注入系统所有应用程序-经典问答-看雪-安全社区|安全招聘|kanxue.com

注入系统所有应用程序

2016-4-25 15:13 15195

注入系统所有应用程序

机械瞑衍

2016-4-25 15:13

15195

接到一个需求，需要拦截软件的启动参数，而后修改成自己的启动参数，需要注入系统内所有的程序。
lpk复制所有目录下这个方法不行- -，远程线程注入所有进程感觉不是最优的方法，还有木有！求帮助。

我的理想方法是dll只有一个，不需要复制让系统所有程序运行的时候都加载我的dll。不知道有没有方法实现呢

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。

收藏・4

点赞・0

打赏

最新回复 (22)
xjj 雪币： 286 活跃值： (42) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 100 粉丝 1 关注私信	xjj 2016-4-25 15:40 2 楼 0 全局钩子呢？
xjj 雪币： 286 活跃值： (42) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 100 粉丝 1 关注私信	xjj 2016-4-25 15:41 3 楼 0 你的需求再明确一些
机械瞑衍雪币： 457 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 138 粉丝 7 关注私信	机械瞑衍 2016-4-25 15:49 4 楼 0 已优化需求
机械瞑衍雪币： 457 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 138 粉丝 7 关注私信	机械瞑衍 2016-4-25 15:50 5 楼 0 全局钩子需要事件驱动，感觉不优啊？
iceway 雪币： 19 活跃值： (1056) 能力值： ( LV2，RANK：10 ) 在线值：发帖 89 回帖 814 粉丝 5 关注私信	iceway 2016-4-25 16:05 6 楼 0 R3最好的方法就是全局钩子了
机械瞑衍雪币： 457 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 138 粉丝 7 关注私信	机械瞑衍 2016-4-25 16:27 7 楼 0 没有别的方法了吗
夜Wang 雪币： 110 活跃值： (154) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 112 粉丝 1 关注私信	夜Wang 2016-4-25 16:45 8 楼 0 appinit_dlls呢？
JWPL 雪币： 6 活跃值： (676) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 48 粉丝 1 关注私信	JWPL 2016-4-25 16:52 9 楼 0 浏览器加启动参数吗？
xjj 雪币： 286 活跃值： (42) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 100 粉丝 1 关注私信	xjj 2016-4-25 16:55 10 楼 0 拦截启动参数，我估计也就只能全局钩子了，而且我不确定全局钩子能胜任你的需求，主要是时机问题
iceway 雪币： 19 活跃值： (1056) 能力值： ( LV2，RANK：10 ) 在线值：发帖 89 回帖 814 粉丝 5 关注私信	iceway 2016-4-25 16:59 11 楼 0 有，加载驱动，杀毒都不能拦截你注入
火勺雪币： 96 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 134 粉丝 0 关注私信	火勺 2016-4-25 18:02 12 楼 0 注入所有程序，会有很多问题出现
Wings翅膀雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 36 粉丝 0 关注私信	Wings翅膀 2016-4-26 09:47 13 楼 0 全局钩子注入到所有打开的进程中，然后Hook了CreateProcess函数，每次启动一个进程都注入一下dll
瀚海云烟雪币： 293 活跃值： (232) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 2016-4-26 09:53 14 楼 0 开机启动驱动里面直接修改CreateProcess，这样就是全局的
Snark 雪币： 2563 活跃值： (2940) 能力值： ( LV5，RANK：70 ) 在线值：发帖 8 回帖 64 粉丝 79 关注私信	Snark 1 2016-4-26 10:54 15 楼 0 rundll32.exe
机械瞑衍雪币： 457 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 138 粉丝 7 关注私信	机械瞑衍 2016-4-26 16:37 16 楼 0 感谢各位，最终我采用启动时注入所有非系统进程，Hook创建进程API，每次创建时再进行立即注入。
lialong 雪币： 1534 活跃值： (1377) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 1 关注私信	lialong 2016-4-26 17:34 17 楼 0 hook那个进程的CreateProcess
星耀浮沉雪币： 993 活跃值： (669) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 155 粉丝 1 关注私信	星耀浮沉 2016-4-26 18:02 18 楼 0 最简单有效方便的就是调用 WMI 参数 select * from __instancecreationevent within 1 where TargetInstance isa 'Win32_Process 监控新进程创建能得到新进程的各种信息句柄父进程ID啥的随便你干啥 http://blog.csdn.net/zwfgdlc/article/details/6613605 别人写的VC版
xjj 雪币： 286 活跃值： (42) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 100 粉丝 1 关注私信	xjj 2016-4-28 08:23 19 楼 0 WMI是可以拦截到进程创建，，但考虑到楼主的需求是拦截启动参数，然后修改参数，然后启动我感觉WMI拦截到进程创建的时候，启动参数部分已经处理完毕了，所以我感觉WMI并不适合他的需求
xjj 雪币： 286 活跃值： (42) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 100 粉丝 1 关注私信	xjj 2016-4-28 08:31 20 楼 0 不过，也可以换个思路，WMI监视进程创建，然后HOOK CreateProcess，也就是说HOOK楼主需求里的父进程中的CreateProcess，这样当父进程调用此函数创建子进程时可以通过判断子进程的名字等标示来识别也是可以达到楼主的需求的但，如果WMI拦截的是子进程，由于时机问题是不可行的既然是拦截父进程，我认为最好的方案还是全局钩子，代码量少，系统处理的我们都不需要考虑，，WMI是一个服务，这个服务是可以手动停止的，也就是说如果目标机器上WMI这个服务停掉了，一切WMI的操作都是浮云了
日后必成大器雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	日后必成大器 2016-4-28 10:24 21 楼 0 调用 WMI,后面就方便了
Morgion 雪币： 606 活跃值： (608) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 651 粉丝 5 关注私信	Morgion 1 2016-4-28 11:23 22 楼 0 其实给你一个很简单的思路，这个思路是基于优化过的远程线程注入方式： 1.首先搞一个DLL，名字就叫Hook.dll好了。功能就是HOOK一下CreateProcessW函数，判断是否是创建的浏览器进程，然后和谐参数，并且把自身注入到子进程里。 2.然后用查找Shell_TrayWnd的方法取explorer.exe的PID，再取 Handle，取SID，留好备用。 3.遍历所有进程，取进程的SID，和explorer.exe的SID进行对比，如果一致则注入Hook.dll
机械瞑衍雪币： 457 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 138 粉丝 7 关注私信	机械瞑衍 2016-5-11 15:01 23 楼 0 感谢大家的回复，最终由于任务紧迫，所以采用方案如下：编译文件为dll32，dll64与exe32,exe64,并公开初始化函数由exe调用，当exe首次启动时调用初始化函数枚举系统进程注入所有非SYS用户的进程，并将EXE本身设置为系统服务并启动，已经注入到非SYS进程中的dll会HookCreateProcessInternalW，由于不同系统中函数的来源dll不同所以会通过代码↓进行判断 (FARPROC)&g_OldCreateProcessInternalW = GetProcAddress(GetModuleHandle("kernelbase.dll"),"CreateProcessInternalW");//Kernel32 if (!g_OldCreateProcessInternalW) { (FARPROC)&g_OldCreateProcessInternalW = GetProcAddress(GetModuleHandle("Kernel32.dll"), "CreateProcessInternalW"); if (!g_OldCreateProcessInternalW) { DebugPrintA("My::g_OldCreateProcessInternalW() == NULL \n"); return; } } 当拦截到创建内容后将会删选启动路径与参数，符合修改条件则通过StringCbCopyW函数对参数指针的内容进行覆盖。而后放行该进程sleep(1000)而后再进行远程线程注入由于工作原因所以有些代码不方便放出来与大家一起讨论，所以只能说下思路了
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

机械瞑衍

发帖

138

回帖

RANK

关注

私信

他的文章

[原创]1字节 [hook引擎] 开源分享，最高效,简单

[讨论][求助]某游戏的变态R3级保护....我TM没辙了,求助攻

[悬赏]手机游戏外挂，要如何防护，检测？

[原创]另类获取nt基址

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
xjj 雪币： 286 活跃值： (42) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 100 粉丝 1 关注私信	xjj 2016-4-25 15:40 2 楼 0 全局钩子呢？
xjj 雪币： 286 活跃值： (42) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 100 粉丝 1 关注私信	xjj 2016-4-25 15:41 3 楼 0 你的需求再明确一些
机械瞑衍雪币： 457 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 138 粉丝 7 关注私信	机械瞑衍 2016-4-25 15:49 4 楼 0 已优化需求
机械瞑衍雪币： 457 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 138 粉丝 7 关注私信	机械瞑衍 2016-4-25 15:50 5 楼 0 全局钩子需要事件驱动，感觉不优啊？
iceway 雪币： 19 活跃值： (1056) 能力值： ( LV2，RANK：10 ) 在线值：发帖 89 回帖 814 粉丝 5 关注私信	iceway 2016-4-25 16:05 6 楼 0 R3最好的方法就是全局钩子了
机械瞑衍雪币： 457 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 138 粉丝 7 关注私信	机械瞑衍 2016-4-25 16:27 7 楼 0 没有别的方法了吗
夜Wang 雪币： 110 活跃值： (154) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 112 粉丝 1 关注私信	夜Wang 2016-4-25 16:45 8 楼 0 appinit_dlls呢？
JWPL 雪币： 6 活跃值： (676) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 48 粉丝 1 关注私信	JWPL 2016-4-25 16:52 9 楼 0 浏览器加启动参数吗？
xjj 雪币： 286 活跃值： (42) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 100 粉丝 1 关注私信	xjj 2016-4-25 16:55 10 楼 0 拦截启动参数，我估计也就只能全局钩子了，而且我不确定全局钩子能胜任你的需求，主要是时机问题
iceway 雪币： 19 活跃值： (1056) 能力值： ( LV2，RANK：10 ) 在线值：发帖 89 回帖 814 粉丝 5 关注私信	iceway 2016-4-25 16:59 11 楼 0 有，加载驱动，杀毒都不能拦截你注入
火勺雪币： 96 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 134 粉丝 0 关注私信	火勺 2016-4-25 18:02 12 楼 0 注入所有程序，会有很多问题出现
Wings翅膀雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 36 粉丝 0 关注私信	Wings翅膀 2016-4-26 09:47 13 楼 0 全局钩子注入到所有打开的进程中，然后Hook了CreateProcess函数，每次启动一个进程都注入一下dll
瀚海云烟雪币： 293 活跃值： (232) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 2016-4-26 09:53 14 楼 0 开机启动驱动里面直接修改CreateProcess，这样就是全局的
Snark 雪币： 2563 活跃值： (2940) 能力值： ( LV5，RANK：70 ) 在线值：发帖 8 回帖 64 粉丝 79 关注私信	Snark 1 2016-4-26 10:54 15 楼 0 rundll32.exe
机械瞑衍雪币： 457 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 138 粉丝 7 关注私信	机械瞑衍 2016-4-26 16:37 16 楼 0 感谢各位，最终我采用启动时注入所有非系统进程，Hook创建进程API，每次创建时再进行立即注入。
lialong 雪币： 1534 活跃值： (1377) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 1 关注私信	lialong 2016-4-26 17:34 17 楼 0 hook那个进程的CreateProcess
星耀浮沉雪币： 993 活跃值： (669) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 155 粉丝 1 关注私信	星耀浮沉 2016-4-26 18:02 18 楼 0 最简单有效方便的就是调用 WMI 参数 select * from __instancecreationevent within 1 where TargetInstance isa 'Win32_Process 监控新进程创建能得到新进程的各种信息句柄父进程ID啥的随便你干啥 http://blog.csdn.net/zwfgdlc/article/details/6613605 别人写的VC版
xjj 雪币： 286 活跃值： (42) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 100 粉丝 1 关注私信	xjj 2016-4-28 08:23 19 楼 0 WMI是可以拦截到进程创建，，但考虑到楼主的需求是拦截启动参数，然后修改参数，然后启动我感觉WMI拦截到进程创建的时候，启动参数部分已经处理完毕了，所以我感觉WMI并不适合他的需求
xjj 雪币： 286 活跃值： (42) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 100 粉丝 1 关注私信	xjj 2016-4-28 08:31 20 楼 0 不过，也可以换个思路，WMI监视进程创建，然后HOOK CreateProcess，也就是说HOOK楼主需求里的父进程中的CreateProcess，这样当父进程调用此函数创建子进程时可以通过判断子进程的名字等标示来识别也是可以达到楼主的需求的但，如果WMI拦截的是子进程，由于时机问题是不可行的既然是拦截父进程，我认为最好的方案还是全局钩子，代码量少，系统处理的我们都不需要考虑，，WMI是一个服务，这个服务是可以手动停止的，也就是说如果目标机器上WMI这个服务停掉了，一切WMI的操作都是浮云了
日后必成大器雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	日后必成大器 2016-4-28 10:24 21 楼 0 调用 WMI,后面就方便了
Morgion 雪币： 606 活跃值： (608) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 651 粉丝 5 关注私信	Morgion 1 2016-4-28 11:23 22 楼 0 其实给你一个很简单的思路，这个思路是基于优化过的远程线程注入方式： 1.首先搞一个DLL，名字就叫Hook.dll好了。功能就是HOOK一下CreateProcessW函数，判断是否是创建的浏览器进程，然后和谐参数，并且把自身注入到子进程里。 2.然后用查找Shell_TrayWnd的方法取explorer.exe的PID，再取 Handle，取SID，留好备用。 3.遍历所有进程，取进程的SID，和explorer.exe的SID进行对比，如果一致则注入Hook.dll
机械瞑衍雪币： 457 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 138 粉丝 7 关注私信	机械瞑衍 2016-5-11 15:01 23 楼 0 感谢大家的回复，最终由于任务紧迫，所以采用方案如下：编译文件为dll32，dll64与exe32,exe64,并公开初始化函数由exe调用，当exe首次启动时调用初始化函数枚举系统进程注入所有非SYS用户的进程，并将EXE本身设置为系统服务并启动，已经注入到非SYS进程中的dll会HookCreateProcessInternalW，由于不同系统中函数的来源dll不同所以会通过代码↓进行判断 (FARPROC)&g_OldCreateProcessInternalW = GetProcAddress(GetModuleHandle("kernelbase.dll"),"CreateProcessInternalW");//Kernel32 if (!g_OldCreateProcessInternalW) { (FARPROC)&g_OldCreateProcessInternalW = GetProcAddress(GetModuleHandle("Kernel32.dll"), "CreateProcessInternalW"); if (!g_OldCreateProcessInternalW) { DebugPrintA("My::g_OldCreateProcessInternalW() == NULL \n"); return; } } 当拦截到创建内容后将会删选启动路径与参数，符合修改条件则通过StringCbCopyW函数对参数指针的内容进行覆盖。而后放行该进程sleep(1000)而后再进行远程线程注入由于工作原因所以有些代码不方便放出来与大家一起讨论，所以只能说下思路了
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复