用WriteProcessMemory做进程注入

最新推荐文章于 2024-04-04 20:58:35 发布
最新推荐文章于 2024-04-04 20:58:35 发布
阅读量183 收藏
点赞数
分类专栏: vc++ 文章标签: null winapi shell thread user query
本文介绍了一种技术,通过将特定代码注入到explorer.exe进程中,实现在该进程中启动abc.exe,确保其父进程为explorer.exe。具体步骤包括获取explorer.exe的进程ID,使用CreateRemoteThread函数创建远程线程,以及利用WinExec函数替代ShellExecute函数。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

今天要完成一个项内容,运行另一个应用程序abc.exe,实现它的父进程是explorer.exe。

最开始的思路是获得explorer.exe的句柄,用ShellExecute启动abc.exe。但是用explorer.exe的句柄创建的进程的父进程依然是调用和进程,而不是传入句柄的进程。

看来直接的不行,只能用间接的了。把运行abc.exe的代码段写到explorer.exe的内存里面去。然后让explorer来运行这段代码。

static  DWORD CALLBACK ThreadProc() {
    ::ShellExecute(NULL,"open","abc.exe",NULL,NULL,SW_SHOW);
    return TRUE;
}

但是现在就出现问题了,ShellExecute在shell32模块里,还需要LoadLibrary和GetProcAddress。同时它也用了两个字符串常量,这些字串会出现在本进程的内存中,在explorer中运行代码就会出错,系统把它关掉。所以改用了WinExec来代替ShellExecute,同时要把需要的字串和函数指针都写到explorer的内存区里。

typedef UINT (WINAPI  *  WINEXEC)(LPCSTR,UINT);

typedef  struct  tagTHREADDATA {
    TCHAR            fileName[20];
    WINEXEC            pWinexec;
} THREADDATA,  * LPTHREADDATA;

static  DWORD CALLBACK ThreadProc(LPTHREADDATA pData) {
    pData->pWinexec(pData->fileName,SW_SHOW);
    return TRUE;
}
获得explorer进程PID的方法
DWORD getExplorerPID() {
    HWND startButtonHandle;
    DWORD processID;
    startButtonHandle = ::FindWindow (TEXT("Shell_TrayWnd"),NULL);
    ::GetWindowThreadProcessId( startButtonHandle, &processID );
    return processID;
}

注入内存的过程:

user32Handle  =  ::GetModuleHandle(TEXT( " kernel32 " ));
// 得到kernel32模块句柄
processHandle  =  ::OpenProcess(PROCESS_CREATE_THREAD  |  PROCESS_QUERY_INFORMATION  |  PROCESS_VM_OPERATION  |  PROCESS_VM_WRITE  |  PROCESS_VM_READ,FALSE,getExplorerPID());
// 用explorer的PID来打开进程,并得到创建线程和写的权限。
dataAddr  =  ::VirtualAllocEx(processHandle, 0 , sizeof (THREADDATA),MEM_COMMIT,PAGE_EXECUTE_READWRITE);
// 在explorer的内存内里申请一块内存来存所用的数据
THREADDATA data  =   {TEXT("a.exe"),(WINEXEC)GetProcAddress(user32Handle,"WinExec"),} ;
WriteProcessMemory(processHandle,dataAddr, & data, sizeof (THREADDATA), & byteWrited);
// 把数据写到申请的内存中
codeAddr  =  ::VirtualAllocEx(processHandle, 0 ,sizeOfThreadProc,MEM_COMMIT,PAGE_EXECUTE_READWRITE);
// 申请代码的内存区
WriteProcessMemory(processHandle,codeAddr, & ThreadProc,sizeOfThreadProc, & byteWrited);
// 把代码写进去,这时我们己经把我们要用的代码和数据都准备好了。
threadHandle  =  CreateRemoteThread(processHandle,NULL, 0 , LPTHREAD_START_ROUTINE)codeAddr,dataAddr, 0 ,(LPDWORD)threadID);
// 在explorer中创建一个线程,来执行启动abc.exe的代码。所需的数据都己经在explorer的内存块中,所以不会出问题。
WaitForSingleObject(threadHandle, INFINITE);
VirtualFreeEx(processHandle,dataAddr, 0 ,MEM_RELEASE);
VirtualFreeEx(processHandle,codeAddr, 0 ,MEM_RELEASE);
CloseHandle(threadHandle);
CloseHandle(processHandle);
// 等待执行完毕,释放内存,关闭句柄。

这就完成了代码的注入与执行。

英语还算不错的推荐去看看这篇文章,帮助很大。

代码注入 API HOOK(非DLL)
dalixux的专栏
10-14 2079
使用代码注入来实现进程隐藏  而不是使用DLL注入来实现进程隐藏  没有什么高级技术  纯体力活  原理就不说了  只是没有通过DLL注入  来实现HOOK API从核心编程 以来  似乎 一提到C注入 就是DLL注入 很奇怪 为什么没人写个完整的代码注入所以 自己动手写了下纯粹注入代码   邪恶二进制上 也有个代码注入的 只是用了一个未公开的函数,我还看不懂= =本来想用汇编写的  发现汇编注入
进程注入系列Part 1 常见的进程注入手段
最新发布
蛇矛实验室
04-18 1487
进程注入是一种众所周知的技术,恶意程序利用它在进程的内存中插入并执行代码。进程注入是一种恶意程序广泛使用的防御规避技术。大多数情况下,恶意程序使用进程注入来动态运行代码,这意味着实际的恶意代码不需要直接写入磁盘上的文件中,以避免被防病毒软件的静态检测所发现。简单来说,进程注入就是将一段数据从一个进程传输到另一个进程的方法,这种注入过程可以发生在执行操作的同一进程(自注入)上,也可发生在外部进程上。
通过WriteProcessMemory改写进程的内存
weixin_34378922的博客
07-18 1022
http://www.cnblogs.com/feiyucq/archive/2009/10/21/1587628.html 以PROCESS_ALL_ACCESS权限打开进程以后既能够使用ReadProcessMemory读取程序内存,也能够使用WriteProcessMemory改敲代码的内存,这也是一些内存补丁使用的招数,下面是程序的实现代码 #include <windo...
WriteProcessMemory的用法
sanshao27的专栏
04-17 4713
WriteProcessMemory有好几个参数 其中的nSize怎么设置?? 比如Short型 Integer型?  nSize以字节为单位,一个字节Byte等于8位 基本数据类型的长度 ShortInt 8位 = 1Byte SmallInt 16位 = 2Byte Integer 16位 = 2Byte LongInt 32位 = 4Byte Word 16位 = 2Byte Lon
WriteProcessMemory
pjz969的专栏
08-08 3981
以PROCESS_ALL_ACCESS权限打开进程以后既可以使用ReadProcessMemory读取程序内存,也可以使用WriteProcessMemory改写程序的内存,这也是一些内存补丁使用的招数,以下是程序的实现代码 #include  #include  BOOL CALLBACK EnumChildWindowProc(HWND hWnd,LPARAM lParam);/
32位进程注入64位进程和32位进程.zip_32注入64_64 注入_64位注入_process inject_进程注入
07-14
进程注入是一种技术,通常在软件开发和系统调试中使用,允许一个进程将代码或数据注入到另一个进程中。这种技术在很多场景下都有应用,比如安全分析、自动化测试、恶意软件等。标题提到的"32位进程注入64位进程和32...
进程注入小工具(附源码)
03-07
进程注入是一种在计算机科学中,特别是软件开发和逆向工程领域的技术,主要用于改变或扩展另一个正在运行的进程的行为。在Windows操作系统中,这种技术通常涉及将动态链接库(DLL)加载到目标进程中,使得DLL中的...
易语言创建进程注入DLL源码-易语言
06-13
在Windows操作系统中,进程注入通常通过API函数如CreateRemoteThreadWriteProcessMemory来实现。 易语言创建进程注入DLL的方法主要涉及以下步骤: 1. 创建DLL:orz.dll和HP.dll是两个可能的DLL文件。DLL文件包含...
将代码注入进程中并运行.rar_内存注入_易语言注入进程源码例程_进程注入
09-24
在易语言中进行进程注入,主要涉及以下几个步骤: 1. **打开进程**:使用`OpenProcess` API函数获取目标进程的句柄,这需要进程的PID(进程标识符)和适当的访问权限。 2. **分配内存**:使用`VirtualAllocEx` API...
系统监测工具(WriteProcessMemory Monitor) v1.5.rar
07-09
WriteProcessMemory Monitor 是一款小巧的英文软件,它可以监测系统中写入其他进程的虚拟地址空间中的进程,保护系统不被木马病毒改写。
Hook WriteProcessMemory & ReadProcessMemory
06-08
这个小工具可以跟踪某些内存修改器或内存补丁的行为 源码地址http://download.youkuaiyun.com/source/1570845
WriteProcessMemory 函数 (memoryapi.h)
程序猿的白兰日常
04-04 705
将数据从当前进程中的指定缓冲区复制到指定进程的地址范围。任何具有 PROCESS_VM_WRITE 句柄且PROCESS_VM_OPERATION访问要写入的进程进程都可以调用 函数。如果请求的写入操作交叉到无法访问的进程区域,函数将失败。在进行数据传输之前,系统会验证指定大小的基址和内存中的所有数据是否可供写入访问,如果无法访问,则函数将失败。要修改的进程内存的句柄。指向缓冲区的指针,该缓冲区包含要写入指定进程的地址空间中的数据。要写入到的整个区域必须可访问,如果无法访问,则函数将失败。
WriteProcessMemory函数注入进程的流程
a1234567mdy的专栏
02-28 2059
<br />CreateProcessA         创建挂起进程<br />GetThreadContext <br />ReadProcessMemory<br />VirtualAllocEx             分配空间  <br />WriteProcessMemory 写入PE头<br />WriteProcessMemory 循环写入各节表<br />WriteProcessMemory <br />SetThreadContex
WriteProcessMemory函数说明
weixin_30875157的博客
06-07 1608
WriteProcessMemory 目录 概览C++VB 编辑本段概览 WriteProcessMemory   此函数能写入某一进程的内存区域。入口区必须可以访问,否则操作将失败。 编辑本段C++   此函数能写入某一进程的内存区域(直接写入会出Access Violation错误,故需此函数)。   VC++声明   BOO...
WinAPI: WriteProcessMemory 写入数据到指定进程内存
weixin_30275415的博客
10-08 1130
BOOL WriteProcessMemory( HANDLE hProcess, // 进程的句柄(可由OpenProcess函数返回) LPVOID lpBaseAddress, // 进程地址 LPVOID lpBuffer, //数据当前存放地址 DWORD nSize, ...
无DLL注入(函数直接注入)
Lyntion的Blog
10-02 2146
在第三中方法中,我们启动远程线程时,线程函数是我们从Kernel32.dll中取得的 LoadLibrary函数的地址为线程函数的地址,其实我们可以直接将线程函数体和函数参数写入目标 进程的地址空间,然后创建远程线程。     使用这个方法时,需要注意以下几个问题:     (1) 远程线程函数体不得使用kernel32.dll,user32.dll以外的函数。因为这个两个模块在各
易语言进程注入技术详解与源码分析
在易语言的学习和开发中,进程注入是一个高级话题,涉及到操作系统的底层操作和程序运行时的动态链接库(DLL)注入。根据标题、描述以及压缩包的文件名称,我们可以从以下几个方面展开知识点的讲解。 ### 1. 易语言...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值