远线程DLL注入技术
2011-08-31 17:07
295 查看
远线程DLL注入主要通过使用API CreateRemoteThread创建远程线程来实现,CreateRemoteThread与创建线程用的CreateThread非常相似,除了第一个参数hProcess之外,其他参数都是一样的。hProcess用于指定要在哪个进程中创建远程线程,也就是需要将DLL注入的那个进程。
为了通过将远程线程与DLL加载关联起来,我们可以把LoadLibraryW作为线程函数,把DLL的路径作为线程的参数。对于DLL的路径,因为用户态进程空间是互相独立的,所以我们需要通过VirtualAllocEx在目标进程中分配一块足够大小的内存空间,用于存放DLL的路径字符串,可以通过WriteProcessMemory这个API来实现跨进程写数据。那么又如何获取目标进程空间中LoadLibraryW的地址呢?对于kernel32.dll这样的DLL,操作系统会保证他们在任何进程中加载的基地址都是一样的,这样以来,kernel32.dll中的导出函数的地址也会是固定的,所以我们可以直接通过GetModuleHandle和GetProcAddress这两个API来获取LoadLibraryW的地址。
由于创建远程线程需要进行跨进程内存空间分配、跨进程内存数据读写等操作,所以是需要一定的权限的。我们必须将发起进程提升到一定的权限,否则操作会失败。通常将进程提升到DEBUG权限即可。
示例代码:
// 实际使用时请合理校验中间步骤的操作结果是否成功
BOOL DllInject(DWORD dwPid, TCHAR szDllPath[])
{
BOOL bRet = FALSE;
HANDLE hRemoteProcess = OpenProcess(
PROCESS_CREATE_THREAD | PROCESS_VM_WRITE | PROCESS_VM_OPERATION,
FALSE,
dwPid);
HMODULE hKrl32 = GetModuleHandle(TEXT("kernel32.dll"));
RemoteThreadProc remoteThreadProc = (RemoteThreadProc)GetProcAddress(hKrl32, "LoadLibraryW");
DWORD cbSize = (lstrlen(szDllPath) + 1) * sizeof(szDllPath[0]);
TCHAR *pszRemoteParam = (TCHAR *)VirtualAllocEx(hRemoteProcess,
0, cbSize,
MEM_COMMIT, PAGE_READWRITE);
BOOL bWriteMem = WriteProcessMemory(hRemoteProcess,
(PVOID)pszRemoteParam,
(PVOID)szDllPath,
cbSize,
NULL);
HANDLE hThread = CreateRemoteThread(hRemoteProcess,
NULL,
0,
remoteThreadProc,
(LPVOID)pszRemoteParam,
0,
NULL);
WaitForSingleObject(hThread, INFINITE);
// 判断注入是否成功
DWORD dwExitCode = 0;
bRet = GetExitCodeThread(hThread, &dwExitCode);
if (NULL == dwExitCode)
{
bRet = FALSE;
}
CloseHandle(hThread);
VirtualFreeEx(hRemoteProcess, (LPVOID)pszRemoteParam, cbSize, MEM_RELEASE);
CloseHandle(hRemoteProcess);
return bRet;
}
如何卸载远程DLL呢?同样可以使用这个方法来调用GetModuleHandle和FreeLibrary。
为了通过将远程线程与DLL加载关联起来,我们可以把LoadLibraryW作为线程函数,把DLL的路径作为线程的参数。对于DLL的路径,因为用户态进程空间是互相独立的,所以我们需要通过VirtualAllocEx在目标进程中分配一块足够大小的内存空间,用于存放DLL的路径字符串,可以通过WriteProcessMemory这个API来实现跨进程写数据。那么又如何获取目标进程空间中LoadLibraryW的地址呢?对于kernel32.dll这样的DLL,操作系统会保证他们在任何进程中加载的基地址都是一样的,这样以来,kernel32.dll中的导出函数的地址也会是固定的,所以我们可以直接通过GetModuleHandle和GetProcAddress这两个API来获取LoadLibraryW的地址。
由于创建远程线程需要进行跨进程内存空间分配、跨进程内存数据读写等操作,所以是需要一定的权限的。我们必须将发起进程提升到一定的权限,否则操作会失败。通常将进程提升到DEBUG权限即可。
示例代码:
// 实际使用时请合理校验中间步骤的操作结果是否成功
BOOL DllInject(DWORD dwPid, TCHAR szDllPath[])
{
BOOL bRet = FALSE;
HANDLE hRemoteProcess = OpenProcess(
PROCESS_CREATE_THREAD | PROCESS_VM_WRITE | PROCESS_VM_OPERATION,
FALSE,
dwPid);
HMODULE hKrl32 = GetModuleHandle(TEXT("kernel32.dll"));
RemoteThreadProc remoteThreadProc = (RemoteThreadProc)GetProcAddress(hKrl32, "LoadLibraryW");
DWORD cbSize = (lstrlen(szDllPath) + 1) * sizeof(szDllPath[0]);
TCHAR *pszRemoteParam = (TCHAR *)VirtualAllocEx(hRemoteProcess,
0, cbSize,
MEM_COMMIT, PAGE_READWRITE);
BOOL bWriteMem = WriteProcessMemory(hRemoteProcess,
(PVOID)pszRemoteParam,
(PVOID)szDllPath,
cbSize,
NULL);
HANDLE hThread = CreateRemoteThread(hRemoteProcess,
NULL,
0,
remoteThreadProc,
(LPVOID)pszRemoteParam,
0,
NULL);
WaitForSingleObject(hThread, INFINITE);
// 判断注入是否成功
DWORD dwExitCode = 0;
bRet = GetExitCodeThread(hThread, &dwExitCode);
if (NULL == dwExitCode)
{
bRet = FALSE;
}
CloseHandle(hThread);
VirtualFreeEx(hRemoteProcess, (LPVOID)pszRemoteParam, cbSize, MEM_RELEASE);
CloseHandle(hRemoteProcess);
return bRet;
}
如何卸载远程DLL呢?同样可以使用这个方法来调用GetModuleHandle和FreeLibrary。
相关文章推荐
- Dll注入技术之远程线程注入
- DLL注入技术之远线程注入
- 远线程技术之一--DLL注入
- JDK5新特性之线程锁技术(二)
- java线程技术7_线程中断
- java多线程编程核心技术3-线程间通信
- [转载]Dll注入技术之ComRes注入
- Hook技术3 建立远程线程的方法
- Java多线程编程核心技术之---停止线程
- java5的线程锁技术(十一)
- [转贴]用Visual C++实现远程线程嵌入技术
- Windows核心编程Dll注入之远程线程
- Dll注入技术之输入法注入
- C/C++语法知识精华整理(2)-栈与堆、内存四大区域、 全局变量、线程技术、位字段、函数返回值副本机制等
- 【张孝祥并发课程笔记】10:java5的线程锁技术
- 基于boost 线程并行技术实现消息队列方式[记录]
- c#--线程相关技术
- Dll注入:X86/X64 远程线程CreateRemoteThread 注入
- DLL注入技术之远线程注入