2. 程式人生 > >詳細解讀:遠程線程註入DLL到PC版微信

詳細解讀:遠程線程註入DLL到PC版微信

阿新 發佈:2019-05-11
rem cas 如果 原理 serve 通過 目標 線程 and

一、遠程線程註入的原理

  1、其基礎是在 Windows 系統中,每個 .exe 文件在雙擊打開時都會加載 kernel32.dll 這個系統模塊,該模塊中有一個 LoadLibrary() 函數,可以將DLL文件加載到自身進程中。

  2、這樣,就可以用 CreateRemoteThread() 函數創建一個遠程線程,讓目標進程調用LoadLibrary() 來加載我們自己寫的DLL 。CreateRemoteThread() 有這幾個參數比較關鍵:A:想要註入的進程的句柄,這裏可以通過OpenProcess()得到; B:想要運行的函數,本例中當然是 LoadLibrary() 啦; C: 所運行函數的參數,本例中是自己寫的DLL的存放路徑。

  3、那麽,怎麽讓 LoadLibrary() 找到自己寫的DLL的存放路徑呢?這就需要在內存中開辟一塊空間,把路徑寫入進去。這要先用 VirtualAllocEx()開辟一塊空間,然後用WriteProcessMemory() 函數把DLL路徑寫進去。

  4、小結:總的來說,就是:先在目標進程的內存空間裏開辟一塊新地方,往新地方裏面寫入DLL的路徑,再創建遠程線程找到LoadLibrary() 函數,並在剛才開辟的新地方中讀取DLL路徑,進而加載我們自己寫的DLL。

二、代碼實現(含詳細註釋)

  1 #include <iostream>
  2 #include "
 
stdlib.h"
  3 #include <tchar.h>
  4 #include <Windows.h>
  5 
  6 bool Inject(DWORD dwId, WCHAR* szPath)//參數1:目標進程PID  參數2:DLL路徑
  7 {
  8     //一、在目標進程中申請一個空間
  9 
 10 
 11     /*
 12     【1.1 獲取目標進程句柄】
 13     參數1:想要擁有的進程權限(本例為所有能獲得的權限)
 14     參數2:表示所得到的進程句柄是否可以被繼承
 15     參數3:被打開進程的PID

 
 16     返回值:指定進程的句柄
 17     */
 18     HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwId); 
 19 
 20 
 21     /*
 22     【1.2 在目標進程的內存裏開辟空間】
 23     參數1:目標進程句柄
 24     參數2:保留頁面的內存地址,一般用NULL自動分配
 25     參數3:欲分配的內存大小,字節單位
 26     參數4:MEM_COMMIT:為特定的頁面區域分配內存中或磁盤的頁面文件中的物理存儲
 27     參數5:PAGE_READWRITE 區域可被應用程序讀寫
 28     返回值:執行成功就返回分配內存的首地址,不成功就是NULL
 29     */
 30     LPVOID pRemoteAddress = VirtualAllocEx(
 31         hProcess,
 32         NULL,
 33         1,
 34         MEM_COMMIT,
 35         PAGE_READWRITE
 36     );
 37 
 38     //二、 把dll的路徑寫入到目標進程的內存空間中
 39 
 40     DWORD dwWriteSize = 0;
 41     /*
 42     【寫一段數據到剛才給指定進程所開辟的內存空間裏】
 43     參數1:OpenProcess返回的進程句柄
 44     參數2:準備寫入的內存首地址
 45     參數3:指向要寫的數據的指針(準備寫入的東西)
 46     參數4:要寫入的字節數(東西的長度+0/)
 47     參數5: 返回值。返回實際寫入的字節
 48     */
 49     WriteProcessMemory(hProcess,pRemoteAddress, szPath, wcslen(szPath) * 2 + 2, &dwWriteSize);
 50 
 51 
 52     //三、 創建一個遠程線程,讓目標進程調用LoadLibrary
 53 
 54     /*
 55     參數1:該遠程線程所屬進程的進程句柄
 56     參數2:一個指向 SECURITY_ATTRIBUTES 結構的指針, 該結構指定了線程的安全屬性
 57     參數3:線程棧初始大小,以字節為單位,如果該值設為0,那麽使用系統默認大小
 58     參數4:在遠程進程的地址空間中,該線程的線程函數的起始地址(也就是這個線程具體要幹的活兒)
 59     參數5:傳給線程函數的參數(剛才在內存裏開辟的空間裏面寫入的東西)
 60     參數6:控制線程創建的標誌。0(NULL)表示該線程在創建後立即運行
 61     參數7:指向接收線程標識符的變量的指針。如果此參數為NULL,則不返回線程標識符
 62     返回值:如果函數成功,則返回值是新線程的句柄。如果函數失敗,則返回值為NULL
 63     */
 64     HANDLE hThread = CreateRemoteThread(
 65         hProcess,
 66         NULL,
 67         0,
 68         (LPTHREAD_START_ROUTINE)LoadLibrary,
 69         pRemoteAddress,
 70         NULL,
 71         NULL
 72     );
 73     WaitForSingleObject(hThread, -1); //當句柄所指的線程有信號的時候,才會返回
 74     
 75     /*
 76     四、 【釋放申請的虛擬內存空間】
 77     參數1:目標進程的句柄。該句柄必須擁有 PROCESS_VM_OPERATION 權限
 78     參數2:指向要釋放的虛擬內存空間首地址的指針
 79     參數3:虛擬內存空間的字節數
 80     參數4:MEM_DECOMMIT僅標示內存空間不可用,內存頁還將存在。
 81            MEM_RELEASE這種方式很徹底,完全回收。
 82     */
 83     VirtualFreeEx(hProcess, pRemoteAddress, 1, MEM_DECOMMIT);
 84     return 0;
 85 }
 86 
 87 
 88 int _tmain(int argc, _TCHAR * argv[])
 89 {
 90     wchar_t wStr[] = L"E:\\inject.dll";
 91     DWORD dwId = 0;
 92 
 93     //參數1:(NULL
 94     //參數2:目標窗口的標題
 95     //返回值:目標窗口的句柄
 96     HWND hCalc = FindWindow(NULL, L"微信");
 97     printf("目標窗口的句柄為:%d\n", hCalc);
 98 
 99     DWORD dwPid = 0;
100 
101     //參數1:目標進程的窗口句柄
102     //參數2:把目標進程的PID存放進去
103     DWORD dwRub = GetWindowThreadProcessId(hCalc, &dwPid);
104     printf("目標窗口的進程PID為:%d\n", dwPid);
105 
106     //參數1:目標進程的PID
107     //參數2:想要註入DLL的路徑
108     Inject(dwPid, wStr);
109 
110     return 0;
111 }

執行之後,DLL就註入到了PC版的微信進程。且該DLL中含有一個彈窗代碼,也出現在了PC版微信的界面之上。

技術分享圖片

技術分享圖片

附:測試用的DLL代碼

 1 #include <windows.h>
 2 
 3 
 4 DWORD WINAPI runBot(LPVOID lpParam) {
 5     // 此處可以寫具體的bot代碼
 6     return 1;
 7 }
 8 
 9 
10 BOOL APIENTRY DllMain( HMODULE hModule,
11                        DWORD  ul_reason_for_call,
12                        LPVOID lpReserved
13                      )
14 {
15     switch (ul_reason_for_call)
16     {
17     case DLL_PROCESS_ATTACH:
18         MessageBoxA(NULL, "DLL Attached!\n", "Game Hacking", MB_OK | MB_TOPMOST);
19         CreateThread(NULL, 0, &runBot, NULL, 0, NULL); 
20         break;
21     }
22     return TRUE;
23 }

(以上例程均在 Windows 10 系統,VisualStudio 2019 環境中編譯通過)

詳細解讀:遠程線程註入DLL到PC版微信

相關推薦

詳細解讀遠端執行緒注入DLL到PC

一、遠端執行緒注入的原理   1、其基礎是在 Windows 系統中,每個 .exe 檔案在雙擊開啟時都會載入 kernel32.dll 這個系統模組,該模組中有一個 LoadLibrary() 函式,可以將DLL檔案載入到自身程序中。   2、這樣,就可以用 CreateRemoteThrea

詳細解讀DLL到PC

rem cas 如果 原理 serve 通過 目標 線程 and 一、遠程線程註入的原理   1、其基礎是在 Windows 系統中,每個 .exe 文件在雙擊打開時都會加載 kernel32.dll 這個系統模塊,該模塊中有一個 LoadLibrary() 函數,可以將

安全之路 —— 利用的方法(使用DLL)實現穿墻與隱藏進

pat 完整路徑 ystemd return cpi printf output inf server 簡介 大多數後門或病毒要想初步實現隱藏進程,即不被像任務管理器這樣典型的RING3級進程管理器找到過於明顯的不明進程,其中比較著名的方法就是通過遠程線程註

安全之路 —— 無DLL文件實現

資源管理 dir 簡介 sdn wsize date process 地址 str 簡介 在之前的章節中,筆者曾介紹過有關於遠程線程註入的知識,將後門.dll文件註入explorer.exe中實現繞過防火墻反彈後門。但一個.exe文件總要在註入時捎上一個.d

RemoteThread(dll)

ext cfile create tool string gin == cli file // RemoteInject.h #pragma once // RemoteInject 對話框 class RemoteInject : public CDialogEx {

CreateRemoteThread 返回NULL

ESS ron 註入 open RoCE write error 拒絕訪問 operation 在win10下測試成功的代碼,在win7下CreateRemoteThread竟然返回0 GetLastError 返回 5 [拒絕訪問] 調用OpenProcess是提供的參數

【2017-06-20】Linux應用開發工程師C/C++面試問題之一Linux多程序的同步問題

依次 其它 如果 開發工程師 logs 特殊 另一個 特殊情況 發生 參考之一:Linux 線程同步的三種方法 鏈接地址:http://www.cnblogs.com/eleclsc/p/5838790.html 簡要回答: Linux下線程同步最常用的三種方法就是互斥鎖、

觀察者模式實際應用監聽,意外退出線後自動重啟

lee text 實時 之間 最終 ren tap instance and 摘要:  觀察者模式,定義對象之間的一種一對多的依賴關系,當對象的狀態發生改變時,所有依賴於它的對象都得到通知並且被自動更新。觀察者模式在JDK中有現成的實現,java.util.Obsera

Android開發實踐JNI層回調Java函數示例

lan 並且 進行 img 工程 stat 責任 3.5 jpg 原創作品,允許轉載,轉載時請務必以超鏈接形式標明文章 原始出處 、作者信息和本聲明。否則將追究法律責任。http://ticktick.blog.51cto.com/823160/1358558 JNI是Ja

Java總結篇系列Java多(二)

文章 睡眠 blog setdeamon java多線程 cep public pan level Java總結篇系列:Java多線程(二) 本文承接上一篇文章《Java總結篇系列:Java多線程(一)》。 四.Java多線程的阻塞狀態與線程控制 上文已經提到Jav

Java總結篇系列Java多(一)

常見 而是 同時 private 狀態 過程 運行時 不同的 bstr Java總結篇系列:Java多線程(一) 多線程作為Java中很重要的一個知識點,在此還是有必要總結一下的。 一.線程的生命周期及五種基本狀態 關於Java中線程的生命周期,首先看一下下面這張較

關於的調用

obj mod ini ren std dll文件 計算器 first ram CreateRemoteThread 這個函數可以用於遠程註入,無DLL的註入,是一個功能非常強大的函數,下面是它的原型: HANDLE WINAPI CreateRemoteThread(

Java並發編4種池和緩沖隊列BlockingQueue

rup for public alt 延遲 控制線 [] println 大小 一. 線程池簡介 1. 線程池的概念: 線程池就是首先創建一些線程,它們的集合稱為線程池。使用線程池可以很好地提高性能,線程池在系統啟動時即創建大量空閑的線程,程序將一個任務

碼海拾遺Linux多mutex鎖

creat void sum pan stdlib.h amp ++i err nbsp   多線程計數,每個線程累加10個數。   實現: 1 #include <stdio.h> 2 #include <stdlib.h> 3 #i

使用async await完成 等到task內任務結束 交給主線處理事情 task內不會出現卡死現象

syn log ini 正常 註意 style 結束 void oid private async void DoSomething() { await Task.Run(() => { Thread.Sleep(5000);

python3多應用詳解(第三卷圖解多中join,守護應用)

圖解 pytho inf bubuko post 圖片 clas info blog python3多線程應用詳解(第三卷:圖解多線程中join,守護線程應用)

python3多應用詳解(第四卷圖解多中LOCK)

python3 9.png image 任務 來看 info 對比 body pos 先來看下圖形對比: 發現沒有這種密集型計算的任務中,多線程沒有穿行的速率快,原因就是多線程在線程切換間也是要耗時的而密集型計算任務執行時幾乎沒以偶IO阻塞,這樣你說誰快python

Spring Boot使用@Async實現異步調用自定義

tor color HR cal ace 核心 異步 cond cor    前面的章節中,我們介紹了使用@Async註解來實現異步調用,但是,對於這些異步執行的控制是我們保障自身應用健康的基本技能。本文我們就來學習一下,如果通過自定義線程池的方式來控制異步調用的並發。 定

python並發編-理論

流水線 控制 必須 一件事 工作 默認 ont size 定時 一 什麽是線程   在傳統操作系統中,每個進程有一個地址空間,而且默認就有一個控制線程   線程顧名思義,就是一條流水線工作的過程(流水線的工作需要電源,電源就相當於CPU),而一條流水線必須屬於一個車間,

【PyQt5 學習記錄】004簡單多筆記

elf false fix sign widgets qtextedit odin 文本 spa 在文本編輯框中每隔幾秒添加一行文本。 1 #!/usr/bin/python3 2 # -*- coding:utf-8 -*- 3 4 import sys 5