[原创]重读老文章系列：另类远程线程模式-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]重读老文章系列：另类远程线程模式

发表于: 2012-7-19 23:24 27040

[原创]重读老文章系列：另类远程线程模式

cvcvxk

2012-7-19 23:24

27040

一提到远程线程，一般都想到DLL注入啊，shellcode运行啊~
其实这两种根本不给力啊~
现在让我们来说一种新模型哦~
不借助shellcode,不借助不给力的DLL注入，我们直接在远程运行EXE里的代码~
当然API还是那个API,这里涉及到PE文件的一些知识，就不多说了，直接上代码~

PS:
一如既往，有意资助者请联系QQ:86879759

LPVOID CopyModule(HANDLE proc, LPVOID image)
{
	PIMAGE_NT_HEADERS headers = (PIMAGE_NT_HEADERS)((LPBYTE)image + ((PIMAGE_DOS_HEADER)image)->e_lfanew);
	PIMAGE_DATA_DIRECTORY datadir;
	DWORD size = headers->OptionalHeader.SizeOfImage;
	LPVOID mem = NULL;
	LPBYTE buf = NULL;
	BOOL ok = FALSE;

	if (headers->Signature != IMAGE_NT_SIGNATURE)
		return NULL;

	if (IsBadReadPtr(image, size))
		return NULL;

	mem = VirtualAllocEx(proc, NULL, size, MEM_RESERVE | MEM_COMMIT, PAGE_EXECUTE_READWRITE);

	if (mem != NULL) {
		buf = (LPBYTE)VirtualAlloc(NULL, size, MEM_RESERVE | MEM_COMMIT, PAGE_EXECUTE_READWRITE);

		if (buf != NULL) {
			RtlCopyMemory(buf, image, size);

			datadir = &headers->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC];

			if (datadir->Size > 0 && datadir->VirtualAddress > 0) {
				DWORD_PTR delta = (DWORD_PTR)((LPBYTE)mem - headers->OptionalHeader.ImageBase);
				DWORD_PTR olddelta = (DWORD_PTR)((LPBYTE)image - headers->OptionalHeader.ImageBase);
				PIMAGE_BASE_RELOCATION reloc = (PIMAGE_BASE_RELOCATION)(buf + datadir->VirtualAddress);

				while(reloc->VirtualAddress != 0) {
					if (reloc->SizeOfBlock >= sizeof(IMAGE_BASE_RELOCATION)) {
						DWORD count = (reloc->SizeOfBlock - sizeof(IMAGE_BASE_RELOCATION)) / sizeof(WORD);
						LPWORD list = (LPWORD)((LPBYTE)reloc + sizeof(IMAGE_BASE_RELOCATION));
						DWORD i;

						for (i = 0; i < count; i++) {
							if (list[i] > 0) {
								DWORD_PTR *p = (DWORD_PTR *)(buf + (reloc->VirtualAddress + (0x0FFF & (list[i]))));

								*p -= olddelta;
								*p += delta;
							}
						}
					}

					reloc = (PIMAGE_BASE_RELOCATION)((LPBYTE)reloc + reloc->SizeOfBlock);
				}

				ok = WriteProcessMemory(proc, mem, buf, size, NULL);
			}

			VirtualFree(buf, 0, MEM_RELEASE); // release buf
		}

		if (!ok) {
			VirtualFreeEx(proc, mem, 0, MEM_RELEASE);
			mem = NULL;
		}
	}

	return mem;
}

BOOL NewInject(DWORD pid, LPTHREAD_START_ROUTINE start)
{
	HANDLE proc, thread;
	HMODULE module, newmodule;
	BOOL ok = FALSE;

	proc = OpenProcess(PROCESS_QUERY_INFORMATION |
		PROCESS_VM_OPERATION |
		PROCESS_VM_WRITE |
		PROCESS_VM_READ |
		PROCESS_CREATE_THREAD |
		PROCESS_DUP_HANDLE,
		FALSE, pid);

	if (proc != NULL) {
		module = GetModuleHandle(NULL);

		newmodule = (HMODULE)CopyModule(proc, module);

		if (newmodule != NULL) {
			LPTHREAD_START_ROUTINE entry = (LPTHREAD_START_ROUTINE)((LPBYTE)newmodule + (DWORD_PTR)((LPBYTE)start - (LPBYTE)module));

			thread = CreateRemoteThread(proc, NULL, 0, entry, NULL, 0, NULL);

			if (thread != NULL) {
				CloseHandle(thread);
				ok = TRUE;
			}
			else {
				VirtualFreeEx(proc, module, 0, MEM_RELEASE);
			}
		}

		CloseHandle(proc);
	}

	return ok;
}

使用样例：

//提权DEBUG后
NewInject(GetProcessIdByName(L"Diablo III.exe"), ThreadProc);

一切代码如同在本地一样，EXE就可以~

[课程]Linux pwn 探索篇！

收藏・68

免费・6

支持

最新回复 (49) 1 2 ▶
剑冰风雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 17 粉丝 0 关注私信	剑冰风 2 楼老V 用力不要停啊 2012-7-19 23:29 0
邋遢鬼雪币： 31 活跃值： (43) 能力值： ( LV3，RANK：20 ) 在线值：发帖 19 回帖 527 粉丝 0 关注私信	邋遢鬼 3 楼代码没能看懂，能说下思路吗？ 2012-7-19 23:34 0
cherryEx 雪币： 128 活跃值： (27) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 195 粉丝 0 关注私信	cherryEx 1 4 楼看懂了，标题起的不好啊，文不对题其实就是省去提取shellcode，让“一切代码如同在本地一样” 2012-7-19 23:59 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 5 楼起名麻烦，本来想直接打重读老文章系列(3) 的 2012-7-20 02:50 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 6 楼学习 shellcode中 2012-7-20 07:04 0
hyang 雪币： 416 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 81 粉丝 1 关注私信	hyang 7 楼 2012-7-20 08:10 0
z许雪币： 1905 活跃值： (1537) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 266 粉丝 4 关注私信	z许 8 楼构造function，重定位替代old function？ 2012-7-20 09:47 0
evilkis 雪币： 596 活跃值： (449) 能力值： ( LV12，RANK：320 ) 在线值：发帖 15 回帖 509 粉丝 8 关注私信	evilkis 7 9 楼去年分析过的几个病毒就用过这种方法 2012-7-20 10:00 0
ycmint 雪币： 1149 活跃值： (833) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 10 楼 ls 是明白人呵呵....继续学习.... 2012-7-20 10:04 0
dayang 雪币： 220 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 11 楼不知道稳定性和兼容性怎么样？ 2012-7-20 10:46 0
baixinye 雪币： 78 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 56 粉丝 6 关注私信	baixinye 1 12 楼额，这个，得自带重定位节的EXE才行，也就是说只能自个儿写的exe通用~~ 还以为是过HIPS的呢~呵呵 2012-7-20 11:47 0
wangde 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 110 粉丝 0 关注私信	wangde 13 楼希望楼主以后上传代码不要把注释都删掉，照顾一下菜鸟呗..... 2012-7-20 14:58 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 14 楼知识还是要靠积累的，就涉及PE文件头，还有几个API，看不懂，楼主也照顾不了。 2012-7-20 15:03 0
BeWideWay 雪币： 507 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	BeWideWay 15 楼最近分析到几个样本就是类似这种方式起个傀儡svchost干坏事，有些申请空间后解密恶意代码跳过去，有些就直接覆盖svchost的代码。。。。不会是LZ的作品吧~ ：） 2012-7-20 15:31 0
evilor 雪币： 297 活跃值： (235) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 16 楼大体看了下写入了重定位信息么，写外壳的时候用过这种方式 2012-7-20 17:35 0
xdklzy 雪币： 208 活跃值： (148) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 143 粉丝 0 关注私信	xdklzy 1 17 楼就是把本进程exe加载到内存后的整个内存镜像重定位，拷贝到其他进程，在执行 2012-7-20 19:23 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 18 楼话说，这可不是僵尸哦，亲，被注入的进程完美生存着，僵尸这种东西是肉眼可见的东西啊。我的作品基本都是正常软件啊，不过**一点而已。 2012-7-20 20:41 0
蓝色妖女雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 149 粉丝 0 关注私信	蓝色妖女 19 楼思想总是这么飞跃 2012-7-20 21:30 0
bnbsoft 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	bnbsoft 20 楼谢谢无私，收藏了。 2012-7-20 21:50 0
lookzo 雪币： 6 活跃值： (1099) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 526 粉丝 1 关注私信	lookzo 21 楼有码的就要顶 2012-7-20 22:00 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 22 楼 mark一下虽然现在没看懂等一会ih 2012-7-20 22:24 0
Aaah 雪币： 182 活跃值： (221) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 232 粉丝 0 关注私信	Aaah 23 楼打开目标进程，开内存，把自己按照PE复制进去，修正重定位，然后远线程调用自身启动函数？ 2012-7-20 22:32 0
Aaah 雪币： 182 活跃值： (221) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 232 粉丝 0 关注私信	Aaah 24 楼不是运行短短shellcode，而是整个程序本身，编写调试简单了，功能还能做的强大 2012-7-20 22:33 0
luoyinkey 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 18 粉丝 0 关注私信	luoyinkey 25 楼测试了这份代码，直接被3XX给阻止了。有没有不被拦截的呢？ 2012-7-20 22:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cvcvxk

125

发帖

3095

回帖

760

RANK

关注

私信

他的文章

[分享]很有时间系列：不用inf安装ndis filter驱动 14985

关于我们

联系我们

企业服务

看雪公众号

最新回复 (49) 1 2 ▶
剑冰风雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 17 粉丝 0 关注私信	剑冰风 2 楼老V 用力不要停啊 2012-7-19 23:29 0
邋遢鬼雪币： 31 活跃值： (43) 能力值： ( LV3，RANK：20 ) 在线值：发帖 19 回帖 527 粉丝 0 关注私信	邋遢鬼 3 楼代码没能看懂，能说下思路吗？ 2012-7-19 23:34 0
cherryEx 雪币： 128 活跃值： (27) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 195 粉丝 0 关注私信	cherryEx 1 4 楼看懂了，标题起的不好啊，文不对题其实就是省去提取shellcode，让“一切代码如同在本地一样” 2012-7-19 23:59 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 5 楼起名麻烦，本来想直接打重读老文章系列(3) 的 2012-7-20 02:50 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 6 楼学习 shellcode中 2012-7-20 07:04 0
hyang 雪币： 416 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 81 粉丝 1 关注私信	hyang 7 楼 2012-7-20 08:10 0
z许雪币： 1905 活跃值： (1537) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 266 粉丝 4 关注私信	z许 8 楼构造function，重定位替代old function？ 2012-7-20 09:47 0
evilkis 雪币： 596 活跃值： (449) 能力值： ( LV12，RANK：320 ) 在线值：发帖 15 回帖 509 粉丝 8 关注私信	evilkis 7 9 楼去年分析过的几个病毒就用过这种方法 2012-7-20 10:00 0
ycmint 雪币： 1149 活跃值： (833) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 10 楼 ls 是明白人呵呵....继续学习.... 2012-7-20 10:04 0
dayang 雪币： 220 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 11 楼不知道稳定性和兼容性怎么样？ 2012-7-20 10:46 0
baixinye 雪币： 78 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 56 粉丝 6 关注私信	baixinye 1 12 楼额，这个，得自带重定位节的EXE才行，也就是说只能自个儿写的exe通用~~ 还以为是过HIPS的呢~呵呵 2012-7-20 11:47 0
wangde 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 110 粉丝 0 关注私信	wangde 13 楼希望楼主以后上传代码不要把注释都删掉，照顾一下菜鸟呗..... 2012-7-20 14:58 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 14 楼知识还是要靠积累的，就涉及PE文件头，还有几个API，看不懂，楼主也照顾不了。 2012-7-20 15:03 0
BeWideWay 雪币： 507 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	BeWideWay 15 楼最近分析到几个样本就是类似这种方式起个傀儡svchost干坏事，有些申请空间后解密恶意代码跳过去，有些就直接覆盖svchost的代码。。。。不会是LZ的作品吧~ ：） 2012-7-20 15:31 0
evilor 雪币： 297 活跃值： (235) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 16 楼大体看了下写入了重定位信息么，写外壳的时候用过这种方式 2012-7-20 17:35 0
xdklzy 雪币： 208 活跃值： (148) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 143 粉丝 0 关注私信	xdklzy 1 17 楼就是把本进程exe加载到内存后的整个内存镜像重定位，拷贝到其他进程，在执行 2012-7-20 19:23 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 18 楼话说，这可不是僵尸哦，亲，被注入的进程完美生存着，僵尸这种东西是肉眼可见的东西啊。我的作品基本都是正常软件啊，不过**一点而已。 2012-7-20 20:41 0
蓝色妖女雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 149 粉丝 0 关注私信	蓝色妖女 19 楼思想总是这么飞跃 2012-7-20 21:30 0
bnbsoft 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	bnbsoft 20 楼谢谢无私，收藏了。 2012-7-20 21:50 0
lookzo 雪币： 6 活跃值： (1099) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 526 粉丝 1 关注私信	lookzo 21 楼有码的就要顶 2012-7-20 22:00 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 22 楼 mark一下虽然现在没看懂等一会ih 2012-7-20 22:24 0
Aaah 雪币： 182 活跃值： (221) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 232 粉丝 0 关注私信	Aaah 23 楼打开目标进程，开内存，把自己按照PE复制进去，修正重定位，然后远线程调用自身启动函数？ 2012-7-20 22:32 0
Aaah 雪币： 182 活跃值： (221) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 232 粉丝 0 关注私信	Aaah 24 楼不是运行短短shellcode，而是整个程序本身，编写调试简单了，功能还能做的强大 2012-7-20 22:33 0
luoyinkey 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 18 粉丝 0 关注私信	luoyinkey 25 楼测试了这份代码，直接被3XX给阻止了。有没有不被拦截的呢？ 2012-7-20 22:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复