[原创]自己动手实现MyCreateRemoteThread-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]自己动手实现MyCreateRemoteThread

发表于: 2012-3-24 15:29 15911

[原创]自己动手实现MyCreateRemoteThread

hackerlzc

2012-3-24 15:29

15911

void MyCreateRemoteThread( HANDLE                   hProcess,
                           LPTHREAD_START_ROUTINE   lpThreadProc,
                           LPVOID                   lpContext)
/*

*/
{
    BOOL    bRet;
    DWORD   pid,tid,orgEip;
    HANDLE  hThread;
    PVOID   mem_base;
    CONTEXT ct;
    HMODULE hModule = GetModuleHandle( _T("kernel32.dll"));
    char    buffer[] = {
        0x60,//pushad
        0xe8,0x10,0x00,0x00,0x00,//call $ + 0x10

        0x00,0x00,0x00,0x00,    //orgEip
        0x00,0x00,0x00,0x00,    //addr of CreateThread
        0x00,0x00,0x00,0x00,    //thread_proc
        0x00,0x00,0x00,0x00,    //lpcontext

        0x5b,                   //pop ebx
        0x33,0xc0,              //xor eax,eax
        0x50,                   //push eax
        0x50,                   //push eax
        0xff,0x73,0x0c,         //push [ebx+0c]
        0xff,0x73,0x08,         //push [ebx+08]
        0x50,                   //push eax
        0x50,                   //push eax
        0x8b,0x03,              //mov eax,[ebx]
        0x89,0x5b,0x28,   //????// mov [ebx+xx],ebx
        0xff,0x53,0x04,         //call [ebx+4]
        0x61,                   //popad
        0xff,0x25,0x00,0x00,0x00,0x00};//jmp to orgEip

    pid = GetProcessId( hProcess );
    tid = FindMainThreadId( pid );

    hThread = OpenThread( THREAD_ALL_ACCESS,FALSE,tid );

    SuspendThread( hThread );

    ct.ContextFlags = CONTEXT_FULL;
    GetThreadContext( hThread,&ct );
    orgEip = ct.Eip;
    
    mem_base = VirtualAllocEx( hProcess,NULL,sizeof(buffer),MEM_COMMIT,PAGE_EXECUTE_READWRITE );
    //printf("base:%x\n",mem_base );
    *(PDWORD)(buffer + 6) = orgEip;
    *(PDWORD)(buffer + 10) = GetProcAddress( hModule,"CreateThread");
    *(PDWORD)(buffer + 14) = lpThreadProc;
    *(PDWORD)(buffer + 18) = lpContext;

    WriteProcessMemory( hProcess,mem_base,buffer,sizeof(buffer),NULL);
    ct.ContextFlags = CONTEXT_FULL;
    ct.Eip = (DWORD)mem_base;
    SetThreadContext( hThread,&ct );
    ResumeThread( hThread );
    
    CloseHandle( hThread );
    return;
}

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

test_inject.rar （168.14kb，218次下载）

收藏・15

免费・6

支持

最新回复 (13)
正happy 雪币： 207 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 182 粉丝 0 关注私信	正happy 1 2 楼学习学习，各种技巧 2012-3-24 15:45 0
ycmint 雪币： 1149 活跃值： (888) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 3 楼如果要写，也最好不要这么样 ....如果是好玩就无所谓，但可以更**一点...SetThreadContext( hThread,&ct )。。。GetThreadContext( hThread,&ct );。。。。这些都不用... 2012-3-24 16:51 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 4 楼真心求教，三环里如何不用Set/Get-ThreadContext 和 ZwSet/Get-ThreadContext，我想了好久也没主意。。。。。。。。有种方式是改变eip处的指令，不过，这个在多线程环境下貌似不太好用。。。。。。。。 2012-3-24 17:08 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 5 楼这样不行的，没给CSRSS发通知，这样的线程，基本做不了什么事。 2012-4-21 03:21 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 6 楼这个是在让进程内部自己调用CreateThread，难道进程自己调用CreateThread不会通知Csrss.exe? 2012-4-21 09:48 0
XYUN 雪币： 219 活跃值： (190) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 45 粉丝 1 关注私信	XYUN 7 楼太强大了,只有崇拜的份. 2012-4-21 15:42 0
cghook 雪币： 84 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 38 粉丝 0 关注私信	cghook 8 楼太强大了，只有膜拜的份. 2012-4-21 15:45 0
cghook 雪币： 84 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 38 粉丝 0 关注私信	cghook 9 楼 shellcode都上了。太强大了。 2012-4-21 15:46 0
ugvjewxf 雪币： 615 活跃值： (590) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 10 楼学习了，好想法，好智慧。原来好的想法都是在无聊的时候才想出来的 2012-4-22 11:13 0
evilor 雪币： 297 活跃值： (265) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 11 楼我以为啥子了，原来就是setthreadcontext注入 2012-4-22 11:20 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 12 楼不错的想法谢谢分享 2012-4-22 12:11 0
zistzh 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	zistzh 13 楼用 GetThreadContext( hThread,&ct ); orgEip = ct.Eip; 思路不错。 2012-4-28 16:37 0
jasonnbfan 雪币： 949 活跃值： (18) 能力值： ( LV9，RANK：330 ) 在线值：发帖 60 回帖 265 粉丝 2 关注私信	jasonnbfan 8 14 楼呵呵挺有意思。 2012-4-30 10:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hackerlzc

发帖

613

回帖

440

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (13)
正happy 雪币： 207 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 182 粉丝 0 关注私信	正happy 1 2 楼学习学习，各种技巧 2012-3-24 15:45 0
ycmint 雪币： 1149 活跃值： (888) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 3 楼如果要写，也最好不要这么样 ....如果是好玩就无所谓，但可以更**一点...SetThreadContext( hThread,&ct )。。。GetThreadContext( hThread,&ct );。。。。这些都不用... 2012-3-24 16:51 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 4 楼真心求教，三环里如何不用Set/Get-ThreadContext 和 ZwSet/Get-ThreadContext，我想了好久也没主意。。。。。。。。有种方式是改变eip处的指令，不过，这个在多线程环境下貌似不太好用。。。。。。。。 2012-3-24 17:08 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 5 楼这样不行的，没给CSRSS发通知，这样的线程，基本做不了什么事。 2012-4-21 03:21 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 6 楼这个是在让进程内部自己调用CreateThread，难道进程自己调用CreateThread不会通知Csrss.exe? 2012-4-21 09:48 0
XYUN 雪币： 219 活跃值： (190) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 45 粉丝 1 关注私信	XYUN 7 楼太强大了,只有崇拜的份. 2012-4-21 15:42 0
cghook 雪币： 84 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 38 粉丝 0 关注私信	cghook 8 楼太强大了，只有膜拜的份. 2012-4-21 15:45 0
cghook 雪币： 84 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 38 粉丝 0 关注私信	cghook 9 楼 shellcode都上了。太强大了。 2012-4-21 15:46 0
ugvjewxf 雪币： 615 活跃值： (590) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 10 楼学习了，好想法，好智慧。原来好的想法都是在无聊的时候才想出来的 2012-4-22 11:13 0
evilor 雪币： 297 活跃值： (265) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 11 楼我以为啥子了，原来就是setthreadcontext注入 2012-4-22 11:20 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 12 楼不错的想法谢谢分享 2012-4-22 12:11 0
zistzh 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	zistzh 13 楼用 GetThreadContext( hThread,&ct ); orgEip = ct.Eip; 思路不错。 2012-4-28 16:37 0
jasonnbfan 雪币： 949 活跃值： (18) 能力值： ( LV9，RANK：330 ) 在线值：发帖 60 回帖 265 粉丝 2 关注私信	jasonnbfan 8 14 楼呵呵挺有意思。 2012-4-30 10:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复