Windows Ring3层注入——CreateProcess劫持进程创建注入(三)

情到浓时终转凉″ 提交于 2020-01-17 02:18:51

CreateProcess劫持进程创建注入原理

劫持进程创建注入:利用Windows系统中CreateProcess()这个API创建一个进程,并将第6个参数设为CREATE_SUSPENDED,进而创建一个挂起状态的进程,利用这个进程状态进行远程线程注入DLL,然后用ResumeThread() 函数恢复进程。

劫持进程创建注入好处

这种方法允许我们改变进程的状态并且不影响它的执行,并且可以的到主线程的句柄,通过句柄,从而对线程执行的代码进行修改。

CreateProcess劫持进程创建注入函数原型

CreateProcess函数原型

BOOL CreateProcess( 
		  LPCWSTR pszImageName,    //指向一个NULL结尾的、用来指定可执行模块的字符串。目标进程地址名
		  LPCWSTR pszCmdLine,      //指向一个以NULL结尾的字符串,该字符串指定要执行的命令行。
		  LPSECURITY_ATTRIBUTES psaProcess,  //指向一个SECURITY_ATTRIBUTES结构体,这个结构体决定是否返回的句柄可以被子进程继承。如果lpProcessAttributes参数为空(NULL),那么句柄不能被继承。
		  LPSECURITY_ATTRIBUTES psaThread, //同lpProcessAttribute,不过这个参数决定的是线程是否被继承.通常置为NULL.
		  BOOL fInheritHandles, //指示新进程是否从调用进程处继承了句柄。
		  DWORD fdwCreate,      //指定附加的、用来控制优先类和进程的创建的标志。
		  LPVOID pvEnvironment, //指向一个新进程的环境块。如果此参数为空,新进程使用调用进程的环境。
		  LPWSTR pszCurDir,     //指向一个以NULL结尾的字符串,这个字符串用来指定子进程的工作路径。
		  LPSTARTUPINFOW psiStartInfo, //指向一个用于决定新进程的主窗体如何显示的STARTUPINFO结构体。
		  LPPROCESS_INFORMATION pProcInfo //指向一个用来接收新进程的识别信息的PROCESS_INFORMATION结构体。
); 

函数原型解释可以直接参照:https://docs.microsoft.com/en-us/windows/win32/api/processthreadsapi/nf-processthreadsapi-createthread

CreateProcess劫持进程创建注入步骤

  • 1.让进程生成一个被挂起的子进程
  • 2.从exe模块的文件头中取得主线程的起始内存地址
  • 3.将位于该内存地址处的机器指令保存起来
  • 4.强制将一些手工编写的机器指令写入到该内存地址处,指令调用LoadLibrary载入DLL
  • 5.让子进程的主线程恢复运行,从而让指令执行
  • 6.注入DLL成功后,把保存起来的原始指令恢复到起始地址处
  • 7.进程从起始地址继续执行
    在这里插入图片描述
    动图解释:
    在这里插入图片描述

CreateProcess劫持进程代码示例

///CreateProcessInject.h

//以Suspend打开目标进程
BOOL OpenTargetProcess(LPCWSTR ProcName , STARTUPINFO  &st , PROCESS_INFORMATION &pi );
//提升进程权限 与上一章的函数相同
BOOL AdjustProcessTokenPrivilege();
//在待注入的进程中申请空间 与上一章的函数相同
BOOL TagetAlloc(HANDLE	 hTargetProcess,	LPVOID &lpAddr);
//将DLL路径写入申请的空间 与上一章的函数相同
BOOL WriteDLLToTarget(HANDLE hTargetProcess ,	LPVOID lpAddr , LPCWSTR lpBuffer);
//在目标进程中开辟线程 与上一章的函数相同
BOOL CreateThreadInTarget(HANDLE hTargetProcess , PTHREAD_START_ROUTINE pnfStartAddr , LPVOID lpAddr);

///CreateProcessInject.cpp
//与上一函数相同的函数就不再写到下列
//以Suspend打开目标进程
BOOL OpenTargetProcess(LPCWSTR ProcName , STARTUPINFO  &st , PROCESS_INFORMATION &pi )
{
	if( !CreateProcess(ProcName , NULL ,NULL , NULL , FALSE , CREATE_SUSPENDED , NULL , NULL , &st , &pi))
	{
		OutputDebugString(L"打开目标进程失败");
		return FALSE;
	}
	return  TRUE;
}

///main函数
void main()
{
	PROCESS_INFORMATION stProcessInfo;                        // 存储进程信息的PROCESS_INFORMATION 结构体
	::memset(&stProcessInfo, 0 ,sizeof(stProcessInfo));       //分配结构体内存

	STARTUPINFO stStartUpInfo;                                //进程的主窗体显示信息的STARTUPINFO结构体 
	::memset(&stStartUpInfo, 0 ,sizeof(stStartUpInfo));       //分配结构体内存
	stStartUpInfo.cb = sizeof(stStartUpInfo);

	LPCWSTR ProcName;                                         //目标进程地址名
	LPVOID    lpAddr;                                         //目标进程申请内存空间的指针
	LPCWSTR lpBuffer;                                         //待注入的DLL路径
	PTHREAD_START_ROUTINE pnfStartAddr ;                      //LoadLibrary地址
	
	AdjustProcessTokenPrivilege();

	ProcName = L"D:\\Program Files (x86)\\Notepad++\\notepad++.exe";
	if(	OpenTargetProcess(ProcName , stStartUpInfo , stProcessInfo ) == FALSE )
	{
		MessageBox(L"注入失败",L"提示",MB_OK);
		return;
	}

	HANDLE hTargetProcess= stProcessInfo.hProcess;	         //目标进程的句柄
	if( TagetAlloc(hTargetProcess , lpAddr) == FALSE )
	{
		MessageBox(L"注入失败",L"提示",MB_OK);
		return;
	}

	lpBuffer= TEXT("C:\\Users\\10178\\Desktop\\InjectDllFile.dll");
	if(WriteDLLToTarget(hTargetProcess, lpAddr , lpBuffer)== FALSE )
	{
		MessageBox(L"注入失败",L"提示",MB_OK);
		return;
	}

	HANDLE	 hTargetThread = stProcessInfo.hThread;           //目标线程的句柄
	//获取LoadLibrary地址
	pnfStartAddr = (PTHREAD_START_ROUTINE) GetProcAddress(GetModuleHandle(TEXT("Kernel32")) , "LoadLibraryW");
	if(pnfStartAddr == NULL)
	{
		OutputDebugString(L"获取LoadLibrary地址失败");
		MessageBox(L"注入失败" , L"提示" , MB_OK);
		return;
	}
	if( CreateThreadInTarget(hTargetProcess  , pnfStartAddr , lpAddr) == FALSE)
	{
		MessageBox(L"注入失败",L"提示",MB_OK);
		return;
	}

	//恢复注入的目标线程挂起状态
	 ResumeThread(hTargetThread);
}

这种注入方式有很多好处,在应用程序开始执行之前得到地址空间,这种方法同时适用于控制台应用程序和GUI应用程序。但根据步骤可以看出这种方法的局限性,只有当我们的代码可以在父进程中调用,才可以使用这种方法进行注入。

标签
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!