Win7下dll远程注入

Win7 CreateRemoteThread 另类使用方法

分类： C、VC/MFC 2011-05-31 13:14 3136人阅读 评论(14) 收藏 举报

同样的代码，在XP下面随便你怎么整，WIN7的话是相当纠结的，具体哪些错误就不解释了 ~~

 

gg点了二十多页，在韩国某大牛的博客上总算找到一点思路（虽然看不懂韩文，但代码还算勉强看得懂吧）

 

原来是要用动态调用ntdll.dll >> NtCreateRemoteThreadEx ，于是over~~

 

说明：

１、InjectDll.exe   是注入DLL的EXE

２、dummy.dll       是一个普通DLL，加载后弹出MessageBox

 

下面是一个XP中远程线程注入DLL的代码，在WIN7 +　OD调试的例子：

 

 

看看错误信息：

 

 

杯具了，接着看！ 重新运行OD调试，bp CreateRemoteThread ：

 

 

看看CreateRemoteThread 中的几个参数：

 

 

上图重要标记的几个参数：

(1) svchost.exe (PID: 3184) 句柄

(2) kernel32.dll ! LoadLibarayA

(3) 在svchost中为C://Work//dummy.dll字符串所分配的首地址

 

进入CreateRemoteThread ：

 

 

我们发现，实际上是调用kernelbase >> CreateRemoteThreadEx 函数。

 

(GG了这个DLL，原来是它是继VISTA/WIN7之后额外的DLL，负责协助Kernel32.dll的调用！)

 

那我们看看这个函数调用栈中的参数吧：

 

 

 

发现与kernel32.dll >> CreateRemoteThread 参数一模一样！

 

OK ！ 我们再继续跟进kernelbase.dll >> CreateRemoteThreadEx ：

 

 

那我们看看这个函数调用栈中的参数吧：

 

 

OK，这算到底儿了，因为ntdll.dll >> ZwCreateThreadEx 已经运行到了内核代码，我们的OD没办法再调试了！

 

于是请google sysenter吧！

 

特别说明，kernelbase.dll >> CreateRemoteThreadEx 是对 ntdll.dll >> ZwCreateThreadEx 的补充扩展！

 

那我们都得到这样的结果 ：

 

 

ntdll.dll >> ZwCreateThreadEx 是未公开的API，MSDN、GG也很难找到相关资料！

下面是看看这个结构体伪代码：

 

1. typedef DWORD (WINAPI *PFNTCREATETHREADEX)
2. (
3. PHANDLE ThreadHandle,
4. ACCESS_MASK DesiredAccess,
5. LPVOID ObjectAttributes,
6. HANDLE ProcessHandle,
7. LPTHREAD_START_ROUTINE lpStartAddress,
8. LPVOID lpParameter,
9. BOOL CreateSuspended,
10. DWORD dwStackSize,
11. DWORD dw1,
12. DWORD dw2,
13. LPVOID Unknown
14. );

 OK ，那剩下的我们只需要重写CreateThreadEx 函数即可！

 

为了保证XP的兼容，所以需要判断一下OS版本，下面是完整的测试代码：

1. #include "windows.h"
2. #include "stdio.h"
3. #include "tchar.h"
4. #pragma comment(lib,"Advapi32.lib")
5. BOOL SetPrivilege(LPCTSTR lpszPrivilege, BOOL bEnablePrivilege)
6. {
7. TOKEN_PRIVILEGES tp;
8. HANDLE hToken;
9. LUID luid;
10. if( !OpenProcessToken(GetCurrentProcess(),
11. TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY,
12. &hToken) )
13. {
14. _tprintf("OpenProcessToken error: %u/n", GetLastError());
15. return FALSE;
16. }
17. if( !LookupPrivilegeValue(NULL,
18. lpszPrivilege,
19. &luid) )
20. {
21. _tprintf("LookupPrivilegeValue error: %u/n", GetLastError() );
22. return FALSE;
23. }
24. tp.PrivilegeCount = 1;
25. tp.Privileges[0].Luid = luid;
26. if( bEnablePrivilege )
27. tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
28. else
29. tp.Privileges[0].Attributes = 0;
30. if( !AdjustTokenPrivileges(hToken,
31. FALSE,
32. &tp,
33. sizeof(TOKEN_PRIVILEGES),
34. (PTOKEN_PRIVILEGES) NULL,
35. (PDWORD) NULL) )
36. {
37. _tprintf("AdjustTokenPrivileges error: %u/n", GetLastError() );
38. return FALSE;
39. }
40. if( GetLastError() == ERROR_NOT_ALL_ASSIGNED )
41. {
42. _tprintf("The token does not have the specified privilege. /n");
43. return FALSE;
44. }
45. return TRUE;
46. }
48. typedef DWORD (WINAPI *PFNTCREATETHREADEX)
49. (
50. PHANDLE ThreadHandle,
51. ACCESS_MASK DesiredAccess,
52. LPVOID ObjectAttributes,
53. HANDLE ProcessHandle,
54. LPTHREAD_START_ROUTINE lpStartAddress,
55. LPVOID lpParameter,
56. BOOL CreateSuspended,
57. DWORD dwStackSize,
58. DWORD dw1,
59. DWORD dw2,
60. LPVOID Unknown
61. );
63. BOOL IsVistaOrLater()
64. {
65. OSVERSIONINFO osvi;
66. ZeroMemory(&osvi, sizeof(OSVERSIONINFO));
67. osvi.dwOSVersionInfoSize = sizeof(OSVERSIONINFO);
68. GetVersionEx(&osvi);
69. if( osvi.dwMajorVersion >= 6 )
70. return TRUE;
71. return FALSE;
72. }
74. BOOL MyCreateRemoteThread(HANDLE hProcess, LPTHREAD_START_ROUTINE pThreadProc, LPVOID pRemoteBuf)
75. {
76. HANDLE hThread = NULL;
77. FARPROC pFunc = NULL;
78. if( IsVistaOrLater() ) // Vista, 7, Server2008
79. {
80. pFunc = GetProcAddress(GetModuleHandle("ntdll.dl"), "NtCreateThreadEx");
81. if( pFunc == NULL )
82. {
83. printf("MyCreateRemoteThread() : GetProcAddress(/"NtCreateThreadEx/") 调用失败！错误代码: [%d]/n",
84. GetLastError());
85. return FALSE;
86. }
87. ((PFNTCREATETHREADEX)pFunc)(&hThread,
88. 0x1FFFFF,
89. NULL,
90. hProcess,
91. pThreadProc,
92. pRemoteBuf,
93. FALSE,
94. NULL,
95. NULL,
96. NULL,
97. NULL);
98. if( hThread == NULL )
99. {
100. printf("MyCreateRemoteThread() : NtCreateThreadEx() 调用失败！错误代码: [%d]/n", GetLastError());
101. return FALSE;
102. }
103. }
104. else // 2000, XP, Server2003
105. {
106. hThread = CreateRemoteThread(hProcess,
107. NULL,
108. 0,
109. pThreadProc,
110. pRemoteBuf,
111. 0,
112. NULL);
113. if( hThread == NULL )
114. {
115. printf("MyCreateRemoteThread() : CreateRemoteThread() 调用失败！错误代码: [%d]/n", GetLastError());
116. return FALSE;
117. }
118. }
119. if( WAIT_FAILED == WaitForSingleObject(hThread, INFINITE) )
120. {
121. printf("MyCreateRemoteThread() : WaitForSingleObject() 调用失败！错误代码: [%d]/n", GetLastError());
122. return FALSE;
123. }
124. return TRUE;
125. }
127. BOOL InjectDll(DWORD dwPID, char *szDllName)
128. {
129. HANDLE hProcess = NULL;
130. LPVOID pRemoteBuf = NULL;
131. FARPROC pThreadProc = NULL;
132. DWORD dwBufSize = strlen(szDllName)+1;
133. if ( !(hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID)) )
134. {
135. printf("[错误] OpenProcess(%d) 调用失败！错误代码: [%d]/n",
136. dwPID, GetLastError());
137. return FALSE;
138. }
139. pRemoteBuf = VirtualAllocEx(hProcess, NULL, dwBufSize,
140. MEM_COMMIT, PAGE_READWRITE);
141. WriteProcessMemory(hProcess, pRemoteBuf, (LPVOID)szDllName,
142. dwBufSize, NULL);
143. pThreadProc = GetProcAddress(GetModuleHandle("kernel32.dl"),
144. "LoadLibraryA");
145. if( !MyCreateRemoteThread(hProcess, (LPTHREAD_START_ROUTINE)pThreadProc, pRemoteBuf) )
146. {
147. printf("[错误] CreateRemoteThread() 调用失败！错误代码: [%d]/n", GetLastError());
148. return FALSE;
149. }
150. VirtualFreeEx(hProcess, pRemoteBuf, 0, MEM_RELEASE);
151. CloseHandle(hProcess);
152. return TRUE;
153. }
155. int main(int argc, char *argv[])
156. {
157. SetPrivilege(SE_DEBUG_NAME, TRUE);
158. // InjectDll.exe <PID> <dllpath>
159. if( argc != 3 )
160. {
161. printf("用法 : %s <进程PID> <dll路径>/n", argv[0]);
162. return 1;
163. }
164. if( !InjectDll((DWORD)atoi(argv[1]), argv[2]) )
165. {
166. printf("InjectDll调用失败！/n");
167. return 1;
168. }
169. printf("InjectDll调用成功！/n");
170. return 0;
171. }

DLL就不贴了吧，有兴趣的友友可以参考一下~~

 

<转载请注明出处：   http://blog.csdn.net/wangningyu/archive/2011/05/31/6456607.aspx >