钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。总感觉这是windows留下来的应用程序的后门之类的吧。

  第一次接触这个,是刚来新公司,领导给了我一个任务,需要监听另外一个系统从串口获取的数据,之前也做过一些串口编程之类的。经过长时间的调研(google),才知道串口是独占的,虽然CreateFile 有参数是否独占,但是windows 规定串口只能独占,所以即使你设置共享模式,也没用。这就有问题了,人家CNS系统在占用串口,我怎么用。当时查询资料说是用钩子,但是查了好久,网上大都是不是勾键盘,就是勾MessageBox。机制如我,想到了既然可以勾MessageBox ,那就一定能勾住ReadFile,这两货都是windows API 。 所以当时就这么干了。

  网上有很多方法,有的需要更改导入表之类的,太高深了,幸好微软自己提供了专门的库叫Detours,这个东西就可以勾住任何的windows API ,大喜,经过测试之后,果然可以。不过又有了新问题,我需要注入到其他应用程序啊,怎么办,有个CreateRemoteThread这个函数可以做到,从字面意思看,就是创建一个远程线程,又喜,开始埋头找这个函数的用法之类的,当然中途也遇到了诸如提权 之类的新问题。不过Google是个好东西。不过这种方式呢需要将我们的程序封装成dll的形式,然后才能加载。

BOOL EnableDebugPrivilege();

DWORD GetTargetProcessID(const char *processExeName)

{

    if(!EnableDebugPrivilege()){

        printf("EnableDebugPrivilege faild\n");

    }

    if (processExeName == NULL) {

        return ;

    }  

    HANDLE hSnapshot;  

    hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, );

    if (INVALID_HANDLE_VALUE == hSnapshot) {

        printf("%d\n", GetLastError());

        return ;

    }  

    PROCESSENTRY32 pe;

    BOOL bRet = FALSE;  

    pe.dwSize = sizeof (PROCESSENTRY32);

    bRet = Process32First(hSnapshot, &pe);

    while (bRet) {

        _bstr_t b(pe.szExeFile);

        const char* c = b;

        if (strstr(processExeName, c)) {

            return pe.th32ProcessID;

        } else {

            ZeroMemory(&pe, sizeof (PROCESSENTRY32));

            pe.dwSize = sizeof (PROCESSENTRY32);

            bRet = Process32Next(hSnapshot, &pe);

        }

    }  

    return ;

}

BOOL  EnableDebugPrivilege()

{

    HANDLE hSnap;

    HANDLE hkernel32 = NULL;    //被注入进程的句柄

    PROCESSENTRY32 pe;

    BOOL bNext;

    HANDLE hToken;

    TOKEN_PRIVILEGES tp;

    LUID Luid;

    LPVOID p;

    FARPROC pfn;

    if (!OpenProcessToken(GetCurrentProcess(),TOKEN_ALL_ACCESS_P,&hToken))

    {

        printf("Warning:提升权限失败\n");

        system("pause");

        return ;

    }

    if (!LookupPrivilegeValue(NULL,SE_DEBUG_NAME,&Luid))

    {

        printf("Warning:提升权限失败\n");

        system("pause");

        return ;

    }

    tp.PrivilegeCount = ;

    tp.Privileges[].Attributes = SE_PRIVILEGE_ENABLED;

    tp.Privileges[].Luid = Luid;

    if (!AdjustTokenPrivileges(hToken,,&tp,sizeof(TOKEN_PRIVILEGES),NULL,NULL))

    {

        printf("Warning:提升权限失败\n");

        system("pause");

        return ;

    }

    return ;

}

BOOL InjectDll(const char *DllFullPath, const DWORD dwRemoteProcessId)

{

    if (DllFullPath == NULL) {

        return FALSE;

    }

    if (dwRemoteProcessId <= ) {

        return FALSE;

    }

    HANDLE hRemoteProcess;  

    hRemoteProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwRemoteProcessId);

    if (NULL == hRemoteProcess) {

        printf("Warning:OpenProcess:%d\n", GetLastError());

        return FALSE;

    }  

    char *pRemoteAddr;

    int len = strlen(DllFullPath) + ;

    pRemoteAddr = (char *)VirtualAllocEx(hRemoteProcess, NULL, len, MEM_COMMIT, PAGE_READWRITE);

    if (NULL == pRemoteAddr) {

        printf("Warning:VirtualAllocEx:%d\n", GetLastError());

        goto error;

    }  

    if (!WriteProcessMemory(hRemoteProcess, pRemoteAddr, DllFullPath, len, NULL)) {

        printf("Warning:WriteProcessMemory:%d\n", GetLastError());

        goto error;

    }  

    HMODULE hModule;

    char LoadLibraryA[] = "LoadLibraryA";  

    hModule = GetModuleHandle("kernel32.dll");  

    FARPROC LoadLibraryAAddr;

    LoadLibraryAAddr = GetProcAddress(hModule, LoadLibraryA);

    if (NULL == LoadLibraryAAddr) {

        printf("Warning:GetProcAddress:%d\n", GetLastError());

        goto error;

    }  

    HANDLE remoteThread;

    remoteThread = CreateRemoteThread(hRemoteProcess, NULL, , (LPTHREAD_START_ROUTINE)LoadLibraryAAddr, pRemoteAddr, , NULL);

    if (NULL == remoteThread) {

        printf("Warning:CreateRemoteThread:%d\n", GetLastError());

        goto error;

    }  

    WaitForSingleObject(hRemoteProcess, INFINITE);

    VirtualFreeEx(hRemoteProcess, pRemoteAddr, len, MEM_DECOMMIT);  

    CloseHandle(hRemoteProcess);

    CloseHandle(remoteThread);

    return TRUE;  

error:

    CloseHandle(hRemoteProcess);

    return FALSE;

}

  这样我们就可以在远程应用程序中加载我们自己的动态库,加载动态库之后,我们当然需要建立我们自己的线程之类的,让我们的服务跑起来。这个时候,就可以用到微软的库了,不过微软的库也只限于32位应用程序,对于64位应用程序听说是收费的。9999美元呐!!!哈哈 不过这就够了,幸好客户是xp系统。

// InjectDll.cpp : Defines the exported functions for the DLL application.

//

#include "stdafx.h"

#include "Detours.h"

#include <stdio.h>

#include <iostream>

#pragma comment(lib,"Detours.lib")

//修改MessageBoxW 的响应函数

static   int  (WINAPI *  OLD_MessageBoxW)(HWND hWnd,LPCWSTR lpText,LPCWSTR lpCaption,UINT uType)  =  MessageBoxW;

int  WINAPI NEW_MessageBoxW(HWND hWnd,LPCWSTR lpText,LPCWSTR lpCaption,UINT uType)

{

    // 修改输入参数,调用原函数

    int  ret  =  OLD_MessageBoxW(hWnd,L" 输入参数已修改 " ,L" [测试] " ,uType);

    return  ret;

}

//修改MessageBoxA的响应函数

static   int  (WINAPI *  OLD_MessageBoxA)( __in_opt HWND hWnd,

    __in_opt LPCSTR lpText,

    __in_opt LPCSTR lpCaption,

    __in UINT uType)  =  MessageBoxA;

int WINAPI NEW_MessageBoxA(HWND hWnd,LPCWSTR lpText,LPCWSTR lpCaption,UINT uType)

{

    int  ret  =  OLD_MessageBoxA(hWnd," 输入参数已修改 " ," [测试] " ,uType);

    return ret;

}

VOID Hook()

{

    DetourRestoreAfterWith();

    DetourTransactionBegin();

    DetourUpdateThread(GetCurrentThread());

    // 这里可以连续多次调用DetourAttach,表明HOOK多个函数

    DetourAttach( & (PVOID & )OLD_MessageBoxA,NEW_MessageBoxA);

    DetourAttach( & (PVOID & )OLD_MessageBoxW,NEW_MessageBoxW);

    DetourTransactionCommit();

}

VOID UnHook()

{

    DetourTransactionBegin();

    DetourUpdateThread(GetCurrentThread());

    // 这里可以连续多次调用DetourDetach,表明撤销多个函数HOOK

    DetourDetach( & (PVOID & )OLD_MessageBoxA,NEW_MessageBoxA);

    DetourDetach( & (PVOID & )OLD_MessageBoxW,NEW_MessageBoxW);

    DetourTransactionCommit();

}

  之前勾ReadFile的程序没找见,不过都一样了。不过需要注意的一点就是,当接收到数据之后,需要立马吧数据保存起来,然后马上返回,不可做太多逻辑,因为会影响第三方应用程序。之后,就可以在我们自己的线程里处理这些数据了。为了达到我的目的,当我是在线程里创建里socket 服务器,当有客户端连接进来,就把数据传出去。虽然这样做也不是很好,但是时间也比较紧,就这样做了。考虑到性能问题,千万不能把原程序给人家崩溃了。这个程序跑了整整两天,监听串口数据,居然正常运行了两天。不过呢,任务也算完成了。哈哈哈。又掌握了一种新的软件运行方式。给自己点个赞!!

  最近64位的Detour 居然也被我找见了。win7 64位也测试成功!!!

 

windows 注入 之 CreateRemoteThread的更多相关文章

  1. 远程线程注入方法CreateRemoteThread

    最近在整理学习Windows注入方面的知识,这个远程注入前面早写过,现在看看人家博客的理解整理,整理, 需要源码的可以到我的github上下载. 链接是  https://github.com/Ars ...

  2. dll注入遇到CreateRemoteThread()返回错误代码5

    在进行dll注入的时候,发现触发了CreateRemoteThread()的错误并返回错误代码5,刚开始以为权限不够,用了管理员权限和加了SetPrivilege()函数提权和用NtCreateThr ...

  3. windows 注入 之 SetWindowHookEx

    前面的项目用到hook 还是在半年前,没想到最近有用到了,说实话,在项目组就提出,能用别的办法还是不要用这种,毕竟不太正道(感觉哈). 最近又牵扯到第三方对接的任务,没办法我又回到了HOOK上了.与窗 ...

  4. 【windows核心编程】远程线程DLL注入

    15.1 DLL注入 目前公开的DLL注入技巧共有以下几种: 1.注入表注入 2.ComRes注入 3.APC注入 4.消息钩子注入 5.远线程注入 6.依赖可信进程注入 7.劫持进程创建注入 8.输 ...

  5. 使用CreateRemoteThread把代码远程注入指定exe执行

    由于本人也是新手,如果有朋友不懂windows api相关知识,我相信查阅书籍或者百度会比我说有帮助的多,下面就我所做简单复述一下过程,欢迎指正缺点. 效果图示如下: 做的这个例子首先是创建了一个MF ...

  6. Dll注入:X86/X64 远程线程CreateRemoteThread 注入

    远线程注入原理是利用Windows 系统中CreateRemoteThread()这个API,其中第4个参数是准备运行的线程,我们可以将LoadLibrary()填入其中,这样就可以执行远程进程中的L ...

  7. Android 注入详解

    Android下的注入的效果是类似于Windows下的dll注入,关于Windows下面的注入可以参考这篇文章Windows注入术.而Android一般处理器是arm架构,内核是基于linux,因此进 ...

  8. C++注入记事本升级版,给记事本弄爱心

    #include <iostream>; using namespace std; #include <windows.h>; #include <tlhelp32.h& ...

  9. C++注入记事本

    #include <iostream>; using namespace std; #include <windows.h>; #include <tlhelp32.h& ...

随机推荐

  1. kbengine所有的demo源代码

    回复才可见的内容https://github.com/kbengine/kbengine_ue4_demo回复才可见的内容https://github.com/kbengine/kbengine_og ...

  2. Java虚拟机面试重点-------------内存分配和回收策略

    1 对象优先分配在Eden区 对象优先在Eden进行分配,大多数情况下,对象在新生代Eden区进行分配.当Eden区没有足够的空间进行分配时,虚拟机会发起一次Minor GC. 新生代GC(Ninor ...

  3. (转载)Oracle10g 数据泵导出命令 expdp 使用总结(二)

    原文链接:http://hi.baidu.com/edeed/item/2c454cff5c559f773d198b94 Oracle10g 数据泵导出命令 expdp 使用总结(一) 1.1.2 e ...

  4. 谈谈ES6箭头操作符

    如果你会C#或者Java,你肯定知道lambda表达式,ES6中新增的箭头操作符=>便有异曲同工之妙.它简化了函数的书写.操作符左边为输入的参数,而右边则是进行的操作以及返回的值Inputs=& ...

  5. Azure PowerShell (14) 批量导出Azure ASM ACL和ARM NSG配置信息

    <Windows Azure Platform 系列文章目录> 最近有一个客户需求,需要批量导出Azure Classic VM的ACL (Access Control List), 还有 ...

  6. springmvc(一) springmvc框架原理分析和简单入门程序

    springmvc这个框架真的非常简单,感觉比struts2还更简单,好好沉淀下来学习~ --WH 一.什么是springmvc? 我们知道三层架构的思想,并且如果你知道ssh的话,就会更加透彻的理解 ...

  7. Unity3D Image 组件附入图片问题

    作为新手经常会看到有个Image的组件 代码中理所当然的public 发现图片并不能附入其中, 解决办法直接 public Sprite 就可以了

  8. html5 audio play()方法部分ios机不能播放声音

    前几天遇到了一个很奇葩的问题:执行audio.play方法,浏览器.安卓.部分ios可正常播放,部分ios不能播放部分声音,这就奇怪了. 我的第一反应是: 音频文件有问题  -- 写了一个domo验证 ...

  9. springmvc(四) springmvc的数据校验的实现

    so easy~ --WH 一.什么是数据校验? 这个比较好理解,就是用来验证客户输入的数据是否合法,比如客户登录时,用户名不能为空,或者不能超出指定长度等要求,这就叫做数据校验. 数据校验分为客户端 ...

  10. JavaSE中Map框架学习笔记

    前言:最近几天都在生病,退烧之后身体虚弱.头疼.在床上躺了几天,什么事情都干不了.接下来这段时间,要好好加快进度才好. 前面用了三篇文章的篇幅学习了Collection框架的相关内容,而Map框架相对 ...