工具介绍及使用请移步:http://blog.csdn.net/sunflover454/article/details/50441014

本文首发在零日安全论坛:http://www.jmpoep.com/thread-833-1-1.html

使用NtCreateThreadEx + LdrLoadDll方式实现远程线程注入的特色在于比一般的远程线程注入稳定,可以注入系统进程,服务进程等。

核心源代码如下,完整源代码,请在文章末尾下载。

  1. //OD跟踪,发现最后调用的是NtCreateThreadEx,所以这里手动调用
  2. HANDLE Cx64Inject::MyCreateRemoteThread(HANDLE hProcess, LPTHREAD_START_ROUTINE pThreadProc, LPVOID pRemoteBuf)
  3. {
  4. HANDLE hThread = NULL;
  5. FARPROC pFunc = NULL;
  6. if( IsVistaOrLater())// Vista, 7, Server2008
  7. {
  8. pFunc = GetProcAddress(GetModuleHandleW(L"ntdll.dll"), "NtCreateThreadEx");
  9. if( pFunc == NULL )
  10. {
  11. MyOutputDebugStringA("MyCreateRemoteThread() : GetProcAddress(\"NtCreateThreadEx\") 调用失败!错误代码: [%d]", GetLastError());
  12. return NULL;
  13. }
  14. ((_NtCreateThreadEx64)pFunc)(&hThread,0x1FFFFF,NULL,hProcess,pThreadProc,pRemoteBuf,FALSE,NULL,NULL,NULL,NULL);
  15. if( hThread == NULL )
  16. {
  17. MyOutputDebugStringA("MyCreateRemoteThread() : NtCreateThreadEx() 调用失败!错误代码: [%d]", GetLastError());
  18. return NULL;
  19. }
  20. }
  21. else// 2000, XP, Server2003
  22. {
  23. hThread = CreateRemoteThread(hProcess,NULL,0,pThreadProc,pRemoteBuf,0,NULL);
  24. if( hThread == NULL )
  25. {
  26. MyOutputDebugStringA("MyCreateRemoteThread() : CreateRemoteThread() 调用失败!错误代码: [%d]", GetLastError());
  27. return NULL;
  28. }
  29. }
  30. if( WAIT_FAILED == WaitForSingleObject(hThread, INFINITE) )
  31. {
  32. MyOutputDebugStringA("MyCreateRemoteThread() : WaitForSingleObject() 调用失败!错误代码: [%d]", GetLastError());
  33. return NULL;
  34. }
  35. return hThread;
  36. }
//OD跟踪,发现最后调用的是NtCreateThreadEx,所以这里手动调用

HANDLE Cx64Inject::MyCreateRemoteThread(HANDLE hProcess, LPTHREAD_START_ROUTINE pThreadProc, LPVOID pRemoteBuf)

{

        HANDLE hThread = NULL;

        FARPROC pFunc = NULL;

        if( IsVistaOrLater())// Vista, 7, Server2008

        {

                pFunc = GetProcAddress(GetModuleHandleW(L"ntdll.dll"), "NtCreateThreadEx");

                if( pFunc == NULL )

                {

                        MyOutputDebugStringA("MyCreateRemoteThread() : GetProcAddress(\"NtCreateThreadEx\") 调用失败!错误代码: [%d]", GetLastError());

                        return NULL;

                }

                ((_NtCreateThreadEx64)pFunc)(&hThread,0x1FFFFF,NULL,hProcess,pThreadProc,pRemoteBuf,FALSE,NULL,NULL,NULL,NULL);

                if( hThread == NULL )

                {

                        MyOutputDebugStringA("MyCreateRemoteThread() : NtCreateThreadEx() 调用失败!错误代码: [%d]", GetLastError());

                        return NULL;

                }

        }

        else// 2000, XP, Server2003

        {

                hThread = CreateRemoteThread(hProcess,NULL,0,pThreadProc,pRemoteBuf,0,NULL);

                if( hThread == NULL )

                {

                        MyOutputDebugStringA("MyCreateRemoteThread() : CreateRemoteThread() 调用失败!错误代码: [%d]", GetLastError());

                        return NULL;

                }

        }

        if( WAIT_FAILED == WaitForSingleObject(hThread, INFINITE) )

        {

                MyOutputDebugStringA("MyCreateRemoteThread() : WaitForSingleObject() 调用失败!错误代码: [%d]", GetLastError());

                return NULL;

        }

        return hThread;

}
  1. //在目标进程中创建线程并注入dll
  2. BOOL Cx64Inject::InjectDll(DWORD dwProcessId,LPCWSTR lpcwDllPath)
  3. {
  4. BOOL bRet = FALSE;
  5. HANDLE hProcess = NULL, hThread = NULL;
  6. LPVOID pCode = NULL;
  7. LPVOID pThreadData = NULL;
  8. __try
  9. {
  10. if(!EnableDebugPrivilege())
  11. {
  12. MyOutputDebugStringA("InjectDll() : EnableDebugPrivilege() 调用失败!错误代码: [%d]", GetLastError());
  13. return -1;
  14. }
  15. //打开目标进程;
  16. hProcess = OpenProcess(PROCESS_ALL_ACCESS, TRUE, dwProcessId);
  17. DWORD dwError = GetLastError();
  18. if (hProcess == NULL)
  19. __leave;
  20. //申请空间,把我们的代码和数据写入目标进程空间里;
  21. //写入数据;
  22. THREAD_DATA data;
  23. HMODULE hNtdll = GetModuleHandleW(L"ntdll.dll");
  24. data.fnRtlInitUnicodeString = (pRtlInitUnicodeString)GetProcAddress(hNtdll,"RtlInitUnicodeString");
  25. data.fnLdrLoadDll = (pLdrLoadDll)GetProcAddress(hNtdll,"LdrLoadDll");
  26. memcpy(data.DllName, lpcwDllPath, (wcslen(lpcwDllPath) + 1)*sizeof(WCHAR));
  27. data.DllPath = NULL;
  28. data.Flags = 0;
  29. data.ModuleHandle = INVALID_HANDLE_VALUE;
  30. pThreadData = VirtualAllocEx(hProcess, NULL, 4096, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
  31. if (pThreadData == NULL)
  32. __leave;
  33. BOOL bWriteOK = WriteProcessMemory(hProcess, pThreadData,&data,sizeof(data), NULL);
  34. if (!bWriteOK)
  35. __leave;
  36. MyOutputDebugStringA("pThreadData = 0x%p", pThreadData);
  37. //写入代码;
  38. DWORD SizeOfCode = (DWORD)ThreadProcEnd - (DWORD)ThreadProc;
  39. pCode = VirtualAllocEx(hProcess, NULL, SizeOfCode, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
  40. if (pCode == NULL)
  41. {
  42. MyOutputDebugStringA("InjectDll() : pCode = VirtualAllocEx() 调用失败!错误代码: [%d]", GetLastError());
  43. __leave;
  44. }
  45. bWriteOK = WriteProcessMemory(hProcess, pCode, (PVOID)ThreadProc, SizeOfCode, NULL);
  46. if (!bWriteOK)
  47. __leave;
  48. MyOutputDebugStringA("pCode = 0x%p", pCode);
  49. //创建远程线程,把ThreadProc作为线程起始函数,pThreadData作为参数;
  50. hThread = MyCreateRemoteThread(hProcess, (LPTHREAD_START_ROUTINE)pCode, pThreadData);
  51. if (hThread == NULL)
  52. __leave;
  53. //等待完成;
  54. WaitForSingleObject(hThread, INFINITE);
  55. bRet = TRUE;
  56. }
  57. __finally
  58. {
  59. if (pThreadData != NULL)
  60. VirtualFreeEx(hProcess, pThreadData, 0, MEM_RELEASE);
  61. if (pCode != NULL)
  62. VirtualFreeEx(hProcess, pCode, 0, MEM_RELEASE);
  63. if (hThread != NULL)
  64. CloseHandle(hThread);
  65. if (hProcess != NULL)
  66. CloseHandle(hProcess);
  67. }
  68. return bRet;
  69. }
//在目标进程中创建线程并注入dll

BOOL Cx64Inject::InjectDll(DWORD dwProcessId,LPCWSTR lpcwDllPath)

{

        BOOL bRet = FALSE;

        HANDLE hProcess = NULL, hThread = NULL;

        LPVOID pCode = NULL;

        LPVOID pThreadData = NULL;

        __try

        {

                if(!EnableDebugPrivilege())

                {

                        MyOutputDebugStringA("InjectDll() : EnableDebugPrivilege() 调用失败!错误代码: [%d]", GetLastError());

                        return -1;

                }

                //打开目标进程;

                hProcess = OpenProcess(PROCESS_ALL_ACCESS, TRUE, dwProcessId);

                DWORD dwError = GetLastError();

                if (hProcess == NULL)

                        __leave;

                //申请空间,把我们的代码和数据写入目标进程空间里;

                //写入数据;

                THREAD_DATA data;

                HMODULE hNtdll = GetModuleHandleW(L"ntdll.dll");

                data.fnRtlInitUnicodeString = (pRtlInitUnicodeString)GetProcAddress(hNtdll,"RtlInitUnicodeString");

                data.fnLdrLoadDll = (pLdrLoadDll)GetProcAddress(hNtdll,"LdrLoadDll");

                memcpy(data.DllName, lpcwDllPath, (wcslen(lpcwDllPath) + 1)*sizeof(WCHAR));

                data.DllPath = NULL;

                data.Flags = 0;

                data.ModuleHandle = INVALID_HANDLE_VALUE;

                pThreadData = VirtualAllocEx(hProcess, NULL, 4096, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);

                if (pThreadData == NULL)

                        __leave;

                BOOL bWriteOK = WriteProcessMemory(hProcess, pThreadData,&data,sizeof(data), NULL);

                if (!bWriteOK)

                        __leave;

                MyOutputDebugStringA("pThreadData = 0x%p", pThreadData);

                //写入代码;

                DWORD SizeOfCode = (DWORD)ThreadProcEnd - (DWORD)ThreadProc;

                pCode = VirtualAllocEx(hProcess, NULL, SizeOfCode, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);

                if (pCode == NULL)

                {

                        MyOutputDebugStringA("InjectDll() : pCode = VirtualAllocEx() 调用失败!错误代码: [%d]", GetLastError());

                        __leave;

                }

                bWriteOK = WriteProcessMemory(hProcess, pCode, (PVOID)ThreadProc, SizeOfCode, NULL);

                if (!bWriteOK)

                        __leave;

                MyOutputDebugStringA("pCode = 0x%p", pCode);

                //创建远程线程,把ThreadProc作为线程起始函数,pThreadData作为参数;

                hThread = MyCreateRemoteThread(hProcess, (LPTHREAD_START_ROUTINE)pCode, pThreadData);

                if (hThread == NULL)

                        __leave;

                //等待完成;

                WaitForSingleObject(hThread, INFINITE);

                bRet = TRUE;

        }

        __finally

        {

                if (pThreadData != NULL)

                        VirtualFreeEx(hProcess, pThreadData, 0, MEM_RELEASE);

                if (pCode != NULL)

                        VirtualFreeEx(hProcess, pCode, 0, MEM_RELEASE);

                if (hThread != NULL)

                        CloseHandle(hThread);

                if (hProcess != NULL)

                        CloseHandle(hProcess);

        }

        return bRet;

}

以上是远程线程注入类的两个核心函数,下面是调用实例:

  1. Cx64Inject inject;
  2. if (inject.InjectDll(g_dwPID,g_szDllPath))
  3. {
  4. ::MessageBox(NULL,L"注入成功",L":)",MB_ICONINFORMATION);
  5. }
  6. else
  7. {
  8. ::MessageBox(NULL,L"注入失败!",L"失败",MB_ICONERROR);
  9. }
Cx64Inject inject;

if (inject.InjectDll(g_dwPID,g_szDllPath))

{

        ::MessageBox(NULL,L"注入成功",L":)",MB_ICONINFORMATION);

}

else

{

        ::MessageBox(NULL,L"注入失败!",L"失败",MB_ICONERROR);

}

封装成类了,使用起来很简单的。
有一点需要注意的是x64注入的意思是只能将64位dll注入64位进程。
x86注入的意思是32位dll注入32位进程。

源代码下载:

DLL注入工具x86Inject_v1.2完整源代码(VS2010)下载地址:http://download.csdn.net/detail/sunflover454/9385421

DLL注入工具x64Inject_v1.1完整源代码(VS2010)下载地址:http://download.csdn.net/detail/sunflover454/9385408

相关下载:

DLL注入工具成品(x86)下载地址:http://download.csdn.net/detail/sunflover454/9385346

DLL注入工具成品(x64)下载地址:http://download.csdn.net/detail/sunflover454/9385355

转载请注明出处,谢谢!
原帖地址:http://blog.csdn.net/sunflover454/article/details/50441146

jpg改rar

Ring3下的DLL注入(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)的更多相关文章

  1. win7下将dll文件的打开方式改回系统默认

    打开注册表,定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.dll把除OpenWit ...

  2. 表达式SpEL方式的属性注入

    -----------------------siwuxie095 表达式 SpEL 方式的属性注入 表达式 SpEL 方式的属性注入是 Spring 3.x 版本后提供的方式 1.编写一个普通类 B ...

  3. 命名空间p方式的属性注入

    ---------------------siwuxie095 命名空间 p 方式的属性注入 命名空间 p 方式的属性注入是 Spring 2.x 版本后提供的方式 1.编写一个普通类 Book.ja ...

  4. war包部署在tomcat下,使用windows service服务方式启动tomcat服务器,在包含调用dll的模块,报dll找不到问题的解决办法

    问题描述: 开发了一个需要调用dll的java web程序,在idea开发环境下运行调试没问题,可以正常运行,在tomcat/bin下,运行批处理startup.bat,启动tomcat服务器,也可以 ...

  5. Spring依赖注入三种方式详解

    在讲解Spring依赖注入之前的准备工作: 下载包含Spring的工具jar包的压缩包 解压缩下载下来的Spring压缩包文件 解压缩之后我们会看到libs文件夹下有许多jar包,而我们只需要其中的c ...

  6. dll的加载方式主要分为两大类,显式和隐式链接

    之前简单写过如何创建lib和dll文件及简单的使用(http://blog.csdn.net/betabin/article/details/7239200).现在先再深入点写写dll的加载方式. d ...

  7. Ring3下干净的强行删除文件

    在某公司实习完,再次回到寝室.还是在学校好. 实习期间的给我的任务就是为项目添加一个强行删除的模块. 背景是硬盘上存储空间不够时,需要删掉老的文件,如果这时后,老的文件被打开了,没有关掉,就无法删除. ...

  8. Spring的几种注入bean的方式

    在Spring容器中为一个bean配置依赖注入有三种方式: · 使用属性的setter方法注入  这是最常用的方式: · 使用构造器注入: · 使用Filed注入(用于注解方式).   使用属性的se ...

  9. 深入Delphi下的DLL编程

    深入Delphi下的DLL编程 作者:岑心 引 言 相信有些计算机知识的朋友都应该听说过“DLL”.尤其是那些使用过windows操作系统的人,都应该有过多次重装系统的“悲惨”经历——无论再怎样小心, ...

随机推荐

  1. Mysql 查询练习

    Mysql 查询练习 ---创建班级表 create table class( cid int auto_increment primary key, caption ) )engine=innodb ...

  2. jedis池的作用

    一.jedis池的介绍 相信大家都用过线程池或者是jdbc的连接池,使用池可以减少系统在使用所需对象时创建对象的开销,从而提高系统性能和效率.jedis池也是如此,那么我们该如何使用jedis池呢? ...

  3. d3 document

    https://github.com/d3/d3/wiki/API--%E4%B8%AD%E6%96%87%E6%89%8B%E5%86%8C https://github.com/d3/d3/wik ...

  4. JavaScript写在Html页面的<head></head>中

    JavaScript写在Html页面的<head></head>中 ----------------- <html> <head> <style ...

  5. Fibonacci 数列算法分析

    /************************************************* * Fibonacci 数列算法分析 ****************************** ...

  6. PHP数组

    PHP数组的遍历 使用for语句循环遍历数组 在PHP中,不仅可以指定非连续的数字索引值,而且还存在以字符串为下表的关联数组.所以在php中很少使用for语句循环来遍历数组.使用for语句遍历连续数字 ...

  7. 练习:使用nmcli 配置网络连接

    显示所有连接 # nmcli con show 显示活动连接的所有配置信息 # nmcli con show "System eth0" --->引号内为连接的网卡名称 显示 ...

  8. PHP常量、变量作用域详解(一)

    PHP 中的每个变量都有一个针对它的作用域,它是指可以在其中访问变量(从而访问它的值)的一个领域.对于初学者来说,变量的作用域是它们所驻留的页面.因此, 如果你定义了 $var,页面余下部分就可以访问 ...

  9. 局域网中共享Lantern上网

    Lantern作为一款非常好用的上网软件,深受大家喜爱,但是由于目前没有ios版,所以iPhone用户上网很麻烦,这里介绍一下如何共享Lantern使局域网内的设备都能正常上网. 1.电脑端设置:右键 ...

  10. JS学习:第一周——NO.1预解释

    1.何为预解释? 在当前作用域下,在JS代码执行之前,浏览器会对带var和带function的进行提前声明或定义: ①带var的:只声明不定义:告诉浏览器,有这么一个变量,但是并没有赋值 ②带func ...