首页
论坛
课程
招聘
[原创]远程线程注入计算器
2018-12-27 13:10 4755

[原创]远程线程注入计算器

2018-12-27 13:10
4755

0x00 远程线程注入概念

远程线程注入是指一个进程在另一个进程中创建线程的技术。


0x01 远程线程注入步骤

1. 使用VirtualAllocEx在目标进程地址空间申请一块内存

2. 使用WriteProcessMemory将dll路径写入远程进程中

3. 使用CreateRemoteThread在目标进程中开辟一个线程


0x02 创建项目

我创建的是一个MFC工程

第一步,拖控件,界面看着顺眼就行,一个静态文本,一个文本框,两个按钮


第二步,控件绑定变量,编辑框是一个CString类型的m_strDllPath

第三步,开始写代码

选择文件的代码

 

目的是获取文件路径,存放在变量m_strDllPath中

主要代码都写在了注入按钮事件中,懒了一波就没有封装函数

首先判断路径有没有选择文件,变量是否为空


提权部分


由于这只是个Demo,只是选择注入了计算器,我就直接查找窗口句柄来获取的进程PID


关键的部分开始


通过PID获取进程句柄,从这里开始实现远程线程的步骤的第一步,在远程线程中申请空间。

接下来使用WriteProcessMemory将dll路径写入远程进程中并使用CreateRemoteThread在目标进程中开辟一个线程



0x03 编写DLL

dll文件我也是写了一个最简单的例子


注入成功则弹一个提示框。


0x04 检验程序

将注入工具工程和dll工程都编译生成好,打开注入工具,选择dll生成的路径,点击注入


可以看到,注入成功


代码和所用程序附在下面



第五届安全开发者峰会(SDC 2021)议题征集正式开启!

最后于 2018-12-27 13:10 被Iam0x17编辑 ,原因:
上传的附件:
收藏
点赞2
打赏
分享
最新回复 (8)
雪    币: 1689
活跃值: 活跃值 (499)
能力值: ( LV3,RANK:35 )
在线值:
发帖
回帖
粉丝
StriveXjun 活跃值 2018-12-27 15:29
2
1
这轮子重复造了几十年了。
雪    币: 6
活跃值: 活跃值 (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
陌苒 活跃值 2018-12-27 17:58
3
1
VS2013生成EXE   出现这个 错误        1        error MSB8031: Building an MFC project for a non-Unicode character set is deprecated. You must change the project property to Unicode or download an additional library. See http://go.microsoft.com/fwlink/p/?LinkId=286820 for more information.        C:\Program Files (x86)\MSBuild\Microsoft.Cpp\v4.0\V120\Microsoft.CppBuild.targets        376        5        injectcalc
雪    币: 6
活跃值: 活跃值 (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
陌苒 活跃值 2018-12-27 18:02
4
0
好了   百度还是很好的
VS2013编译旧版VC++程序时,提示error MSB8031: Building an MFC project for a non-Unicode character set is deprecated. 



介绍为什么

https://blogs.msdn.microsoft.com/vcblog/2013/07/08/mfc-support-for-mbcs-deprecated-in-visual-studio-2013/



微软插件下载地址:http://go.microsoft.com/?linkid=9832071

最后于 2018-12-27 18:19 被陌苒编辑 ,原因:
雪    币: 6
活跃值: 活跃值 (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
陌苒 活跃值 2018-12-27 18:06
5
0
楼主能不能写个 不用选择DLL直接注入到进程的例子
雪    币: 309
活跃值: 活跃值 (88)
能力值: ( LV7,RANK:140 )
在线值:
发帖
回帖
粉丝
yeyeshun 活跃值 2 2018-12-28 10:24
6
0
等一下,不是听说dllmain里面不合适调用MessageBox这样长时间不返回的函数吗?
雪    币: 786
活跃值: 活跃值 (591)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
红金龙e晓楼 活跃值 2018-12-28 10:47
7
0
早知道就多发点这样的混点精华先
雪    币: 11642
活跃值: 活跃值 (1291)
能力值: (RANK:648 )
在线值:
发帖
回帖
粉丝
KevinsBobo 活跃值 8 2018-12-28 11:20
8
0
红金龙e晓楼 早知道就多发点这样的混点精华先
这是关注,精华还是有很大难度的,可以参考标准:http