createthread函数详解_createremotethread

createthread函数详解_createremotethreadCreateRemoteThread和WriteProcessMemory技术示例程序:WinSpy另一种注入代码到其他进程地址空间的方法是使用WriteProcessMemoryAPI。这次你不用编写一个独立的DLL而是直接复制你的代码到远程进程(WriteProcessMemory)并用CreateRemoteThread执行之。让我们看一下CreateRemoteThread

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE使用 1年只要46元 售后保障 童叟无欺

CreateRemoteThread和WriteProcessMemory技术

示例程序:WinSpy

另一种注入代码到其他进程地址空间的方法是使用WriteProcessMemory API。这次你不用编写一个独立的DLL而是直接复制你的代码到远程进程(WriteProcessMemory)并用CreateRemoteThread执行之。

让我们看一下CreateRemoteThread的声明:

HANDLE CreateRemoteThread( 
   HANDLE hProcess,         

//
 handle to process to create thread in 


   LPSECURITY_ATTRIBUTES lpThreadAttributes,   
//
 pointer to security
                                              

//
 attributes 


   DWORD dwStackSize,       
//
 initial thread stack size, in bytes 


   LPTHREAD_START_ROUTINE lpStartAddress,      
//
 pointer to thread 
                                              

//
 function 


   LPVOID lpParameter,      
//
 argument for new thread 


   DWORD dwCreationFlags,   
//
 creation flags 


   LPDWORD lpThreadId       
//
 pointer to returned thread identifier 


);

和CreateThread相比,有一下不同:
●增加了hProcess参数。这是要在其中创建线程的进程的句柄。
●CreateRemoteThread的lpStartAddress参数必须指向远程进程的地址空间中的函数。这个函数必须存在于远程进程中,所以我们不能简单地传递一个本地ThreadFucn的地址,我们必须把代码复制到远程进程。
●同样,lpParameter参数指向的数据也必须存在于远程进程中,我们也必须复制它。

现在,我们总结一下使用该技术的步骤:
1.   得到远程进程的HANDLE(OpenProcess)。
2.   在远程进程中为要注入的数据分配内存(VirtualAllocEx)、
3.   把初始化后的INJDATA结构复制到分配的内存中(WriteProcessMemory)。
4.   在远程进程中为要注入的数据分配内存(VirtualAllocEx)。
5.   把ThreadFunc复制到分配的内存中(WriteProcessMemory)。
6.   用CreateRemoteThread启动远程的ThreadFunc。
7.   等待远程线程的结束(WaitForSingleObject)。
8.   从远程进程取回指执行结果(ReadProcessMemory 或 GetExitCodeThread)。
9.   释放第2、4步分配的内存(VirtualFreeEx)。
10.   关闭第6、1步打开打开的句柄。

另外,编写ThreadFunc时必须遵守以下规则:
1.   ThreadFunc不能调用除kernel32.dll和user32.dll之外动态库中的API函数。只有kernel32.dll和user32.dll(如果被加载)可以保证在本地和目的进程中的加载地址是一样的。(注意:user32并不一定被所有的Win32进程加载!)参考附录A。如果你需要调用其他库中的函数,在注入的代码中使用LoadLibrary和GetProcessAddress强制加载。如果由于某种原因,你需要的动态库已经被映射进了目的进程,你也可以使用GetMoudleHandle代替LoadLibrary。同样,如果你想在ThreadFunc中调用你自己的函数,那么就分别复制这些函数到远程进程并通过INJDATA把地址提供给ThreadFunc。

2.   不要使用static字符串。把所有的字符串提供INJDATA传递。为什么?编译器会把所有的静态字符串放在可执行文件的“.data”段,而仅仅在代码中保留它们的引用(即指针)。这样,远程进程中的ThreadFunc就会执行不存在的内存数据(至少没有在它自己的内存空间中)。

3.   去掉编译器的/GZ编译选项。这个选项是默认的(看附录B)。
4.   要么把ThreadFunc和AfterThreadFunc声明为static,要么关闭编译器的“增量连接(incremental linking)”(看附录C)。
5.   ThreadFunc中的局部变量总大小必须小于4k字节(看附录D)。注意,当degug编译时,这4k中大约有10个字节会被事先占用。
6.   如果有多于3tch分支的case语句,必须像下面这样分割开,或用if-else if代替.

     case constant1: statement1; goto END;
     case constant2: statement2; goto END;
     case constant3: statement2; goto END;
}

     case constant4: statement4; goto END;
     case constant5: statement5; goto END;
     case constant6: statement6; goto END;
}
END:

 

=====简单的CreateRemoteThread例程-初学者必看

 

//
 _remotethreaddemo.cpp : Defines the entry point for the console application.

//
 Author:秋镇菜



#include 


stdafx.h


#include 


windows.h


//
 ========== 定义一个代码结构,本例为一个对话框============


struct
 MyData
{

 

char
 sz[
64
]; 
//
 对话框显示内容


 DWORD dwMessageBox; 
//
 对话框的地址


};


//
 ========== 远程线程的函数 ==============================


DWORD __stdcall RMTFunc(MyData 
*
pData)
{

 typedef 

int
(__stdcall
*
MMessageBox)(HWND,LPCTSTR,LPCTSTR,UINT);
 MMessageBox MsgBox 

=
 (MMessageBox)pData
->
dwMessageBox;
 MsgBox(NULL, pData

->
sz, NULL, MB_OK);
 

return
 
0
;
}

int
 main(
int
 argc, 
char
*
 argv[])
{


//
 ===== 获得需要创建REMOTETHREAD的进程句柄 ===============================


 HWND hWnd 
=
 FindWindow(

notepad

, NULL); 
//
 以NOTEPAD为例


 DWORD dwProcessId;
 ::GetWindowThreadProcessId(hWnd, 

&
dwProcessId);
 HANDLE hProcess 

=
 OpenProcess(
        PROCESS_ALL_ACCESS,
        FALSE,
        dwProcessId);


//
 ========= 代码结构 ================================================


 MyData data;
 ZeroMemory(

&
data, 
sizeof
 (MyData));
 strcat(data.sz, 


对话框的内容.

);
 HINSTANCE hUser 

=
 LoadLibrary(

user32.dll

);
 

if
 (
!
 hUser)
 {

  printf(


Can not load library.

);
  

return
 
0
;
 }
 data.dwMessageBox 

=
 (DWORD)GetProcAddress(hUser, 

MessageBoxA

);
 FreeLibrary(hUser);
 

if
 (
!
 data.dwMessageBox)
  

return
 
0
;


//
 ======= 分配空间 ===================================================


 
void
 
*
pRemoteThread
  

=
 VirtualAllocEx(hProcess, 
0
,
      

1024
*
4
, MEM_COMMIT
|
MEM_RESERVE,
      PAGE_EXECUTE_READWRITE);
 

if
 (
!
 pRemoteThread)
  

return
 
0
;
 

if
 (
!
 WriteProcessMemory(hProcess, pRemoteThread, 
&
RMTFunc, 
1024
*
4

0
))
  

return
 
0
;

 MyData 
*
pData
  

=
 (MyData
*
)VirtualAllocEx(hProcess, 
0
,
      

sizeof
 (MyData), MEM_COMMIT,
      PAGE_READWRITE);
 

if
 (
!
pData)
  

return
 
0
;

 
if
 (
!
 WriteProcessMemory(hProcess, pData, 
&
data, 
sizeof
 (MyData), 
0
))
  

return
 
0
;


//
 =========== 创建远程线程 ===========================================


 HANDLE hThread
  

=
 CreateRemoteThread(hProcess, 
0
,
       

0
, (LPTHREAD_START_ROUTINE)pRemoteThread,
       pData, 

0

0
);
 

if
 (
!
 hThread)
 {

  printf(


远程线程创建失败

);
  

return
 
0
;
 }
 CloseHandle(hThread);
 VirtualFreeEx(hProcess, pRemoteThread, 

1024
*
3
, MEM_RELEASE);
 VirtualFreeEx(hProcess, pData, 

sizeof
 (MyData), MEM_RELEASE);
 CloseHandle(hProcess);
 printf(


Hello World!

);
 

return
 
0
;
}

zhuangyu1982@hotmail.com: 我用你的程序在windows xp下运行, 弹出messagebox之后, 只要点击确定宿主进程就会崩溃。 
而且不止是messagebox,调用其它的api函数也是一样,请问这是什么原因?有什么办法可以解决吗? 

——————————————————–
 

编译成RELEASE版本就不会出错了,主要是DEBUG版本加了一个__chkesp的函数导致调用了非法地址 

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/194389.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • 二叉树的基本性质及证明

    二叉树的基本性质及证明性质1:一棵非空二叉树的第i层上最多有2^(i-1)个结点,(i>=1)。性质2:一棵深度为k的二叉树中,最多具有2^k-1个结点,最少有k个结点。性质3:对于一棵非空的二叉树,度为0的结点(即叶子结点)总比度为1的结点多一个,即叶子结点数为n0,度为2的结点数为n2,则有n0=n2+1。证明:如果n0表示度为0(即叶子结点)的结点数,用n1表示度为1的结点数,n2表示度为2的结点数,

  • cpu参数_CPU核心参数有哪些

    cpu参数_CPU核心参数有哪些文章目录CPU功能:CPU的组成:CPU参数:几个重要概念计算机的存储层次:RegisterCache睿频加速技术:超线程技术:CPU功能: 要完成一个任务,先编写一段程序,然后存入计算机主存。程序的代码就会翻译成一条条指令或数据字。cpu就会执行这些指令得到最终结果。读取指令要通过地址读取,地址保存在程序计数器中,读取的某个任务的全部指令会放入指令寄存器等待处理,cpu每次从中读取一条指令或…

    2022年10月31日
  • TCPDF_TCP ACK

    TCPDF_TCP ACK新建一个文档对象$pdf=newTCPDF(PDF_PAGE_ORIENTATION,PDF_UNIT,PDF_PAGE_FORMAT,true,’UTF-8′,false);页面记得也设为utf-8 AddPage();新建一个pdf文档页面。Image($file,$x,$y,$w,$h,$type,$link,$align…

  • 测试用例八大要素及额外十小要素

    测试用例八大要素及额外十小要素测试用例八大要素1.测试用例编号由字母、字符、数字组合而成的字符串,有唯一性,易识别性。eg:1)系统测试:产品编号-ST-系统测试项名-系统测试子项名-编号2)集成测试:产品编号-IT-集成测试项名-集成测试子项名-编号3)单元测试:产品编号-UT-单元测试项名-单元测试子项名-编号这样看到编号就可以知道是做的什么测试,测试的对象是什么,也方便维护。 2.测…

  • ubuntu 16.04 更改系统语言为简体中文[通俗易懂]

    ubuntu 16.04 更改系统语言为简体中文[通俗易懂]使用VMwareWorkstation安装64位ubuntu16.04系统,系统默认使用英文,而使用virtualbox安装,可以选择使用简体中文作为系统语言。由于英文水平有限,所以使用简体中文作为系统语言。下面是VMwareWorkstation安装的ubuntu16.04的系统语言由英文改为中文的教程。前前后后折腾的不轻,也许是水平问题吧。注意:里面有一个坑,勾选简体中文的同时…

  • Fibers_fiber bundle

    Fibers_fiber bundle要理解Fibers首先需要对抢占式多任务和协作式多任务有所了解抢占式多任务抢占式是指暂停或中断正在执行的计算任务,而不是与其合作。中断后再继续恢复该任务的执行,这种改变又称为上下文切换。其缺点在于操作系统可能会在一个不适当的时间进行上下文切换。例如:Linux的调度程序特权任务Scheduler采用的就是取消进程任务,而不是与其合作。协作式多任务早期的多任务处理系…

    2022年10月22日

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号