VC下提前注入进程的一些方法1——远线程不带参数
来源:互联网 发布:直播间送礼物 知乎 编辑:程序博客网 时间:2024/05/22 15:16
前些天一直在研究Ring3层的提前注入问题。所谓提前注入,就是在程序代码逻辑还没执行前就注入,这样做一般用于Hook API。(转载请指明出处)自己写了个demo,在此记下。
我的demo使用了两种注入方式:1 远线程; 2 修改代码入口点。
先说下我代码风格,因为要处理很多异常逻辑,我比较喜欢do{}while(0);这样的结构,一旦出错,就break出来。于是下面代码中可能会出现“莫名其妙”的break,再次说明下,那不是语法错误,因为我只是将部分代码提出来。
1 远线程
在处理远线程注入问题时,往往会遇到两种情况:1 执行注入的进程不需要传信息给被注入进程 ;2 执行注入的进程需要传信息给被注入进程。
1.1 执行注入的进程不需要传信息给被注入进程
最简单的方案就是不需要传信息给被注入进程。实现的相关原理就是使用远线程执行LoadLibrary函数,Load我们的注入DLL。DLL在载入过程或者其他会被执行到的地方执行相关逻辑(如Hook API)。根据需要,可以考虑在远线程执行完毕后,再使用远线程把被注入进程加载的DLL卸载掉。
首先说LoadLibrary ,这个函数只有一个参数,需要传递Load的DLL路径。那么什么地方保存这个参数呢?于是我们应该找一个注入进程可以访问(因为我们要写入这个数据),被注入进程也可以访问的路径(因为他们要读取)。我们可以考虑申请一个系统全局的空间来保存这个数据,也可以采用非常常见的方案——申请被注入进程的内存空间。我采用的是后者。
- void *pBufferRemote = NULL;
- DWORD dwMemSize = ( (DWORD) wcslen( lpDllPath ) ) * sizeof(WCHAR);
- HANDLE pRemoteLoadLibraryThread = NULL;
- BOOL bRun = TRUR;
- do {
- pBufferRemote = ::VirtualAllocEx( hProcess, NULL, dwMemSize, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE );
- if ( NULL == pBufferRemote ) {
- break;
- }
- if ( FALSE == WriteProcessMemory( hProcess, pBufferRemote, lpDllPath, dwMemSize, NULL ) ) {
- break;
- }
- ……
dwMemSize目前保存的是DLL路径的长度(in bytes)。pBufferRemote指向被注入进程申请的内存块首地址。hProcess是被注入进程的句柄。我们使用VirtualAllocEx在被注入进程中申请一块内存,注意这块内存是PAGE_READWRITE,因为我们要读写(不用执行)这块内存。当你这儿写成PAGE_EXECUTE_READWRITE也没啥问题。在申请空间成功后,使用WriteProcessMemory向刚申请的空间中写入DLL的路径。这儿说一下DLL路径问题,因为Windows在寻找路径的问题上存在一定策略。如果采用的相对路径,windows会优先在本进程所在的目录下寻找这个文件,最后回去到系统相关文件夹下去找。但是它肯定不会全盘去搜索这个文件的。于是我们这儿要写入被注入进程的是DLL的绝对路径,因为我们这个路径被访问的进程(被注入的进程)是谁可能我们自己都不知道,其所在的路径和我们进程路径之间的关系更不知道,化繁为简,于是这儿应该用绝对路径。
DLL地址已经写好了,我们就要让远线程去Load这个地址所指向的DLL。我们Load DLL文件的函数是LoadLibrary,这个函数是Kernel32.dll中的导出函数。像Kernel32.dll、NtDll.dll等这些系统关键DLL是被映射到系统的0x7FFFFFFF~0xFFFFFFFF(32位系统)地址空间,说到这里不得不介绍windows系统的内存管理问题,32位系统下进程内存地址上限是4G,而程序自身只能在低2G内,高2G是系统文件的映射。而且一般情况下各个程序加载LoadLibaray所在的kernel32.DLL的基地址是一样的,于是我们可以直接指定它的值。这个特性将方便我们执行远线程,否则我们就得编写ShellCode去执行我们的逻辑了(下节会介绍)。
- do {
- typedef HMODULE (WINAPI *LPLoadLibrary)(LPCWSTR);
- LPLoadLibrary pfnLoadLibraryAddr = LoadLibraryW;
- if ( NULL == pfnLoadLibraryAddr ) {
- break;
- }
- pRemoteLoadLibraryThread = CreateRemoteThread( hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pfnLoadLibraryAddr, pBufferRemote, 0, NULL );
- if ( NULL == pRemoteLoadLibraryThread ) {
- break;
- }
- ……
如果想尽量抹掉我们注入的一些痕迹,我们可以把这个逻辑完善些——从被注入进程中卸载远线程载入的DLL。我们要卸载这个DLL,我们就得很耐心的等,等它执行完了。
- if ( WAIT_OBJECT_0 != WaitForSingleObject( pRemoteLoadLibraryThread, INFINITE ) ) {
- // 远线程出问题了,关闭进程
- ::TerminateProcess( hProcess, 0 );
- bRun = FALSE;
- break;
- }
终于等到远线程执行完毕,那么我们就开始FreeLibrary吧。别急!FreeLibrary有个参数,是要被卸载的DLL的句柄。这下犯难了。其实没关系,有一个函数GetExitCodeThread。我之前一直没有重视过这个函数,但是这个函数在此场景下发挥了重要作用。我们远线程执行的函数是LoadLibrary,这个函数的返回值是我们加载的DLL的句柄,于是看到GetExitCodeThread这个函数的字面意思,应该就可以想到这个函数应该可以获得我们远线程加载的DLL的句柄,实际也是如此。
- // 获取加载模块的句柄
- HMODULE hLibModule = 0;
- // LoadLibrary的返回值就是这个句柄,所以GetExitCodeThread返回的就是这个句柄
- if ( FALSE == GetExitCodeThread( pRemoteLoadLibraryThread, (LPDWORD)&hLibModule ) ) {
- break;
- }
- // 获取FreeLibrary函数地址
- LPFreeLibrary pfnFreeLibraryAddr = FreeLibrary;
- if ( NULL == pfnFreeLibraryAddr ) {
- break;
- }
- // 远线程卸载DLL
- HANDLE pRemoteFreeLibraryThread = CreateRemoteThread( hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pfnFreeLibraryAddr, &hLibModule, 0, NULL );
- // 不传参数过去,并且会卸载DLL
- BOOL HookProcessByCreateRemoteThread( HANDLE hProcess, HANDLE hThread, LPCWSTR lpDllPath )
- {
- if ( NULL == hProcess || NULL == hThread || NULL == lpDllPath ) {
- return FALSE;
- }
- BOOL bSuc = FALSE;
- void *pBufferRemote = NULL;
- DWORD dwMemSize = ( (DWORD) wcslen( lpDllPath ) ) * sizeof(WCHAR);
- HANDLE pRemoteLoadLibraryThread = NULL;
- BOOL bRun = TRUE;
- do {
- pBufferRemote = ::VirtualAllocEx( hProcess, NULL, dwMemSize, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE );
- if ( NULL == pBufferRemote ) {
- break;
- }
- if ( FALSE == WriteProcessMemory( hProcess, pBufferRemote, lpDllPath, dwMemSize, NULL ) ) {
- break;
- }
- do {
- LPLoadLibrary pfnLoadLibraryAddr = LoadLibraryW;
- if ( NULL == pfnLoadLibraryAddr ) {
- break;
- }
- pRemoteLoadLibraryThread = CreateRemoteThread( hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pfnLoadLibraryAddr, pBufferRemote, 0, NULL );
- if ( NULL == pRemoteLoadLibraryThread ) {
- break;
- }
- if ( WAIT_OBJECT_0 != WaitForSingleObject( pRemoteLoadLibraryThread, INFINITE ) ) {
- // 远线程出问题了,关闭进程
- ::TerminateProcess( hProcess, 0 );
- bRun = FALSE;
- break;
- }
- // 获取加载模块的句柄
- HMODULE hLibModule = 0;
- // LoadLibrary的返回值就是这个句柄,所以GetExitCodeThread返回的就是这个句柄
- if ( FALSE == GetExitCodeThread( pRemoteLoadLibraryThread, (LPDWORD)&hLibModule ) ) {
- break;
- }
- // 获取FreeLibrary函数地址
- LPFreeLibrary pfnFreeLibraryAddr = FreeLibrary;
- if ( NULL == pfnFreeLibraryAddr ) {
- break;
- }
- // 远线程卸载DLL
- HANDLE pRemoteFreeLibraryThread = CreateRemoteThread( hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pfnFreeLibraryAddr, &hLibModule, 0, NULL );
- do {
- if ( NULL == pRemoteFreeLibraryThread ) {
- break;
- }
- if ( WAIT_OBJECT_0 != WaitForSingleObject( pRemoteFreeLibraryThread, INFINITE ) ) {
- break;
- }
- else {
- // 查看卸载DLL结果
- if ( FALSE == GetExitCodeThread( pRemoteFreeLibraryThread, (LPDWORD)&bSuc ) ) {
- break;
- }
- }
- } while (0);
- if ( NULL != pRemoteFreeLibraryThread ) {
- CloseHandle( pRemoteFreeLibraryThread );
- pRemoteFreeLibraryThread = NULL;
- }
- }while (0);
- if ( NULL != pRemoteLoadLibraryThread ) {
- CloseHandle( pRemoteLoadLibraryThread );
- pRemoteLoadLibraryThread = NULL;
- }
- }while(0);
- if ( bRun ) {
- ResumeThread( hThread );
- }
- return bSuc;
- }
(转载请指明出处)
- VC下提前注入进程的一些方法1——远线程不带参数
- VC下提前注入进程的一些方法1——远线程不带参数
- VC下提前注入进程的一些方法2——远线程带参数
- VC下提前注入进程的一些方法2——远线程带参数
- VC下提前注入进程的一些方法3——修改程序入口点
- VC下提前注入进程的一些方法3——修改程序入口点
- VC提前注入.net软件的方法
- C#线程进程总结(线程调用带参数的方法)
- C#线程调用带参数的方法
- C#线程调用带参数的方法
- C#线程调用带参数的方法 ~
- 线程启动带参数的方法
- 线程启动带参数的方法(2)
- C#线程调用带参数的方法 ~
- C#线程调用带参数的方法
- C#线程调用带参数的方法
- C#线程调用带参数的方法
- 线程调用带参数的方法
- Android之发送与接收JSON数据
- js的一些零碎知识积累
- 【Android开发学习24】界面布局之表格布局TableLayout+TableRow
- 单态设计模式(Singleton Design Pattern)
- JDBC新对象CachedRowSetImpl访问数据方法
- VC下提前注入进程的一些方法1——远线程不带参数
- Linux内核进程调度以及定时器实现机制
- 理解ThreadLocal
- u盘装系统之/scripts/casper-premount/2-iso_scan: line 46 can't open /dev/sr0: No Medium found解决方法
- 在 Ubuntu 12.04 上安装 Open vSwitch
- Android: DroidAirPlay Project
- JAVA中可以捕获运行时异常吗
- Jquey应用大全
- Linux内核中的随机数算法