暴力”注入Explorer

                     pjf(jfpan20000@sina.com)

        向一个运行中的进程注入自己的代码,最自然莫过于使用CreateRemoteThread,

如今远线程注入已经是泛滥成灾,同样的监测远线程注入、防止远线程注入的工具也

举不胜举,一个木马或后门启动时向Explorer或IE的注入操作就像在自己脸上写上

“我是贼”一样。

    用户态代码想要更隐蔽地藏身于别的进程,就应该在注入的环节隐蔽自己的行

为。下面就介绍一种非常简单不过比较暴力的方法,给出的示例为在Explorer里加

载自己的dll。

    首先提到的就是一个API:QueueUserAPC



    DWORD QueueUserAPC(

      PAPCFUNC pfnAPC,  // APC function

      HANDLE hThread,   // handle to thread

      ULONG_PTR dwData  // APC function parameter

    ;



    大家对这个API应该并不陌生,它直接转入了系统服务NtQueueApcThread从而利

用KeInsertQueueApc向给出的目标线程的APC队列插入一APC对象。倘若KiDeliverApc

顺利的去构造apc环境并执行我们的代码那一切就OK了,只可惜没有那么顺利的事,

ApcState中UserApcPending是否为TRUE有重要的影响,结果往往是你等到花儿都谢了

你的代码还是没得到执行。在核心态往往不成问题,自己动手赋值,可是用户态

程序可不好做,怎么办?其实最简单的,不好做就不做啰,让系统去干。

    实际上应用程序在请求“alertable”的等待时系统就会置UserApcPending为

TRUE(当KeDelayExecutionThread/KeWaitForMultipleObjects/KeWaitForSingleObject

使用TestForAlertPending时就有可能,此外还有KeTestAlertThread等,机会还是有的

),最简单的例子,目标线程调用SleepEx(***, TRUE)后我们插入APC代码就会乖乖执

行了。

    比较幸运的是Explorer进程中一般情况下总有合我们意的线程,于是最简单但并不

优美的办法就是枚举Explorer中所有线程,全数插入,示意如下:



    ......

    DWORD ret;

    char *DllName = "c://MyDll.dll";

    int len = strlen(DllName) + 1;

    PVOID param = VirtualAllocEx(hProcess, NULL, len,

                                 MEM_COMMIT | MEM_TOP_DOWN,

                                 PAGE_READWRITE);

    if (param != NULL)

    {

        if (WriteProcessMemory(hProcess, param,

                               (LPVOID)DllName, len, &ret))

        {

            for (DWORD p = 0; p < NumberOfThreads; p ++)

            {

                hThread = OpenThread(THREAD_ALL_ACCESS, 0, ThreadId[p]);

                if (hThread != 0)

                {

                    InjectDll(hProcess, hThread, (DWORD)param);

                    CloseHandle(hThread);

                }

            }

    }

    ......

    

    其中InjectDll:

    void InjectDll(HANDLE hProcess, HANDLE hThread, DWORD param)

    {

        QueueUserAPC(

            (PAPCFUNC)GetProcAddress(GetModuleHandle("kernel32.dll", "LoadLibraryA", 

            hThread, 

            (DWORD)param

            ;

    }

    

    LoadLibraryA被调用后即将你的DLL加载入目标进程Explorer,运行是在目标进程的某

个线程环境中,一般你的DLL可以这时创建自己的线程。

    这样,整个过程虽然有些暴力(原因很明显,比如原本UserApcPending为TRUE的线程

被弄成了FALSE等等),并且仅是一次性插入,缺陷是明显的,不过插入过程的确更为隐蔽。



    针对使用这种的“无耻”方法的程序,检/监测程序就需要增加一些判断,比如对

NtQueueApcThread的合理监测等等。



有时候,那些最古老的木马伪装的好反而不容易被杀

暴力”注入Explorer的更多相关文章

  1. BruteXSS:XSS暴力破解神器

    ×01 BruteXSS BruteXSS是一个非常强大和快速的跨站点脚本暴力注入.它用于暴力注入一个参数.该BruteXSS从指定的词库加载多种有效载荷进行注入并且使用指定的载荷和扫描检查这些参数很 ...

  2. 安全之路 —— 无DLL文件实现远程线程注入

    简介         在之前的章节中,笔者曾介绍过有关于远程线程注入的知识,将后门.dll文件注入explorer.exe中实现绕过防火墙反弹后门.但一个.exe文件总要在注入时捎上一个.dll文件着 ...

  3. Dll注入:x86/X64 SetThreadContext 注入

    在<Windows核心编程>第七章说到了线程优先级等知识,其中谈到了ThreadContext线程上下背景文. 其中介绍了GetThreadContext函数来查看线程内核对象的内部,并获 ...

  4. 基于EasyHook实现监控explorer资源管理器文件复制、删除、剪切等操作

    一.前言 最近自己在研究一个项目,需要实现对explorer资源管理器文件操作的监控功能,网上找到一些通过C++实现Hook explorer文件操作的方法,由于本人习惯用.NET开发程序,加之C/C ...

  5. access注入篇+sqlmap

    access数据库的来历,我就不说了,因为我懒的记,就算记了感觉上也没大多用处,只要记得数据库的结构就行了.先是表名,然后是列名,再者就是数据,我发个实际的图吧,大概就是这么一个结构. 下面,开始说下 ...

  6. 安全之路 —— 无DLL文件实现远程进程注入

    简介 在之前的章节中,笔者曾介绍过有关于远程线程注入的知识,将后门.dll文件注入explorer.exe中实现绕过防火墙反弹后门.但一个.exe文件总要在注入时捎上一个.dll文件着实是怪麻烦的,那 ...

  7. 通过WriteProcessMemory改写进程的内存

    http://www.cnblogs.com/feiyucq/archive/2009/10/21/1587628.html 以PROCESS_ALL_ACCESS权限打开进程以后既能够使用ReadP ...

  8. UAC绕过思路(未完)

    ---恢复内容开始--- What is UAC?

  9. (汉化改进作品)BruteXSS:Xss漏洞扫描脚本

    今天给大家进行汉化改进的事一款脚本工具:BruteXSS,这款脚本能自动进行插入XSS,而且可以自定义攻击载荷. 该脚本也同时提供包含了一些绕过各种WAF(Web应用防护系统)的语句.   0×01简 ...

随机推荐

  1. Jenkins应用

    转自 https://www.cnblogs.com/syw20170419/category/1239520.html Jenkins+Git+Python 进行持续集成接口测试 https://w ...

  2. PHP FILTER_SANITIZE_NUMBER_FLOAT 过滤器

    定义和用法 FILTER_SANITIZE_NUMBER_FLOAT 过滤器删除浮点数中所有非法的字符. 该过滤器默认允许所有数字以及 + - Name: "number_float&quo ...

  3. 【dart学习】-- Dart之类和对象

    一,概述 类(Class)是面向对象程序设计,实现信息封装的基础.类是一种用户定义的类型.每个类包含数据说明和一组操作数据或传递消息的函数.类的实例称为对象. Dart的类与其它语言都有很大的区别,比 ...

  4. django_websocket实现简单聊天室

    一.安装模块 pip install channels pip install channels-redis 二.代码 #websocket_v1/settings.py INSTALLED_APPS ...

  5. php开发面试题---游戏面向对象设计与分析实例

    php开发面试题---游戏面向对象设计与分析实例 一.总结 一句话总结: 不要光空想,多看几个实例就知道自己的游戏该怎么设计了 根据实例去理解面向对象编程的的六大原则 1.英雄种类分别有:战士.法师. ...

  6. CSS:CSS 创建

    ylbtech-CSS:CSS 创建 1.返回顶部 1. CSS 创建 当读到一个样式表时,浏览器会根据它来格式化 HTML 文档. 如何插入样式表 插入样式表的方法有三种: 外部样式表(Extern ...

  7. 【转】java使用java.lang.management监视和管理 Java 虚拟机

    原文地址:https://blog.csdn.net/zhongweijian/article/details/7619383 软件包 java.lang.management 提供管理接口,用于监视 ...

  8. 第48章 MDK的编译过程及文件类型全解

    Frm: http://www.cnblogs.com/firege/p/5806134.html 全套200集视频教程和1000页PDF教程请到秉火论坛下载:www.firebbs.cn 野火视频教 ...

  9. ISA虚拟化的条件

    ISA(Instruction Set Architecture) 指令集体系结构,是硬件与软件层之间的接口. 本地系统虚拟机 本地系统虚拟机,就是Bare-Metal虚拟机,直接运行在硬件上,在它上 ...

  10. Codeforces 743C - Vladik and fractions (构造)

    Codeforces Round #384 (Div. 2) 题目链接:Vladik and fractions Vladik and Chloe decided to determine who o ...