n");

        system("pause");

        return ;

    }

    return ;

}

BOOL InjectDll(const char *DllFullPath, const DWORD dwRemoteProcessId)

{

    if (DllFullPath == NULL) {

        return FALSE;

    }

    if (dwRemoteProcessId <= ) {

        return FALSE;

    }

    HANDLE hRemoteProcess;  

    hRemoteProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwRemoteProcessId);

    if (NULL == hRemoteProcess) {

        printf("Warning:OpenProcess:%d\n", GetLastError());

        return FALSE;

    }  

    char *pRemoteAddr;

    int len = strlen(DllFullPath) + ;

    pRemoteAddr = (char *)VirtualAllocEx(hRemoteProcess, NULL, len, MEM_COMMIT, PAGE_READWRITE);

    if (NULL == pRemoteAddr) {

        printf("Warning:VirtualAllocEx:%d\n", GetLastError());

        goto error;

    }  

    if (!WriteProcessMemory(hRemoteProcess, pRemoteAddr, DllFullPath, len, NULL)) {

        printf("Warning:WriteProcessMemory:%d\n", GetLastError());

        goto error;

    }  

    HMODULE hModule;

    char LoadLibraryA[] = "LoadLibraryA";  

    hModule = GetModuleHandle("kernel32.dll");  

    FARPROC LoadLibraryAAddr;

    LoadLibraryAAddr = GetProcAddress(hModule, LoadLibraryA);

    if (NULL == LoadLibraryAAddr) {

        printf("Warning:GetProcAddress:%d\n", GetLastError());

        goto error;

    }  

    HANDLE remoteThread;

    remoteThread = CreateRemoteThread(hRemoteProcess, NULL, , (LPTHREAD_START_ROUTINE)LoadLibraryAAddr, pRemoteAddr, , NULL);

    if (NULL == remoteThread) {

        printf("Warning:CreateRemoteThread:%d\n", GetLastError());

        goto error;

    }  

    WaitForSingleObject(hRemoteProcess, INFINITE);

    VirtualFreeEx(hRemoteProcess, pRemoteAddr, len, MEM_DECOMMIT);  

    CloseHandle(hRemoteProcess);

    CloseHandle(remoteThread);

    return TRUE;  

error:

    CloseHandle(hRemoteProcess);

    return FALSE;

}

  这样我们就可以在远程应用程序中加载我们自己的动态库,加载动态库之后,我们当然需要建立我们自己的线程之类的,让我们的服务跑起来。这个时候,就可以用到微软的库了,不过微软的库也只限于32位应用程序,对于64位应用程序听说是收费的。9999美元呐!!!哈哈 不过这就够了,幸好客户是xp系统。

// InjectDll.cpp : Defines the exported functions for the DLL application.

//

#include "stdafx.h"

#include "Detours.h"

#include <stdio.h>

#include <iostream>

#pragma comment(lib,"Detours.lib")

//修改MessageBoxW 的响应函数

static   int  (WINAPI *  OLD_MessageBoxW)(HWND hWnd,LPCWSTR lpText,LPCWSTR lpCaption,UINT uType)  =  MessageBoxW;

int  WINAPI NEW_MessageBoxW(HWND hWnd,LPCWSTR lpText,LPCWSTR lpCaption,UINT uType)

{

    // 修改输入参数,调用原函数

    int  ret  =  OLD_MessageBoxW(hWnd,L" 输入参数已修改 " ,L" [测试] " ,uType);

    return  ret;

}

//修改MessageBoxA的响应函数

static   int  (WINAPI *  OLD_MessageBoxA)( __in_opt HWND hWnd,

    __in_opt LPCSTR lpText,

    __in_opt LPCSTR lpCaption,

    __in UINT uType)  =  MessageBoxA;

int WINAPI NEW_MessageBoxA(HWND hWnd,LPCWSTR lpText,LPCWSTR lpCaption,UINT uType)

{

    int  ret  =  OLD_MessageBoxA(hWnd," 输入参数已修改 " ," [测试] " ,uType);

    return ret;

}

VOID Hook()

{

    DetourRestoreAfterWith();

    DetourTransactionBegin();

    DetourUpdateThread(GetCurrentThread());

    // 这里可以连续多次调用DetourAttach,表明HOOK多个函数

    DetourAttach( & (PVOID & )OLD_MessageBoxA,NEW_MessageBoxA);

    DetourAttach( & (PVOID & )OLD_MessageBoxW,NEW_MessageBoxW);

    DetourTransactionCommit();

}

VOID UnHook()

{

    DetourTransactionBegin();

    DetourUpdateThread(GetCurrentThread());

    // 这里可以连续多次调用DetourDetach,表明撤销多个函数HOOK

    DetourDetach( & (PVOID & )OLD_MessageBoxA,NEW_MessageBoxA);

    DetourDetach( & (PVOID & )OLD_MessageBoxW,NEW_MessageBoxW);

    DetourTransactionCommit();

}

  之前勾ReadFile的程序没找见,不过都一样了。不过需要注意的一点就是,当接收到数据之后,需要立马吧数据保存起来,然后马上返回,不可做太多逻辑,因为会影响第三方应用程序。之后,就可以在我们自己的线程里处理这些数据了。为了达到我的目的,当我是在线程里创建里socket 服务器,当有客户端连接进来,就把数据传出去。虽然这样做也不是很好,但是时间也比较紧,就这样做了。考虑到性能问题,千万不能把原程序给人家崩溃了。这个程序跑了整整两天,监听串口数据,居然正常运行了两天。不过呢,任务也算完成了。哈哈哈。又掌握了一种新的软件运行方式。给自己点个赞!!

  最近64位的Detour 居然也被我找见了。win7 64位也测试成功!!!

 

windows 注入 之 CreateRemoteThread的更多相关文章

  1. 远程线程注入方法CreateRemoteThread

    最近在整理学习Windows注入方面的知识,这个远程注入前面早写过,现在看看人家博客的理解整理,整理, 需要源码的可以到我的github上下载. 链接是  https://github.com/Ars ...

  2. dll注入遇到CreateRemoteThread()返回错误代码5

    在进行dll注入的时候,发现触发了CreateRemoteThread()的错误并返回错误代码5,刚开始以为权限不够,用了管理员权限和加了SetPrivilege()函数提权和用NtCreateThr ...

  3. windows 注入 之 SetWindowHookEx

    前面的项目用到hook 还是在半年前,没想到最近有用到了,说实话,在项目组就提出,能用别的办法还是不要用这种,毕竟不太正道(感觉哈). 最近又牵扯到第三方对接的任务,没办法我又回到了HOOK上了.与窗 ...

  4. 【windows核心编程】远程线程DLL注入

    15.1 DLL注入 目前公开的DLL注入技巧共有以下几种: 1.注入表注入 2.ComRes注入 3.APC注入 4.消息钩子注入 5.远线程注入 6.依赖可信进程注入 7.劫持进程创建注入 8.输 ...

  5. 使用CreateRemoteThread把代码远程注入指定exe执行

    由于本人也是新手,如果有朋友不懂windows api相关知识,我相信查阅书籍或者百度会比我说有帮助的多,下面就我所做简单复述一下过程,欢迎指正缺点. 效果图示如下: 做的这个例子首先是创建了一个MF ...

  6. Dll注入:X86/X64 远程线程CreateRemoteThread 注入

    远线程注入原理是利用Windows 系统中CreateRemoteThread()这个API,其中第4个参数是准备运行的线程,我们可以将LoadLibrary()填入其中,这样就可以执行远程进程中的L ...

  7. Android 注入详解

    Android下的注入的效果是类似于Windows下的dll注入,关于Windows下面的注入可以参考这篇文章Windows注入术.而Android一般处理器是arm架构,内核是基于linux,因此进 ...

  8. C++注入记事本升级版,给记事本弄爱心

    #include <iostream>; using namespace std; #include <windows.h>; #include <tlhelp32.h& ...

  9. C++注入记事本

    #include <iostream>; using namespace std; #include <windows.h>; #include <tlhelp32.h& ...

随机推荐

  1. .NetCore+Jexus代理+Redis模拟秒杀商品活动

    开篇叙 本篇将和大家分享一下秒杀商品活动架构,采用的架构方案正如标题名称.NetCore+Jexus代理+Redis,由于精力有限所以这里只设计到商品添加,抢购,订单查询,处理队列抢购订单的功能:有不 ...

  2. Java基础(6)- 面向对象解析

    java面向对象 对象 知识点 java 的方法参数是按值调用,是参数的一份拷贝 封装 使用private将 属性值/方法 隐藏,外部只能调用 get,set方法/非private 的接口 获取 重载 ...

  3. 利用libcurl进行post

    逛百度知道看到有个人提问:http://zhidao.baidu.com/question/1447092283140740700 C写HTTP应用只有疯子才会老老实实的SOCKET编程吧?我后来还是 ...

  4. CharacterEncodingFilter -处理字符格式

    package com.pb.news.web.filter; import java.io.IOException;import javax.servlet.Filter;import javax. ...

  5. voa 2015 / 4 / 13

    couch potato : someone who likes to spend a lot of time sitting or lying down while watching televis ...

  6. django Modelform

    前言: 为什么要用form去验证呢? 我们提交的是form表单,在看前端源码时如果检查到POST URL及我们提交的字段,如果没有验证我们是否可以直接POST数据到URL,后台并没有进行校验,直接处理 ...

  7. 说说BroadcastReceiver和ContentProvider

    上一篇说了Activity,Fragment和Service,今天来说说四大组件中的另外两个吧. BroadcastReceiver: 广播在实际开发中非常有用,是各个组件间通讯的利器.广播接收器分为 ...

  8. windows上定时执行php文件

    <?php $fp = fopen("E:/wwwroot/test/plan.txt", "w+"); fwrite($fp, date("Y ...

  9. RxSwift 实战操作【注册登录】

    前言 看了前面的文章,相信很多同学还不知道RxSwift该怎么使用,这篇文件将带领大家一起写一个 注册登录(ps:本例子采用MVVM)的例子进行实战.本篇文章是基于RxSwift3.0写的,采用的是C ...

  10. pwnable input2 之 write up

    首先看源代码: input2@ubuntu:~$ cat input.c #include <stdio.h> #include <stdlib.h> #include < ...