CreateRemoteThread虽然很容易被检测到,但是在有些场合还是挺有用的。每次想用的时候总想着去找以前的代码,现在在这里记录一下。

CreateRemoteThread远程注入

DWORD dwOffect,dwArgu;

BOOL CreateRemoteDll(const char *DllFullPath, const DWORD dwRemoteProcessId ,DWORD dwOffect,DWORD dwArgu)

{

    HANDLE hToken;

    if ( OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES,&hToken) )

    {

        TOKEN_PRIVILEGES tkp;

        LookupPrivilegeValue( NULL,SE_DEBUG_NAME,&tkp.Privileges[0].Luid );//修改进程权限

        tkp.PrivilegeCount=1;

        tkp.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;

        AdjustTokenPrivileges( hToken,FALSE,&tkp,sizeof tkp,NULL,NULL );//通知系统修改进程权限

        CloseHandle(hToken);

    }

    HANDLE hRemoteProcess;

    //打开远程线程

    if( (hRemoteProcess = OpenProcess( PROCESS_CREATE_THREAD |    //允许远程创建线程

        PROCESS_VM_OPERATION |                //允许远程VM操作

        PROCESS_VM_WRITE,                    //允许远程VM写

        FALSE, dwRemoteProcessId ) )== NULL )

    {

        return FALSE;

    }

    char *pszLibFileRemote;

    //在远程进程的内存地址空间分配DLL文件名缓冲区

    pszLibFileRemote = (char *) VirtualAllocEx( hRemoteProcess, NULL, lstrlen(DllFullPath)+1,

        MEM_COMMIT, PAGE_READWRITE);

    if(pszLibFileRemote == NULL)

    {

        CloseHandle(hRemoteProcess);

        return FALSE;

    }

    //将DLL的路径名复制到远程进程的内存空间

    if( WriteProcessMemory(hRemoteProcess,

        pszLibFileRemote, (void *) DllFullPath, lstrlen(DllFullPath)+1, NULL) == 0)

    {

        CloseHandle(hRemoteProcess);

        return FALSE;

    }

    //计算LoadLibraryA的入口地址

    PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE)

        GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryA");

    if(pfnStartAddr == NULL)

    {

        return FALSE;

    }

    HANDLE hRemoteThread;

    hRemoteThread = CreateRemoteThread( hRemoteProcess, NULL, 0,

        pfnStartAddr, pszLibFileRemote, 0, NULL);

    WaitForSingleObject(hRemoteThread,INFINITE);

    if( hRemoteThread == NULL)

    {

        CloseHandle(hRemoteProcess);

        return FALSE;

    }

    DWORD dwDllAddr;

    GetExitCodeThread(hRemoteThread,&dwDllAddr);

    if(dwDllAddr!=0)

    {

        dwDllAddr += dwOffect;

        HANDLE hHookFunc;

        hHookFunc = CreateRemoteThread( hRemoteProcess, NULL, 0,

            (PTHREAD_START_ROUTINE)dwDllAddr, (LPVOID)dwArgu, 0, NULL);

        WaitForSingleObject(hHookFunc,INFINITE);

        if( hHookFunc == NULL)

        {

            CloseHandle(hRemoteThread);

            CloseHandle(hRemoteProcess);

            return FALSE;

        }

        CloseHandle(hHookFunc);

    }

    else

    {

        CloseHandle(hRemoteProcess);

        CloseHandle(hRemoteThread);

        return FALSE;

    }

    CloseHandle(hRemoteProcess);

    CloseHandle(hRemoteThread);

    return TRUE;

}

void Hook(int dwPid)

{

    char curpath[260];

    GetModuleFileName(NULL,curpath,260);

    *strrchr(curpath,'\\') = '\0';

    strcat(curpath,"\\this.dll");

    HMODULE hTmpDll = LoadLibrary(curpath);

    dwOffect = (DWORD)GetProcAddress(hTmpDll,"HookFun");

    dwOffect -= (DWORD)hTmpDll;

    FreeLibrary(hTmpDll);

    CreateRemoteDll(curpath,dwPid,dwOffect,dwArgu);

}

Hook代码

__declspec(naked) void MyHookGetRes()

{

    __asm

    {

        pushad

        pushfd

    }

    MyFun();

    __asm

    {

        popfd

        popad

        add esp,0xc

        jmp uRetAddr

    }

}

ULONG uHookAddr = 0x11111  + (DWORD)hModule;

HANDLE handle = GetCurrentProcess();

char MyJMP[5]={0};

MyJMP[0]=(char)0xe9;

ULONG uTempAddr=(ULONG)MyJMP;

uRetAddr = uHookAddr + 5;

ULONG uSkillJmp=(ULONG)MyHookGetRes-uHookAddr-5;

__asm

{

    mov eax,uSkillJmp

        mov ebx, uTempAddr

        add ebx ,1

        mov [ebx],eax

        mov ecx,[ebx]

}

WriteProcessMemory(handle,(LPVOID)(uHookAddr),(LPVOID)MyJMP,5,NULL);

CreateRemoteThread远程线程注入Dll与Hook的更多相关文章

  1. 远程线程注入DLL突破session 0 隔离

    远程线程注入DLL突破session 0 隔离 0x00 前言 补充上篇的远程线程注入,突破系统SESSION 0 隔离,向系统服务进程中注入DLL. 0x01 介绍 通过CreateRemoteTh ...

  2. 远程线程注入DLL

    远程线程注入 0x00 前言 远程线程注入是一种经典的DLL注入技术.其实就是指一个新进程中另一个进程中创建线程的技术. 0x01 介绍 1.远程线程注入原理 画了一个图大致理解了下远程线程注入dll ...

  3. 详细解读:远程线程注入DLL到PC版微信

    一.远程线程注入的原理 1.其基础是在 Windows 系统中,每个 .exe 文件在双击打开时都会加载 kernel32.dll 这个系统模块,该模块中有一个 LoadLibrary() 函数,可以 ...

  4. 远程线程注入dll,突破session 0

    前言 之前已经提到过,远线程注入和内存写入隐藏模块,今天介绍突破session 0的dll注入 其实今天写这个的主要原因就是看到倾旋大佬有篇文章提到:有些反病毒引擎限制从lsass中dump出缓存,可 ...

  5. 微信 电脑版 HOOK(WeChat PC Hook)- 远程线程注入dll原理

    Windows加载dll的特性 1.Windows系统中,每个exe软件运行的时候,会加载系统模块kernel32.dll 2.所有加载进exe软件的系统模块kernel32.dll,内存地址都是一样 ...

  6. 【windows核心编程】使用远程线程注入DLL

    前言 该技术是指通过在[目标进程]中创建一个[远程线程]来达到注入的目的. 创建的[远程线程]函数为LoadLibrary, 线程函数的参数为DLL名字, 想要做的工作在DLL中编写.  示意图如下: ...

  7. 远程线程注入方法CreateRemoteThread

    最近在整理学习Windows注入方面的知识,这个远程注入前面早写过,现在看看人家博客的理解整理,整理, 需要源码的可以到我的github上下载. 链接是  https://github.com/Ars ...

  8. Dll注入技术之远程线程注入

    DLL注入技术之远线程注入 DLL注入技术指的是将一个DLL文件强行加载到EXE文件中,并成为EXE文件中的一部分,这样做的目的在于方便我们通过这个DLL读写EXE文件内存数据,(例如 HOOK EX ...

  9. 安全之路 —— 借助DLL进行远程线程注入实现穿墙与隐藏进程

    简介        大多数后门或病毒要想初步实现隐藏进程,即不被像任务管理器这样典型的RING3级进程管理器找到过于明显的不明进程,其中比较著名的方法就是通过远程线程注入的方法注入将恶意进程的DLL文 ...

随机推荐

  1. 如何使用开源库,吐在VS2013发布之前,顺便介绍下VS2013的新特性"Bootstrap"

    刚看到Visual Studio 2013 Preview - ASP.NET, MVC 5, Web API 2新功能搶先看 看了下VS2013带来的"新特性",直觉上看,除了引 ...

  2. js判断页面出现滚动条

    当可视区域小于页面的实际高度时,判定为出现滚动条 当我们在获取页面的offsetHeight高度时是包括了浏览器的边框的,浏览器的边框是2个像素, if (document.documentEleme ...

  3. Mysql-proxy中的lua脚本编程(一)

    在为mysql-proxy编写lua脚步的时候,需要知道一下几个入口函数,通过这几个入口函数我们可以控制mysql-proxy的一些行为. connect_server()          当代理服 ...

  4. 编写高质量代码改善C#程序的157个建议[正确操作字符串、使用默认转型方法、却别对待强制转换与as和is]

    前言 本文主要来学习记录前三个建议. 建议1.正确操作字符串 建议2.使用默认转型方法 建议3.区别对待强制转换与as和is 其中有很多需要理解的东西,有些地方可能理解的不太到位,还望指正. 建议1. ...

  5. 第二节Unity3D开发环境安装(windows系统)

        这一节准备安装开发环境. 1. 首先先下载软件包:http://pan.baidu.com/s/1imYVv  4.2版本2.下载完后,解压会看到两个文件(运行第二个安装包) 3.准备安装,这 ...

  6. 每天一个linux命令(50):telnet命令

    telnet 命令通常用来远程登录.telnet程序是基于TELNET协议的远程登录客户端程序.Telnet协议是TCP/IP协议族中的一员,是 Internet远程登陆服务的标准协议和主要方式.它为 ...

  7. overlay-2

    <script src="/jquery.js"></script><script type="text/javascript"& ...

  8. replace和replaceAll的区别

      replace和replaceAll是JAVA中常用的替换字符的方法,它们的区别是: 1)replace的参数是char和CharSequence,即可以支持字符的替换,也支持字符串的替换(Cha ...

  9. 【CodeForces 602B】G - 一般水的题2-Approximating a Constant Range

    Description When Xellos was doing a practice course in university, he once had to measure the intens ...

  10. BZOJ-2049 Cave洞穴勘测 动态树Link-Cut-Tree (并查集骗分TAT)

    2049: [Sdoi2008]Cave 洞穴勘测 Time Limit: 10 Sec Memory Limit: 259 MB Submit: 5833 Solved: 2666 [Submit] ...