远程线程和远程线程注入
CreateRemoteThread函数
作用:创建在另一个进程的虚拟地址空间中运行的线程
HANDLE CreateRemoteThread(
[in] HANDLE hProcess, // 需要在哪个进程中创建线程
[in] LPSECURITY_ATTRIBUTES lpThreadAttributes, // 安全描述符
[in] SIZE_T dwStackSize, // 分配的堆栈大小
[in] LPTHREAD_START_ROUTINE lpStartAddress, // 要执行的函数
[in] LPVOID lpParameter, // 参数
[in] DWORD dwCreationFlags, // 控制线程创建的标志
[out] LPDWORD lpThreadId // 返回线程id
);
和我们 CreateThread 函数相比也就多了一个hProcess参数
远程线程
#include<iostream>
#include<windows.h>
// 参数:进程ID,进程内函数地址
BOOL myCreateRemoteThread(DWORD dwProcessId,DWORD dwProcAddr) {
// 获取进程句柄
DWORD dwThreadId = 0;
HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS,FALSE,dwProcessId);
if (hProcess == NULL) {
std::cout << "打开进程失败!,错误码:" << GetLastError() << std::endl;
return FALSE;
}
// 创建远程线程
HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)dwProcAddr, NULL, 0, NULL);
if (hThread == NULL) {
std::cout << "创建远程线程失败!,错误码:" << GetLastError() << std::endl;
return FALSE;
}
getchar();
// 释放资源
CloseHandle(hProcess);
CloseHandle(hThread);
return TRUE;
}
int main()
{
获取窗口句柄
//HWND hWind = FindWindow(NULL, L"进程A.exe");
//DWORD pid;
通过窗口句柄获取进程ID和线程id
//GetWindowThreadProcessId(hWind,&pid);
// 我们先使用硬编码的方式来测试
myCreateRemoteThread(10872, 0x00007FF76ECD2220);
return 0;
}
现在我们可以在其它进程中创建一个新的线程,然后执行它里面的方法
远程线程注入
那如果我们要在其他进程中执行自己的代码要怎么办呢?
这就是用到注入的技术了,所谓注入就是在第三方进程不知道或者不允许的情况下将模块或者代码写入对方进程空间,并设法执行的技术
常见的注入方式:
- 远程线程注入
- APC注入
- 消息钩子注入
- 注册表注入(已淘汰 需要早期系统版本支撑)
- 导入表注入
- 输入法注入
- …
在CreateRemoteThread方法中,有一个参数lpStartAddress,这个参数是一个返回类型为4/8个字节,接收的参数类型也是4/8个字节的方法(字节数与当前是多少位的系统相关)
DWORD WINAPI ThreadProc(
LPVOID lpParameter
);
还有一个函数和ThreadProc很像,也是只有一个参数(4个字节),返回类型也是4个字节,那就是LoadLibrary这个函数
HMODULE LoadLibrary(
LPCSTR lpLibFileName
);
这样以来我们就可以把LoadLibrary函数替换成ThreadProc函数去执行,我们回想一下,执LoadLibrary需要有一个参数,这个参数就是我们dll的路径,但是这个dll路径是不能放在我们当前进程的,进程之前的数据都隔离的,所以具体的实现步骤为以下几点
- 在要注入的进程中分配空间,
存储dll的路径 - 获取
LoadLibrary的函数地址 - 创建远程线程,执行
LoadLibrary函数
接下来我们来看一下具体的实现流程
DLL注入模块的编写
// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "pch.h"
extern "C" __declspec(dllimport) void __stdcall MyPrintWindow(); // pch.h
DWORD WINAPI ThreadProc(LPVOID lpParameter) {
for (;;)
{
Sleep(1000);
std::cout << "注入的代码在执行。。。\n";
}
return 0;
}
BOOL APIENTRY DllMain( HMODULE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved
)
{
switch (ul_reason_for_call)
{
case DLL_PROCESS_ATTACH:
CreateThread(NULL, 0, ThreadProc, NULL, 0, NULL);
break;
case DLL_THREAD_ATTACH:
break;
case DLL_THREAD_DETACH:
break;
case DLL_PROCESS_DETACH:
break;
}
return TRUE;
}
实现注入功能的代码
#include<iostream>
#include<windows.h>
#include <tlhelp32.h>
// 两个参数,processId要注入的进程ID,dllAddress dll的地址
BOOL LoadDLL(DWORD dwProcessId,const WCHAR* pDllAddressStr) {
BOOL bRet = FALSE;
HANDLE hProcess = NULL;
HANDLE hThread;
DWORD dwLength;
DWORD64 dwLoadAddr = NULL;
LPVOID lpAllocAddr;
DWORD dwThreadId;
HMODULE hModule;
// 1.获取进程句柄
hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessId);
if (hProcess == NULL) {
std::cout << "打开进程失败!,错误码:" << GetLastError() << std::endl;
return FALSE;
}
// 2.计算Dll路径名称长度
dwLength = (lstrlen(pDllAddressStr) + 1) * sizeof(WCHAR);
// 3.在目标进程中申请内存 参数1,目标进程句柄,参数2,内存起始地址,参数3,内存大小,参数4,内存属性已提交,参数5,具有读写权限
lpAllocAddr = VirtualAllocEx(hProcess, NULL, dwLength, MEM_COMMIT, PAGE_READWRITE);
if (lpAllocAddr == NULL) {
std::cout << "分配置内存失败!,错误码:" << GetLastError() << std::endl;
CloseHandle(hProcess);
return FALSE;
}
// 4.把Dll路径名称复制到刚刚分配的目标进程内存当中
bRet = WriteProcessMemory(hProcess, lpAllocAddr, pDllAddressStr, dwLength, NULL);
if (!lpAllocAddr) {
std::cout << "写目标进程内存失败!,错误码:" << GetLastError() << std::endl;
CloseHandle(hProcess);
return FALSE;
}
// 5.获取模块地址
hModule = GetModuleHandle(L"Kernel32.dll");
if (!hModule) {
std::cout << "获取模块失败!,错误码:" << GetLastError() << std::endl;
CloseHandle(hProcess);
return FALSE;
}
// 6.获取LoadLibraryW函数地址
dwLoadAddr = (DWORD64)GetProcAddress(hModule, "LoadLibraryW");
if (!dwLoadAddr) {
std::cout << "函数地址失败!,错误码:" << GetLastError() << std::endl;
CloseHandle(hProcess);
CloseHandle(hModule);
return FALSE;
}
// 7.创建远程线程,加载dll
hThread = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)dwLoadAddr, lpAllocAddr, 0, NULL);
if (hThread == NULL) {
std::cout << "加载dll失败!,错误码:" << GetLastError() << std::endl;
CloseHandle(hProcess);
CloseHandle(hModule);
return FALSE;
}
CloseHandle(hThread);
return TRUE;
}
// 遍历进程id
DWORD FindConsoleExePid(const WCHAR* exeName) {
HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
if (hSnap != INVALID_HANDLE_VALUE)
{
setlocale(LC_ALL, "chs");
PROCESSENTRY32 pe32 = { 0 };
pe32.dwSize = sizeof(pe32);
BOOL bRet = Process32First(hSnap, &pe32);
while (bRet)
{
//wprintf(L"%s %d\r\n", pe32.szExeFile, pe32.th32ProcessID);
if (lstrcmp(pe32.szExeFile, exeName) == 0)
{
// 返回pid
return pe32.th32ParentProcessID;
}
bRet = Process32Next(hSnap, &pe32);
}
CloseHandle(hSnap);
}
return 0;
}
int main()
{
DWORD dwProcessId = FindConsoleExePid(L"远程线程");
//注入dll
if (LoadDLL(dwProcessId, L"C:\\Users\\BananaLi\\Desktop\\注入DLL.dll")) {
std::cout << "注入成功\n";
}
else
{
std::cout << "注入失败\n";
}
return 0;
}
我们来一步步的分析下代码
// 1.获取进程句柄
hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessId);
首先要知道要往哪个进程中注入,就要获取它的句柄
// 2.计算Dll路径名称长度
dwLength = (lstrlen(pDllAddressStr) + 1) * sizeof(WCHAR);
我们要把LoadLibraryW的参数也就是dll的路径地址传递进去,要计算字符串的长度,后面好分配空间
// 3.在目标进程中申请内存 参数1,目标进程句柄,参数2,内存起始地址,参数3,内存大小,参数4,内存属性已提交,参数5,具有读写权限
lpAllocAddr = VirtualAllocEx(hProcess, NULL, dwLength, MEM_COMMIT, PAGE_READWRITE);
我们要在目标进程中开辟一块空间用来存入我们的dll地址:0x0x0000014922cd0000
// 4.把Dll路径名称复制到刚刚分配的目标进程内存当中
bRet = WriteProcessMemory(hProcess, lpAllocAddr, pDllAddressStr, dwLength, NULL);
运行后我们发现我们dll的路径已经写入到了目标进程的空间
// 5.获取模块地址
hModule = GetModuleHandle(L"Kernel32.dll");
// 6.获取LoadLibraryW函数地址
dwLoadAddr = (DWORD64)GetProcAddress(hModule, “LoadLibraryW”);
我们会发现不管在任何程序当中都会有ntdll.dll,kernel32.dll这些模块,并且他们的模块地址和函数地址在任何进程中都是固定的,然而我们的LoadLibraryW就在kernel32.dll这个模块当中
// 7.创建远程线程,加载dll
最后就是CreateRemoteThread函数加载我们的LoadLibraryW函数,然后在加载LoadLibraryW函数时,创建一个新的线程执行我们需要执行的方法就可以了
查看模块,我们dll也被识别出来了
最后还有几个函数是用来退出时做的操作
- FreeLibraryAndExitThread // 卸载自己并退出
- VirtualFreeEx // 释放远程进程内存空间
![[Spring]-AOP](https://i-blog.csdnimg.cn/img_convert/424ef38752088e5d3161f4799257dfb4.png)
