[已解决]创建远程线程后进程异常退出

玛丽亚在伯大尼

运行环境WIN10 x64,尝试使用CreateRemoteThread在计算器中创建远程进程后，计算器程序直接异常退出。。GetLastError的返回值为0（差不多是没能找到错误）
想请教以下各位大佬程序为啥会异常退出
以下是代码：

1. #include<stdio.h>
   
2. #include<windows.h>
   
3. HWND window_handle;
   
4. void t_main();
   
5. void t_end();
   
6. int main()
   
7. {
   
8.         HANDLE process_handle;
   
9.         HANDLE thread_handle=0;
   
10.         DWORD process_ID;
    
11.         DWORD64 thread_address;
    
12.         DWORD thread_ID;
    
13.         BOOL result;
    
14.         int code_size=(LPBYTE)t_end-(LPBYTE)t_main;
    
15.         printf("待嵌入的代码大小为：%d字节\n",code_size);
    
16. 
    
17.         window_handle = FindWindow(NULL, "计算器");
    
18.         printf("获取到的窗口句柄为0x%X\n",window_handle);
    
19. 
    
20.         GetWindowThreadProcessId(window_handle,&process_ID);
    
21.         process_handle=OpenProcess(PROCESS_ALL_ACCESS,FALSE,process_ID);
    
22.         printf("获取到的进程句柄为0x%X\n", process_handle);
    
23. 
    
24.         thread_address = VirtualAllocEx(process_handle,NULL,code_size,MEM_COMMIT,PAGE_EXECUTE_READ);
    
25.         printf("申请到的进程中合适的地址为：0x%X\n",thread_address);
    
26. 
    
27.         result = WriteProcessMemory(process_handle,thread_address,&t_main,code_size,NULL);
    
28.         if (result != 0)
    
29.         {
    
30.                 printf("在内存中写入数据成功！\n");
    
31.         }
    
32.         else
    
33.         {
    
34.                 printf("在内存中写入数据失败。\n");
    
35.         }
    
36.         thread_handle = CreateRemoteThread(process_handle,NULL,0,thread_address,NULL,0,NULL);
    
37.         printf("创建的线程句柄为0x%X\n", thread_handle);
    
38. 
    
39. //        CloseHandle(window_handle);
    
40. //        CloseHandle(process_handle);
    
41. //        CloseHandle(thread_handle);
    
42.         if (GetLastError())
    
43.         {
    
44.                 printf("出现错误，错误代码为：%d\n", GetLastError());   //运行下来返回值为0
    
45.         }
    
46.         getchar();
    
47. }
    
48. 
    
49. static void t_main()
    
50. {
    
51.         MessageBox(window_handle, "成功！","无",NULL);
    
52. }
    
53. static void t_end()
    
54. {
    
55.         ;
    
56. }
    
57. 
    

复制代码

最佳答案

月排行榜 / 总排行榜

人造人

2022-9-10 16:48:30

问你，当前进程的MessageBox地址和目标进程的MessageBox地址一样吗？不一样？那你为什么在目标进程中使用当前进程的MessageBox地址？
在目标进程中如何使用MessageBox ？
LoadLibrary和GetProcAddress了解一下

1. #include <stdio.h>
   
2. #include <windows.h>
   
3. #include <psapi.h>
   
4. 
   
5. HWND window_handle;
   
6. 
   
7. static DWORD WINAPI t_main(LPVOID lpParameter) {
   
8.     void *(*parameter)[2] = (void *)lpParameter;
   
9.     HMODULE (*LoadLibraryA)(LPCSTR lpLibFileName) = (*parameter)[0];
   
10.     FARPROC (*GetProcAddress)(HMODULE hModule, LPCSTR lpProcName) = (*parameter)[1];
    
11.     const char str_kernel32[] = "kernel32.dll";
    
12.     HMODULE kernel32 = LoadLibraryA(str_kernel32);
    
13.     const char str_user32[] = "user32.dll";
    
14.     HMODULE user32 = LoadLibraryA(str_user32);
    
15.     const char str_FreeLibrary[] = "FreeLibrary";
    
16.     BOOL (*FreeLibrary)(HMODULE hLibModule) = (void *)GetProcAddress(kernel32, str_FreeLibrary);
    
17.     const char str_MessageBoxA[] = "MessageBoxA";
    
18.     int (*MessageBoxA)(HWND hWnd, LPCTSTR lpText, LPCTSTR lpCaption, UINT uType) = (void *)GetProcAddress(user32, str_MessageBoxA);
    
19.     const char str_ok[] = "ok!";
    
20.     const char str_none[] = "none";
    
21.     MessageBoxA(NULL, str_ok, str_none, MB_OK);
    
22.     FreeLibrary(user32);
    
23.     FreeLibrary(kernel32);
    
24.     return 123;
    
25. }
    
26. 
    
27. static void WINAPI t_end(void) {}
    
28. 
    
29. static void *find_proc_address(HANDLE hProcess, const char *proc_name) {
    
30.     HMODULE hMods[1024];
    
31.     DWORD cbNeeded;
    
32.     if(!EnumProcessModules(hProcess, hMods, sizeof(hMods), &cbNeeded)) return NULL;
    
33.     for(size_t i = 0; i < cbNeeded / sizeof(HMODULE); ++i) {
    
34.         FARPROC proc = GetProcAddress(hMods[i], proc_name);
    
35.         if(proc) return proc;
    
36.     }
    
37.     return NULL;
    
38. }
    
39. 
    
40. int main(void) {
    
41.     HANDLE process_handle;
    
42.     HANDLE thread_handle = 0;
    
43.     DWORD process_ID;
    
44.     LPVOID thread_address;
    
45.     BOOL result;
    
46.     int code_size = (LPBYTE)t_end - (LPBYTE)t_main;
    
47.     printf("待嵌入的代码大小为：%d字节\n", code_size);
    
48.     window_handle = FindWindowW(NULL, L"计算器");
    
49.     printf("获取到的窗口句柄为%p\n", window_handle);
    
50. 
    
51.     GetWindowThreadProcessId(window_handle, &process_ID);
    
52.     process_handle = OpenProcess(PROCESS_ALL_ACCESS, FALSE, process_ID);
    
53.     printf("获取到的进程句柄为%p\n", process_handle);
    
54. 
    
55.     thread_address = VirtualAllocEx(process_handle, NULL, code_size, MEM_COMMIT, PAGE_EXECUTE_READ);
    
56.     printf("申请到的进程中合适的地址为：%p\n", thread_address);
    
57. 
    
58.     result = WriteProcessMemory(process_handle, thread_address, t_main, code_size, NULL);
    
59.     if (result != 0) printf("在内存中写入数据成功！\n");
    
60.     else printf("在内存中写入数据失败。\n");
    
61. 
    
62.     void *parameter[2] = {find_proc_address(process_handle, "LoadLibraryA"), find_proc_address(process_handle, "GetProcAddress")};
    
63.     LPVOID thread_parameter = VirtualAllocEx(process_handle, NULL, sizeof(parameter), MEM_COMMIT, PAGE_READWRITE);
    
64.     WriteProcessMemory(process_handle, thread_parameter, &parameter, sizeof(parameter), NULL);
    
65. 
    
66.     thread_handle = CreateRemoteThread(process_handle, NULL, 0, thread_address, thread_parameter, 0, NULL);
    
67.     printf("创建的线程句柄为%p\n", thread_handle);
    
68. 
    
69.     WaitForSingleObject(thread_handle, INFINITE);
    
70.     DWORD ExitCode;
    
71.     GetExitCodeThread(thread_handle, &ExitCode);
    
72.     printf("ExitCode: %u\n", ExitCode);
    
73. 
    
74.     CloseHandle(thread_handle);
    
75.     VirtualFreeEx(process_handle, thread_parameter, 0, MEM_RELEASE);
    
76.     VirtualFreeEx(process_handle, thread_address, 0, MEM_RELEASE);
    
77.     CloseHandle(process_handle);
    
78.     return 0;
    
79. }
    

复制代码

跳转到最佳答案楼层

人造人

问你，当前进程的MessageBox地址和目标进程的MessageBox地址一样吗？不一样？那你为什么在目标进程中使用当前进程的MessageBox地址？
在目标进程中如何使用MessageBox ？
LoadLibrary和GetProcAddress了解一下

1. #include <stdio.h>
   
2. #include <windows.h>
   
3. #include <psapi.h>
   
4. 
   
5. HWND window_handle;
   
6. 
   
7. static DWORD WINAPI t_main(LPVOID lpParameter) {
   
8.     void *(*parameter)[2] = (void *)lpParameter;
   
9.     HMODULE (*LoadLibraryA)(LPCSTR lpLibFileName) = (*parameter)[0];
   
10.     FARPROC (*GetProcAddress)(HMODULE hModule, LPCSTR lpProcName) = (*parameter)[1];
    
11.     const char str_kernel32[] = "kernel32.dll";
    
12.     HMODULE kernel32 = LoadLibraryA(str_kernel32);
    
13.     const char str_user32[] = "user32.dll";
    
14.     HMODULE user32 = LoadLibraryA(str_user32);
    
15.     const char str_FreeLibrary[] = "FreeLibrary";
    
16.     BOOL (*FreeLibrary)(HMODULE hLibModule) = (void *)GetProcAddress(kernel32, str_FreeLibrary);
    
17.     const char str_MessageBoxA[] = "MessageBoxA";
    
18.     int (*MessageBoxA)(HWND hWnd, LPCTSTR lpText, LPCTSTR lpCaption, UINT uType) = (void *)GetProcAddress(user32, str_MessageBoxA);
    
19.     const char str_ok[] = "ok!";
    
20.     const char str_none[] = "none";
    
21.     MessageBoxA(NULL, str_ok, str_none, MB_OK);
    
22.     FreeLibrary(user32);
    
23.     FreeLibrary(kernel32);
    
24.     return 123;
    
25. }
    
26. 
    
27. static void WINAPI t_end(void) {}
    
28. 
    
29. static void *find_proc_address(HANDLE hProcess, const char *proc_name) {
    
30.     HMODULE hMods[1024];
    
31.     DWORD cbNeeded;
    
32.     if(!EnumProcessModules(hProcess, hMods, sizeof(hMods), &cbNeeded)) return NULL;
    
33.     for(size_t i = 0; i < cbNeeded / sizeof(HMODULE); ++i) {
    
34.         FARPROC proc = GetProcAddress(hMods[i], proc_name);
    
35.         if(proc) return proc;
    
36.     }
    
37.     return NULL;
    
38. }
    
39. 
    
40. int main(void) {
    
41.     HANDLE process_handle;
    
42.     HANDLE thread_handle = 0;
    
43.     DWORD process_ID;
    
44.     LPVOID thread_address;
    
45.     BOOL result;
    
46.     int code_size = (LPBYTE)t_end - (LPBYTE)t_main;
    
47.     printf("待嵌入的代码大小为：%d字节\n", code_size);
    
48.     window_handle = FindWindowW(NULL, L"计算器");
    
49.     printf("获取到的窗口句柄为%p\n", window_handle);
    
50. 
    
51.     GetWindowThreadProcessId(window_handle, &process_ID);
    
52.     process_handle = OpenProcess(PROCESS_ALL_ACCESS, FALSE, process_ID);
    
53.     printf("获取到的进程句柄为%p\n", process_handle);
    
54. 
    
55.     thread_address = VirtualAllocEx(process_handle, NULL, code_size, MEM_COMMIT, PAGE_EXECUTE_READ);
    
56.     printf("申请到的进程中合适的地址为：%p\n", thread_address);
    
57. 
    
58.     result = WriteProcessMemory(process_handle, thread_address, t_main, code_size, NULL);
    
59.     if (result != 0) printf("在内存中写入数据成功！\n");
    
60.     else printf("在内存中写入数据失败。\n");
    
61. 
    
62.     void *parameter[2] = {find_proc_address(process_handle, "LoadLibraryA"), find_proc_address(process_handle, "GetProcAddress")};
    
63.     LPVOID thread_parameter = VirtualAllocEx(process_handle, NULL, sizeof(parameter), MEM_COMMIT, PAGE_READWRITE);
    
64.     WriteProcessMemory(process_handle, thread_parameter, &parameter, sizeof(parameter), NULL);
    
65. 
    
66.     thread_handle = CreateRemoteThread(process_handle, NULL, 0, thread_address, thread_parameter, 0, NULL);
    
67.     printf("创建的线程句柄为%p\n", thread_handle);
    
68. 
    
69.     WaitForSingleObject(thread_handle, INFINITE);
    
70.     DWORD ExitCode;
    
71.     GetExitCodeThread(thread_handle, &ExitCode);
    
72.     printf("ExitCode: %u\n", ExitCode);
    
73. 
    
74.     CloseHandle(thread_handle);
    
75.     VirtualFreeEx(process_handle, thread_parameter, 0, MEM_RELEASE);
    
76.     VirtualFreeEx(process_handle, thread_address, 0, MEM_RELEASE);
    
77.     CloseHandle(process_handle);
    
78.     return 0;
    
79. }
    

复制代码

玛丽亚在伯大尼

人造人 发表于 2022-9-10 16:48
问你，当前进程的MessageBox地址和目标进程的MessageBox地址一样吗？不一样？那你为什么在目标进程中使用当 ...

大佬，顺便问一句，你在电脑上尝试给进程创建远程线程时，进程会异常终止吗

人造人

玛丽亚在伯大尼 发表于 2022-9-10 18:15
大佬，顺便问一句，你在电脑上尝试给进程创建远程线程时，进程会异常终止吗

用你的代码会，我改的代码不会

玛丽亚在伯大尼

人造人 发表于 2022-9-10 18:21
用你的代码会，我改的代码不会

跪求大佬解答，运行修改好的代码出现了一样的问题显示ExitCode: 3221225477

人造人

玛丽亚在伯大尼 发表于 2022-9-10 19:40
跪求大佬解答，运行修改好的代码出现了一样的问题显示ExitCode: 3221225477

那就调试程序么，下断点，一条语句一条语句执行程序，看返回值，看看在哪一行的返回值有问题

玛丽亚在伯大尼

人造人 发表于 2022-9-10 19:44
那就调试程序么，下断点，一条语句一条语句执行程序，看返回值，看看在哪一行的返回值有问题

折腾了一天，发现只要远程线程中存在函数调用行为（确定好了地址的）就会出现0xC0000005错误，然后进程异常终止，但是只要没有调用函数，啥问题都没有。不管是我后来写的，还是大佬你给的代码都会出现这样的问题。。敢问大佬，这可能是运行环境的问题吗（win10,vs2017,其他什么没乱动过）

人造人

玛丽亚在伯大尼 发表于 2022-9-11 22:54
折腾了一天，发现只要远程线程中存在函数调用行为（确定好了地址的）就会出现0xC0000005错误，然后进程异 ...

你什么时候有时间，远程给你调试一下？
qq：1440332527

人造人

玛丽亚在伯大尼 发表于 2022-9-11 22:54
折腾了一天，发现只要远程线程中存在函数调用行为（确定好了地址的）就会出现0xC0000005错误，然后进程异 ...

不应该，重定位过地址的函数是可以调用的，不能调用函数，说明函数的地址没有进行重定位

玛丽亚在伯大尼

人造人 发表于 2022-9-11 23:15
不应该，重定位过地址的函数是可以调用的，不能调用函数，说明函数的地址没有进行重定位

最后想不出什么办法，干脆写个程序自己打印MessageBoxA在其中的函数地址，然后在远程线程中使用汇编来调用函数。虽然最终成了，但是还是有一些奇怪的局限性。。
(试过C语言直接改写函数地址然后调用，会出错)

1. static void t_main()
   
2. {
   
3.         _asm {
   
4.         push 0x0                                //MB_OK
   
5.         push 0x4FF85C                        //正文的字符串地址
   
6.         push 0x4FF84C                        //标题的字符串地址
   
7.         push 0x0                                //父窗口句柄
   
8.         mov edi, 0x77A809A0                //MessageBoxA地址，这里很奇怪，直接call 0x77A809A0会出现之前一样的错误。。
   
9.         call edi                                //不知道为啥只有这样写才成功？
   
10.         }
    
11.         return 0;
    
12. }
    
13. 
    
14. static void t_end()
    
15. {
    
16.         ;
    
17. }

复制代码

人造人

玛丽亚在伯大尼 发表于 2022-9-12 09:37
最后想不出什么办法，干脆写个程序自己打印MessageBoxA在其中的函数地址，然后在远程线程中使用汇编来调 ...

我倒是想看看，你那边用我改的程序还不能运行，究竟错哪了

玛丽亚在伯大尼

终于改出来一个能用的了 此贴该完结了。

1. #include <stdio.h>
   
2. #include <windows.h>
   
3. #include <psapi.h>
   
4. 
   
5. HWND window_handle;
   
6. 
   
7. static DWORD WINAPI t_main(LPVOID lpParameter) {        //前一个参数的第一个元素是LoadLibraryA的地址，第二个元素是GetProcAddress的地址，第三个元素是字符串资源地址
   
8.         void *(*parameter)[3] = (void *)lpParameter;
   
9.         HMODULE(*LoadLibraryA)(LPCSTR lpLibFileName);
   
10.         LoadLibraryA = (*parameter)[0];
    
11.         FARPROC(*GetProcAddress)(HMODULE hModule, LPCSTR lpProcName);
    
12.         GetProcAddress = (*parameter)[1];
    
13. 
    
14.         char* str_addr = (*parameter)[2];
    
15.         char* str_kernel32 = str_addr;
    
16.         HMODULE kernel32 = LoadLibraryA(str_kernel32);
    
17. 
    
18.         char* str_user32 = (str_addr += 13);
    
19.         HMODULE user32 = LoadLibraryA(str_user32);
    
20. 
    
21.         char* str_FreeLibrary = (str_addr += 11);
    
22.         BOOL(*FreeLibrary)(HMODULE hLibModule);
    
23.         FreeLibrary = (void *)GetProcAddress(kernel32, str_FreeLibrary);
    
24. 
    
25.         char* str_MessageBoxA = (str_addr += 12);
    
26.         int(*MessageBoxA)(HWND hWnd, LPCTSTR lpText, LPCTSTR lpCaption, UINT uType);
    
27.         MessageBoxA        = (void *)GetProcAddress(user32, str_MessageBoxA);
    
28. 
    
29.         char* str_text = (str_addr += 12);
    
30.         char* str_title = (str_addr += 7);
    
31.         MessageBoxA(0, str_text, str_title, 0);
    
32.         FreeLibrary(user32);
    
33.         FreeLibrary(kernel32);
    
34.         return 0;
    
35. }
    
36. 
    
37. static void WINAPI t_end(void) {}
    
38. 
    
39. static void *find_proc_address(HANDLE hProcess, const char *proc_name) {
    
40.         HMODULE hMods[1024];
    
41.         DWORD cbNeeded;
    
42.         if (!EnumProcessModules(hProcess, hMods, sizeof(hMods), &cbNeeded)) return NULL;
    
43.         for (size_t i = 0; i < cbNeeded / sizeof(HMODULE); ++i) {
    
44.                 FARPROC proc = GetProcAddress(hMods[i], proc_name);
    
45.                 if (proc) return proc;
    
46.         }
    
47.         return NULL;
    
48. }
    
49. 
    
50. int main(void) {
    
51.         HANDLE process_handle;
    
52.         HANDLE thread_handle = 0;
    
53.         DWORD process_ID;
    
54.         LPVOID thread_address;
    
55.         BOOL result;
    
56.         char str_resource[128] = "kernel32.dll\0user32.dll\0FreeLibrary\0MessageBoxA\0Hello?\0Greeting\0";
    
57.         int code_size = (LPBYTE)t_end - (LPBYTE)t_main;
    
58.         printf("待嵌入的代码大小为：%d字节\n", code_size);
    
59.         window_handle = FindWindowW(NULL, L"计算器");
    
60.         printf("获取到的窗口句柄为%p\n", window_handle);
    
61. 
    
62.         GetWindowThreadProcessId(window_handle, &process_ID);
    
63.         process_handle = OpenProcess(PROCESS_ALL_ACCESS, FALSE, process_ID);
    
64.         printf("获取到的进程句柄为%p\n", process_handle);
    
65. 
    
66.         thread_address = VirtualAllocEx(process_handle, NULL, code_size, MEM_COMMIT, PAGE_EXECUTE_READ);
    
67.         printf("申请到的进程中合适的地址为：%p\n", thread_address);
    
68. 
    
69.         result = WriteProcessMemory(process_handle, thread_address, t_main, code_size, NULL);
    
70.         if (result != 0) printf("在内存中写入数据成功！\n");
    
71.         else printf("在内存中写入数据失败。\n");
    
72. 
    
73.         LPVOID string_address = VirtualAllocEx(process_handle, NULL, sizeof(str_resource), MEM_COMMIT, PAGE_READWRITE);//将字符串资源载入进程
    
74.         WriteProcessMemory(process_handle, string_address, str_resource, 128, NULL);
    
75. 
    
76.         void *parameter[3] = { find_proc_address(process_handle, "LoadLibraryA"), find_proc_address(process_handle, "GetProcAddress"), string_address };
    
77.         LPVOID thread_parameter = VirtualAllocEx(process_handle, NULL, sizeof(parameter), MEM_COMMIT, PAGE_READWRITE);
    
78.         WriteProcessMemory(process_handle, thread_parameter, &parameter, sizeof(parameter), NULL);
    
79. 
    
80.         thread_handle = CreateRemoteThread(process_handle, NULL, 0, (LPTHREAD_START_ROUTINE)thread_address, thread_parameter, 0, NULL);
    
81.         printf("创建的线程句柄为%p\n", thread_handle);
    
82. 
    
83.         WaitForSingleObject(thread_handle, INFINITE);
    
84.         DWORD ExitCode;
    
85.         GetExitCodeThread(thread_handle, &ExitCode);
    
86.         printf("ExitCode: 0x%X\n", ExitCode);
    
87. 
    
88.         CloseHandle(thread_handle);
    
89.         VirtualFreeEx(process_handle, thread_parameter, 0, MEM_RELEASE);
    
90.         VirtualFreeEx(process_handle, thread_address, 0, MEM_RELEASE);
    
91.         CloseHandle(process_handle);
    
92.         return 0;
    
93. }
    

复制代码

玛丽亚在伯大尼

人造人 发表于 2022-9-12 10:57
我倒是想看看，你那边用我改的程序还不能运行，究竟错哪了

我发现在线程内定义的字符串会出问题，然后我把字符串作为资源写入进程中调用就没问题了。还有，把函数定义和函数地址设置写在一起也会有问题，我也不知道为啥，分开就没事。就这两点改一下线程就能正常运行，Exitcode=0，万事大吉。总而言之，这两个问题很奇怪，想不通。

人造人

玛丽亚在伯大尼 发表于 2022-9-12 15:07
我发现在线程内定义的字符串会出问题，然后我把字符串作为资源写入进程中调用就没问题了。还有，把函数定 ...

需要帮你调试一下吗？

玛丽亚在伯大尼

人造人 发表于 2022-9-12 15:11
需要帮你调试一下吗？

不用了，谢谢