Win7 CreateRemoteThread 另類使用方法

同樣的程式碼，在XP下面隨便你怎麼整，WIN7的話是相當糾結的，具體哪些錯誤就不解釋了 ~~

 

gg點了二十多頁，在韓國某大牛的部落格上總算找到一點思路（雖然看不懂韓文，但程式碼還算勉強看得懂吧）

 

原來是要用動態呼叫ntdll.dll >> NtCreateRemoteThreadEx ，於是over~~

 

說明：

１、InjectDll.exe   是注入DLL的EXE

２、dummy.dll       是一個普通DLL，載入後彈出MessageBox

 

下面是一個XP中遠端執行緒注入DLL的程式碼，在WIN7 +　OD除錯的例子：

 

 

看看錯誤資訊：

 

 

杯具了，接著看！ 重新執行OD除錯，bp CreateRemoteThread ：

 

 

看看CreateRemoteThread 中的幾個引數：

 

 

上圖重要標記的幾個引數：

(1) svchost.exe (PID: 3184) 控制程式碼

(2) kernel32.dll ! LoadLibarayA

(3) 在svchost中為C://Work//dummy.dll字串所分配的首地址

 

進入CreateRemoteThread ：

 

 

我們發現，實際上是呼叫kernelbase >> CreateRemoteThreadEx 函式。

 

(GG了這個DLL，原來是它是繼VISTA/WIN7之後額外的DLL，負責協助Kernel32.dll的呼叫！)

 

那我們看看這個函式呼叫棧中的引數吧：

 

 

 

發現與kernel32.dll >> CreateRemoteThread 引數一模一樣！

 

OK ！ 我們再繼續跟進kernelbase.dll >> CreateRemoteThreadEx ：

 

 

那我們看看這個函式呼叫棧中的引數吧：

 

 

OK，這算到底兒了，因為ntdll.dll >> ZwCreateThreadEx 已經執行到了核心程式碼，我們的OD沒辦法再除錯了！

 

於是請google sysenter吧！

 

特別說明，kernelbase.dll >> CreateRemoteThreadEx 是對 ntdll.dll >> ZwCreateThreadEx 的補充擴充套件！

 

那我們都得到這樣的結果 ：

 

 

ntdll.dll >> ZwCreateThreadEx 是未公開的API，MSDN、GG也很難找到相關資料！

 

下面是看看這個結構體虛擬碼：

 

typedef DWORD (WINAPI *PFNTCREATETHREADEX) ( PHANDLE ThreadHandle, ACCESS_MASK DesiredAccess, LPVOID ObjectAttributes, HANDLE ProcessHandle, LPTHREAD_START_ROUTINE lpStartAddress, LPVOID lpParameter, BOOL CreateSuspended, DWORD dwStackSize, DWORD dw1, DWORD dw2, LPVOID Unknown );

 

OK ，那剩下的我們只需要重寫CreateThreadEx 函式即可！

 

為了保證XP的相容，所以需要判斷一下OS版本，下面是完整的測試程式碼：

 

#include "windows.h" #include "stdio.h" #include "tchar.h" #pragma comment(lib,"Advapi32.lib") BOOL SetPrivilege(LPCTSTR lpszPrivilege, BOOL bEnablePrivilege) { TOKEN_PRIVILEGES tp; HANDLE hToken; LUID luid; if( !OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken) ) { _tprintf("OpenProcessToken error: %u/n", GetLastError()); return FALSE; } if( !LookupPrivilegeValue(NULL, lpszPrivilege, &luid) ) { _tprintf("LookupPrivilegeValue error: %u/n", GetLastError() ); return FALSE; } tp.PrivilegeCount = 1; tp.Privileges[0].Luid = luid; if( bEnablePrivilege ) tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED; else tp.Privileges[0].Attributes = 0; if( !AdjustTokenPrivileges(hToken, FALSE, &tp, sizeof(TOKEN_PRIVILEGES), (PTOKEN_PRIVILEGES) NULL, (PDWORD) NULL) ) { _tprintf("AdjustTokenPrivileges error: %u/n", GetLastError() ); return FALSE; } if( GetLastError() == ERROR_NOT_ALL_ASSIGNED ) { _tprintf("The token does not have the specified privilege. /n"); return FALSE; } return TRUE; } typedef DWORD (WINAPI *PFNTCREATETHREADEX) ( PHANDLE ThreadHandle, ACCESS_MASK DesiredAccess, LPVOID ObjectAttributes, HANDLE ProcessHandle, LPTHREAD_START_ROUTINE lpStartAddress, LPVOID lpParameter, BOOL CreateSuspended, DWORD dwStackSize, DWORD dw1, DWORD dw2, LPVOID Unknown ); BOOL IsVistaOrLater() { OSVERSIONINFO osvi; ZeroMemory(&osvi, sizeof(OSVERSIONINFO)); osvi.dwOSVersionInfoSize = sizeof(OSVERSIONINFO); GetVersionEx(&osvi); if( osvi.dwMajorVersion >= 6 ) return TRUE; return FALSE; } BOOL MyCreateRemoteThread(HANDLE hProcess, LPTHREAD_START_ROUTINE pThreadProc, LPVOID pRemoteBuf) { HANDLE hThread = NULL; FARPROC pFunc = NULL; if( IsVistaOrLater() ) // Vista, 7, Server2008 { pFunc = GetProcAddress(GetModuleHandle("ntdll.dl"), "NtCreateThreadEx"); if( pFunc == NULL ) { printf("MyCreateRemoteThread() : GetProcAddress(/"NtCreateThreadEx/") 呼叫失敗！錯誤程式碼: [%d]/n", GetLastError()); return FALSE; } ((PFNTCREATETHREADEX)pFunc)(&hThread, 0x1FFFFF, NULL, hProcess, pThreadProc, pRemoteBuf, FALSE, NULL, NULL, NULL, NULL); if( hThread == NULL ) { printf("MyCreateRemoteThread() : NtCreateThreadEx() 呼叫失敗！錯誤程式碼: [%d]/n", GetLastError()); return FALSE; } } else // 2000, XP, Server2003 { hThread = CreateRemoteThread(hProcess, NULL, 0, pThreadProc, pRemoteBuf, 0, NULL); if( hThread == NULL ) { printf("MyCreateRemoteThread() : CreateRemoteThread() 呼叫失敗！錯誤程式碼: [%d]/n", GetLastError()); return FALSE; } } if( WAIT_FAILED == WaitForSingleObject(hThread, INFINITE) ) { printf("MyCreateRemoteThread() : WaitForSingleObject() 呼叫失敗！錯誤程式碼: [%d]/n", GetLastError()); return FALSE; } return TRUE; } BOOL InjectDll(DWORD dwPID, char *szDllName) { HANDLE hProcess = NULL; LPVOID pRemoteBuf = NULL; FARPROC pThreadProc = NULL; DWORD dwBufSize = strlen(szDllName)+1; if ( !(hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID)) ) { printf("[錯誤] OpenProcess(%d) 呼叫失敗！錯誤程式碼: [%d]/n", dwPID, GetLastError()); return FALSE; } pRemoteBuf = VirtualAllocEx(hProcess, NULL, dwBufSize, MEM_COMMIT, PAGE_READWRITE); WriteProcessMemory(hProcess, pRemoteBuf, (LPVOID)szDllName, dwBufSize, NULL); pThreadProc = GetProcAddress(GetModuleHandle("kernel32.dl"), "LoadLibraryA"); if( !MyCreateRemoteThread(hProcess, (LPTHREAD_START_ROUTINE)pThreadProc, pRemoteBuf) ) { printf("[錯誤] CreateRemoteThread() 呼叫失敗！錯誤程式碼: [%d]/n", GetLastError()); return FALSE; } VirtualFreeEx(hProcess, pRemoteBuf, 0, MEM_RELEASE); CloseHandle(hProcess); return TRUE; } int main(int argc, char *argv[]) { SetPrivilege(SE_DEBUG_NAME, TRUE); // InjectDll.exe <PID> <dllpath> if( argc != 3 ) { printf("用法 : %s <程式PID> <dll路徑>/n", argv[0]); return 1; } if( !InjectDll((DWORD)atoi(argv[1]), argv[2]) ) { printf("InjectDll呼叫失敗！/n"); return 1; } printf("InjectDll呼叫成功！/n"); return 0; }

 

DLL就不貼了吧，有興趣的友友可以參考一下~~

 

<轉載請註明出處：   http://blog.csdn.net/wangningyu/archive/2011/05/31/6456607.aspx >