[求助]Win10下记事本Dll注入不成功-求助问答-看雪-安全社区|安全招聘|kanxue.com

未解决 [求助]Win10下记事本Dll注入不成功

发表于: 2020-8-20 23:02 12632

未解决 [求助]Win10下记事本Dll注入不成功

wangrong

2020-8-20 23:02

12632

小白一枚，使用https://bbs.pediy.com/thread-258333.htm的代码自己练习下，发现无法注入，搞了一晚上还是没找到原因，求各位帮指点迷津，不甚感谢！

#include <iostream>
#include <windows.h>
#include <string.h>
#include <string>
using namespace std;

HWND hwnd = NULL;
DWORD dwProcessId = NULL;
HANDLE hProcess = NULL;
PVOID lpPathAddr = NULL;

char pszDllFileName[25] = "F:\\test\\1\\2Dll1.dll";
char loadfunc[25] = "LoadLibraryA";
FARPROC loadfuncaddr = NULL;

BOOL todo(){
 hwnd = ::FindWindow("Notepad", NULL);	//以注入记事本为例
 if (hwnd == NULL)
 {
     MessageBox(NULL, "找不到记事本", "错误", MB_OK);
 }
   GetWindowThreadProcessId(hwnd, &dwProcessId);

// 1.打开目标进程
HANDLE hProcess = OpenProcess(
    PROCESS_ALL_ACCESS,     // 打开权限
    FALSE,                  // 是否继承
    dwProcessId);           // 进程PID
if (NULL == hProcess)
{
    MessageBox(NULL, "打开目标进程失败", "错误", MB_OK);
    return FALSE;
}

// 2.在目标进程中申请空间
LPVOID lpPathAddr = VirtualAllocEx(
    hProcess,                   // 目标进程句柄
    0,                          // 指定申请地址
    strlen(pszDllFileName) + 1,   // 申请空间大小
    MEM_RESERVE | MEM_COMMIT, // 内存的状态
    PAGE_READWRITE);            // 内存属性
if (NULL == lpPathAddr)
{
    MessageBox(NULL, "在目标进程中申请空间失败", "错误", MB_OK);
    CloseHandle(hProcess);
    return FALSE;
}

// 3.在目标进程中写入Dll路径
SIZE_T dwWriteSize = 0;
if (FALSE == WriteProcessMemory(
    hProcess,                   // 目标进程句柄
    lpPathAddr,                 // 目标进程地址
    pszDllFileName,                 // 写入的缓冲区
    strlen(pszDllFileName) + 1,   // 缓冲区大小
    &dwWriteSize))              // 实际写入大小
{
    MessageBox(NULL, "目标进程中写入Dll路径失败！", "错误", MB_OK);
    CloseHandle(hProcess);
    return FALSE;
}

//获取LoadLibraryA的函数地址
//FARPROC可以自适应32位与64位
FARPROC pFuncProcAddr = GetProcAddress(GetModuleHandle("kernel32.dll"), "LoadLibraryA");
if (NULL == pFuncProcAddr)
{
    MessageBox(NULL, "获取LoadLibrary函数地址失败！", "错误", MB_OK);
    CloseHandle(hProcess);
    return FALSE;
}

// 4.在目标进程中创建线程
HANDLE hThread = CreateRemoteThread(
    hProcess,                   // 目标进程句柄
    NULL,                       // 安全属性
    NULL,                       // 栈大小
    (PTHREAD_START_ROUTINE)pFuncProcAddr,   // 回调函数
    lpPathAddr,                 // 回调函数参数
    NULL,                       // 标志
    NULL                        // 线程ID
);
if (NULL == hThread)
{
    MessageBox(NULL, "目标进程中创建线程失败！", "错误", MB_OK);
    CloseHandle(hProcess);
    return FALSE;
}

// 5.等待线程结束
WaitForSingleObject(hThread, -1);

// 6.清理环境
VirtualFreeEx(hProcess, lpPathAddr, 0, MEM_RELEASE);
CloseHandle(hThread);
CloseHandle(hProcess);
return TRUE;
}

int main()
{
    std::cout << "Hello World!\n";
    todo();
}

注入Dll如下：

BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
    {
        MessageBox(NULL, L"远程线程注入成功！", L"提示", NULL);
        break;
    }
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

操作系统版本如下：

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・5

免费・1

支持

最新回复 (20)
icesnowwise 雪币： 2095 活跃值： (344) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 83 粉丝 0 关注私信	icesnowwise 2 楼 64位程序只能注入64位，是不是这个问题？、按理说照着做的一般不会有太大问题的 2020-8-20 23:47 0
wangrong 雪币： 223 活跃值： (180) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	wangrong 3 楼我的是64位的dll也是编译的时候选了64位，引子exe也是编译时候选了64位，我用ce查看了notepad里面是写入了dll，但是最后没有执行。 2020-8-20 23:50 0
2beNo2 雪币： 3254 活跃值： (4568) 能力值： ( LV4，RANK：40 ) 在线值：发帖 3 回帖 59 粉丝 84 关注私信	2beNo2 4 楼可能字符集的问题，注入代码字符集要和目标程序字符集一样 2020-8-21 00:13 0
sixL 雪币： 248 活跃值： (1066) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 165 粉丝 1 关注私信	sixL 5 楼你看看这篇文章，https://bbs.pediy.com/thread-259891.htm win10 x64上，像CreateRemoteThread这种API都要进行参数检测，XP上的各种注入DLL办法都无效。 2020-8-21 01:27 0
严启真雪币： 8242 活跃值： (1520) 能力值： ( LV2，RANK：15 ) 在线值：发帖 4 回帖 210 粉丝 2 关注私信	严启真 6 楼用管理员权限了吗？进程提权了吗？ 2020-8-21 09:43 0
leonluffy 雪币： 42 活跃值： (197) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	leonluffy 7 楼内存属性 2020-8-21 10:20 0
hhkqqs 雪币： 12028 活跃值： (5604) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 41 关注私信	hhkqqs 1 8 楼 UAC requireAdministrator NtOpenProcessToken NtAdjustPrivilegesToken SeDebugPrivilege 2020-8-21 13:17 0
wx_Mr.Wr 雪币： 15 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	wx_Mr.Wr 9 楼 wx_hc 可能字符集的问题，注入代码字符集要和目标程序字符集一样字符我用的是多字符集 2020-8-21 13:56 0
wx_Mr.Wr 雪币： 15 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	wx_Mr.Wr 10 楼 sixL 你看看这篇文章，https://bbs.pediy.com/thread-259891.htm win10 x64上，像CreateRemoteThread这种API都要进行参数检测，XP上的各种注 ... 好的，谢谢，学习下 2020-8-21 13:56 0
wx_Mr.Wr 雪币： 15 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	wx_Mr.Wr 11 楼严启真用管理员权限了吗？进程提权了吗？用了管理员，程序里面没有提权，运行的时候以管理员运行，这个之前找原因时就试了 2020-8-21 13:59 0
wx_Mr.Wr 雪币： 15 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	wx_Mr.Wr 12 楼 hhkqqs UAC requireAdministrator NtOpenProcessToken NtAdjustPrivilegesToken SeDebugPrivilege 等下午下班后查下提示的方向实验下看行不行 2020-8-21 14:02 0
AperOdry 雪币： 775 活跃值： (2292) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 243 粉丝 14 关注私信	AperOdry 13 楼用LdrLoadDll+ZwCreateThreadEx吧我这里没问题 2020-8-21 14:04 0
wx_Mr.Wr 雪币： 15 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	wx_Mr.Wr 14 楼 AperOdry 用LdrLoadDll+ZwCreateThreadEx吧我这里没问题好的，非常感谢，试一下 2020-8-21 14:07 0
wangrong 雪币： 223 活跃值： (180) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	wangrong 15 楼非常感谢可以的！ 2020-8-21 23:03 0
wangrong 雪币： 223 活跃值： (180) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	wangrong 16 楼另一种方式学习存档： // FileName : KernelFuncInject.cpp // Creator : PeterZheng // Date : 2019/01/10 21:32 // Comment : Use Kernel Function To Inject // //////////////////////////////// #pragma once #include <cstdio> #include <cstdlib> #include <iostream> #include <strsafe.h> #include <Windows.h> #include <TlHelp32.h> #ifdef _WIN64 typedef DWORD(WINAPI* typedef_ZwCreateThreadEx)( PHANDLE ThreadHandle, ACCESS_MASK DesiredAccess, LPVOID ObjectAttributes, HANDLE ProcessHandle, LPTHREAD_START_ROUTINE lpStartAddress, LPVOID lpParameter, ULONG CreateThreadFlags, SIZE_T ZeroBits, SIZE_T StackSize, SIZE_T MaximumStackSize, LPVOID pUnkown); #else typedef DWORD(WINAPI* typedef_ZwCreateThreadEx)( PHANDLE ThreadHandle, ACCESS_MASK DesiredAccess, LPVOID ObjectAttributes, HANDLE ProcessHandle, LPTHREAD_START_ROUTINE lpStartAddress, LPVOID lpParameter, BOOL CreateSuspended, DWORD dwStackSize, DWORD dw1, DWORD dw2, LPVOID pUnkown); #endif using namespace std; // 提权函数 BOOL EnableDebugPriv(LPCSTR name) { HANDLE hToken; LUID luid; TOKEN_PRIVILEGES tp; // 打开进程令牌 if (!OpenProcessToken(GetCurrentProcess(), TOKEN_QUERY \| TOKEN_ADJUST_PRIVILEGES, &hToken)) { printf("[!]Get Process Token Error!\n"); return false; } // 获取权限Luid if (!LookupPrivilegeValue(NULL, name, &luid)) { printf("[!]Get Privilege Error!\n"); return false; } tp.PrivilegeCount = 1; tp.Privileges[0].Luid = luid; tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED; // 修改进程权限 if (!AdjustTokenPrivileges(hToken, false, &tp, sizeof(TOKEN_PRIVILEGES), NULL, NULL)) { printf("[!]Adjust Privilege Error!\n"); return false; } return true; } // 根据进程名字获取进程Id BOOL GetProcessIdByName(CHAR* szProcessName, DWORD& dwPid) { HANDLE hSnapProcess = ::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); if (hSnapProcess == NULL) { printf("[] Create Process Snap Error!\n"); return FALSE; } PROCESSENTRY32 pe32 = { 0 }; ::RtlZeroMemory(&pe32, sizeof(pe32)); pe32.dwSize = sizeof(pe32); BOOL bRet = ::Process32First(hSnapProcess, &pe32); while (bRet) { if (_stricmp(pe32.szExeFile, szProcessName) == 0) { dwPid = pe32.th32ProcessID; return TRUE; } bRet = ::Process32Next(hSnapProcess, &pe32); } return FALSE; } int main(int argc, char argv[]) { if (argc != 3) { printf("[] Format Error! \nYou Should FOLLOW THIS FORMAT: <APCInject EXENAME DLLNAME> \n"); return 0; } LPSTR szExeName = (LPSTR)::VirtualAlloc(NULL, 100, MEM_COMMIT \| MEM_RESERVE, PAGE_READWRITE); LPSTR szDllPath = (LPSTR)::VirtualAlloc(NULL, 100, MEM_COMMIT \| MEM_RESERVE, PAGE_READWRITE); ::RtlZeroMemory(szExeName, 100); ::RtlZeroMemory(szDllPath, 100); ::StringCchCopy(szExeName, 100, argv[1]); ::StringCchCopy(szDllPath, 100, argv[2]); DWORD dwPid = 0; // 系统进程必须先提权才能打开，否则在OpenProcess步骤会失败 EnableDebugPriv(SE_DEBUG_NAME); BOOL bRet = GetProcessIdByName(szExeName, dwPid); if (!bRet) { printf("[] Get Process Id Error!\n"); return 0; } HANDLE hProcess = ::OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPid); if (hProcess == NULL) { printf("[] Open Process Error!\n"); return 0; } DWORD dwDllPathLen = strlen(szDllPath) + 1; LPVOID lpBaseAddress = ::VirtualAllocEx(hProcess, NULL, dwDllPathLen, MEM_COMMIT \| MEM_RESERVE, PAGE_READWRITE); if (lpBaseAddress == NULL) { printf("[] VirtualAllocEx Error!\n"); return 0; } SIZE_T dwWriten = 0; // 把DLL路径字符串写入目标进程 ::WriteProcessMemory(hProcess, lpBaseAddress, szDllPath, dwDllPathLen, &dwWriten); if (dwWriten != dwDllPathLen) { printf("[] Write Process Memory Error!\n"); return 0; } // 获取LoadLibrary函数地址 LPVOID pLoadLibraryFunc = ::GetProcAddress(::GetModuleHandle("kernel32.dll"), "LoadLibraryA"); if (pLoadLibraryFunc == NULL) { printf("[] Get Func Address Error!\n"); return 0; } HMODULE hNtdll = ::LoadLibrary("ntdll.dll"); if (hNtdll == NULL) { printf("[] Load NtDLL Error!\n"); return 0; } typedef_ZwCreateThreadEx ZwCreateThreadEx = (typedef_ZwCreateThreadEx)::GetProcAddress(hNtdll, "ZwCreateThreadEx"); if (ZwCreateThreadEx == NULL) { printf("[] Get NTDLL Func Address Error!\n"); return 0; } DWORD dwStatus = 0; HANDLE hRemoteThread = NULL; dwStatus = ZwCreateThreadEx(&hRemoteThread, PROCESS_ALL_ACCESS, NULL, hProcess, (LPTHREAD_START_ROUTINE)pLoadLibraryFunc, lpBaseAddress, 0, 0, 0, 0, NULL); if (hRemoteThread == NULL) { printf("[] Create Remote Thread Error!\n"); return 0; } // DLL路径分割，方便输出 LPCSTR szPathSign = "\\"; LPSTR p = NULL; LPSTR next_token = NULL; p = strtok_s(szDllPath, szPathSign, &next_token); while (p) { StringCchCopy(szDllPath, 100, p); p = strtok_s(NULL, szPathSign, &next_token); } printf("[] High Privilege Inject Info [%s ==> %s] Success\n", szDllPath, szExeName); ::CloseHandle(hProcess); ::FreeLibrary(hNtdll); ::VirtualFree(szExeName, 0, MEM_RELEASE); ::VirtualFree(szDllPath, 0, MEM_RELEASE); ::ExitProcess(0); return 0; } 2020-8-21 23:04 0
verbs 雪币： 0 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	verbs 17 楼这种方法，在 win10 64位也测试也不行呀，楼主有没有实验成功呀 2020-10-9 16:23 0
verbs 雪币： 0 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	verbs 18 楼找到原因了，是因为 dll 没有写全径。写上全路径就可以了。折腾了半天时间，T﹏T 总结一下可能失败的原因： 1. 被注入程序(notepad.exe)和注入模块(thief.dll)位数必须一致(32位或64位)。 2. 注入程序拥有管理员权限(工程属性设置或动态提权)。 3. 注入模块和被注入程序如果不在同一个目录下，注入模块需要写全路径名，否则注入成功但找不到 dll。 2020-10-9 17:11 0
lucky距离雪币： 4 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	lucky距离 19 楼你成功了么，我也是没有成功啊，头大，小白一个，什么都不会啊 2022-1-9 20:02 0
tomken 雪币： 983 活跃值： (967) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 107 粉丝 1 关注私信	tomken 20 楼笔记本的对话框不是最上层，View类才是，所以你的消息框弹不出来 2023-6-21 18:38 0
逆向爱好者雪币： 1416 活跃值： (4398) 能力值： ( LV3，RANK：20 ) 在线值：发帖 29 回帖 166 粉丝 21 关注私信	逆向爱好者 21 楼根据20楼,你dll里写修改笔记本内存的代码就知道有没有被执行了 2023-7-8 10:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wangrong

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
icesnowwise 雪币： 2095 活跃值： (344) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 83 粉丝 0 关注私信	icesnowwise 2 楼 64位程序只能注入64位，是不是这个问题？、按理说照着做的一般不会有太大问题的 2020-8-20 23:47 0
wangrong 雪币： 223 活跃值： (180) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	wangrong 3 楼我的是64位的dll也是编译的时候选了64位，引子exe也是编译时候选了64位，我用ce查看了notepad里面是写入了dll，但是最后没有执行。 2020-8-20 23:50 0
2beNo2 雪币： 3254 活跃值： (4568) 能力值： ( LV4，RANK：40 ) 在线值：发帖 3 回帖 59 粉丝 84 关注私信	2beNo2 4 楼可能字符集的问题，注入代码字符集要和目标程序字符集一样 2020-8-21 00:13 0
sixL 雪币： 248 活跃值： (1066) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 165 粉丝 1 关注私信	sixL 5 楼你看看这篇文章，https://bbs.pediy.com/thread-259891.htm win10 x64上，像CreateRemoteThread这种API都要进行参数检测，XP上的各种注入DLL办法都无效。 2020-8-21 01:27 0
严启真雪币： 8242 活跃值： (1520) 能力值： ( LV2，RANK：15 ) 在线值：发帖 4 回帖 210 粉丝 2 关注私信	严启真 6 楼用管理员权限了吗？进程提权了吗？ 2020-8-21 09:43 0
leonluffy 雪币： 42 活跃值： (197) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	leonluffy 7 楼内存属性 2020-8-21 10:20 0
hhkqqs 雪币： 12028 活跃值： (5604) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 41 关注私信	hhkqqs 1 8 楼 UAC requireAdministrator NtOpenProcessToken NtAdjustPrivilegesToken SeDebugPrivilege 2020-8-21 13:17 0
wx_Mr.Wr 雪币： 15 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	wx_Mr.Wr 9 楼 wx_hc 可能字符集的问题，注入代码字符集要和目标程序字符集一样字符我用的是多字符集 2020-8-21 13:56 0
wx_Mr.Wr 雪币： 15 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	wx_Mr.Wr 10 楼 sixL 你看看这篇文章，https://bbs.pediy.com/thread-259891.htm win10 x64上，像CreateRemoteThread这种API都要进行参数检测，XP上的各种注 ... 好的，谢谢，学习下 2020-8-21 13:56 0
wx_Mr.Wr 雪币： 15 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	wx_Mr.Wr 11 楼严启真用管理员权限了吗？进程提权了吗？用了管理员，程序里面没有提权，运行的时候以管理员运行，这个之前找原因时就试了 2020-8-21 13:59 0
wx_Mr.Wr 雪币： 15 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	wx_Mr.Wr 12 楼 hhkqqs UAC requireAdministrator NtOpenProcessToken NtAdjustPrivilegesToken SeDebugPrivilege 等下午下班后查下提示的方向实验下看行不行 2020-8-21 14:02 0
AperOdry 雪币： 775 活跃值： (2292) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 243 粉丝 14 关注私信	AperOdry 13 楼用LdrLoadDll+ZwCreateThreadEx吧我这里没问题 2020-8-21 14:04 0
wx_Mr.Wr 雪币： 15 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	wx_Mr.Wr 14 楼 AperOdry 用LdrLoadDll+ZwCreateThreadEx吧我这里没问题好的，非常感谢，试一下 2020-8-21 14:07 0
wangrong 雪币： 223 活跃值： (180) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	wangrong 15 楼非常感谢可以的！ 2020-8-21 23:03 0
wangrong 雪币： 223 活跃值： (180) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	wangrong 16 楼另一种方式学习存档： // FileName : KernelFuncInject.cpp // Creator : PeterZheng // Date : 2019/01/10 21:32 // Comment : Use Kernel Function To Inject // //////////////////////////////// #pragma once #include <cstdio> #include <cstdlib> #include <iostream> #include <strsafe.h> #include <Windows.h> #include <TlHelp32.h> #ifdef _WIN64 typedef DWORD(WINAPI* typedef_ZwCreateThreadEx)( PHANDLE ThreadHandle, ACCESS_MASK DesiredAccess, LPVOID ObjectAttributes, HANDLE ProcessHandle, LPTHREAD_START_ROUTINE lpStartAddress, LPVOID lpParameter, ULONG CreateThreadFlags, SIZE_T ZeroBits, SIZE_T StackSize, SIZE_T MaximumStackSize, LPVOID pUnkown); #else typedef DWORD(WINAPI* typedef_ZwCreateThreadEx)( PHANDLE ThreadHandle, ACCESS_MASK DesiredAccess, LPVOID ObjectAttributes, HANDLE ProcessHandle, LPTHREAD_START_ROUTINE lpStartAddress, LPVOID lpParameter, BOOL CreateSuspended, DWORD dwStackSize, DWORD dw1, DWORD dw2, LPVOID pUnkown); #endif using namespace std; // 提权函数 BOOL EnableDebugPriv(LPCSTR name) { HANDLE hToken; LUID luid; TOKEN_PRIVILEGES tp; // 打开进程令牌 if (!OpenProcessToken(GetCurrentProcess(), TOKEN_QUERY \| TOKEN_ADJUST_PRIVILEGES, &hToken)) { printf("[!]Get Process Token Error!\n"); return false; } // 获取权限Luid if (!LookupPrivilegeValue(NULL, name, &luid)) { printf("[!]Get Privilege Error!\n"); return false; } tp.PrivilegeCount = 1; tp.Privileges[0].Luid = luid; tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED; // 修改进程权限 if (!AdjustTokenPrivileges(hToken, false, &tp, sizeof(TOKEN_PRIVILEGES), NULL, NULL)) { printf("[!]Adjust Privilege Error!\n"); return false; } return true; } // 根据进程名字获取进程Id BOOL GetProcessIdByName(CHAR* szProcessName, DWORD& dwPid) { HANDLE hSnapProcess = ::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); if (hSnapProcess == NULL) { printf("[] Create Process Snap Error!\n"); return FALSE; } PROCESSENTRY32 pe32 = { 0 }; ::RtlZeroMemory(&pe32, sizeof(pe32)); pe32.dwSize = sizeof(pe32); BOOL bRet = ::Process32First(hSnapProcess, &pe32); while (bRet) { if (_stricmp(pe32.szExeFile, szProcessName) == 0) { dwPid = pe32.th32ProcessID; return TRUE; } bRet = ::Process32Next(hSnapProcess, &pe32); } return FALSE; } int main(int argc, char argv[]) { if (argc != 3) { printf("[] Format Error! \nYou Should FOLLOW THIS FORMAT: <APCInject EXENAME DLLNAME> \n"); return 0; } LPSTR szExeName = (LPSTR)::VirtualAlloc(NULL, 100, MEM_COMMIT \| MEM_RESERVE, PAGE_READWRITE); LPSTR szDllPath = (LPSTR)::VirtualAlloc(NULL, 100, MEM_COMMIT \| MEM_RESERVE, PAGE_READWRITE); ::RtlZeroMemory(szExeName, 100); ::RtlZeroMemory(szDllPath, 100); ::StringCchCopy(szExeName, 100, argv[1]); ::StringCchCopy(szDllPath, 100, argv[2]); DWORD dwPid = 0; // 系统进程必须先提权才能打开，否则在OpenProcess步骤会失败 EnableDebugPriv(SE_DEBUG_NAME); BOOL bRet = GetProcessIdByName(szExeName, dwPid); if (!bRet) { printf("[] Get Process Id Error!\n"); return 0; } HANDLE hProcess = ::OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPid); if (hProcess == NULL) { printf("[] Open Process Error!\n"); return 0; } DWORD dwDllPathLen = strlen(szDllPath) + 1; LPVOID lpBaseAddress = ::VirtualAllocEx(hProcess, NULL, dwDllPathLen, MEM_COMMIT \| MEM_RESERVE, PAGE_READWRITE); if (lpBaseAddress == NULL) { printf("[] VirtualAllocEx Error!\n"); return 0; } SIZE_T dwWriten = 0; // 把DLL路径字符串写入目标进程 ::WriteProcessMemory(hProcess, lpBaseAddress, szDllPath, dwDllPathLen, &dwWriten); if (dwWriten != dwDllPathLen) { printf("[] Write Process Memory Error!\n"); return 0; } // 获取LoadLibrary函数地址 LPVOID pLoadLibraryFunc = ::GetProcAddress(::GetModuleHandle("kernel32.dll"), "LoadLibraryA"); if (pLoadLibraryFunc == NULL) { printf("[] Get Func Address Error!\n"); return 0; } HMODULE hNtdll = ::LoadLibrary("ntdll.dll"); if (hNtdll == NULL) { printf("[] Load NtDLL Error!\n"); return 0; } typedef_ZwCreateThreadEx ZwCreateThreadEx = (typedef_ZwCreateThreadEx)::GetProcAddress(hNtdll, "ZwCreateThreadEx"); if (ZwCreateThreadEx == NULL) { printf("[] Get NTDLL Func Address Error!\n"); return 0; } DWORD dwStatus = 0; HANDLE hRemoteThread = NULL; dwStatus = ZwCreateThreadEx(&hRemoteThread, PROCESS_ALL_ACCESS, NULL, hProcess, (LPTHREAD_START_ROUTINE)pLoadLibraryFunc, lpBaseAddress, 0, 0, 0, 0, NULL); if (hRemoteThread == NULL) { printf("[] Create Remote Thread Error!\n"); return 0; } // DLL路径分割，方便输出 LPCSTR szPathSign = "\\"; LPSTR p = NULL; LPSTR next_token = NULL; p = strtok_s(szDllPath, szPathSign, &next_token); while (p) { StringCchCopy(szDllPath, 100, p); p = strtok_s(NULL, szPathSign, &next_token); } printf("[] High Privilege Inject Info [%s ==> %s] Success\n", szDllPath, szExeName); ::CloseHandle(hProcess); ::FreeLibrary(hNtdll); ::VirtualFree(szExeName, 0, MEM_RELEASE); ::VirtualFree(szDllPath, 0, MEM_RELEASE); ::ExitProcess(0); return 0; } 2020-8-21 23:04 0
verbs 雪币： 0 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	verbs 17 楼这种方法，在 win10 64位也测试也不行呀，楼主有没有实验成功呀 2020-10-9 16:23 0
verbs 雪币： 0 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	verbs 18 楼找到原因了，是因为 dll 没有写全径。写上全路径就可以了。折腾了半天时间，T﹏T 总结一下可能失败的原因： 1. 被注入程序(notepad.exe)和注入模块(thief.dll)位数必须一致(32位或64位)。 2. 注入程序拥有管理员权限(工程属性设置或动态提权)。 3. 注入模块和被注入程序如果不在同一个目录下，注入模块需要写全路径名，否则注入成功但找不到 dll。 2020-10-9 17:11 0
lucky距离雪币： 4 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	lucky距离 19 楼你成功了么，我也是没有成功啊，头大，小白一个，什么都不会啊 2022-1-9 20:02 0
tomken 雪币： 983 活跃值： (967) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 107 粉丝 1 关注私信	tomken 20 楼笔记本的对话框不是最上层，View类才是，所以你的消息框弹不出来 2023-6-21 18:38 0
逆向爱好者雪币： 1416 活跃值： (4398) 能力值： ( LV3，RANK：20 ) 在线值：发帖 29 回帖 166 粉丝 21 关注私信	逆向爱好者 21 楼根据20楼,你dll里写修改笔记本内存的代码就知道有没有被执行了 2023-7-8 10:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复