CreateRemoteThread虽然很容易被检测到,但是在有些场合还是挺有用的。每次想用的时候总想着去找以前的代码,现在在这里记录一下。

CreateRemoteThread远程注入

DWORD dwOffect,dwArgu;

BOOL CreateRemoteDll(const char *DllFullPath, const DWORD dwRemoteProcessId ,DWORD dwOffect,DWORD dwArgu)

{

    HANDLE hToken;

    if ( OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES,&hToken) )

    {

        TOKEN_PRIVILEGES tkp;

        LookupPrivilegeValue( NULL,SE_DEBUG_NAME,&tkp.Privileges[0].Luid );//修改进程权限

        tkp.PrivilegeCount=1;

        tkp.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;

        AdjustTokenPrivileges( hToken,FALSE,&tkp,sizeof tkp,NULL,NULL );//通知系统修改进程权限

        CloseHandle(hToken);

    }

    HANDLE hRemoteProcess;

    //打开远程线程

    if( (hRemoteProcess = OpenProcess( PROCESS_CREATE_THREAD |    //允许远程创建线程

        PROCESS_VM_OPERATION |                //允许远程VM操作

        PROCESS_VM_WRITE,                    //允许远程VM写

        FALSE, dwRemoteProcessId ) )== NULL )

    {

        return FALSE;

    }

    char *pszLibFileRemote;

    //在远程进程的内存地址空间分配DLL文件名缓冲区

    pszLibFileRemote = (char *) VirtualAllocEx( hRemoteProcess, NULL, lstrlen(DllFullPath)+1,

        MEM_COMMIT, PAGE_READWRITE);

    if(pszLibFileRemote == NULL)

    {

        CloseHandle(hRemoteProcess);

        return FALSE;

    }

    //将DLL的路径名复制到远程进程的内存空间

    if( WriteProcessMemory(hRemoteProcess,

        pszLibFileRemote, (void *) DllFullPath, lstrlen(DllFullPath)+1, NULL) == 0)

    {

        CloseHandle(hRemoteProcess);

        return FALSE;

    }

    //计算LoadLibraryA的入口地址

    PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE)

        GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryA");

    if(pfnStartAddr == NULL)

    {

        return FALSE;

    }

    HANDLE hRemoteThread;

    hRemoteThread = CreateRemoteThread( hRemoteProcess, NULL, 0,

        pfnStartAddr, pszLibFileRemote, 0, NULL);

    WaitForSingleObject(hRemoteThread,INFINITE);

    if( hRemoteThread == NULL)

    {

        CloseHandle(hRemoteProcess);

        return FALSE;

    }

    DWORD dwDllAddr;

    GetExitCodeThread(hRemoteThread,&dwDllAddr);

    if(dwDllAddr!=0)

    {

        dwDllAddr += dwOffect;

        HANDLE hHookFunc;

        hHookFunc = CreateRemoteThread( hRemoteProcess, NULL, 0,

            (PTHREAD_START_ROUTINE)dwDllAddr, (LPVOID)dwArgu, 0, NULL);

        WaitForSingleObject(hHookFunc,INFINITE);

        if( hHookFunc == NULL)

        {

            CloseHandle(hRemoteThread);

            CloseHandle(hRemoteProcess);

            return FALSE;

        }

        CloseHandle(hHookFunc);

    }

    else

    {

        CloseHandle(hRemoteProcess);

        CloseHandle(hRemoteThread);

        return FALSE;

    }

    CloseHandle(hRemoteProcess);

    CloseHandle(hRemoteThread);

    return TRUE;

}

void Hook(int dwPid)

{

    char curpath[260];

    GetModuleFileName(NULL,curpath,260);

    *strrchr(curpath,'\\') = '\0';

    strcat(curpath,"\\this.dll");

    HMODULE hTmpDll = LoadLibrary(curpath);

    dwOffect = (DWORD)GetProcAddress(hTmpDll,"HookFun");

    dwOffect -= (DWORD)hTmpDll;

    FreeLibrary(hTmpDll);

    CreateRemoteDll(curpath,dwPid,dwOffect,dwArgu);

}

Hook代码

__declspec(naked) void MyHookGetRes()

{

    __asm

    {

        pushad

        pushfd

    }

    MyFun();

    __asm

    {

        popfd

        popad

        add esp,0xc

        jmp uRetAddr

    }

}

ULONG uHookAddr = 0x11111  + (DWORD)hModule;

HANDLE handle = GetCurrentProcess();

char MyJMP[5]={0};

MyJMP[0]=(char)0xe9;

ULONG uTempAddr=(ULONG)MyJMP;

uRetAddr = uHookAddr + 5;

ULONG uSkillJmp=(ULONG)MyHookGetRes-uHookAddr-5;

__asm

{

    mov eax,uSkillJmp

        mov ebx, uTempAddr

        add ebx ,1

        mov [ebx],eax

        mov ecx,[ebx]

}

WriteProcessMemory(handle,(LPVOID)(uHookAddr),(LPVOID)MyJMP,5,NULL);

CreateRemoteThread远程线程注入Dll与Hook的更多相关文章

  1. 远程线程注入DLL突破session 0 隔离

    远程线程注入DLL突破session 0 隔离 0x00 前言 补充上篇的远程线程注入,突破系统SESSION 0 隔离,向系统服务进程中注入DLL. 0x01 介绍 通过CreateRemoteTh ...

  2. 远程线程注入DLL

    远程线程注入 0x00 前言 远程线程注入是一种经典的DLL注入技术.其实就是指一个新进程中另一个进程中创建线程的技术. 0x01 介绍 1.远程线程注入原理 画了一个图大致理解了下远程线程注入dll ...

  3. 详细解读:远程线程注入DLL到PC版微信

    一.远程线程注入的原理 1.其基础是在 Windows 系统中,每个 .exe 文件在双击打开时都会加载 kernel32.dll 这个系统模块,该模块中有一个 LoadLibrary() 函数,可以 ...

  4. 远程线程注入dll,突破session 0

    前言 之前已经提到过,远线程注入和内存写入隐藏模块,今天介绍突破session 0的dll注入 其实今天写这个的主要原因就是看到倾旋大佬有篇文章提到:有些反病毒引擎限制从lsass中dump出缓存,可 ...

  5. 微信 电脑版 HOOK(WeChat PC Hook)- 远程线程注入dll原理

    Windows加载dll的特性 1.Windows系统中,每个exe软件运行的时候,会加载系统模块kernel32.dll 2.所有加载进exe软件的系统模块kernel32.dll,内存地址都是一样 ...

  6. 【windows核心编程】使用远程线程注入DLL

    前言 该技术是指通过在[目标进程]中创建一个[远程线程]来达到注入的目的. 创建的[远程线程]函数为LoadLibrary, 线程函数的参数为DLL名字, 想要做的工作在DLL中编写.  示意图如下: ...

  7. 远程线程注入方法CreateRemoteThread

    最近在整理学习Windows注入方面的知识,这个远程注入前面早写过,现在看看人家博客的理解整理,整理, 需要源码的可以到我的github上下载. 链接是  https://github.com/Ars ...

  8. Dll注入技术之远程线程注入

    DLL注入技术之远线程注入 DLL注入技术指的是将一个DLL文件强行加载到EXE文件中,并成为EXE文件中的一部分,这样做的目的在于方便我们通过这个DLL读写EXE文件内存数据,(例如 HOOK EX ...

  9. 安全之路 —— 借助DLL进行远程线程注入实现穿墙与隐藏进程

    简介        大多数后门或病毒要想初步实现隐藏进程,即不被像任务管理器这样典型的RING3级进程管理器找到过于明显的不明进程,其中比较著名的方法就是通过远程线程注入的方法注入将恶意进程的DLL文 ...

随机推荐

  1. 23.C#Queryable的扩展方法(十二章12.1-12.2)

    今天要写的知识还真心有点绕呢,对于第一节的内容,其实是把原先在内存中的数据源,换成了从数据库中提取出来的数据.从代码的使用方式上是一样的,直接跳过,来看看IEnumerable和IQueryable的 ...

  2. 【Moqui业务逻辑翻译系列】Shipment Receiver Receives Shipment with Packing Slip but no PO

    Shipment Receiver receives shipment. It has invoice tucked into it. Receiver records vendor name, ve ...

  3. Web前端开发Chrome插件

    参考:http://www.cnblogs.com/sosoft/p/3490481.html 越来越多的前端开发人员喜欢在Chrome里开发调试代码,Chrome有许多优秀的插件可以帮助前端开发人员 ...

  4. history命令显示出详细时间

    文章摘自: http://blog.csdn.net/lixiaohuiok111/article/details/34428161 http://blog.csdn.net/lixiaohuiok1 ...

  5. dict内部方法

    代码: #dict内部方法 vdic={'name':'kamil','age':23} print(dir(vdic)) vdic1 = vdic.copy()#copy(self):浅拷贝 pri ...

  6. 【bzoj3246】 Ioi2013—Dreaming

    www.lydsy.com/JudgeOnline/problem.php?id=3246 (题目链接) 题意 给出一棵不完全的树,要求在树上连最少的边使得所有点联通,并且使得两点间最大距离最小. S ...

  7. HDU 5497 Inversion

    Time Limit: 3000MS   Memory Limit: 65536KB   64bit IO Format: %I64d & %I64u Description You have ...

  8. UVa 1025 A Spy in the Metro

    http://acm.hust.edu.cn/vjudge/problem/viewProblem.action?id=35913 预处理出每个时间.每个车站是否有火车 为了方便判断是否可行,倒推处理 ...

  9. UVa 11988 Broken Keyboard (a.k.a. Beiju Text)

    题目复制太麻烦了,甩个链接 http://acm.hust.edu.cn/vjudge/problem/viewProblem.action?id=18693 直接模拟光标操作时间复杂度较高,所以用链 ...

  10. 无线安全: 通过伪AP进行DHCP+DNS劫持的钓鱼攻击

    有了之前学习802.11的数据帧格式.芯片硬件参数学习的基础后,我们接下来继续学习无线安全中黑客是怎样进行流量劫持攻击的 相关学习资料 http://www.freebuf.com/articles/ ...