[原创]Ring3下劫持CreateProcess注入dll-软件逆向-看雪-安全社区|安全招聘|kanxue.com

202

[原创]Ring3下劫持CreateProcess注入dll

发表于: 2010-12-8 22:38 144640

[原创]Ring3下劫持CreateProcess注入dll

zyhfut

2010-12-8 22:38

144640

前段时间写的代码,写完后一运行就出错,又因为手头有点事,就放在那了.今天中午没事拿出来和"雪"牛一起看了看,终于能跑起来了.这种被ken戏称称为"吸星大法"的技术,确实没啥新意,只当练手吧.顺便温习下IAT HOOK和PE结构.高手飘过!
大体说下思路:首先利用远程线程注入到系统的explorer.exe进程,注入后利用IAT HOOK,勾住explorer.exe的CreateProcessA,因为应用程序都是这个桌面进程拉起来的.所以后面创建的进程,都会走进我们挂钩后的函数.在我们的函数中做下过滤,根据进程名判断是否是我们感兴趣的进程.如果是,以CREATE_SUSPENDED标志创建进程,此时该进程虽然被创建但已被挂起.这时,我们可以将进程对应的可执行文件映射进内存,根据PE结构知道该进程的EP,然后修改EP处的代码.我这里选择的方式是,从EP开始搜索第一个call xxxx,然后修改xxxx处的地址,直接跳转到我们的代码处(当然必须先将我们的代码写入目标进程中),执行完我们的代码,再JMP到call对应的xxxx处.至于我们的代码中要干什么,想干什么就干什么了,我这里只是向进程load了一个dll.有人可能会问,这样不是闲着蛋疼,没事找事,直接为目标进程创建一个LoadlibraryA的远程线程不就load一个dll了,问题是有些进程自己做了保护,程序运行起来后,就不那么轻易让你注入了.废话不多说,直接上代码吧!
代码1:向系统的explorer.exe进程注入DLL
这段代码没什么好解释的,就是在系统进程快照中查找名叫explorer.exe的进程id,然后通过OpenProcess将进程映射到本进程的句柄表中,再远程分配空间,写内存,创建远程线程.

void main()
{
    char lpDllName[100] = {0};
    GetCurrentDirectory( 100, lpDllName );
    strcat( lpDllName, "\\InjectProcessDll.dll" );
    cout<<"Dll当前路径:"<<lpDllName<<endl;
 
    HANDLE hSnapshot = CreateToolhelp32Snapshot( TH32CS_SNAPPROCESS, 0 );
    if( hSnapshot == NULL )
    {
        cout<<"Create Snapshot false."<<endl;
        cin.get();
        return;
    }
    PROCESSENTRY32 stProcessEntry32 = {0};
    stProcessEntry32.dwSize = sizeof(PROCESSENTRY32);
    Process32First( hSnapshot, &stProcessEntry32 );
    bool bFind = false;
    do
    {
        if( strncmp( stProcessEntry32.szExeFile, "explorer.exe", strlen("explorer.exe") ) == 0 )
        {
            bFind = true;
            break;
        }
    }while( Process32Next( hSnapshot, &stProcessEntry32 ) );
    CloseHandle( hSnapshot );
    if( !bFind )
    {
        cout<<"查找explorer进程失败."<<endl;
        cin.get();
        return;
    }
 
    DWORD dwPId = stProcessEntry32.th32ProcessID;
    HANDLE hProcess = OpenProcess(  PROCESS_ALL_ACCESS, false, dwPId );
    if( hProcess == NULL )
    {
        cout<<"打开explorer进程失败."<<endl;
        cin.get();
        return;
    }
    LPVOID lpDllNameAddr = VirtualAllocEx( hProcess, NULL, strlen(lpDllName)+1, MEM_COMMIT, PAGE_READWRITE );
    if( lpDllNameAddr == NULL )
    {
        cout<<"explorer进程中申请内存失败."<<endl;
        CloseHandle(hProcess);
        cin.get();
        return;
    }
    cout<<"在目标进程："<<stProcessEntry32.szExeFile<<"中申请的空间地址："<<hex<<lpDllNameAddr<<endl;
    DWORD dwRes = 0;
    bool bRet = WriteProcessMemory( hProcess, lpDllNameAddr, lpDllName, strlen(lpDllName), &dwRes );
    if( !bRet )
    {
        cout<<"explorer进程写信息失败."<<endl;
        VirtualFreeEx( hProcess, lpDllNameAddr, strlen(lpDllName)+1, MEM_DECOMMIT );
        CloseHandle(hProcess);
        cin.get();
        return;
 
    }
    HMODULE hModuleKernel32 = GetModuleHandle("kernel32.dll");
    LPTHREAD_START_ROUTINE lpLoadLibraryAddr = (LPTHREAD_START_ROUTINE)GetProcAddress( hModuleKernel32, "LoadLibraryA" );
    if( lpLoadLibraryAddr != NULL )
    {
        cout<<"获得函数地址："<<hex<<lpLoadLibraryAddr<<endl;
        HANDLE hRemote = CreateRemoteThread( hProcess, NULL, 0, lpLoadLibraryAddr, lpDllNameAddr, 0, NULL );
        if( hRemote != NULL )
        {
            cout<<"创建远程线程成功，句柄："<<hex<<hRemote<<endl;
            WaitForSingleObject( hRemote, INFINITE );
            CloseHandle( hRemote );
            cout<<"远程线程运行结束"<<endl;
            cin.get();
 
        }
        else
            cout<<"创建远程线程失败."<<endl;
    }
    else
        cout<<"获取LoadLibrary地址失败"<<endl;
 
     
    VirtualFreeEx( hProcess, lpDllNameAddr, strlen(lpDllName)+1, MEM_DECOMMIT );
    CloseHandle(hProcess);
    cin.get();
    return;
 
 
}

登录后可查看完整内容

[招生]科锐逆向工程师培训(2025年3月11日实地，远程教学同时开班, 第52期)！

上传的附件：

QQ截图未命名.png （24.40kb，5185次下载）
TM截图未命名1.jpg （61.62kb，5130次下载）
TM截图未命名2.jpg （61.09kb，5128次下载）
TM截图未命名3.jpg （36.56kb，5119次下载）
TM截图未命名4.jpg （26.04kb，5113次下载）
TM截图未命名5.jpg （103.44kb，5156次下载）
注入.rar （2.63MB，1145次下载）

收藏・202

免费・7

支持

赞赏记录

参与人

雪币

留言

时间

Youlor

为你点赞~

2024-5-31 04:56

伟叔叔

为你点赞~

2024-3-6 00:35

QinBeast

为你点赞~

2024-1-20 02:19

心游尘世外

为你点赞~

2024-1-18 03:26

shinratensei

为你点赞~

2024-1-15 03:37

飘零丶

为你点赞~

2024-1-14 01:56

PLEBFE

为你点赞~

2023-3-14 03:43

最新回复 (123) 1 2 3 4 5 ▶
zyhfut 雪币： 410 活跃值： (214) 能力值： ( LV13，RANK：220 ) 在线值：发帖 14 回帖 86 粉丝 9 关注私信	zyhfut 5 2 楼没人顶。自己顶下。。 2010-12-9 17:43 0
Eniac 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	Eniac 3 楼不错啊，顶一下～～～有没有单exe文件注入的相关代码和说明 2010-12-9 18:32 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 4 楼顶顶顶顶 2010-12-9 18:36 0
tfzxyinhao 雪币： 306 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 180 粉丝 0 关注私信	tfzxyinhao 5 楼楼主能提供工程文件吗?,这个有点意思,但是不是所有的进程都是explorer创建的 2010-12-9 19:00 0
zyhfut 雪币： 410 活跃值： (214) 能力值： ( LV13，RANK：220 ) 在线值：发帖 14 回帖 86 粉丝 9 关注私信	zyhfut 5 6 楼 1。文中已经指出，大部分应用程序，并非所有进程 2。工程文件见附件 2010-12-9 20:50 0
gtict 雪币： 207 活跃值： (3683) 能力值： ( LV3，RANK：30 ) 在线值：发帖 24 回帖 515 粉丝 6 关注私信	gtict 7 楼好东西，，标注下 2010-12-9 21:06 0
ycmint 雪币： 1149 活跃值： (1008) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 894 粉丝 11 关注私信	ycmint 5 8 楼看帖回帖是一种美德顶了。。。。。。你注入了 explorer.exe 所以你可以多干了很多事。。 2010-12-9 21:52 0
kagayaki 雪币： 3126 活跃值： (5892) 能力值： ( LV3，RANK：20 ) 在线值：发帖 175 回帖 1274 粉丝 25 关注私信	kagayaki 9 楼谢谢分享啊.... 2010-12-10 09:32 0
十年寒窗雪币： 197 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 146 粉丝 2 关注私信	十年寒窗 10 楼 Mark学习 2010-12-10 09:37 0
sungy 雪币： 555 活跃值： (2360) 能力值： ( LV7，RANK：100 ) 在线值：发帖 147 回帖 668 粉丝 34 关注私信	sungy 1 11 楼收集代码，学习注入，谢谢 2010-12-10 12:27 0
ufofind 雪币： 145 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 109 粉丝 0 关注私信	ufofind 12 楼还是直接用汇编吧，然后实现自定位那样不是更好 2010-12-11 12:59 0
寻梦小子雪币： 81 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 65 粉丝 0 关注私信	寻梦小子 1 13 楼谢谢。。复习下。。。。 2010-12-11 15:07 0
dousao 雪币： 94 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	dousao 14 楼给力，给力。 2010-12-11 15:21 0
见钱开眼雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	见钱开眼 15 楼收藏了。哈哈 2010-12-11 21:08 0
crazyearl 雪币： 439 活跃值： (1284) 能力值： ( LV8，RANK：120 ) 在线值：发帖 26 回帖 102 粉丝 84 关注私信	crazyearl 2 16 楼 TAG:劫持、注入 2010-12-11 22:34 0
cnnets 雪币： 465 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 251 粉丝 0 关注私信	cnnets 17 楼呵呵，这个不错，支持开源。 2010-12-12 00:55 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 18 楼我六个区，这邪恶 2010-12-12 08:03 0
whypro 雪币： 78 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 254 粉丝 0 关注私信	whypro 19 楼够邪恶的 2010-12-12 08:08 0
zylzylzylzyl 雪币： 1636 活跃值： (2084) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 1 关注私信	zylzylzylzyl 20 楼写的不错，下载学习一下。 2010-12-12 10:21 0
lovesuae 雪币： 386 活跃值： (46) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 153 粉丝 3 关注私信	lovesuae 1 21 楼支持有码,注多了会不会导致explorer进程假死呢? 2010-12-12 10:37 0
guxinyi 雪币： 585 活跃值： (578) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 22 楼进程间的 API HOOK,标记备查 2010-12-12 13:37 0
robey 雪币： 149 活跃值： (331) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 170 粉丝 1 关注私信	robey 1 23 楼收藏一下。学习了。。。 2010-12-12 20:43 0
mingligli 雪币： 219 活跃值： (453) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 153 粉丝 0 关注私信	mingligli 24 楼谢谢分享啊.... 2010-12-12 21:29 0
lhglhg 雪币： 221 活跃值： (2521) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 443 粉丝 4 关注私信	lhglhg 1 25 楼谢谢。学习一下！！！！ 2010-12-12 22:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

zyhfut

发帖

回帖

220

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (123) 1 2 3 4 5 ▶
zyhfut 雪币： 410 活跃值： (214) 能力值： ( LV13，RANK：220 ) 在线值：发帖 14 回帖 86 粉丝 9 关注私信	zyhfut 5 2 楼没人顶。自己顶下。。 2010-12-9 17:43 0
Eniac 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	Eniac 3 楼不错啊，顶一下～～～有没有单exe文件注入的相关代码和说明 2010-12-9 18:32 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 4 楼顶顶顶顶 2010-12-9 18:36 0
tfzxyinhao 雪币： 306 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 180 粉丝 0 关注私信	tfzxyinhao 5 楼楼主能提供工程文件吗?,这个有点意思,但是不是所有的进程都是explorer创建的 2010-12-9 19:00 0
zyhfut 雪币： 410 活跃值： (214) 能力值： ( LV13，RANK：220 ) 在线值：发帖 14 回帖 86 粉丝 9 关注私信	zyhfut 5 6 楼 1。文中已经指出，大部分应用程序，并非所有进程 2。工程文件见附件 2010-12-9 20:50 0
gtict 雪币： 207 活跃值： (3683) 能力值： ( LV3，RANK：30 ) 在线值：发帖 24 回帖 515 粉丝 6 关注私信	gtict 7 楼好东西，，标注下 2010-12-9 21:06 0
ycmint 雪币： 1149 活跃值： (1008) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 894 粉丝 11 关注私信	ycmint 5 8 楼看帖回帖是一种美德顶了。。。。。。你注入了 explorer.exe 所以你可以多干了很多事。。 2010-12-9 21:52 0
kagayaki 雪币： 3126 活跃值： (5892) 能力值： ( LV3，RANK：20 ) 在线值：发帖 175 回帖 1274 粉丝 25 关注私信	kagayaki 9 楼谢谢分享啊.... 2010-12-10 09:32 0
十年寒窗雪币： 197 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 146 粉丝 2 关注私信	十年寒窗 10 楼 Mark学习 2010-12-10 09:37 0
sungy 雪币： 555 活跃值： (2360) 能力值： ( LV7，RANK：100 ) 在线值：发帖 147 回帖 668 粉丝 34 关注私信	sungy 1 11 楼收集代码，学习注入，谢谢 2010-12-10 12:27 0
ufofind 雪币： 145 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 109 粉丝 0 关注私信	ufofind 12 楼还是直接用汇编吧，然后实现自定位那样不是更好 2010-12-11 12:59 0
寻梦小子雪币： 81 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 65 粉丝 0 关注私信	寻梦小子 1 13 楼谢谢。。复习下。。。。 2010-12-11 15:07 0
dousao 雪币： 94 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	dousao 14 楼给力，给力。 2010-12-11 15:21 0
见钱开眼雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	见钱开眼 15 楼收藏了。哈哈 2010-12-11 21:08 0
crazyearl 雪币： 439 活跃值： (1284) 能力值： ( LV8，RANK：120 ) 在线值：发帖 26 回帖 102 粉丝 84 关注私信	crazyearl 2 16 楼 TAG:劫持、注入 2010-12-11 22:34 0
cnnets 雪币： 465 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 251 粉丝 0 关注私信	cnnets 17 楼呵呵，这个不错，支持开源。 2010-12-12 00:55 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 18 楼我六个区，这邪恶 2010-12-12 08:03 0
whypro 雪币： 78 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 254 粉丝 0 关注私信	whypro 19 楼够邪恶的 2010-12-12 08:08 0
zylzylzylzyl 雪币： 1636 活跃值： (2084) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 1 关注私信	zylzylzylzyl 20 楼写的不错，下载学习一下。 2010-12-12 10:21 0
lovesuae 雪币： 386 活跃值： (46) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 153 粉丝 3 关注私信	lovesuae 1 21 楼支持有码,注多了会不会导致explorer进程假死呢? 2010-12-12 10:37 0
guxinyi 雪币： 585 活跃值： (578) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 22 楼进程间的 API HOOK,标记备查 2010-12-12 13:37 0
robey 雪币： 149 活跃值： (331) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 170 粉丝 1 关注私信	robey 1 23 楼收藏一下。学习了。。。 2010-12-12 20:43 0
mingligli 雪币： 219 活跃值： (453) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 153 粉丝 0 关注私信	mingligli 24 楼谢谢分享啊.... 2010-12-12 21:29 0
lhglhg 雪币： 221 活跃值： (2521) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 443 粉丝 4 关注私信	lhglhg 1 25 楼谢谢。学习一下！！！！ 2010-12-12 22:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]Ring3下劫持CreateProcess注入dll

账号登录 验证码登录

账号登录

验证码登录