[原创]代替创建用户线程使用ShellCode注入DLL的小技巧

发表于: 2018-10-28 10:25 14394

[原创]代替创建用户线程使用ShellCode注入DLL的小技巧

はつゆき

2018-10-28 10:25

14394

众所周知，目前的内存注入DLL的方法都是写入ShellCode到进程，让进程执行这段ShellCode来加载DLL，如何让进程执行便成了关键。前几天对某游戏创建线程的时候，貌似被DllMain接管，然后把线程创建的入口写C3了，于是我便换了一种方法，插入用户APC相对来说会更加隐蔽一点，经测试后，的确成功了，代码现在发出来供大家参考一下。注入使用的ShellCode是使用的近期发布“牛逼哄哄”的那个，用户APC相关的学习参考的KeInject，驱动代码和注入代码都放出来了，没啥技术含量，所以也希望各位带哥勿喷。-------PS:代码有些乱，如果找到缺陷，请评论区教导，谢谢！

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

上传的附件：

APC.zip （18.46kb，455次下载）
Inject.rar （7.73kb，422次下载）

收藏・48

免费・2

支持

最新回复 (27) 1 2 ▶
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 2 楼有几个硬编码，是17134的，其他系统的可以自己找一下 2018-10-28 10:28 0
xie风腾雪币： 12045 活跃值： (4763) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 1061 粉丝 5 关注私信	xie风腾 3 楼高大上的东西，多谢楼主 2018-10-28 10:34 0
陈林00007 雪币： 2063 活跃值： (1752) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 132 粉丝 1 关注私信	陈林00007 4 楼你这编程环境下有个小女孩怎么弄的 2018-10-28 10:47 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 5 楼 VS插件 2018-10-28 11:21 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 6 楼 ClaudiaIDE 2018-10-28 11:27 0
hekes 雪币： 4840 活跃值： (2260) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 228 粉丝 7 关注私信	hekes 7 楼 mark下 2018-10-28 12:26 0
芃杉雪币： 36 活跃值： (1021) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 106 粉丝 1 关注私信	芃杉 8 楼 mark下 2018-10-28 19:04 0
二娃雪币： 6314 活跃值： (911) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 56 粉丝 3 关注私信	二娃 9 楼围观 2018-10-29 18:51 0
Hades一KXXY 雪币： 4161 活跃值： (767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 71 粉丝 1 关注私信	Hades一KXXY 10 楼背景怎么弄的。 2018-11-1 10:11 0
IAMRiver 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	IAMRiver 11 楼 davidangle 你这编程环境下有个小女孩怎么弄的 ClaudiaIDE 2018-11-2 21:05 0
落花满怀雪币： 142 活跃值： (116) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 71 粉丝 0 关注私信	落花满怀 12 楼一猜就是这堆人都是冲着小女孩来的 2018-11-8 09:42 0
苏苏苏苏苏苏雪币： 565 活跃值： (537) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 51 关注私信	苏苏苏苏苏苏 13 楼代码下来试了试，无法使用，然后仔细翻了翻楼主的写法，发现代码全是乱的，估计是东拼西凑复制上去的，然后又对着他的代码改了一天，改了百分之80，已经完美使用，可以说楼主发的代码一点用都没有（因为查APC部分代码百分之80都是有问题的），但是思路是不错的 2019-2-21 02:43 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 14 楼苏苏苏苏苏苏代码下来试了试，无法使用，然后仔细翻了翻楼主的写法，发现代码全是乱的，估计是东拼西凑复制上去的，然后又对着他的代码改了一天，改了百分之80，已经完美使用，可以说楼主发的代码一点用都没有（因为查APC部 ... 既然知道代码乱，还说我是复制的，你也是真有意思，如果代码无法使用，你觉得我会发出来吗？如果代码哪里有问题，你得把图发出来，标示出来，我好改啊，你光说我代码有问题，又不说哪里有问题？ 2019-2-21 08:22 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 15 楼刘铠文既然知道代码乱，还说我是复制的，你也是真有意思，如果代码无法使用，你觉得我会发出来吗？如果代码哪里有问题，你得把图发出来，标示出来，我好改啊，你光说我代码有问题，又不说哪里有问题？哦，对哦，中文C++大手子，看英文的可能都觉得有点乱吧？ 2019-2-21 08:26 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 16 楼苏苏苏苏苏苏代码下来试了试，无法使用，然后仔细翻了翻楼主的写法，发现代码全是乱的，估计是东拼西凑复制上去的，然后又对着他的代码改了一天，改了百分之80，已经完美使用，可以说楼主发的代码一点用都没有（因为查APC部 ... 首先，你没认真看帖子，我说过，有硬编码，其次，我说源码发出来给你们参考，后面我还特地说了“我参考的KeInject”至于你说复制，那复制了多少，到底有没有复制，你截个图发出来，让大伙看看如何？说我驱动百分之八十都是错的，那你也把我错的那百分之八十的代码截个图给我们讲讲，你光从这里说，连张图都没有，也不说哪错了，就说我复制来的代码，你觉得，很合理吗？不要以为我不知道你是谁，我自然知道你是谁，只是不想说出来。 2019-2-21 08:49 0
苏苏苏苏苏苏雪币： 565 活跃值： (537) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 51 关注私信	苏苏苏苏苏苏 17 楼刘铠文首先，你没认真看帖子，我说过，有硬编码，其次，我说源码发出来给你们参考，后面我还特地说了“我参考的KeInject”至于你说复制，那复制了多少，到底有没有复制，你截个图发出来，让大伙看看如何？说我驱动 ... 不好意思没注意看你写的文字，我以为全是你手写的。。。。 2019-2-21 08:58 0
苏苏苏苏苏苏雪币： 565 活跃值： (537) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 51 关注私信	苏苏苏苏苏苏 18 楼苏苏苏苏苏苏不好意思没注意看你写的文字，我以为全是你手写的。。。。最近在搞APEX ，注入是个问题，弄了一晚上发现橘子平台有对游戏的访问权限，果断拿句柄，然后通过橘子平台向游戏进程做事情，后来悲剧了，游戏自身主线程不知道什么玩意好像是接管了createthread 妈的一创建线程直接报异常这才来看看搜搜看有没有好的方法看到你的我啥都没看直接下了。。。发现代码很乱而且BUG很多，自己就修复心理想这个人哪里东拼西凑的代码思路挺好，最后修复完整了，对APEX还是无效，对别的游戏都没问题 2019-2-21 09:03 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 19 楼苏苏苏苏苏苏最近在搞APEX ，注入是个问题，弄了一晚上发现橘子平台有对游戏的访问权限，果断拿句柄，然后通过橘子平台向游戏进程做事情，后来悲剧了，游戏自身主线程不知道什么玩意好像是接管了createthread ... 那可不，我错百分之八十的代码我自己还能跑起来，你得有多牛批至于你所说的东拼西凑，我很想知道，我还抄了哪的代码，我为什么都不记得了？我自然知道你是搞APEX的，还写了一套源码，虽然不知道你的代码是不是参考的*律的形式，代码形式就不要说别人的乱 2019-2-21 09:12 0
苏苏苏苏苏苏雪币： 565 活跃值： (537) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 51 关注私信	苏苏苏苏苏苏 20 楼刘铠文那可不，我错百分之八十的代码我自己还能跑起来，你得有多牛批[em_19]至于你所说的东拼西凑，我很想知道，我还抄了哪的代码，我为什么都不记得了？我自然知道你是搞APEX的，还写了一套源码，虽然不知 ... 对不起，如果你需要，我可以把我修复完整的代码的送给你 2019-2-21 09:22 0
sylingyy 雪币： 1736 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 1 关注私信	sylingyy 21 楼心态不好啊，少年，你参考楼主的东西，又来喷。。“受人一字便为师”。 2019-2-21 09:49 0
快乐的萌小萌雪币： 195 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	快乐的萌小萌 22 楼刘铠文 VS插件大佬可以加个好友聊一下吗 Q：26997374 希望楼主 2019-2-22 10:20 0
黑洛雪币： 6124 活跃值： (4471) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 70 关注私信	黑洛 1 24 楼实际上，lz只是写得密，我觉得不乱。 ps：apc三年了都没和谐掉。 2019-3-5 18:02 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 25 楼黑洛实际上，lz只是写得密，我觉得不乱。 ps：apc三年了都没和谐掉。人家旋律大手子说乱就乱，没啥毛病 2019-3-6 09:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

はつゆき

发帖

396

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (27) 1 2 ▶
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 2 楼有几个硬编码，是17134的，其他系统的可以自己找一下 2018-10-28 10:28 0
xie风腾雪币： 12045 活跃值： (4763) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 1061 粉丝 5 关注私信	xie风腾 3 楼高大上的东西，多谢楼主 2018-10-28 10:34 0
陈林00007 雪币： 2063 活跃值： (1752) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 132 粉丝 1 关注私信	陈林00007 4 楼你这编程环境下有个小女孩怎么弄的 2018-10-28 10:47 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 5 楼 VS插件 2018-10-28 11:21 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 6 楼 ClaudiaIDE 2018-10-28 11:27 0
hekes 雪币： 4840 活跃值： (2260) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 228 粉丝 7 关注私信	hekes 7 楼 mark下 2018-10-28 12:26 0
芃杉雪币： 36 活跃值： (1021) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 106 粉丝 1 关注私信	芃杉 8 楼 mark下 2018-10-28 19:04 0
二娃雪币： 6314 活跃值： (911) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 56 粉丝 3 关注私信	二娃 9 楼围观 2018-10-29 18:51 0
Hades一KXXY 雪币： 4161 活跃值： (767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 71 粉丝 1 关注私信	Hades一KXXY 10 楼背景怎么弄的。 2018-11-1 10:11 0
IAMRiver 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	IAMRiver 11 楼 davidangle 你这编程环境下有个小女孩怎么弄的 ClaudiaIDE 2018-11-2 21:05 0
落花满怀雪币： 142 活跃值： (116) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 71 粉丝 0 关注私信	落花满怀 12 楼一猜就是这堆人都是冲着小女孩来的 2018-11-8 09:42 0
苏苏苏苏苏苏雪币： 565 活跃值： (537) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 51 关注私信	苏苏苏苏苏苏 13 楼代码下来试了试，无法使用，然后仔细翻了翻楼主的写法，发现代码全是乱的，估计是东拼西凑复制上去的，然后又对着他的代码改了一天，改了百分之80，已经完美使用，可以说楼主发的代码一点用都没有（因为查APC部分代码百分之80都是有问题的），但是思路是不错的 2019-2-21 02:43 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 14 楼苏苏苏苏苏苏代码下来试了试，无法使用，然后仔细翻了翻楼主的写法，发现代码全是乱的，估计是东拼西凑复制上去的，然后又对着他的代码改了一天，改了百分之80，已经完美使用，可以说楼主发的代码一点用都没有（因为查APC部 ... 既然知道代码乱，还说我是复制的，你也是真有意思，如果代码无法使用，你觉得我会发出来吗？如果代码哪里有问题，你得把图发出来，标示出来，我好改啊，你光说我代码有问题，又不说哪里有问题？ 2019-2-21 08:22 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 15 楼刘铠文既然知道代码乱，还说我是复制的，你也是真有意思，如果代码无法使用，你觉得我会发出来吗？如果代码哪里有问题，你得把图发出来，标示出来，我好改啊，你光说我代码有问题，又不说哪里有问题？哦，对哦，中文C++大手子，看英文的可能都觉得有点乱吧？ 2019-2-21 08:26 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 16 楼苏苏苏苏苏苏代码下来试了试，无法使用，然后仔细翻了翻楼主的写法，发现代码全是乱的，估计是东拼西凑复制上去的，然后又对着他的代码改了一天，改了百分之80，已经完美使用，可以说楼主发的代码一点用都没有（因为查APC部 ... 首先，你没认真看帖子，我说过，有硬编码，其次，我说源码发出来给你们参考，后面我还特地说了“我参考的KeInject”至于你说复制，那复制了多少，到底有没有复制，你截个图发出来，让大伙看看如何？说我驱动百分之八十都是错的，那你也把我错的那百分之八十的代码截个图给我们讲讲，你光从这里说，连张图都没有，也不说哪错了，就说我复制来的代码，你觉得，很合理吗？不要以为我不知道你是谁，我自然知道你是谁，只是不想说出来。 2019-2-21 08:49 0
苏苏苏苏苏苏雪币： 565 活跃值： (537) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 51 关注私信	苏苏苏苏苏苏 17 楼刘铠文首先，你没认真看帖子，我说过，有硬编码，其次，我说源码发出来给你们参考，后面我还特地说了“我参考的KeInject”至于你说复制，那复制了多少，到底有没有复制，你截个图发出来，让大伙看看如何？说我驱动 ... 不好意思没注意看你写的文字，我以为全是你手写的。。。。 2019-2-21 08:58 0
苏苏苏苏苏苏雪币： 565 活跃值： (537) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 51 关注私信	苏苏苏苏苏苏 18 楼苏苏苏苏苏苏不好意思没注意看你写的文字，我以为全是你手写的。。。。最近在搞APEX ，注入是个问题，弄了一晚上发现橘子平台有对游戏的访问权限，果断拿句柄，然后通过橘子平台向游戏进程做事情，后来悲剧了，游戏自身主线程不知道什么玩意好像是接管了createthread 妈的一创建线程直接报异常这才来看看搜搜看有没有好的方法看到你的我啥都没看直接下了。。。发现代码很乱而且BUG很多，自己就修复心理想这个人哪里东拼西凑的代码思路挺好，最后修复完整了，对APEX还是无效，对别的游戏都没问题 2019-2-21 09:03 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 19 楼苏苏苏苏苏苏最近在搞APEX ，注入是个问题，弄了一晚上发现橘子平台有对游戏的访问权限，果断拿句柄，然后通过橘子平台向游戏进程做事情，后来悲剧了，游戏自身主线程不知道什么玩意好像是接管了createthread ... 那可不，我错百分之八十的代码我自己还能跑起来，你得有多牛批至于你所说的东拼西凑，我很想知道，我还抄了哪的代码，我为什么都不记得了？我自然知道你是搞APEX的，还写了一套源码，虽然不知道你的代码是不是参考的*律的形式，代码形式就不要说别人的乱 2019-2-21 09:12 0
苏苏苏苏苏苏雪币： 565 活跃值： (537) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 51 关注私信	苏苏苏苏苏苏 20 楼刘铠文那可不，我错百分之八十的代码我自己还能跑起来，你得有多牛批[em_19]至于你所说的东拼西凑，我很想知道，我还抄了哪的代码，我为什么都不记得了？我自然知道你是搞APEX的，还写了一套源码，虽然不知 ... 对不起，如果你需要，我可以把我修复完整的代码的送给你 2019-2-21 09:22 0
sylingyy 雪币： 1736 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 1 关注私信	sylingyy 21 楼心态不好啊，少年，你参考楼主的东西，又来喷。。“受人一字便为师”。 2019-2-21 09:49 0
快乐的萌小萌雪币： 195 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	快乐的萌小萌 22 楼刘铠文 VS插件大佬可以加个好友聊一下吗 Q：26997374 希望楼主 2019-2-22 10:20 0
黑洛雪币： 6124 活跃值： (4471) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 70 关注私信	黑洛 1 24 楼实际上，lz只是写得密，我觉得不乱。 ps：apc三年了都没和谐掉。 2019-3-5 18:02 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 25 楼黑洛实际上，lz只是写得密，我觉得不乱。 ps：apc三年了都没和谐掉。人家旋律大手子说乱就乱，没啥毛病 2019-3-6 09:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复