内核线程注入(x86)

最新推荐文章于 2024-05-31 19:34:41 发布
置顶 最新推荐文章于 2024-05-31 19:34:41 发布
阅读量1.5k 收藏 5
点赞数
CC 4.0 BY-SA版权
分类专栏: 注入系列
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_37957965/article/details/84338756
本文介绍了从BlackBone源码中提取的内核线程注入方法,涉及在Ring0层驱动中Attach到目标进程,使用NtCreateThreadEx创建线程执行ShellCode,从而实现DLL注入。关键步骤包括:利用KeStackAttachProcess切换到目标进程环境,构造ShellCode,并通过ExecuteInNewThread函数创建内核线程执行ShellCode。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这是我阅读BlackBone源码从里面扣出来的关于内核线程注入方法的使用。

主要通过Ring0层驱动Attach到目标进程然后调用NtCreateThreadEx来执行ShellCode,ShellCode做了一个注入Dll的简单行为。

关键函数如下:

//切换到目标进程创建内核线程进行注入
NTSTATUS AttachAndInjectProcess(IN HANDLE ProcessID)
{
    PEPROCESS EProcess = NULL;
    KAPC_STATE ApcState;
    NTSTATUS Status = STATUS_SUCCESS;

    if (ProcessID == NULL)
    {
        Status = STATUS_UNSUCCESSFUL;
        return Status;
    }
    //获取EProcess
    Status = PsLookupProcessByProcessId(ProcessID, &EProcess);
    if (Status != STATUS_SUCCESS)
    {
        DbgPrint(("PsLookupProcessByProcessId函数失败\n"));
        return Status;
    }
    //KeStackAttachProcess例程  将当前线程连接到目标进程的地址空间。
    KeStackAttachProcess((PRKPROCESS)EProcess, &ApcState);
    __try
    {
        PVOID NtdllAddress = NULL;
        PVOID LdrLoadDll = NULL;
        UNICODE_STRING NtdllUnicodeString = { 0 };
        UNICODE_STRING DllFullPath = { 0 };

        //获取ntdll模块基地址
        RtlInitUnicodeString(&NtdllUnicodeString, L"Ntdll.dll");
        NtdllAddress = GetUserModule(EProcess, &NtdllUnicodeString);
        if (!NtdllAddress)
        {
            DbgPrint("%s: Failed to get Ntdll base\n", __FUNCTION__);
         &n
最低0.47元/天 解锁文章

200万优质内容无限畅学
内核线程注入(x64)
拉塞尔的博客
11-22 5927
阅读BlackBone源码从里面扣出来的关于内核线程注入方法的使用。 经过自己修改后做成的Demo,功能主要通过Ring0层驱动Attach到目标进程(目标进程可以是32位进程也可以是64位进程,使用不同的ShellCode进行注入操作),然后调用NtCreateThreadEx来执行ShellCode,ShellCode做了一个注入Dll的简单行为(加载Dll使用的是Ntdll模块下的LdrL...
内核线程注入x64
11-22
Win764位下通过驱动Attach到目标进程下再调用NtCreateThreadEx函数创建线程执行ShellCode来注入Dll。
N种内核注入DLL的思路及实现
lwglucky的专栏
03-18 7682
内核注入,技术古老但很实用。现在部分RK趋向无进程,玩的是SYS+DLL,有的无文件,全部存在于内存中。可能有部分人会说:“都进内核了.什么不能干?”。是啊,要是内核中可以做包括R3上所有能做的事,软件开发商们也没必要做应用程序了。有时,我们确实需要R3程序去干驱动做起来很困难或者没必要驱动中去做的事,进程 /  DLL是不错的选择,但进程目标太大,所以更多的同学趋向于注DLL。     若
内核线程注入x86
11-22
主要通过Ring0层驱动Attach到目标进程然后调用NtCreateThreadEx来执行ShellCode,ShellCode做了一个注入Dll的简单行为。
内核注入
wowbell的专栏
03-02 1551
<br />内核注入,技术古老但很实用。现在部分RK趋向无进程,玩的是SYS+DLL,有的无文件,全部存在于内存中。可能有部分人会说:“都进内核了.什么不能 干?”。是啊,要是内核中可以做包括R3上所有能做的事,软件开发商们也没必要做应用程序了。有时,我们确实需要R3程序去干驱动做起来很困难或者没必要 驱动中去做的事,进程 / DLL是不错的选择,但进程目标太大,所以更多的同学趋向于注DLL。<br /><br /> 若要开发安全软件、小型工具,可借鉴其思路,Anti Rootkits时
内核模式 注入DLL
sgzwiz的专栏
03-03 3557
//用APC实现在内核模式运行用户程序 //昨天晚上弄到1点,总算把这个东西调通了,这个是老技术了,在rootkit上又篇文章讨论过,参考那篇文章我把这个东西弄出来了.代码贴在下面灌水,高手就不用看了...... //=====================================================================================// //N
x86平台Ring0内核线程注入技术详解
### 内核线程注入x86知识点详解 #### 1. 内核线程注入概念 内核线程注入是一种高级的编程技术,主要用于在操作系统的内核层创建一个线程。这种技术通常用于需要在系统核心层运行代码的场景,例如:驱动程序、系统...
Kinject-x64:Kinject - 内核 dll 注入器,目前提供 x86 版本,即将更新到 x64
06-13
Kinject - 内核 dll 注入器,目前在 x86 版本中可用,很快将更新到 x64。 在这里你可能只找到驱动程序,应用程序本身将在我完成 x64 版本后发布。 驱动程序的基本结构: 找到一个线程来劫持。 打开目标进程。 ...
安全之路 —— 利用内核函数实现注入系统进程
dengdao1372的博客
03-26 495
简介 在之前的文章中曾说过利用CreateRemoteThread函数进行远线程注入是最经典的一种方式。但是这种方式却无法成功注入系统进程,因为系统进程是处在SESSION0高权限级别的会话层,用户进程在执行CreateRemoteThread函数时会失败。所以经过前辈们的研究发现,CreateRemoteThread底层会调用内核函数ZwCreateThreadEx,而系统调用此函数...
驱动开发:内核ShellCode线程注入
优快云
06-14 9012
还记得`《驱动开发:内核LoadLibrary实现DLL注入》`中所使用的注入技术吗,我们通过`RtlCreateUserThread`函数调用实现了注入DLL到应用层并执行,本章将继续探索一个简单的问题,如何注入`ShellCode`代码实现反弹Shell,这里需要注意一般情况下`RtlCreateUserThread`需要传入两个最重要的参数,一个是`StartAddress`开始执行的内存块,另一个是`StartParameter`传入内存块的变量列表,而如果将`StartParameter`地址填充
内核创建线程
01-03
内核创建用户线程,实现稳定win7注入,在x86与x64平台下测试通过
内核注入DLL
08-21
采用内核驱动侏注入方式,在程序启动的时候注入DLL。具体实现采用SSDTHOOk NtCreateProcess NtCreateThread等函数实现,待改进点:SSDT中未导出函数的地址获得方式(或索引获得方式)
Kernel_Inject:内核注入DLL
02-15
别问问就是F7 修仙交流(限定筑基期至渡劫期):546110133
内核实现,超强注入RING3进程
05-24
内核监控进程启动,然后完成 DLL 注入注入的DLL负责Ring3 HOOK 这样,注入和HOOK 分离操作简便。
Windows内核Dll注入(一)
最新发布
xsinlink的博客
05-31 1577
近期在云桌面中遇到许多情况都需要对应用层程序的函数进行HOOK,并需要对函数参数进行各种修改,以便能够在虚拟桌面里面支持一些特性(尤其是一些3D的场景)。因此这里最主要的就是需要对HOOK的进程进行注入,来实现HOOK函数的功能。在早期开发中,就实现过DLL注入的功能,不过都是基于用户层的注入来实现的,例如有远线程注入,消息钩子注入,用户层OPE注入。HOOK注入的第一步是需要找到一个函数,这个函数可以确保所有的进程启动的时候都会被调用,这个函数就是。下面的文章主要是针对HOOK函数的注入,这个函数是。
隐秘内核模式注入器:Stealthy Kernel-mode Injector
gitblog_00037的博客
05-26 541
隐秘内核模式注入器:Stealthy Kernel-mode Injector 去发现同类优质开源项目:https://gitcode.com/ 项目介绍 在黑客防御和安全研究的领域中,Stealthy Kernel-mode Injector是一个极具创新性的开源项目,它提供了一种高级的隐藏技术,用于在目标进程内存中秘密注入并执行代码。这个项目由一个用户模式客户端(Client.exe)和一个内...
【探索底层奥秘】Kernel Inject:轻量级Windows内核注入工具
gitblog_00098的博客
05-27 572
【探索底层奥秘】Kernel Inject:轻量级Windows内核注入工具 去发现同类优质开源项目:https://gitcode.com/ 项目介绍 在深入Windows系统底层开发的探险者中,有一款名为Kernel Inject的宝藏工具正等待着有识之士发现。这是一款专为Windows x64系统设计的简洁内核注入工具,它不仅能够对原生(native)进程进行注入,同时也支持Wow64(即3...
驱动开发:内核远程线程实现DLL注入
优快云
06-22 7724
在笔者上一篇文章`《驱动开发:内核RIP劫持实现DLL注入》`介绍了通过劫持RIP指针控制程序执行流实现插入DLL的目的,本章将继续探索全新的注入方式,通过`NtCreateThreadEx`这个内核函数实现注入DLL的目的,需要注意的是该函数在微软系统中未被导出使用时需要首先得到该函数的入口地址,`NtCreateThreadEx`函数最终会调用`ZwCreateThread`,本章在寻找函数的方式上有所不同,前一章通过内存定位的方法得到所需地址,本章则是通过解析导出表实现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值