CreateRemoteThread

lm68140318 · 发表于 2023-5-25 08:08:59

马上注册，结交更多好友，享用更多功能^_^

您需要登录才可以下载或查看，没有账号？立即注册

x

// Project1.cpp : 定义应用程序的入口点。
//
#include "framework.h"
#include "Project1.h"
int APIENTRY wWinMain(_In_ HINSTANCE hInstance,
_In_opt_ HINSTANCE hPrevInstance,
_In_ LPWSTR lpCmdLine,
_In_ int nCmdShow)
{
BOOL b=Inject(_T("D:\\bb\\Project1\\Debug\\MFCdll.dll"), 100616);//调用函数
return 0;
}
BOOL Inject(LPCTSTR szModule, DWORD dwID) { //在目标进程中装载dll
HANDLE process = OpenProcess(PROCESS_QUERY_INFORMATION |PROCESS_VM_OPERATION | PROCESS_CREATE_THREAD |PROCESS_VM_READ | PROCESS_VM_WRITE | PROCESS_QUERY_INFORMATION, FALSE, dwID);
if (!process) {
return FALSE;
}
int cByte = (_tcslen(szModule)+1)*sizeof(TCHAR);
//dll路径的字节数
LPVOID pAddr = VirtualAllocEx(process,NULL, cByte, MEM_COMMIT, PAGE_READWRITE);
if (!pAddr || !WriteProcessMemory(process, pAddr, szModule, cByte,NULL)) {
return FALSE;
}
PTHREAD_START_ROUTINE pfnStartAddr =(PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle(_T("Kernel32")), "LoadLibraryW");
//获取Kernel32动态链接库中LoadLibraryW函数的地址
if (!pfnStartAddr) {
return FALSE;
}
DWORD dwThreadID = 0;
HANDLE hRemoteThread = CreateRemoteThread(process,NULL,0, pfnStartAddr, pAddr,0,&dwThreadID);//创建远程线程
/*
【在目标进程中装载dll】
参数1：HANDLE hProcess 线程所属进程的进程句柄
该句柄必须具有 PROCESS_CREATE_THREAD, PROCESS_QUERY_INFORMATION, PROCESS_VM_OPERATION, PROCESS_VM_WRITE,和PROCESS_VM_READ 访问权限
参数2：LPSECURITY_ATTRIBUTES lpThreadAttributes 一个指向 SECURITY_ATTRIBUTES 结构的指针, 该结构指定了线程的安全属性
参数3：SIZE_T dwStackSize 线程栈初始大小,以字节为单位,如果该值设为0,那么使用系统默认大小
参数4：LPTHREAD_START_ROUTINE lpStartAddress 在远程进程的地址空间中,该线程的线程函数的起始地址
参数5：LPVOID lpParameter 传给线程函数的参数
参数6：DWORD dwCreationFlags 线程的创建标志
0 线程创建后立即运行
CREATE_SUSPENDED=0x00000004 线程创建后先将线程挂起,直到 ResumeThread 被调用
STACK_SIZE_PARAM_IS_A_RESERVATION=0x00010000 dwStackSize 参数指定为线程栈预订大小,如果STACK_SIZE_PARAM_IS_A_RESERVATION没有被指定,dwStackSize 参数指定为线程栈分配大小.
参数7：LPDWORD lpThreadId 指向新创建线程ID的指针,如果创建失败,该参数为NULL
返回值:成功返回新线程句柄，失败返回NULL
*/
if (!hRemoteThread) {
return FALSE;
}
CloseHandle(hRemoteThread);
CloseHandle(process);
return TRUE;
}

复制代码

上面代码是进程注入代码，hRemoteThread返回值为NULL，其余不为NULL ??
能够远程dll有什么要求吗？？？

isdkz · 发表于 2023-5-25 08:09:35

hRemoteThread返回值为NULL可能是因为CreateRemoteThread函数调用失败。这可能是由于以下原因之一导致的：

1. 目标进程的句柄无效或不具备足够的权限。在此代码中，我们使用了PROCESS_CREATE_THREAD、PROCESS_QUERY_INFORMATION、PROCESS_VM_OPERATION、PROCESS_VM_WRITE和PROCESS_VM_READ访问权限。请确保您的进程有这些权限。

2. 函数参数错误。请确保您正确传递了所有必需的参数并且它们的类型和值正确。

3. 目标进程已经崩溃或终止。在这种情况下，您需要重新启动该进程并尝试再次注入DLL。

至于能够远程加载DLL的要求，主要是目标进程必须具有足够的权限和允许加载DLL的设置。如果目标进程是由管理员启动的，则可能需要以管理员身份运行注入程序。另外，如果目标进程使用了安全软件或防病毒软件，则可能会阻止远程加载DLL。

love_V · 发表于 2023-7-17 04:39:29

////////////////////////////////////////////////////////////////////////////////////
BOOL WINAPI ModuleInJectRemoteThread32(IN HWND hwndDlg, IN DWORD dwProcessID, IN LPTSTR szDllPath)
{
////////////////////////////////////////////////////////
// 利用远程线程实现模块注入
////////////////////////////////////////////////////////
if (!dwProcessID)
{
::MessageBox(hwndDlg, TEXT("PID的值不能为空"), TEXT("失败"), MB_ICONWARNING);
return RETURN_ERROR;
}
if (!_tcscmp(szDllPath, TEXT("")))
{
::MessageBox(hwndDlg, TEXT("请先选择要注入的模块"), TEXT("失败"), MB_ICONWARNING);
return RETURN_ERROR;
}
HANDLE hProcess = ::OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessID);
if (!hProcess)
{
::MessageBox(hwndDlg, TEXT("获取进程句柄失败"), TEXT("失败"), MB_ICONWARNING);
return RETURN_ERROR;
}
// 得到字符串的长度
DWORD dwLength = ::_tcslen(szDllPath);
// 在目标进程中申请此长度的空间
LPVOID lpBaseAddress = ::VirtualAllocEx(hProcess, NULL, dwLength * 2, MEM_RESERVE | MEM_COMMIT, PAGE_EXECUTE_READWRITE);
if (!lpBaseAddress)
{
::MessageBox(hwndDlg, TEXT("在其它进程中申请空间失败"), TEXT("失败"), MB_ICONWARNING);
return RETURN_ERROR;
}
// 将字符串写入到目标进程中
if (!WriteProcessMemory(hProcess, lpBaseAddress, szDllPath, dwLength * 2, NULL))
{
::MessageBox(hwndDlg, TEXT("内存写入失败"), TEXT("失败"), MB_ICONWARNING);
goto cleanup;
}
HANDLE hThreadGetModuleHandle = ::CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)&GetModuleHandle, lpBaseAddress, 0, NULL);
if (!hThreadGetModuleHandle)
{
::MessageBox(hwndDlg, TEXT("获取模块句柄远程线程创建失败"), TEXT("失败"), MB_ICONWARNING);
goto cleanup;
}
// 等待远程线程执行完毕
::WaitForSingleObject(hThreadGetModuleHandle, INFINITE);
// 获取到模块句柄
DWORD dwHGetModuleHandle = NULL;
if (!GetExitCodeThread(hThreadGetModuleHandle, &dwHGetModuleHandle))
{
::MessageBox(hwndDlg, TEXT("获取模块句柄失败"), TEXT("失败"), MB_ICONWARNING);
goto cleanup;
}
// 检查是否此模块已经被加载
if (dwHGetModuleHandle)
{
::MessageBox(hwndDlg, TEXT("模块已经加载"), TEXT("失败"), MB_ICONWARNING);
goto cleanup;
}
HANDLE hLoadLibrary = ::CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)&LoadLibrary, lpBaseAddress, 0, NULL);
if (!hLoadLibrary)
{
::MessageBox(hwndDlg, TEXT("远程线程创建失败"), TEXT("失败"), MB_ICONWARNING);
goto cleanup;
}
// 等待远程线程执行完毕
::WaitForSingleObject(hLoadLibrary, INFINITE);
// 获取到加载到目标进程中的模块句柄
DWORD dwHLoadLibrary = NULL;
if (!GetExitCodeThread(hLoadLibrary, &dwHLoadLibrary))
{
::MessageBox(hwndDlg, TEXT("获取远程线程退出码失败"), TEXT("失败"), MB_ICONWARNING);
goto cleanup;
}
if (!dwHLoadLibrary)
{
::MessageBox(hwndDlg, TEXT("获取模块句柄失败"), TEXT("失败"), MB_ICONWARNING);
goto cleanup;
}
::MessageBox(hwndDlg, TEXT("注入成功"), TEXT("成功"), MB_ICONINFORMATION);
cleanup:
// 释放为DLL名字申请的空间
if (!VirtualFreeEx(hProcess, lpBaseAddress, dwLength * 2, MEM_DECOMMIT))
{
::MessageBox(hwndDlg, TEXT("DLL名称空间释放失败"), TEXT("失败"), MB_ICONWARNING);
return RETURN_ERROR;
}
// 关闭进程句柄
if (!CloseHandle(hProcess))
{
::MessageBox(hwndDlg, TEXT("关闭句柄失败"), TEXT("失败"), MB_ICONWARNING);
return RETURN_ERROR;
}
return RETURN_SUCCESS;
}
// 以前写的一个小程序里的一段, 如果目标进程没有保护应该是能注入的

[注意,32位程序只能注32位进程 64位注64位]

账号		自动登录	找回密码
密码			立即注册