// PE注入.cpp : 定义控制台应用程序的入口点。

 //

 #include "stdafx.h"

 #include <windows.h>

 #include <tlhelp32.h>

 #include <process.h>

 #include <stdio.h>

 #pragma comment (lib, "winmm.lib")

 #pragma comment (lib, "kernel32.lib")

 /*获取进程ID号*/

 DWORD GetProcessIdByName(LPWSTR name)

 {

     PROCESSENTRY32 pe32;

     HANDLE snapshot = NULL;

     DWORD pid = ;

     snapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, );

     if (snapshot != INVALID_HANDLE_VALUE)

     {

         pe32.dwSize = sizeof(PROCESSENTRY32);

         if (Process32First(snapshot, &pe32))

         {

             do

             {

                 if (!lstrcmp(pe32.szExeFile, name))

                 {

                     pid = pe32.th32ProcessID;

                     break;

                 }

             } while (Process32Next(snapshot, &pe32));

         }

         CloseHandle(snapshot);

     }

     return pid;

 }

 extern "C" void mainCRTStartup();

 DWORD main();

 /**

  

  * 远程进程内存中注入PE

   

   */

 HMODULE injectModule(HANDLE proc, LPVOID module)

 {

     DWORD i = ;

     DWORD_PTR delta = NULL;

     DWORD_PTR olddelta = NULL;

     /* 获取模块PE头 */

     PIMAGE_NT_HEADERS headers = (PIMAGE_NT_HEADERS)((LPBYTE)module + ((PIMAGE_DOS_HEADER)module)->e_lfanew);

     PIMAGE_DATA_DIRECTORY datadir;

     /* 计算注入代码长度 */

     DWORD moduleSize = headers->OptionalHeader.SizeOfImage;

     LPVOID distantModuleMemorySpace = NULL;

     LPBYTE tmpBuffer = NULL;

     BOOL ok = FALSE;

     if (headers->Signature != IMAGE_NT_SIGNATURE)

         return NULL;

     if (IsBadReadPtr(module, moduleSize))

         return NULL;

     distantModuleMemorySpace = VirtualAllocEx(proc, NULL, moduleSize, MEM_RESERVE | MEM_COMMIT, PAGE_EXECUTE_READWRITE);

     if (distantModuleMemorySpace != NULL)

     {

         tmpBuffer = (LPBYTE)VirtualAlloc(NULL, moduleSize, MEM_RESERVE | MEM_COMMIT, PAGE_EXECUTE_READWRITE);

         if (tmpBuffer != NULL)

         {

             RtlCopyMemory(tmpBuffer, module, moduleSize);

             datadir = &headers->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC];

             if (datadir->Size >  && datadir->VirtualAddress > )

             {

                 delta = (DWORD_PTR)((LPBYTE)distantModuleMemorySpace - headers->OptionalHeader.ImageBase);

                 olddelta = (DWORD_PTR)((LPBYTE)module - headers->OptionalHeader.ImageBase);

                 PIMAGE_BASE_RELOCATION reloc = (PIMAGE_BASE_RELOCATION)(tmpBuffer + datadir->VirtualAddress);

                 while (reloc->VirtualAddress != )

                 {

                     if (reloc->SizeOfBlock >= sizeof(IMAGE_BASE_RELOCATION))

                     {

                         DWORD relocDescNb = (reloc->SizeOfBlock - sizeof(IMAGE_BASE_RELOCATION)) / sizeof(WORD);

                         LPWORD relocDescList = (LPWORD)((LPBYTE)reloc + sizeof(IMAGE_BASE_RELOCATION));

                         for (i = ; i < relocDescNb; i++)

                         {

                             if (relocDescList[i] > )

                             {

                                 DWORD_PTR *p = (DWORD_PTR *)(tmpBuffer + (reloc->VirtualAddress + (0x0FFF & (relocDescList[i]))));

                                 *p -= olddelta;

                                 *p += delta;

                             }

                         }

                     }

                     reloc = (PIMAGE_BASE_RELOCATION)((LPBYTE)reloc + reloc->SizeOfBlock);

                 }

                 tmpBuffer[(DWORD)main - (DWORD)module] = 0x55;

                 ok = WriteProcessMemory(proc, distantModuleMemorySpace, tmpBuffer, moduleSize, NULL);

             }

             VirtualFree(tmpBuffer, , MEM_RELEASE);

         }

         if (!ok)

         {

             VirtualFreeEx(proc, distantModuleMemorySpace, , MEM_RELEASE);

             distantModuleMemorySpace = NULL;

         }

     }

     return (HMODULE)distantModuleMemorySpace;

 }

 /**

  

  * 获取DEBUG权限

   

   */

 BOOL EnableDebugPrivileges(void)

 {

     HANDLE token;

     TOKEN_PRIVILEGES priv;

     BOOL ret = FALSE;

     if (OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &token))

     {

         priv.PrivilegeCount = ;

         priv.Privileges[].Attributes = SE_PRIVILEGE_ENABLED;

         if (LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &priv.Privileges[].Luid) != FALSE &&

             AdjustTokenPrivileges(token, FALSE, &priv, , NULL, NULL) != FALSE)

         {

             ret = TRUE;

         }

         CloseHandle(token);

     }

     return ret;

 }

 BOOL peInjection(DWORD pid, LPTHREAD_START_ROUTINE callRoutine)

 {

     HANDLE proc, thread;

     HMODULE module, injectedModule;

     BOOL result = FALSE;

     proc = OpenProcess(PROCESS_CREATE_THREAD |

         PROCESS_QUERY_INFORMATION |

         PROCESS_VM_OPERATION |

         PROCESS_VM_WRITE |

         PROCESS_VM_READ,

         FALSE,

         pid);

     if (proc != NULL)

     {

         module = GetModuleHandle(NULL);

         injectedModule = (HMODULE)injectModule(proc, module);

         if (injectedModule != NULL)

         {

             LPTHREAD_START_ROUTINE remoteThread = (LPTHREAD_START_ROUTINE)((LPBYTE)injectedModule + (DWORD_PTR)((LPBYTE)callRoutine - (LPBYTE)module));

             thread = CreateRemoteThread(proc, NULL, , remoteThread, NULL, , NULL);

             if (thread != NULL)

             {

                 CloseHandle(thread);

                 result = TRUE;

             }

             else

             {

                 VirtualFreeEx(proc, module, , MEM_RELEASE);

             }

         }

         CloseHandle(proc);

     }

     return result;

 }

 DWORD WINAPI entryThread(LPVOID param)

 {

     DWORD newModuleD = (DWORD)param;

     MessageBox(NULL, L"Injection success.Now initializing runtime library.", NULL, );

     //mainCRTStartup();

     MessageBox(NULL, L"This will never be called.", NULL, );

     return ;

 }

 void entryPoint()

 {

     MessageBox(NULL, L"entryPoint", NULL, );

     EnableDebugPrivileges();

     //peInjection(GetProcessIdByName(L"explorer.exe"), entryThread);

     peInjection( , entryThread);

 }

 DWORD main()

 {

     //MessageBox(NULL, L"In Main ", NULL, 0);

     printf("This printf can work because runtime library is now initialized.\n");

     entryPoint();

     //(NULL, L"In main end", NULL, 0);

     ExitThread();

     return ;

 }

通过此方法可将一个进程的完整镜像完全注入到另外一个进程的内存空间中,从而在一个进程空间中包含了两套不同的代码。与DLL注入相比,PE注入的主要优势是不需要很多文件,只需要MAIN.EXE注入到其他进程并唤起自身代码即可。

PE注入的更多相关文章

  1. PE知识复习之PE文件空白区添加代码

    PE知识复习之PE文件空白区添加代码 一丶简介 根据上面所讲PE知识.我们已经可以实现我们的一点手段了.比如PE的入口点位置.改为我们的入口位置.并且填写我们的代码.这个就是空白区添加代码. 我们也可 ...

  2. powersploit的用法

    一.PowerSploit简介 PowerSploit是GitHub上面的一个安全项目,上面有很多powershell攻击脚本,它们主要被用来渗透中的信息侦察.权限提升.权限维持. Powershel ...

  3. Windows Dll Injection、Process Injection、API Hook、DLL后门/恶意程序入侵技术

    catalogue 1. 引言2. 使用注册表注入DLL3. 使用Windows挂钩来注入DLL4. 使用远程线程来注入DLL5. 使用木马DLL来注入DLL6. 把DLL作为调试器来注入7. 使用c ...

  4. powersploit使用实例

    一.AntivirusBypass(绕过杀毒) Find-AVSignature  发现杀软的签名 1.先在靶机(windows 2008)上远程加载位于win7的Invoke-Shellcode.p ...

  5. Exploit Kit——hacker入侵web,某iframe中将加载RIG EK登录页面,最终下载并执行Monero矿工

    RIG Exploit Kit使用PROPagate注入技术传播Monero Miner from:https://www.4hou.com/technology/12310.html 导语:Fire ...

  6. ReflectiveLoader分析(远程线程注入 PE修正)

    从github上下载了ReflectiverLoader认真学习了一下 在代码中得到一些心得和自己的想法,都按步骤写到了代码中,现在分享给大家,如有错,望大家指正 其中需要注入的dll和解析, 内存R ...

  7. PE病毒初探——向exe注入代码

    PE文件其实就是Windows可执行文件,关于它的一些简要介绍摘自百度: PE文件被称为可移植的执行体是Portable Execute的全称,常见的EXE.DLL.OCX.SYS.COM都是PE文件 ...

  8. Dll注入:修改PE文件 IAT注入

    PE原理就不阐述了, 这个注入是PE感染的一种,通过添加一个新节注入,会改变PE文件的大小,将原有的导入表复制到新节中,并添加自己的导入表描述符,最后将数据目录项中指向的导入表的入口指向新节. 步骤: ...

  9. DLL注入之修改PE静态注入

    DLL注入之修改PE静态注入 0x00 前言 我们要注入的的力量功能是下载baidu首页数据.代码如下: #include "stdio.h" #include"stdi ...

随机推荐

  1. 【leetcode❤python】 204. Count Primes

    #-*- coding: UTF-8 -*- #Hint1:#数字i,i的倍数一定不是质数,因此去掉i的倍数,例如5,5*1,5*2,5*3,5*4,5*5都不是质数,应该去掉#5*1,5*2,5*3 ...

  2. 前端 JS POST提交

    /*点击事件*/ function deleteExportItemAndEportUser(id) {    post("deleteExportItemAndEportUser" ...

  3. python操作Excel--使用xlrd

    一.安装xlrd http://pypi.python.org/pypi/xlrd 二.使用介绍 1.导入模块 import xlrd 2.打开Excel文件读取数据 data = xlrd.open ...

  4. 框架整合----------Hibernate、spring整合

    说到整合框架,其实也就是环境的搭建了,首先我们要导包,这里连接数据库我们用到了spring容器,我们用连接池来进行数据库的连接,我们需要导入c3p0和jdbc的jar包,其余的就是spring和Hib ...

  5. TFS二次开发系列:八、TFS二次开发的数据统计以PBI、Bug、Sprint等为例(二)

    上一篇文章我们编写了此例的DTO层,本文将数据访问层封装为逻辑层,提供给界面使用. 1.获取TFS Dto实例,并且可以获取项目集合,以及单独获取某个项目实体 public static TFSSer ...

  6. C++备忘录

    参考资料: 1. <C++编程思想(第一卷)> 知识点: ● register变量:它是一种局部变量类型.它告诉编译器尽快访问该变量.一般会把变量放在寄存器中,但不保证一定会.不能得到或计 ...

  7. PHP中的逻辑运算符的优先级

    在三元运算中(expr1)?(expr2):(expr3); and,or,xor的优先级要小于三元运算符,所以需要添加括号例:如果$a为true,$b为fals,$a and $b?"tr ...

  8. mysql事务处理

    事务处理能保证所有的sql操作一次性完成或回滚,mysql默认的MyISAM表类型是不支持事务处理的,如果需要做事务处理,需要把表类型换成InnoDB <?php $dsn='mysql:hos ...

  9. Java 源码解析之局部变量检查

    package com.tang; import java.io.BufferedReader; import java.io.File; import java.io.FileInputStream ...

  10. springcloud(第三篇)springcloud eureka 服务注册与发现 *****

    http://blog.csdn.net/liaokailin/article/details/51314001 ******************************************* ...