CreateRemoteThread (转)

最新推荐文章于 2021-11-04 16:19:29 发布
最新推荐文章于 2021-11-04 16:19:29 发布
阅读量1.5k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: c++ 文章标签: null winapi access windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cpXparco/article/details/206023
本文介绍在Windows系统下,以计算器为目标进程,将自定义函数MyFunc放在目标进程中运行的详细步骤。包括创建函数、定位目标进程、获取进程句柄、分配变量和代码地址空间、写入内容、执行代码,最后清理现场释放空间等操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原作:王少华
转自:http://www.zdnet.com.cn/developer/code/story/0,2000081534,39142983-1,00.htm

步骤1:首先在你的进程中创建函数MyFunc,我们将把它放在另一个进程中运行,这里以windows

计算器为目标进程。
static DWORD WINAPI MyFunc (LPVOID pData)
{
//do something
//...
//pData输入项可以是任何类型值
//这里我们会传入一个DWORD的值做示例,并且简单返回
return *(DWORD*)pData;
}
static void AfterMyFunc (void) {
}
这里有个小技巧,定义了一个static void AfterMyFunc (void);为了下面确定我们的代码大小

步骤2:定位目标进程,这里是一个计算器
HWND hStart = ::FindWindow (TEXT("SciCalc"),NULL);

步骤3:获得目标进程句柄,这里用到两个不太常用的函数(当然如果经常做线程/进程等方面的 项目的话,就很面熟了),但及有用
DWORD PID, TID;
TID = ::GetWindowThreadProcessId (hStart, &PID);

HANDLE hProcess;
hProcess = OpenProcess(PROCESS_ALL_ACCESS,false,PID);

步骤4:在目标进程中配变量地址空间,这里我们分配10个字节,并且设定为可以读

写PAGE_READWRITE,当然也可设为只读等其它标志,这里就不一一说明了。
char szBuffer[10];
*(DWORD*)szBuffer=1000;//for test
void *pDataRemote =(char*) VirtualAllocEx( hProcess, 0, sizeof(szBuffer), MEM_COMMIT,

PAGE_READWRITE );

步骤5:写内容到目标进程中分配的变量空间
::WriteProcessMemory( hProcess, pDataRemote, szBuffer,(sizeof(szBuffer),NULL);

步骤6:在目标进程中分配代码地址空间
计算代码大小
DWORD cbCodeSize=((LPBYTE) AfterMyFunc - (LPBYTE) MyFunc);
分配代码地址空间
PDWORD pCodeRemote = (PDWORD) VirtualAllocEx( hProcess, 0, cbCodeSize, MEM_COMMIT,

PAGE_EXECUTE_READWRITE );

步骤7:写内容到目标进程中分配的代码地址空间
WriteProcessMemory( hProcess, pCodeRemote, &MyFunc, cbCodeSize, NULL);

步骤8:在目标进程中执行代码

HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0,
(LPTHREAD_START_ROUTINE) pCodeRemote,
pDataRemote, 0 , NULL);
DWORD h;
if (hThread)
{
::WaitForSingleObject( hThread, INFINITE );
::GetExitCodeThread( hThread, &h );
TRACE("run and return %d/n",h);
::CloseHandle( hThread );
}

这里有几个值得说明的地方:
使用WaitForSingleObject等待线程结束;
使用GetExitCodeThread获得返回值;
最后关闭句柄CloseHandle。

步骤9:清理现场

释放空间
::VirtualFreeEx( hProcess, pCodeRemote,
                cbCodeSize,MEM_RELEASE );

::VirtualFreeEx( hProcess, pDataRemote,
                cbParamSize,MEM_RELEASE );

关闭进程句柄
::CloseHandle( hProcess );

还可以参考:http://win32.mvps.org/processes/remthread.html

CreateRemoteThread 远程注入
x
05-08 225
反编译用 跟钩子写在同一个dll了 钩子篇:SetWindowsHookEx pch.h #ifndef PCH_H #define PCH_H #define _DLLAPI #define _CRT_SECURE_NO_WARNINGS // 添加要在此处预编译的标头 #include "te.h" #include <stdio.h> dll : te.h #pragma once #ifdef _DLLAPI #define DLLAPI exte...
C#64位应用程序远程注入及代理地址的
zhoumingongheguo的博客
10-31 531
使用C#实现64位远程注入的代码及其需要注意的事项。
轻松玩CreateRemoteThread (
天蓝的专栏
08-31 2522
CreateRemoteThread提供了一个在远程进程中执行代码的方法,就像代码长出翅膀飞到别处运行。本文将做一个入门介绍,希望对广大编程爱好者有所帮助。先解释一下远程进程,其实就是要植入你的代码的进程,相对于你的工作进程(如果叫本地进程的话)它就叫远程进程,可理解为宿主。首先介绍一下我们的主要工具CreateRemoteThread,这里先将函数原型简单介绍以下。CreateRemoteT
线程的远程注入
热门推荐
vcforever的专栏
03-15 1万+
要实现线程的远程注入必须使用Windows提供的CreateRemoteThread函数来创建一个远程线程该函数的原型如下:HANDLE CreateRemoteThread(    HANDLE hProcess,    LPSECURITY_ATTRIBUTES lpThreadAttributes,    SIZE_T dwStackSize,    LPTHREAD_START_ROUTI
CreateRemoteThread的使用(载)
bodybo的专栏
08-23 2266
先解释一下远程进程,其实就是要植入你的代码的进程,相对于你的工作进程(如果叫本地进程的话)它就叫远程进程,可理解为宿主。首先介绍一下我们的主要工具CreateRemoteThread,这里先将函数原型简单介绍以下。CreateRemoteThread可将线程创建在远程进程中。函数原型HANDLE CreateRemoteThread( HANDLE hProcess,              
CreateRemoteThread
125096
05-05 632
#include #include #include bool Start(TCHAR* buff,DWORD pid); BOOL EnablePrivilege(LPCTSTR lpszPrivilegeName, BOOL bEnable); int main (void) { EnablePrivilege(SE_DEBUG_NAME,TRUE);//获取本进程权限 DWO
CreateRemoteThread:从32位进程到64位进程
04-17
CreateRemoteThread:跨越32位与64位进程的深度探索》 在Windows操作系统中,进程间的通信和控制是一项重要的技术,其中`CreateRemoteThread`函数是实现这一功能的关键工具之一。它允许一个进程在另一个进程中...
API HOOK易语言IP端口拦截向源码
04-20
4. **注入DLL**:使用API如`CreateRemoteThread`或`WriteProcessMemory`将DLL注入到目标进程中,使得目标进程在执行时会调用我们自定义的Hook函数而不是原始API。 5. **安装Hook**:在DLL中使用API如`...
】android call(mo)流程介绍,【】超详细找call写call教程
weixin_32260467的博客
05-31 1405
神话:本人菜鸟,看了这篇文章+自己的摸索,感觉受益不少。希望这篇文章对某些人有帮助首先我们要知道一点,为什么要找CALL。CALL是什么?大家知道易里的子程序吧如何调用子程序的?这里的CALL就是调用子程序的意思,那问了为什么要找他的,答案是:当你些个游戏的智辅用模拟键盘操作的时候,被操作的永远是当前窗口,当窗口切换的时候,你的智辅就不起作用了,calL可以解决这点 还有一个是什么暂时我没兴趣不去...
1)capa先用签名匹配,找到可疑代码(API 调用、字符串、指令等) 📌 目标:扫描代码,查找已知的恶意特征(签名) 📌 方法:检查 API 调用、字符串、指令、十六进制常量 ✅ 示例:程序调用了以下 API: CreateRemoteThread VirtualAllocEx WriteProcessMemory 👉 capa 发现这些 API,但不会直接判断它是恶意的,而是标记为“可疑代码”,进入下一步。 2)再用规则匹配,判断这些代码在做什么(如进程注入、持久化) 📌 目标:将可疑代码和已知恶意行为模式进行匹配 📌 方法:组合多个 API 调用,判断是否符合某种恶意行为 ✅ 示例:匹配 进程注入(Process Injection) 规则: 📌 匹配结果:检测到行为:进程注入 ↳ 该程序调用了 VirtualAllocEx、WriteProcessMemory、CreateRemoteThread 📌 结论:它可能是在 向其他进程写入代码并执行(恶意软件常用技术)。 3)最终综合多个行为,推测整个恶意软件的类型(如 RAT、Rootkit) 📌 目标:分层分析,推断整个程序的最终意图 1️⃣ 基础特征(签名匹配) → 发现 API 调用,如 CreateRemoteThread 2️⃣ 中间行为(功能组合) → 组合多个 API 调用,推断行为,如 进程注入 3️⃣ 高级策略(最终恶意行为) → 结合多个行为,判断恶意软件类型 ✅ 示例:capa 发现程序具有以下行为: ✔ 进程注入(可能控制别的进程) ✔ 反调试(可能躲避分析) ✔ C2 远程通信(可能与黑客服务器通信) 📌 最终结论:该程序极可能是远程控制木马(RAT),能够注入进程、隐藏自身、并远程操控受害者电脑。【根据这部分生成流程图】
最新发布
03-28
例如,检测到`CreateRemoteThread`和`WriteProcessMemory`的组合可能标记为“进程注入”行为[^1]。 --- #### 2. **规则驱动的行为分析** - **规则定义**:capa使用结构化规则(基于Python语法)描述恶意行为模式。...
CreateRemoteThread注入API函数代码
01-15
原理:1,查找目标进程号,打开远程空间 2,在目标进程申请代码控件、参数空间 3,CreateRemoteThread执行远端线程
CreateRemoteThread函数
believe_s的博客
09-11 3354
CreateRemoteThread函数 创建在另一个进程的虚拟地址空间中运行的线程。 使用CreateRemoteThreadEx函数创建在另一个进程的虚拟地址空间中运行的线程,并可选择指定扩展属性。 语法 HANDLE CreateRemoteThread( HANDLE hProcess, LPSECURITY_ATTRIBUTES lp...
Win API之CreateRemoteThread
qq_37002607的博客
11-04 521
没有花里胡哨的笔记记录。 CreateRemoteThread函数用于启动其他进程的函数 当其他进程运行时,获取其他进程的PID与进程内部函数的地址,便可以通过CreateRemoteThread 创建 调用 其他进程的函数 的线程。 用法: 函数含义请查阅csdn library 第一个程序为主程序 第二个程序为远程线程执行程序 调用自己写的方法,传递第一个程序的PID与fun函数地址。 运行结果: ...
载)CreateRemoteThread (代码注入)
秋风吹渭水,落叶满长安
03-20 1488
 载自:http://win32.mvps.org/processes/remthread.htmlCreateRemoteThread <!--google_ad_client = "pub-1992382271196226";/* 728x90, 创建于 08-3-9 */google_ad_slot = "1653402536";google_ad_
createremotethread()远程注入dll
学习随笔
04-15 1079
上一篇文章是载的,主要是为了尝试远程注入dll。其实方法很多,好像《Windows核心编程》上有讲。我来讲讲自己用过的方法吧。大概说来就是运用createremotethread()来远程创建一个线程,然后利用线程的绑定函数来loadLibrary()一个dll,如果想在dll中做些操作的话,可以在dllmain()中的DLL_PROCESS_ATTACH case中去做一些操作。注意,
使用CreateRemoteThread()的注入工具
u011314828的博客
04-06 512
学了一下午,简单的写了一个注入工具。下面是代码,用的CreateRemoteThread()方法。 // RemoteControl.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include <Windows.h> #include <iostream> #include <string> #include <std...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值