[求助]为什么我往IE中用CreateRemoteThread方法注入我的DLL总是失败？？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]为什么我往IE中用CreateRemoteThread方法注入我的DLL总是失败？？

发表于: 2008-4-17 18:25 13843

[求助]为什么我往IE中用CreateRemoteThread方法注入我的DLL总是失败？？

救世猪

2008-4-17 18:25

13843

我的程序开始往Wscript.exe中注入，可以很正常的将我的DLL注入进去，但是：
如果往IE里面注入的话，总是失败，用LoadPE或ImportREC看不到我的DLL。

我跟踪的时候发现，VirtualAllocEx申请的空间，往里面写DLL名的时候，好像根本没有写进去……
主要代码如下：

    PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE)
      GetProcAddress(GetModuleHandle("Kernel32.dll"), "LoadLibraryA");
	
    //在目标进程申请空间，并将“TargetDll.dll”写入到目标进程空间中
    LPVOID proAddr = ::VirtualAllocEx(hPro, proAddr, strlen(dllName)+1, MEM_COMMIT, PAGE_READWRITE);

    if (!WriteProcessMemory(hPro, proAddr, (LPVOID)dllName, strlen(dllName)+1, NULL))
    {
		//写进程失败，不再对本进程操作
		return FALSE;
    }

    //将目标DLL注入到目标进程中
    HANDLE hThread = ::CreateRemoteThread(hPro, NULL, 0, pfnThreadRtn, (char *)proAddr, 0, NULL);
    if (hThread == NULL)
    {
		return FALSE;
    }
    ::WaitForSingleObject(hThread, INFINITE);

不知道大家有没有什么比较好什么软件可以动态的查看进程的内存，我用OD和WinDbg都无法打开这时候的iexplore.exe。

3Q

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#调试逆向

收藏・1

免费・0

支持

最新回复 (19)
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 267 粉丝 0 关注私信	救世猪 1 2 楼晕，刚用WinHex查看了一下写进去了…… 2008-4-17 18:38 0
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 267 粉丝 0 关注私信	救世猪 1 3 楼 CreateRemoteThread执行后，返回的句柄是0x744 说明执行应该正常吧但到后面： WaitForSingleObject那儿就停那儿了…… 再单步就单步不过去了～～～ 2008-4-17 18:45 0
busy 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 78 粉丝 0 关注私信	busy 4 楼貌似这个WaitForSingleObject 是等你那个线程结束时才返回的吧... 2008-4-17 19:25 0
bzhkl 雪币： 437 活跃值： (273) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 5 楼 dllName 全路径？你可以在 IE中下断 LoadLibrary 看看哪里问题 2008-4-17 19:32 0
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 267 粉丝 0 关注私信	救世猪 1 6 楼恩 dllName是全路经名 WaitForSingleObject是等待线程结束的，不过线程应该会很快结束的，因为我往Wscript.exe里面注入的时候，就很轻易的注入进去了～。但现在实际上，线程没有结束，因为我将INFINITE改为3000之后，3秒之后就会将IE启动起来，但是，IE里面没有我的DLL 在IE中下断？？应该怎么操作？这时候用OD也没法附加到IE上～，提示无法附加到进程难道用SoftICE？？？ 2008-4-17 19:47 0
busy 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 78 粉丝 0 关注私信	busy 7 楼 WaitForSingleObject 不返回说明的你线程肯定没有结束,检查你的DllMain函数是不是有问题 2008-4-17 20:22 0
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 267 粉丝 0 关注私信	救世猪 1 8 楼应该没有问题的我的另一个程序，用了相同的方法，也用了同一个DLL 往Wscript.exe(脚本宿主)中注入，可以正常注入～ 2008-4-17 20:47 0
caocunt 雪币： 215 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 359 粉丝 0 关注私信	caocunt 9 楼楼主,最近写木马发了不少财吧?小心为妙 2008-4-17 20:53 0
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 267 粉丝 0 关注私信	救世猪 1 10 楼晕，呵呵，做毕业设计呢，我可不会写马 2008-4-18 07:28 0
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 267 粉丝 0 关注私信	救世猪 1 11 楼对了，还是有点区别的我往Wscript.exe里面注入的时候，因为是在我的程序里面创建的Wscript.exe进程，所以创建进程的时候使用了CREATE_SUSPEND标志，以暂停进程，然后往里面注入就可以。但是，用相同的方法，我启动IE进程的话，IE就不会出现～运行之后没有任务反应。所以我用了调试API，用了DEBUG_PROCESS标志，然后当进程刚启动之时，产生异常，转到我的程序，我在程序中，将入口点的代码设为0xcc，然后再运行程序，捕获断点异常，捕获到之后，就说明到了入口点，这样保证程序能进行完必要的初始化。从而再将DLL注入。然后我再将Eip-1,继续运行。但是，就是这个时候，DLL注入不进去，这时候查看IE进程，有两个线程在执行，一个是我的线程，一个是主线程，我的线程好像就根本没法结束………… 2008-4-18 10:25 0
zjjmjtoot 雪币： 299 活跃值： (25) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	zjjmjtoot 4 12 楼有可能是编译器知道你想写马。 2008-4-18 10:42 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 13 楼超级智能编译器啊，可以从根本上解决马的问题啊，你这可是原创啊，把这个思想卖给编译器厂商，呵呵，发达了以后别忘了我，可是我提醒你这个有商业价值的。正所谓苟富贵，勿相忘 2008-4-19 14:18 0
wolfzhu 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	wolfzhu 14 楼是不是注入之前IE进程的LoadLibraryA已经被HOOK了？ 2008-4-21 10:10 0
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 267 粉丝 0 关注私信	救世猪 1 15 楼具体的原因我还不太清楚不过昨天晚上突然想到的：当用Debug API的时候，如果父进程得到某个异常的发生，这时候，父进程得到通知后，子进程里面的全程应该全部是停止的，此时即使你用CreateRemoteThread，创建了线程也不能运行。但是，今天早上我又改了一下，即：得到CREATE_PROCESS_DEBUG_EVENT后，进行一些处理然后，调用ContinueDebugEvent函数，继续执行被调试进程调用完ConTinueDebugEvent函数后，立刻暂停主线程，即： ::SuspendThread(pi.hThread); 然后将DLL注入，此时用CreateRemoteThread后，该线程应该可以在被调试进程中执行，当注入完之后，我再ResumeThread 但事实证明，这样做还是不行…… 单步的时候发现，还是CreateRemoteThread后，WaitForSingleObject函数一直无法返回…… 貌视LoadLibrary函数还是执行不成功…… 代码： if (dbgEvent.dwDebugEventCode == CREATE_PROCESS_DEBUG_EVENT) { //继续执行进程 ::ContinueDebugEvent(dbgEvent.dwProcessId, dbgEvent.dwThreadId, DBG_CONTINUE); //将主线程停止，等待DLL注入成功之后再恢复 ::SuspendThread(pi.hThread); //将目标DLL注入到子进程中 CInjectDll injDll; injDll.InjectDll(pi.hProcess, myDllName); ::ResumeThread(pi.hThread); continue; } 2008-4-21 14:04 0
sunsjw 雪币： 8753 活跃值： (5215) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1250 粉丝 15 关注私信	sunsjw 1 16 楼楼猪:参考下这段代码,或许对你有帮助. http://bbs.pediy.com/showthread.php?t=63344 2008-4-21 14:43 0
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 267 粉丝 0 关注私信	救世猪 1 17 楼刚刚知道： CREATE_PROCESS_DEBUG_EVENT发生时，DLL一般还未加载…… 2008-4-21 14:57 0
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 267 粉丝 0 关注私信	救世猪 1 18 楼哇哈哈！！！注入DLL的问题终于解决了！！！！用了Tls CallBack，激动………… 2008-4-21 18:30 0
ghostyp 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	ghostyp 19 楼两种解决方法：一将参数改为dll的全路径名；二将dll放在环境变量path路径中 2008-8-23 08:30 0
rock 雪币： 225 活跃值： (188) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 323 粉丝 1 关注私信	rock 20 楼不要调 WaitForSingleObject ，直接返回 2008-8-29 11:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

救世猪

发帖

267

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 267 粉丝 0 关注私信	救世猪 1 2 楼晕，刚用WinHex查看了一下写进去了…… 2008-4-17 18:38 0
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 267 粉丝 0 关注私信	救世猪 1 3 楼 CreateRemoteThread执行后，返回的句柄是0x744 说明执行应该正常吧但到后面： WaitForSingleObject那儿就停那儿了…… 再单步就单步不过去了～～～ 2008-4-17 18:45 0
busy 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 78 粉丝 0 关注私信	busy 4 楼貌似这个WaitForSingleObject 是等你那个线程结束时才返回的吧... 2008-4-17 19:25 0
bzhkl 雪币： 437 活跃值： (273) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 5 楼 dllName 全路径？你可以在 IE中下断 LoadLibrary 看看哪里问题 2008-4-17 19:32 0
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 267 粉丝 0 关注私信	救世猪 1 6 楼恩 dllName是全路经名 WaitForSingleObject是等待线程结束的，不过线程应该会很快结束的，因为我往Wscript.exe里面注入的时候，就很轻易的注入进去了～。但现在实际上，线程没有结束，因为我将INFINITE改为3000之后，3秒之后就会将IE启动起来，但是，IE里面没有我的DLL 在IE中下断？？应该怎么操作？这时候用OD也没法附加到IE上～，提示无法附加到进程难道用SoftICE？？？ 2008-4-17 19:47 0
busy 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 78 粉丝 0 关注私信	busy 7 楼 WaitForSingleObject 不返回说明的你线程肯定没有结束,检查你的DllMain函数是不是有问题 2008-4-17 20:22 0
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 267 粉丝 0 关注私信	救世猪 1 8 楼应该没有问题的我的另一个程序，用了相同的方法，也用了同一个DLL 往Wscript.exe(脚本宿主)中注入，可以正常注入～ 2008-4-17 20:47 0
caocunt 雪币： 215 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 359 粉丝 0 关注私信	caocunt 9 楼楼主,最近写木马发了不少财吧?小心为妙 2008-4-17 20:53 0
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 267 粉丝 0 关注私信	救世猪 1 10 楼晕，呵呵，做毕业设计呢，我可不会写马 2008-4-18 07:28 0
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 267 粉丝 0 关注私信	救世猪 1 11 楼对了，还是有点区别的我往Wscript.exe里面注入的时候，因为是在我的程序里面创建的Wscript.exe进程，所以创建进程的时候使用了CREATE_SUSPEND标志，以暂停进程，然后往里面注入就可以。但是，用相同的方法，我启动IE进程的话，IE就不会出现～运行之后没有任务反应。所以我用了调试API，用了DEBUG_PROCESS标志，然后当进程刚启动之时，产生异常，转到我的程序，我在程序中，将入口点的代码设为0xcc，然后再运行程序，捕获断点异常，捕获到之后，就说明到了入口点，这样保证程序能进行完必要的初始化。从而再将DLL注入。然后我再将Eip-1,继续运行。但是，就是这个时候，DLL注入不进去，这时候查看IE进程，有两个线程在执行，一个是我的线程，一个是主线程，我的线程好像就根本没法结束………… 2008-4-18 10:25 0
zjjmjtoot 雪币： 299 活跃值： (25) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	zjjmjtoot 4 12 楼有可能是编译器知道你想写马。 2008-4-18 10:42 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 13 楼超级智能编译器啊，可以从根本上解决马的问题啊，你这可是原创啊，把这个思想卖给编译器厂商，呵呵，发达了以后别忘了我，可是我提醒你这个有商业价值的。正所谓苟富贵，勿相忘 2008-4-19 14:18 0
wolfzhu 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	wolfzhu 14 楼是不是注入之前IE进程的LoadLibraryA已经被HOOK了？ 2008-4-21 10:10 0
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 267 粉丝 0 关注私信	救世猪 1 15 楼具体的原因我还不太清楚不过昨天晚上突然想到的：当用Debug API的时候，如果父进程得到某个异常的发生，这时候，父进程得到通知后，子进程里面的全程应该全部是停止的，此时即使你用CreateRemoteThread，创建了线程也不能运行。但是，今天早上我又改了一下，即：得到CREATE_PROCESS_DEBUG_EVENT后，进行一些处理然后，调用ContinueDebugEvent函数，继续执行被调试进程调用完ConTinueDebugEvent函数后，立刻暂停主线程，即： ::SuspendThread(pi.hThread); 然后将DLL注入，此时用CreateRemoteThread后，该线程应该可以在被调试进程中执行，当注入完之后，我再ResumeThread 但事实证明，这样做还是不行…… 单步的时候发现，还是CreateRemoteThread后，WaitForSingleObject函数一直无法返回…… 貌视LoadLibrary函数还是执行不成功…… 代码： if (dbgEvent.dwDebugEventCode == CREATE_PROCESS_DEBUG_EVENT) { //继续执行进程 ::ContinueDebugEvent(dbgEvent.dwProcessId, dbgEvent.dwThreadId, DBG_CONTINUE); //将主线程停止，等待DLL注入成功之后再恢复 ::SuspendThread(pi.hThread); //将目标DLL注入到子进程中 CInjectDll injDll; injDll.InjectDll(pi.hProcess, myDllName); ::ResumeThread(pi.hThread); continue; } 2008-4-21 14:04 0
sunsjw 雪币： 8753 活跃值： (5215) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1250 粉丝 15 关注私信	sunsjw 1 16 楼楼猪:参考下这段代码,或许对你有帮助. http://bbs.pediy.com/showthread.php?t=63344 2008-4-21 14:43 0
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 267 粉丝 0 关注私信	救世猪 1 17 楼刚刚知道： CREATE_PROCESS_DEBUG_EVENT发生时，DLL一般还未加载…… 2008-4-21 14:57 0
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 267 粉丝 0 关注私信	救世猪 1 18 楼哇哈哈！！！注入DLL的问题终于解决了！！！！用了Tls CallBack，激动………… 2008-4-21 18:30 0
ghostyp 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	ghostyp 19 楼两种解决方法：一将参数改为dll的全路径名；二将dll放在环境变量path路径中 2008-8-23 08:30 0
rock 雪币： 225 活跃值： (188) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 323 粉丝 1 关注私信	rock 20 楼不要调 WaitForSingleObject ，直接返回 2008-8-29 11:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复