个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
让我们假设远程线程过程如下所示:
DWORD __stdcall ThreadProc (void *pData) {
ThreadData *p = (ThreadData*)pData; // Contains function references and strings
p->MessageBoxW(NULL, p->Message, p->Title, MB_OK);
}
然后一切正常,p->MessageBoxW(...) 按预期显示消息框。但是我不想为我在远程线程中使用的每个函数调用 GetProcAddress,所以我想我可以在我的模块中创建一个函数导出(EXE 文件创建远程线程),这样远程线程只需调用 LoadLibraryW 将我的 EXE 文件作为模块加载到目标进程的地址空间,并调用 GetProcAddress 获取导出函数的地址以便调用它。
typedef void (__stdcall *_Test) ();
extern "C" void __stdcall Test () {
return;
}
DWORD __stdcall ThreadProc (void *pData) {
ThreadData *p = (ThreadData*)pData; // Contains function references and strings
HMODULE hLib = p->LoadLibraryW(p->LibPath);
_Test pTest = (_Test)p->GetProcAddress(hLib, p->ProcName);
pTest();
p->FreeLibrary(hLib);
return NULL;
}
这仍然可以正常工作。但是一旦我将导出的函数更改为
extern "C" void __stdcall Test () {
MessageBoxW(NULL, L"Message", L"Title", MB_OK);
return;
}
目标进程突然崩溃。 LoadLibrary 不解析模块间引用吗?是否可以将我的模块加载到目标进程的地址空间中,以便可以在不将所有函数地址传递给它的情况下对导出的函数进行编码?
附加信息:对于每个复制代码的人,我必须禁用增量链接,构建为发布并添加一个模块定义文件到确保 Test 导出为 Test 而不是 _Test@SoMeJuNk。由于某些原因,仅在 __declspec(dllexport) 前面添加不起作用。模块定义文件如下所示
EXPORTS
Test@0
ThreadData 结构如下所示
typedef struct tagThreadData {
typedef BOOL (__stdcall *_FreeLibrary) (HMODULE);
typedef FARPROC (__stdcall *_GetProcAddress) (HMODULE, PSTR);
typedef HMODULE (__stdcall *_LoadLibraryW) (LPWSTR);
typedef DWORD (__stdcall *_MessageBoxW) (HWND, LPWSTR, LPWSTR, DWORD);
_FreeLibrary FreeLibrary;
_GetProcAddress GetProcAddress;
_LoadLibraryW LoadLibraryW;
_MessageBoxW MessageBoxW;
WCHAR LibPath[100];
WCHAR Message[30];
CHAR ProcName[10];
WCHAR Title[30];
} ThreadData, *PThreadData;
最佳答案
我想到了一个临时解决方案:将所有远程代码放入一个实际的 DLL 中。但是将代码放入 DLL 并不是我的目标,所以如果有人想出一个聪明的解决方案,其中 EXE 文件是注入(inject)器以及被注入(inject)的模块,我会将新答案标记为正确。
尽管有很多教程介绍如何将实际的 DLL 注入(inject)另一个进程的地址空间,但我仍然给出了我的解决方案。我只为 UNICODE 和 64 位编写了我的原始解决方案,但我尽力使其适用于 ASCII 和 UNICODE 以及 32 位和 64 位。但是让我们开始吧......
首先对基本步骤进行说明
获取至少具有以下访问权限的目标进程句柄
PROCESS_CREATE_THREAD
PROCESS_QUERY_INFORMATION
PROCESS_VM_OPERATION
PROCESS_VM_WRITE
PROCESS_VM_READ
为远程线程过程和加载目标 dll 及其“入口点”所需的数据和函数指针分配内存(我不是指实际的入口点 DllMain,而是设计为从内部调用的函数远程线程)
PVOID pThread = VirtualAllocEx(hProc, NULL, 4096, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
将远程线程过程和重要数据复制到目标进程
WriteProcessMemory(hProc, pThread, ThreadProc, ThreadProcLen, NULL);
WriteProcessMemory(hProc, pParam, &data, sizeof(ThreadData), NULL);
创建远程线程。该线程会将目标dll加载到目标进程的地址空间中,并调用它的“入口点”
HANDLE hThread = CreateRemoteThread(hProc, NULL, 0, (PTHREAD_START_ROUTINE)pThread, pParam, NULL, NULL);
可选:等待线程返回
WaitForSingleObject(hThread, INFINITE);
DWORD threadExitCode;
GetExitCodeThread(hThread, &threadExitCode);
关闭线程句柄,释放内存,关闭进程句柄
CloseHandle(hThread);
VirtualFreeEx(hProc, pThread, 4096, MEM_RELEASE);
CloseHandle(hProc);
这是我的ThreadProc 和ThreadData 结构。 ThreadProc 是由CreateRemoteThread 调用的远程线程过程,应该LoadLibrary 目标dll,所以它可以调用目标dll 的“入口点”。 ThreadData结构包含LoadLibrary、GetProcAddress和FreeLibrary的地址,目标dll的路径TargetDll 和“入口点”DllEntry 的名称。
typedef struct {
typedef BOOL (__stdcall *_FreeLibrary) (HMODULE);
typedef FARPROC (__stdcall *_GetProcAddress) (HMODULE, LPCH);
typedef HMODULE (__stdcall *_LoadLibrary) (LPTSTR);
typedef void (__stdcall *_DllEntry) ();
_LoadLibrary LoadLibrary;
TCHAR TargetDll[MAX_PATH];
_GetProcAddress GetProcAddress;
CHAR DllEntry[50]; // Some entrypoint designed to be
// called from the remote thread
_FreeLibrary FreeLibrary;
} ThreadData, *PThreadData;
// ThreadProcLen should be smaller than 3400, because ThreadData can
// take up to 644 bytes unless you change the length of TargetDll or
// DllEntry
#define ThreadProcLen (ULONG_PTR)2048
#define SPY_ERROR_OK (DWORD)0
#define SPY_ERROR_LOAD_LIB (DWORD)1
#define SPY_ERROR_GET_PROC (DWORD)2
DWORD ThreadProc (PVOID pParam) {
DWORD err = SPY_ERROR_OK;
PThreadData p = (PThreadData)pParam;
// Load dll to be injected
HMODULE hLib = p->LoadLibrary(p->TargetDll);
if (hLib == NULL)
return SPY_ERROR_LOAD_LIB;
// Obtain "entrypoint" of dll (not DllMain)
ThreadData::_DllEntry pDllEntry = (ThreadData::_DllEntry)p->GetProcAddress(hLib, p->DllEntry);
if (pDllEntry != NULL)
// Call dll's "entrypoint"
pDllEntry();
else
err = SPY_ERROR_GET_PROC;
// Free dll
p->FreeLibrary(hLib);
return err;
}
然后是将远程线程过程注入(inject)目标进程地址空间的实际代码
int main(int argc, char* argv[]) {
// DWORD pid = atoi(argv[1]);
// Open process
HANDLE hProc = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);
if (hProc != NULL) {
// Allocate memory in the target process's address space
PVOID pThread = VirtualAllocEx(hProc, NULL, 4096, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
if (pThread != NULL) {
PVOID pParam = (PVOID)((ULONG_PTR)pThread + ThreadProcLen);
// Initialize data to be passed to the remote thread
ThreadData data;
HMODULE hLib = LoadLibrary(TEXT("KERNEL32.DLL"));
data.LoadLibrary = (ThreadData::_LoadLibrary)GetProcAddress(hLib, "LoadLibrary");
data.GetProcAddress = (ThreadData::_GetProcAddress)GetProcAddress(hLib, "GetProcAddress");
data.FreeLibrary = (ThreadData::_FreeLibrary)GetProcAddress(hLib, "FreeLibrary");
FreeLibrary(hLib);
_tcscpy_s(data.TargetDll, TEXT("...")); // Insert path of target dll
strcpy_s(data.DllEntry, "NameOfTheDllEntry"); // Insert name of dll's "entrypoint"
// Write procedure and data into the target process's address space
WriteProcessMemory(hProc, pThread, ThreadProc, ThreadProcLen, NULL);
WriteProcessMemory(hProc, pParam, &data, sizeof(ThreadData), NULL);
// Create remote thread (ThreadProc)
HANDLE hThread = CreateRemoteThread(hProc, NULL, 0, (PTHREAD_START_ROUTINE)pThread, pParam, NULL, NULL);
if (hThread != NULL) {
// Wait until remote thread has finished
if (WaitForSingleObject(hThread, INFINITE) == WAIT_OBJECT_0) {
DWORD threadExitCode;
// Evaluate exit code
if (GetExitCodeThread(hThread, &threadExitCode) != FALSE) {
// Evaluate exit code
} else {
// The thread's exit code couldn't be obtained
}
} else {
// Thread didn't finish for some unknown reason
}
// Close thread handle
CloseHandle(hThread);
}
// Deallocate memory
VirtualFreeEx(hProc, pThread, 4096, MEM_RELEASE);
} else {
// Couldn't allocate memory in the target process's address space
}
// Close process handle
CloseHandle(hProc);
}
return 0;
}
被注入(inject)的 dll 有一个真正的入口点 DllMain,当 LoadLibrary 将目标 dll 加载到目标进程的地址空间时调用,另一个“入口点” NameOfTheDllEntry 由远程线程过程调用(如果它可以定位到第一个位置)
// Module.def:
// LIBRARY NameOfDllWithoutExtension
// EXPORTS
// NameOfTheDllEntry
__declspec(dllexport) void __stdcall NameOfTheDllEntry () {
// Because the library is actually loaded in the target process's address
// space, there's no need for obtaining pointers to every function.
// I didn't try libraries other than kernel32.dll and user32.dll, but they
// should be working as well as long as the dll itself references them
// Do stuff
return;
}
BOOL APIENTRY DllMain (HMODULE hLib, DWORD reason, PVOID) {
if (reason == DLL_PROCESS_ATTACH)
DisableThreadLibraryCalls(hLib); // Optional
return TRUE;
}
关于c++ - 通过 CreateRemoteThread 注入(inject) DLL?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/33859974/
24
4
0
我正在尝试使用 CreateRemoteThread() 将 dll(在 dll_path[] 中找到并且它是正确路径)注入(inject)目标进程。不幸的是,完全没有任何反应(预期结果是 DLL_P
我正在阅读《Grey Hat Python》一书,但在使用上述注入(inject)技术时遇到了麻烦。 DLL注入(inject)代码成功运行,但DLL中的代码似乎没有执行,并且没有创建消息框。 代码注
CreateRemoteThread 做了什么来实际创建远程线程? 最佳答案 在内核中,最底层的线程创建函数实际上只是创建一个线程对象,将它连接到一个进程并使其可运行。 CreateThread 和
我想知道 CreateRemoteThread 的 LPVOID lpParameter 参数功能。因为进程不共享内存,所以远程线程无法访问我们进程中的结构。那么,函数是复制参数并自行管理还是我们需要
我遇到函数 CreateRemoteThread 的问题。 我刚刚建立了一个小的控制台窗口,要求退出一个特定的数字(这样它就可以在我需要的时候保持打开状态)。在这个程序中有一个函数,它是我计算出的内存
我正在尝试使用 CreateRemoteThread() 在“notepad.exe”进程上创建一个远程线程,但我收到错误代码 5“Access-Denied”。由于完整性级别为“高”,我尝试启用调试
我正在研究 dll 注入(inject),到目前为止,我设法在进程中注入(inject) dll,导致消息框显示。 即使经过大量阅读和研究,我仍然不太理解的部分是如何将参数传递给 dll,或调用其中的
我正在尝试注入(inject)一个在目标进程中创建 MessageBox 的简单 dll。使用来自 www 的注入(inject)器没有任何问题。但是使用我自己的代码注入(inject)根本没有做任何
这是一个很奇怪的问题,但我相信,这是 SO 的主题。 简介: 我有一个用 C# 编写的服务,它调用我的 C++ 库。 C++ 库通过 WinExec 执行一些 3rdparty 软件。 第 3 方软件
我正在为我的应用程序开发一个调试工具来帮助我诊断死锁。该应用程序在我客户的机器上运行,因此我希望有广泛的操作系统、安全策略等。 我使用的技术是在目标应用程序中实现一个函数,该函数为所有线程生成堆栈跟踪
我的目标是在 C# (CreateRemoteThread) 中使用 P/Invoke 调用远程进程中的函数。问题是该函数需要多个参数。有没有办法将多个参数传递给函数? 最佳答案 [DllImport
让我们假设远程线程过程如下所示: DWORD __stdcall ThreadProc (void *pData) { ThreadData *p = (ThreadData*)pData;
我对 DLL 注入(inject)很陌生,出于好奇并且因为我想在游戏中创建一个叠加层而不修改他的源代码。 但现在,我仍然坚持基本的 DLL 注入(inject):使用 CreateRemoteThre
我正在尝试为自己制作一个从进程中提取/释放 dll 的工具。我已经体验过 LoadLibrary 和注入(inject),但这次逻辑似乎不适用。这是我的代码: HMODULE findModuleOf
我想知道在库中或系统调用中是否存在允许进程与其他进程空间交互的 Windows API 的等效版本,这意味着修改第二个进程的流程。这是为了在不杀死它的情况下在正在运行的进程中注入(inject)一个.
如果您看一下以下简单 DLL 注入(inject)的工作代码: //Open the target process with read , write and execute priviledge
我正在尝试注入(inject)这个函数: void doubleValue(int pointer){ *((int*)pointer) *= 2; } 通过 VirtualAllocEx
无论我在哪里看,通过 CreateRemoteThread 注入(inject)的方法都是一样的,但是获取进程 ID 的方法却不同......我的函数将返回正确的进程 ID,我对这方面的任何帮助都不感
我继续阅读 this blog sysinernals 使用 CreateRemoteThread()注入(inject)ExitProcess进入另一个进程以终止它。这是真的吗?而且,如果是的话,有
我最近在做DLL注入(inject)工作,所以我做了一些研究 在谷歌上。现在我知道使用 CreateRemoteThread 是一个好方法。 ASLR(地址空间布局随机化,从 Windows Vist
我是一名优秀的程序员,十分优秀!