32位进程注入64位进程和32位进程.zip_32注入64_64注入_64位注入_processinject

共1个文件

pdf：1个

版权申诉

64位注入

进程注入

54 浏览量 2022-07-14 10:02:04 上传评论收藏 411KB ZIP 举报

资源详情

资源评论

资源推荐

收起资源包目录

32位进程注入64位进程和32位进程.zip （1个子文件）

32位进程注入64位进程和32位进程.pdf 443KB

Win7 64 下 32 位进程注入 64 位进程和 32

位进程

1. 32 位进程注入 32 位 dll 到 32 位进程

win7 以来 CreateRemoteThread 加入了 session 隔离的概念，因此单纯的调用

CreateRemoteThread 会在某些情况下出错。解决办法是调用比 CreateRemoteThread 更底层的

NtCreateThread。具体见代码了。至于 NtCreateThread 的一个参数为什么是 0x1fffff, windbg

调试 CreateRemoteThread 在 NtCreateThread 下个断点，看参数就知道了，它就在那里，没有

为什么。

代码在这里：

http://blog.csdn.net/wxdvc/article/details/8116193

原理：

远程线程注入是这样的,首先在当前运行的进程中找到目标进程，然后将我们的 dll 的内容写

入目标进程的私有空间中，最后通过关键的 API：CreateRemoteThread 创建线程。该线程

只执行一个任务：loadlibrary 加载我们的 dll。

下面通过实例解释，例子中注入的进程是“explorer.exe”（个人认为玩弄这个进程异常的舒

爽~~~~吼吼吼吼~~~~~~）

具体实现：

1.找到目标

原理简单，我们首先获得目前时刻正在运行的进程的列表，然后通过遍历搜索，找到列表中

我们想要的进程，然后记录下进程的 ID 号。

hProcessSnap=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);

这个函数用来获得当前进程的快照。（啪！说人话！）哦，就是获得当前进程的列表啊。

然后通过下面的代码按顺序遍历这个列表，通过字符串对比，找到我们的目标：explorer.exe。

上代码！

[cpp] view plaincopy

1. //获取目标进程的 ID

2. if(Process32First(hProcessSnap,&pe32)) //获取第一个进程

3. {

4. do{

5. char te[MAX_PATH];

6. strcpy(te,pe32.szExeFile);

7. if(strcmp(te, INJECT_PROCESS_NAME) == 0)

8. {

9. dwRemoteProcessId=pe32.th32ProcessID;

10. printf("%d\n",dwRemoteProcessId);

11. break;

12. }

13. }

14. while(Process32Next(hProcessSnap,&pe32));//获取下一个进程

15. }

16. else

17. {

18. return -1;

19. }

找到目标进程后，用 dwRemoteProcessId 记录下进程 ID。还是一样，大家不用深究看不懂

的变量（毕竟变量搞懂也没大意思），先看清原理，完整的代码会在最后给出下载地址。

上面这个代码段中关键函数分别是 Process32First，Process32Next 两个可以沿着列表搜索

的函数还有一个字符串对比函数 strcmp 核对当前搜索的进程对象的名称是不是

explorer.exe。

2.打开进程，把我们的 dll 写进去！

（1）打开

在上一步获得目标进程的 id 后我们就可以打开进程，然后对进程进行操作。打开进程如下：

hProcess = OpenProcess(PROCESS_ALL_ACCESS, TRUE, dwProcessId);

参数中的第一个是表明我们在打开进程的时候想要获得的权限，第三个是目标进程的 ID。

成功打开后，我们用 hProcess 存放打开的句柄。句柄嘛，大家都懂的，windows 里都是用

句柄访问和操作对象的嘛~~

（2）写入

既然要往目标进程的私有空间写入数据，我们就要先在目标进程中申请和我们的 dll 一样大，

或者更大的空间。申请如下：

pszLibRemoteFile = VirtualAllocEx(hProcess,NULL,cb,MEM_COMMIT,PAGE_READ

WRITE);

参数中的 cb 是我们想要申请的尺寸，最后一个参数是读写权限。

我们怎么获得 cb 呢？look：

[cpp] view plaincopy

1. int cch = 1 + lstrlenW(lpwLibFile); //这里的 lpwLibFile 其实就是我们的

dll

2. int cb = cch * sizeof(WCHAR);

上面第一步得到的是我们 dll 的文件尺寸，单位是“个”，代表我们的文件有 cch 个字符。

第二步得到真正的字节大小，我们把字符数乘以每一个宽字符所占的字节空间即可。这里为

什么是宽字符？是 windows 文件都是宽字符形式吗？还是。。。不也不懂，大家一起查查，

知道了别忘告诉我下，先谢过各位亲~~~

空间申请好了，空间的首地址用 pszLibRemoteFile 存着，然后就可以写数据了：

WriteProcessMemory(hProcess, pszLibRemoteFile,(PVOID)lpwLibFile, cb, &dwWrit

ten);

这个没啥好解释的，就是一个写内存的 API。

至此在目标进程中已经有了我们 dll 邪恶的身影，最后当然是逼着目标进程加载我们的 dll

（不加载就是垃圾数据占空间来的，难道占空间也是一种攻击方式？？？额。。。）

3.加载

windows 允许我们做什么，我们就以什么为突破口。

windows 提供给我们一个 API 叫做 CreateRemoteThread。。。。说实话，微软为什么要

给程序员这中完全不安全的 API，我不能猜到内幕。只能坏笑着说“微软~~~你真坏”

不过这里要说下，win7 没那么好欺负，直接调用 CreateRemoteThread 好像不行，我没有

认真研究具体是哪里被拒绝了，不过网上找到资料，这个函数最终会调用

NtCreateThreadEx。

呵呵，各位菜鸟朋友们，当大家看到 nt 开头的函数应该很兴奋吧，对 windows 来说，对几

乎所有的 API 调用最后都会调用对应 nt 开头的 API，这些是底层的函数，既然 win7 不让我

们创建线程，那我们自己强行调用这个 nt 函数。

这里真的有点像 hook api 里的操作：

找到 NtCreateThreadEx 所在 dll，然后从这个 dll 中获得 NtCreateThreadEx 的位置，然后

定义一个返回值和参数表和 NtCreateThreadEx 一样的函数的指针存放 NtCreateThreadEx

的地址，直接调用指针指向的位置里存放的代码（废话一堆。。其实就是用地址调用了

NtCreateThreadEx）。

程序如下：

[cpp] view plaincopy

1. pFunc = GetProcAddress(GetModuleHandle(L"ntdll.dll"), "NtCreateThreadEx");

2. //下面就是用地址执行了 NtCreateThreadEx

3. ((PFNTCREATETHREADEX)pFunc)(

4. &hThread,

5. 0x1FFFFF,

6. NULL,

7. hProcess,

8. pThreadProc,

9. pRemoteBuf,

10. FALSE,

11. NULL,

12. NULL,

13. NULL,

14. NULL);

OK，目前线程能创建了，那么别忘了我们付给这个线程的艰巨使命：出卖它所属的进程，

调用我们的 dll 库（这是拟人的修辞手法啊有木有！）

回头看下这个创建线程的函数，里面有个参数叫做 pThreadProc，呵呵，能猜到吧，这里放

的就是线程起来后负责运行的程序。我们果断把这个值附成 LoadLibrary，然后在哪里传入

LoadLibrary 的参数呢？pRemoteBuf！新的线程会从这里读取它要执行的函数的参数。我

们前面在写入 dll 数据的时候不是记录了一个地址吗？那个地址变量不也是 Buff 吗？把那个

变量放到这个参数的位置就 OK 了。

我的程序里这样创建线程：

MyCreateRemoteThread(hProcess, pfnThreadRnt,pszLibRemoteFile);

第二个参数在前面有个处理：

pfnThreadRnt = (LPTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle

(L"Kernel32"), "LoadLibraryW");

懂了吧？嘿嘿。。

第三个参数是存了我们 dll 的 buff 头指针。

当这个函数顺利执行完的时候，我们 dll 的工作也顺利完成了。

提醒下广大和我一样的菜鸟朋友，如果要把你的 dll 注入 64 位系统的 explorer.exe，别忘了

把 dll 编程成 x64 的，然后这个注入程序也编译生成 x64 的可执行文件哦，否则会发现注入

了木有任何反应哦~亲~

2. 32 位注入 64 位 dll 到 64 位进程

周知，32 位进程没有办法直接操作 64 进程的。除了 openprocess 可以成功以外，其他

如 ReadProcessMemory，VirtualAllocEx， WriteProcessMemory 等等都不会成功的。

评论收藏

内容反馈

版权申诉

小贝德罗

粉丝: 68
资源: 1万+

32位进程注入64位进程和32位进程.zip_32注入64_64 注入_64位注入_process inject_进程注入

评论0

最新资源

32位进程注入64位进程和32位进程.zip_32注入64_64 注入_64位注入_process inject_进程注入

评论0

DLL-Injection.zip_inject_inject code process

xenos注入器32位 64位.zip

process-inject：在Windows环境下的进程注入方法：远程线程注入，创建进程挂起注入，反射注入，APCInject，SetWindowHookEX注入

apc_inject.zip_APC_APC inject_inject_inject apc_inject code

exe将dll注入到explorer.exe资源管理器进程_DLL注入示例.injectdll

inject-Agent_DLL.zip_The Process_inject_parent process

APC_inject.zip_APC_APC_inject_driver user apc_inject driver_inje

.javax.inject_1.0.0.jar

thread_inject.rar_inject.exe_远程注入

com.google.inject.source_3.0.0.v201312141243.jar

NGS-bypas_inject_nexon_bypass_nexongamesecurity_NGS_源码.zip

Inject HTTP.zip_Inject HTTP vb6_Inject2Download_http inject_inje

javax.inject.jar

apc_inject.rar_APC_APC inject_inject

javax-inject-1.0-201002241208.jar.zip

INJECT_libInjectModule.so.zip

DLL_Injection-master.zip_DLL加载到内存_Explorer_dll注入_注入explorer.exe_

zhuru.rar_SQL inject_asp注入_sql 注入_sql注入_zhuru sql

javax.inject.Provider

test_inject_class.rar_inject

冰河的渗透实战笔记-冰河.pdf

大灰狼远控2021最新版，解压密码222

J-LINK V10 V11固件.rar

ISO21434.pdf

Web安全漏洞扫描工具-AWVS14

CTF 竞赛入门指南（ctf-all-in-one）.pdf

Web中间件常见漏洞总结.pdf

stm32f103 adc采样+dma传输+fft处理 频率计_fft处理_stm32_ADCFFT_频率计_ADC采样_

jts-1.14.zip

最新资源

stm32f103 adc采样+dma传输+fft处理频率计_fft处理_stm32_ADCFFT_频率计_ADC采样_