Windows Ring3层注入——CreateProcess劫持进程创建注入(三)
CreateProcess劫持进程创建注入原理
劫持进程创建注入:利用Windows系统中CreateProcess()这个API创建一个进程,并将第6个参数设为CREATE_SUSPENDED,进而创建一个挂起状态的进程,利用这个进程状态进行远程线程注入DLL,然后用ResumeThread() 函数恢复进程。
劫持进程创建注入好处
这种方法允许我们改变进程的状态并且不影响它的执行,并且可以的到主线程的句柄,通过句柄,从而对线程执行的代码进行修改。
CreateProcess劫持进程创建注入函数原型
CreateProcess函数原型
BOOL CreateProcess(
LPCWSTR pszImageName, //指向一个NULL结尾的、用来指定可执行模块的字符串。目标进程地址名
LPCWSTR pszCmdLine, //指向一个以NULL结尾的字符串,该字符串指定要执行的命令行。
LPSECURITY_ATTRIBUTES psaProcess, //指向一个SECURITY_ATTRIBUTES结构体,这个结构体决定是否返回的句柄可以被子进程继承。如果lpProcessAttributes参数为空(NULL),那么句柄不能被继承。
LPSECURITY_ATTRIBUTES psaThread, //同lpProcessAttribute,不过这个参数决定的是线程是否被继承.通常置为NULL.
BOOL fInheritHandles, //指示新进程是否从调用进程处继承了句柄。
DWORD fdwCreate, //指定附加的、用来控制优先类和进程的创建的标志。
LPVOID pvEnvironment, //指向一个新进程的环境块。如果此参数为空,新进程使用调用进程的环境。
LPWSTR pszCurDir, //指向一个以NULL结尾的字符串,这个字符串用来指定子进程的工作路径。
LPSTARTUPINFOW psiStartInfo, //指向一个用于决定新进程的主窗体如何显示的STARTUPINFO结构体。
LPPROCESS_INFORMATION pProcInfo //指向一个用来接收新进程的识别信息的PROCESS_INFORMATION结构体。
);
函数原型解释可以直接参照:https://docs.microsoft.com/en-us/windows/win32/api/processthreadsapi/nf-processthreadsapi-createthread
CreateProcess劫持进程创建注入步骤
- 1.让进程生成一个被挂起的子进程
- 2.从exe模块的文件头中取得主线程的起始内存地址
- 3.将位于该内存地址处的机器指令保存起来
- 4.强制将一些手工编写的机器指令写入到该内存地址处,指令调用LoadLibrary载入DLL
- 5.让子进程的主线程恢复运行,从而让指令执行
- 6.注入DLL成功后,把保存起来的原始指令恢复到起始地址处
- 7.进程从起始地址继续执行
动图解释:
CreateProcess劫持进程代码示例
///CreateProcessInject.h
//以Suspend打开目标进程
BOOL OpenTargetProcess(LPCWSTR ProcName , STARTUPINFO &st , PROCESS_INFORMATION &pi );
//提升进程权限 与上一章的函数相同
BOOL AdjustProcessTokenPrivilege();
//在待注入的进程中申请空间 与上一章的函数相同
BOOL TagetAlloc(HANDLE hTargetProcess, LPVOID &lpAddr);
//将DLL路径写入申请的空间 与上一章的函数相同
BOOL WriteDLLToTarget(HANDLE hTargetProcess , LPVOID lpAddr , LPCWSTR lpBuffer);
//在目标进程中开辟线程 与上一章的函数相同
BOOL CreateThreadInTarget(HANDLE hTargetProcess , PTHREAD_START_ROUTINE pnfStartAddr , LPVOID lpAddr);
///CreateProcessInject.cpp
//与上一函数相同的函数就不再写到下列
//以Suspend打开目标进程
BOOL OpenTargetProcess(LPCWSTR ProcName , STARTUPINFO &st , PROCESS_INFORMATION &pi )
{
if( !CreateProcess(ProcName , NULL ,NULL , NULL , FALSE , CREATE_SUSPENDED , NULL , NULL , &st , &pi))
{
OutputDebugString(L"打开目标进程失败");
return FALSE;
}
return TRUE;
}
///main函数
void main()
{
PROCESS_INFORMATION stProcessInfo; // 存储进程信息的PROCESS_INFORMATION 结构体
::memset(&stProcessInfo, 0 ,sizeof(stProcessInfo)); //分配结构体内存
STARTUPINFO stStartUpInfo; //进程的主窗体显示信息的STARTUPINFO结构体
::memset(&stStartUpInfo, 0 ,sizeof(stStartUpInfo)); //分配结构体内存
stStartUpInfo.cb = sizeof(stStartUpInfo);
LPCWSTR ProcName; //目标进程地址名
LPVOID lpAddr; //目标进程申请内存空间的指针
LPCWSTR lpBuffer; //待注入的DLL路径
PTHREAD_START_ROUTINE pnfStartAddr ; //LoadLibrary地址
AdjustProcessTokenPrivilege();
ProcName = L"D:\\Program Files (x86)\\Notepad++\\notepad++.exe";
if( OpenTargetProcess(ProcName , stStartUpInfo , stProcessInfo ) == FALSE )
{
MessageBox(L"注入失败",L"提示",MB_OK);
return;
}
HANDLE hTargetProcess= stProcessInfo.hProcess; //目标进程的句柄
if( TagetAlloc(hTargetProcess , lpAddr) == FALSE )
{
MessageBox(L"注入失败",L"提示",MB_OK);
return;
}
lpBuffer= TEXT("C:\\Users\\10178\\Desktop\\InjectDllFile.dll");
if(WriteDLLToTarget(hTargetProcess, lpAddr , lpBuffer)== FALSE )
{
MessageBox(L"注入失败",L"提示",MB_OK);
return;
}
HANDLE hTargetThread = stProcessInfo.hThread; //目标线程的句柄
//获取LoadLibrary地址
pnfStartAddr = (PTHREAD_START_ROUTINE) GetProcAddress(GetModuleHandle(TEXT("Kernel32")) , "LoadLibraryW");
if(pnfStartAddr == NULL)
{
OutputDebugString(L"获取LoadLibrary地址失败");
MessageBox(L"注入失败" , L"提示" , MB_OK);
return;
}
if( CreateThreadInTarget(hTargetProcess , pnfStartAddr , lpAddr) == FALSE)
{
MessageBox(L"注入失败",L"提示",MB_OK);
return;
}
//恢复注入的目标线程挂起状态
ResumeThread(hTargetThread);
}
这种注入方式有很多好处,在应用程序开始执行之前得到地址空间,这种方法同时适用于控制台应用程序和GUI应用程序。但根据步骤可以看出这种方法的局限性,只有当我们的代码可以在父进程中调用,才可以使用这种方法进行注入。
来源:CSDN
作者:手拿肉的美女剑豪
链接:https://blog.csdn.net/qq_38493448/article/details/104006521