CreateRemoteThread远程线程注入Dll与Hook

最新推荐文章于 2022-01-09 23:42:07 发布
转载 最新推荐文章于 2022-01-09 23:42:07 发布 · 508 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/Reyzal/p/5482611.html

本文详细介绍了使用CreateRemoteThread进行远程注入的技术,包括修改进程权限、远程线程创建、DLL文件远程加载等关键步骤。通过实例代码展示了如何实现远程DLL的加载与调用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

CreateRemoteThread虽然很容易被检测到,但是在有些场合还是挺有用的。每次想用的时候总想着去找以前的代码,现在在这里记录一下。

CreateRemoteThread远程注入

DWORD dwOffect,dwArgu;

BOOL CreateRemoteDll(const char *DllFullPath, const DWORD dwRemoteProcessId ,DWORD dwOffect,DWORD dwArgu)
{
    HANDLE hToken;
    if ( OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES,&hToken) )
    {
        TOKEN_PRIVILEGES tkp;

        LookupPrivilegeValue( NULL,SE_DEBUG_NAME,&tkp.Privileges[0].Luid );//修改进程权限
        tkp.PrivilegeCount=1;
        tkp.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;
        AdjustTokenPrivileges( hToken,FALSE,&tkp,sizeof tkp,NULL,NULL );//通知系统修改进程权限
        CloseHandle(hToken);
    }

    HANDLE hRemoteProcess;

    //打开远程线程
    if( (hRemoteProcess = OpenProcess( PROCESS_CREATE_THREAD |    //允许远程创建线程
        PROCESS_VM_OPERATION |                //允许远程VM操作
        PROCESS_VM_WRITE,                    //允许远程VM写
        FALSE, dwRemoteProcessId ) )== NULL )
    {
        return FALSE;
    }

    char *pszLibFileRemote;
    //在远程进程的内存地址空间分配DLL文件名缓冲区
    pszLibFileRemote = (char *) VirtualAllocEx( hRemoteProcess, NULL, lstrlen(DllFullPath)+1, 
        MEM_COMMIT, PAGE_READWRITE);
    if(pszLibFileRemote == NULL)
    {
        CloseHandle(hRemoteProcess);
        return FALSE;
    }

    //将DLL的路径名复制到远程进程的内存空间
    if( WriteProcessMemory(hRemoteProcess,
        pszLibFileRemote, (void *) DllFullPath, lstrlen(DllFullPath)+1, NULL) == 0)
    {
        CloseHandle(hRemoteProcess);
        return FALSE;
    }

    //计算LoadLibraryA的入口地址
    PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE)
        GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryA");

    if(pfnStartAddr == NULL)
    {
        return FALSE;
    }

    HANDLE hRemoteThread;
    hRemoteThread = CreateRemoteThread( hRemoteProcess, NULL, 0, 
        pfnStartAddr, pszLibFileRemote, 0, NULL);
    WaitForSingleObject(hRemoteThread,INFINITE);
    if( hRemoteThread == NULL)
    {

        CloseHandle(hRemoteProcess);
        return FALSE;
    }
    DWORD dwDllAddr;
    GetExitCodeThread(hRemoteThread,&dwDllAddr);
    if(dwDllAddr!=0)
    {    
        dwDllAddr += dwOffect;
        HANDLE hHookFunc;
        hHookFunc = CreateRemoteThread( hRemoteProcess, NULL, 0, 
            (PTHREAD_START_ROUTINE)dwDllAddr, (LPVOID)dwArgu, 0, NULL);
        WaitForSingleObject(hHookFunc,INFINITE);
        if( hHookFunc == NULL)
        {
            CloseHandle(hRemoteThread);
            CloseHandle(hRemoteProcess);
            return FALSE;
        }
        CloseHandle(hHookFunc);

    }
    else
    {
        CloseHandle(hRemoteProcess);
        CloseHandle(hRemoteThread);
        return FALSE;

    }
    CloseHandle(hRemoteProcess);
    CloseHandle(hRemoteThread);
    return TRUE;
}

void Hook(int dwPid)
{ 
    char curpath[260];
    GetModuleFileName(NULL,curpath,260);
    *strrchr(curpath,'\\') = '\0';
    strcat(curpath,"\\this.dll");
    HMODULE hTmpDll = LoadLibrary(curpath);
    dwOffect = (DWORD)GetProcAddress(hTmpDll,"HookFun");
    dwOffect -= (DWORD)hTmpDll;
    FreeLibrary(hTmpDll);
    CreateRemoteDll(curpath,dwPid,dwOffect,dwArgu);
}

Hook代码

__declspec(naked) void MyHookGetRes()
{
    __asm
    {
        pushad
        pushfd
    }
    MyFun();
    __asm
    {
        popfd
        popad
        add esp,0xc
        jmp uRetAddr
    }
}

ULONG uHookAddr = 0x11111  + (DWORD)hModule;
HANDLE handle = GetCurrentProcess();
char MyJMP[5]={0};
MyJMP[0]=(char)0xe9;
ULONG uTempAddr=(ULONG)MyJMP;
uRetAddr = uHookAddr + 5;
ULONG uSkillJmp=(ULONG)MyHookGetRes-uHookAddr-5;
__asm
{
    mov eax,uSkillJmp
        mov ebx, uTempAddr
        add ebx ,1
        mov [ebx],eax
        mov ecx,[ebx]
}
WriteProcessMemory(handle,(LPVOID)(uHookAddr),(LPVOID)MyJMP,5,NULL);

转载于:https://www.cnblogs.com/Reyzal/p/5482611.html

python dll注入监听_HOOK -- DLL远程注入技术详解(1)
weixin_30894765的博客
02-19 1308
DLL远程注入技术是目前Win32病毒广泛使用的一种技术。使用这种技术的病毒体通常位于一个DLL中,在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)中运行。这样一来,普通的进程管理器就很难发现这种病毒了,而且即使发现了也很难清除,因为只要病毒寄生的进程不终止运行,那么这个DLL就不会在内存中卸载,用户也就无法在资源管理器中删除这个DLL文件,真可谓一...
DLL注入HOOK进程按钮点击示例(delphi)
05-08
标题 "DLL注入HOOK进程按钮点击示例(delphi)" 涉及的是Windows编程中的高级技术,主要包括DLL动态链接库、注入技术和HOOK技术。在Windows操作系统中,DLL是一种可执行代码的模块,它可以被多个程序共享,节省内存...
浅谈64位进程远程hook技术及64模块导出表的一些变化,附源码-易语言
06-11
本人使用易语言 也有10几年时间,至今留下来的也只是一些怀念和情节,还记得上一次在本论坛发帖是在10年前,期间也只是零星来论坛看看。平常使用也纯属兴趣爱好,并非科班出身,一些见解如若有误,忘大神包含。我们知道目前易语言是支持32位编译,后期估计也不会有所改善了,这似乎已经成为一门被放弃的失败品。既然如此面对如今64位系统的普及,易语言爱好者面对64位程序的操作层面上就显得有些无奈和悲哀。好在有着一些执着的爱好者不想放弃,依然在鼓励解决这些问题,如本论坛的一个开源模块WOW64Ext,就为易语言操作64位模块进程提供了一些基本的封装,本人也借此基础上封装了几个功能,作为进一步扩展,有兴许的朋友可以继续完善。 一:浅谈64位进程远程hook技术 关于HOOK这个话题,网络上铺天盖地并无新鲜,故在此我就不讲述什么是HOOK这些无聊话题了,本文主要阐述一些64位下远程HOOK32位的主要区别。首先我们来看看要实现一个远程HOOK的构成顺序:1:在目标进程申请内存空间,存放我们截断后的穿插代码HOOK原代码2:修改HOOK目标位置的指令为跳转至1申请的内存空间中3:穿插代码中把我们需要的寄存器或其他通过通讯手段传达到我们程序的回调接口中去,在这个过程中如果只需要取值,穿插代码不需要等待,如果需要修改生效,穿插代码需要等待回调接口的返回,并把修改内容写回。4:穿插代码最后跳回到HOOK位置长度的下一跳指令,或指定的位置。5:完成整个HOOK过程了解了整个过程看上去似乎很简单,确实要做到这个过程是不难的,只是要做到相对完美要考虑的情况有很多。比如对跳转使用的选择情况:HOOK跳转代码肯定是越短越好,像32位JMP跳转只需要5字节即可,但是在64位进程中情况确截然不同。32位进程寻址能力为4字节,而64位进程寻址能力变成了8字节,然而64位汇编中所有的跳转直接寻址只支持4字节,这在32位中当然不是什么问题,因为32位最大寻址本来就不会超越4字节,不存在超限的说法:但64位中想要达到长转移,必须借用寄存器或地址偏移,那么一般在64位中HOOK的跳转代码在不影响寄存器的情况下一般使用如下办法FFFFFFFFFFFFFFFF作为跳转目标地址:为了不影响寄存器必须提前压入一个寄存器 --------------------------Push raxMov rax, FFFFFFFFFFFFFFFF JMP rax 或 call rax 在内部要取回rax ,这里注意JMP和call的区别,最后平栈 -------------------------- Push rax Mov rax,FFFFFFFFFFFFFFFF Push rax Ret 在内部要取回rax ,最后平栈 有的朋友看到这要问了 我不能直接 JMP FFFFFFFFFFFFFFFF或者 push FFFFFFFFFFFFFFFF 啊,您要这么问,我实在不知如何回答你,表示无语,您还是直接下个源码玩玩算了。 其他类似的列子我就不一一举例了,总结也是差不多形态,以上列子共占用13字节长度,这还是堆栈放在了内部平,否则还要+1个字节长度,如果放弃其中一个寄存器可以-1个字节长度,所以一般网上现有的64位hook一般都在12字节以上,但是一个好用的hook要占用13字节的长度,对我而言无疑无法忍受,难道真的没有其他办法了吗,要保护寄存器且支持长转移,是不是还有其他办法,那么其实是有办法的,就是通过JMP [rip] 机器码形态为 FF 25 00 00 00 00 这句代码占用6字节,那么这是什么意思呢 FF 25 = jmp ,00 00 00 00为偏移长度 对一个支持2G的字节转移长度,JMP [rip]在调试器中可以解释为 jmp qword ptr ds:[0x地址],对了,也就是读取这个偏移位置中的8字节数值作为跳转地址转移过去,如果偏移为00 00 00 00 那么就代表 JMP [rip]的下一条指令处8字节数据。想到这你也许会问  那么这个意思不就是JMP [rip]6字节+8字节长度吗,对如果是连起来确实如此,但是我们可以给他个偏移啊,不就可以分开了吗,我们只需要搜索同模块的其他位置中00或CC等连续8字节无用代码位置,把跳转的地址写入其中,那么JMP [rip]就可以通过偏移读取到跳转地址了。我们也就能实现6字节的HOOK,这个方式的亮点是改写长度小,且不影响寄存器和rsp堆栈指针,也算是达到曲线救国的目的。 比如对穿插代码中数据传递的问题:我们要获得16个通用寄存器RAX—R15的每个值,这些值我们又如何传递过去。一般远程HOOK数据传递使用消息或者远线程,因为这两种方式汇编改写量小一点,相对容易实现,在这我们不讨论远线程,我们来看看消息传递,一般是两个函数的选
注入(3)--远程线程注入(CreateRemoteThread)
weixin_34121282的博客
09-28 301
远程线程注入的核心思想是利用windows提供的远程机制,在目标进程中开启一个加载模块的远程线程,使钩子被该远程线程加载到目标地址空间中。 远程线程使用的关键API有WriteProcessMemory、CreateRemoteThread、和LoadLibrary. 原型如下: BOOL WINAPI WriteProcessMemory( _In_ HANDLE hProc...
Hook技术3 建立远程线程的方法
weixin_34277853的博客
09-13 162
这是我觉得一种非常好的Hook技术,自己也非常喜欢,我先引用Windows核心编程里的讲解,最后在文后附上一个封装好的类,这种方法非常适合在别人的程序里隐藏自己的程序,因此得到了广大木马爱好者的青眯。 插入D L L的第三种方法是使用远程线程。这种方法具有更大的灵活性。它要求你懂得若干个Wi n d o w s特性、如进程、线程线程同步、虚拟内存管理、D L L和U n i c o d e等...
远程线程注入方法CreateRemoteThread
推理小孩的博客
02-19 832
远程线程注入方法CreateRemoteThread       最近在整理学习Windows注入方面的知识,这个远程注入前面早写过,现在看看人家博客的理解整理,整理, 需要源码的可以到我的github上下载。   链接是  https://github.com/Arsense/WindowsCode      首先先来说说什么是注入,为什么要注入...
3.ring3-hook的2种基础方式(SetWindowsHookEx、CreateRemoteThread、)
hgy413的专栏
02-08 1855
SetWindowsHookEx  1.在成功调用 SetWindowsHookEx 后,系统自动映射 DLL 到钩子作用的线程地址空间,但不会立即发生映射,因为 Windows 钩子都是消息,DLL 在消息事件发生前并没有产生实际的映射。 2.为了强制进行映射,在调用 SetWindowsHookEx 之后马上发送一个事件到相关的线程。 SendMessage(hWnd, WM_HOO
HOOK_DLL.rar_DLL HOOK_hook 游戏 delphi_注入_游戏 注入_窗体 hook
09-21
5. 实现窗体注入DLL之间的交互,可能涉及到消息循环和跨进程通信。 总之,这个压缩包提供了一个实用的教程,对于想要学习DLL Hook和游戏注入技术的Delphi开发者来说,是一个宝贵的资源。通过深入研究这些源码,...
dll注入列子 32.64可用 使用远程线程
01-02
描述中提到的“使用远程线程注入dll到其他进程”,意味着代码会利用`CreateRemoteThread`函数来达到目的。这个函数是Windows API的一部分,允许一个进程创建并在另一个进程中执行新线程。在DLL注入中,新线程通常被...
易语言远程线程注入源码-易语言
06-13
远程线程注入的基本原理是将一个线程创建在目标进程中,然后在这个线程中执行我们指定的代码(通常是一个动态链接库DLL)。这个过程通常包括以下步骤: 1. 加载DLL:首先,我们需要一个动态链接库文件,例如压缩包...
转帖 SSDT HOOK拦截远线程的创建(上)
zhuerhua的专栏
06-01 982
<br />  在ring3的API HOOK中,怎样迫使目标进程调用我们的傀儡DLL是我们非常重视的一个问题。在多数情况下,我们都喜欢使用CreateRemoteThread在目标进程中创建一个远程线程来迫使它加载我们的DLL。<br /> 因为CreateRemoteThread的使用方法并不复杂,而且其他方式相比,它可以称得上是一种相当“优雅”的做法。各种因素的汇集就导致了这种方法的泛滥,致使很多具备主动防御或行为监控的安全软件都加强了对这个函数的照顾。<br />      最近在自己的毕业设计中
CreateRemoteThread函数
believe_s的博客
09-11 3354
CreateRemoteThread函数 创建在另一个进程的虚拟地址空间中运行的线程。 使用CreateRemoteThreadEx函数创建在另一个进程的虚拟地址空间中运行的线程,并可选择指定扩展属性。 语法 HANDLE CreateRemoteThread( HANDLE hProcess, LPSECURITY_ATTRIBUTES lp...
远程线程+hook=监控?
01-09 2483
远程线程!代码实战!
Windows Hook 易核心编程<2>远程线程注入
ywbhnay的专栏
04-27 1754
上一期我们讲了勾子基本概念和一些简单的应用 这一期我们就来学习用用钩子技术和内存文件映射共享技术来实现远程线程插入     现在网上关于这项编程技术的介绍满天飞,因为要想写出一个好的后门,该后门至少要达到高隐蔽. 防查杀,无端口,自启动等要求,而将木马以DLL的形式嵌入到系统进程中,基本上可以满足要求,而 这种远程线程注入技术也成为现代后门和木马程序的一项标准技术指标. 如果大家要
DLL注入】C++远程DLL注入
Fzuim的博客
06-28 1853
这是个很古老的DLL注入技术,采用的是创建远程线程的方式。将LdadLibraryA的函数地址当做线程的回调地址,线程参数采用待注入DLL的绝对路径值。这个参数我们得采用VirtualAllocEx和WriteProcessMemory的方式在目标进程进行内存空间的申请和写入。废话不多说,贴上自己写的代码: DLL注入函数:   bool Dll_Inject(DWORD&amp; v_d...
windows 注入CreateRemoteThread
weixin_30247159的博客
03-18 263
  钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。总感觉这是windows留下来的应用程序的后门之类的吧。   第一次接触这个,是刚来新公司,领导给了我一个任务,需要监听另外一个系统从串口获取的...
CreateRemoteThread简单应用之二
~ 飞 扬 的 天 空 ~
02-19 705
宿主进程 exe.exe #include #include #include int foo (void) { printf("foo\n"); // MessageBox(NULL, "foo", "Notice", MB_OK); #if 0 HINSTANCE hUser32 = LoadLibrary("User32.dll");
CreatRemoteThread线程注入
yiyefangzhou24的专栏
02-24 7026
线程注入有很多种方法,有最简单也最方便安全的SetWindowsHookEx的钩子注入,也有代码简洁的远程线程创建注入。 这种方法构思巧妙,但是个人觉得直接硬写目标进程内存空间有一定风险,可谓差之毫厘,谬以千里。本菜鸟这个程序调试了很长时间才成功的,大牛请勿发笑。 CreatRemoteThread从字面意思上不难理解,创建一个远程线程,所以我们可以用他在目标进程中创建一个线程,立即执
createremotethread()远程注入dll
学习随笔
04-15 1077
上一篇文章是转载的,主要是为了尝试远程注入dll。其实方法很多,好像《Windows核心编程》上有讲。我来讲讲自己用过的方法吧。大概说来就是运用createremotethread()来远程创建一个线程,然后利用线程的绑定函数来loadLibrary()一个dll,如果想在dll中做些操作的话,可以在dllmain()中的DLL_PROCESS_ATTACH case中去做一些操作。注意,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值