暴力”注入Explorer

                     pjf(jfpan20000@sina.com)

        向一个运行中的进程注入自己的代码,最自然莫过于使用CreateRemoteThread,

如今远线程注入已经是泛滥成灾,同样的监测远线程注入、防止远线程注入的工具也

举不胜举,一个木马或后门启动时向Explorer或IE的注入操作就像在自己脸上写上

“我是贼”一样。

    用户态代码想要更隐蔽地藏身于别的进程,就应该在注入的环节隐蔽自己的行

为。下面就介绍一种非常简单不过比较暴力的方法,给出的示例为在Explorer里加

载自己的dll。

    首先提到的就是一个API:QueueUserAPC



    DWORD QueueUserAPC(

      PAPCFUNC pfnAPC,  // APC function

      HANDLE hThread,   // handle to thread

      ULONG_PTR dwData  // APC function parameter

    ;



    大家对这个API应该并不陌生,它直接转入了系统服务NtQueueApcThread从而利

用KeInsertQueueApc向给出的目标线程的APC队列插入一APC对象。倘若KiDeliverApc

顺利的去构造apc环境并执行我们的代码那一切就OK了,只可惜没有那么顺利的事,

ApcState中UserApcPending是否为TRUE有重要的影响,结果往往是你等到花儿都谢了

你的代码还是没得到执行。在核心态往往不成问题,自己动手赋值,可是用户态

程序可不好做,怎么办?其实最简单的,不好做就不做啰,让系统去干。

    实际上应用程序在请求“alertable”的等待时系统就会置UserApcPending为

TRUE(当KeDelayExecutionThread/KeWaitForMultipleObjects/KeWaitForSingleObject

使用TestForAlertPending时就有可能,此外还有KeTestAlertThread等,机会还是有的

),最简单的例子,目标线程调用SleepEx(***, TRUE)后我们插入APC代码就会乖乖执

行了。

    比较幸运的是Explorer进程中一般情况下总有合我们意的线程,于是最简单但并不

优美的办法就是枚举Explorer中所有线程,全数插入,示意如下:



    ......

    DWORD ret;

    char *DllName = "c://MyDll.dll";

    int len = strlen(DllName) + 1;

    PVOID param = VirtualAllocEx(hProcess, NULL, len,

                                 MEM_COMMIT | MEM_TOP_DOWN,

                                 PAGE_READWRITE);

    if (param != NULL)

    {

        if (WriteProcessMemory(hProcess, param,

                               (LPVOID)DllName, len, &ret))

        {

            for (DWORD p = 0; p < NumberOfThreads; p ++)

            {

                hThread = OpenThread(THREAD_ALL_ACCESS, 0, ThreadId[p]);

                if (hThread != 0)

                {

                    InjectDll(hProcess, hThread, (DWORD)param);

                    CloseHandle(hThread);

                }

            }

    }

    ......

    

    其中InjectDll:

    void InjectDll(HANDLE hProcess, HANDLE hThread, DWORD param)

    {

        QueueUserAPC(

            (PAPCFUNC)GetProcAddress(GetModuleHandle("kernel32.dll", "LoadLibraryA", 

            hThread, 

            (DWORD)param

            ;

    }

    

    LoadLibraryA被调用后即将你的DLL加载入目标进程Explorer,运行是在目标进程的某

个线程环境中,一般你的DLL可以这时创建自己的线程。

    这样,整个过程虽然有些暴力(原因很明显,比如原本UserApcPending为TRUE的线程

被弄成了FALSE等等),并且仅是一次性插入,缺陷是明显的,不过插入过程的确更为隐蔽。



    针对使用这种的“无耻”方法的程序,检/监测程序就需要增加一些判断,比如对

NtQueueApcThread的合理监测等等。



有时候,那些最古老的木马伪装的好反而不容易被杀

暴力”注入Explorer的更多相关文章

  1. BruteXSS:XSS暴力破解神器

    ×01 BruteXSS BruteXSS是一个非常强大和快速的跨站点脚本暴力注入.它用于暴力注入一个参数.该BruteXSS从指定的词库加载多种有效载荷进行注入并且使用指定的载荷和扫描检查这些参数很 ...

  2. 安全之路 —— 无DLL文件实现远程线程注入

    简介         在之前的章节中,笔者曾介绍过有关于远程线程注入的知识,将后门.dll文件注入explorer.exe中实现绕过防火墙反弹后门.但一个.exe文件总要在注入时捎上一个.dll文件着 ...

  3. Dll注入:x86/X64 SetThreadContext 注入

    在<Windows核心编程>第七章说到了线程优先级等知识,其中谈到了ThreadContext线程上下背景文. 其中介绍了GetThreadContext函数来查看线程内核对象的内部,并获 ...

  4. 基于EasyHook实现监控explorer资源管理器文件复制、删除、剪切等操作

    一.前言 最近自己在研究一个项目,需要实现对explorer资源管理器文件操作的监控功能,网上找到一些通过C++实现Hook explorer文件操作的方法,由于本人习惯用.NET开发程序,加之C/C ...

  5. access注入篇+sqlmap

    access数据库的来历,我就不说了,因为我懒的记,就算记了感觉上也没大多用处,只要记得数据库的结构就行了.先是表名,然后是列名,再者就是数据,我发个实际的图吧,大概就是这么一个结构. 下面,开始说下 ...

  6. 安全之路 —— 无DLL文件实现远程进程注入

    简介 在之前的章节中,笔者曾介绍过有关于远程线程注入的知识,将后门.dll文件注入explorer.exe中实现绕过防火墙反弹后门.但一个.exe文件总要在注入时捎上一个.dll文件着实是怪麻烦的,那 ...

  7. 通过WriteProcessMemory改写进程的内存

    http://www.cnblogs.com/feiyucq/archive/2009/10/21/1587628.html 以PROCESS_ALL_ACCESS权限打开进程以后既能够使用ReadP ...

  8. UAC绕过思路(未完)

    ---恢复内容开始--- What is UAC?

  9. (汉化改进作品)BruteXSS:Xss漏洞扫描脚本

    今天给大家进行汉化改进的事一款脚本工具:BruteXSS,这款脚本能自动进行插入XSS,而且可以自定义攻击载荷. 该脚本也同时提供包含了一些绕过各种WAF(Web应用防护系统)的语句.   0×01简 ...

随机推荐

  1. TreeSet集合在哪种情况下会报错

    1.自然排序中的元素对象,都必须实现了Comparable接口,否则会抛出异常,案例如下: public class MySetTree { public static void main(Strin ...

  2. JZOI1169A 平均数Ave

    #include <cstdio> #include <cmath> #define lztin() read() #define ztyout( a ) printf( &q ...

  3. [NOIP模拟16]题解

    A.Blue 出题人大概已经去为国家处理积压子弹了? 贪心,让每一只青蛙(我怂行吧)都尽量往远跳,能到达的最远的被踩了就跳次远的,以此类推.可以维护一个单调队列,表示每只青蛙的位置(开始都是0).然后 ...

  4. JAVA导出excel如何设置表头跨行或者跨列,跪求各位大神了

    sheet.addMergedRegion(new CellRangeAddress(0, 0, 0, 0));// 开始行,结束行,开始列,结束列.只能是POI了吧?java还有其他方法吗?

  5. 在Windows Server2016中安装SQL Server2016(转)

    在Windows Server2016中安装SQL Server2016(转) 转自: http://blog.csdn.net/yenange/article/details/52980135 参考 ...

  6. 贪婪算法--Python

    贪婪算法:每步都采取最优的做法,即每步都选择局部最优解,最终得到的就是全局最优解. 假设你办了个广播节目,要让全美50个州的听众都收听得到.为此你需要决定在哪些广播台播出.在每个广播台播出都需要支付费 ...

  7. 关于swiper动态更改,无法更新的悖论

    关于swiper动态更改,无法更新的悖论 以前都觉得swiper的使用很简单,那是因为使用swiper时都是写的数据,按照官网上介绍直接初始化swiper,随便丢一个地方初始化就ok了,但是在很多需求 ...

  8. Idea 导入项目不能运行

    1.项目结构里面配置sdk,配置output输出目录 2.配置语言等级 配置src源文件目录 配置目录里面添加application,添加main class

  9. k8s 资源管理

    对应到Kubernetes的Pod容器上,就是下面这4个参数:◎ spec.container[].resources.requests.cpu:◎ spec.container[].resource ...

  10. 剑指offer——62数组种数字出现的次数

    题目描述 一个整型数组里除了两个数字之外,其他的数字都出现了两次.请写程序找出这两个只出现一次的数字. 题解: 我们想到异或运算的一个性质:任何一个数字异或它自己都等于0.也就是说,如果我们从头到尾依 ...