劫持进程注入

最新推荐文章于 2025-06-18 23:20:23 发布
原创 最新推荐文章于 2025-06-18 23:20:23 发布 · 498 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#服务器 #linux #网络

劫持进程注入和远程线程注入的区别就是  远程线程注入是向一个正在运行中的进程注入 而劫持进程注入则是自己打开一个进程(以挂起的方式)  然后再进行注入的操作 

这样做的原因是当进程在挂起的状态时他的所有线程都是处于未启用的阶段  这样就可以避免目标进程的反注入线程的检测 从而使得注入的操作成功率更高

void HackThreadInject(PCHAR szPath, PCHAR DeName)
{
	//第一步以挂起的形式打开目标进程
	STARTUPINFOA sta = { 0 };    //结构体成员全部初始化为0
	sta.cb = sizeof(STARTUPINFO);     //记得赋值大小
	PROCESS_INFORMATION pri = { 0 };
	BOOL proc = CreateProcessA(
		DeName,
		NULL,
		NULL,
		NULL,
		NULL,
		CREATE_SUSPENDED,
		NULL,
		NULL,
		&sta,
		&pri             //句柄会传入到这个结构体
	);
	if (!proc)
	{
		return;
	}
	//第二步在目标进程分配内存  用于写入loadlibrary的参数
	LPVOID lpAlloc = VirtualAllocEx(pri.hProcess, NULL, strlen(szPath) + 1, MEM_COMMIT, PAGE_READWRITE);
	if (!lpAlloc)
	{
		return;
	}
	//第三步 向刚分配出来的内存分配参数
	BOOL bWrite = WriteProcessMemory(pri.hProcess, lpAlloc, szPath, strlen(szPath) + 1, NULL);
	if (!bWrite)
	{
		return;
	}
	//第四步创建远程线程开始注入
	HANDLE hRemoteThread = CreateRemoteThread(pri.hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)LoadLibraryA, lpAlloc, 0, NULL);
	if (!hRemoteThread)
	{
		cout << "CreateRemoteThread error" << GetLastError() << endl;
		return;
	}
}

第用CreateProcessA函数以挂起的状态打开我们的目标进程

注意目标的进程句柄会通过PROCESS_INFORMATION这个结构体传递

CREATE_SUSPENDED是挂起的方式打开进程

//第一步以挂起的形式打开目标进程
	STARTUPINFOA sta = { 0 };    //结构体成员全部初始化为0
	sta.cb = sizeof(STARTUPINFO);     //记得赋值大小
	PROCESS_INFORMATION pri = { 0 };
	BOOL proc = CreateProcessA(
		DeName,
		NULL,
		NULL,
		NULL,
		NULL,
		CREATE_SUSPENDED,
		NULL,
		NULL,
		&sta,
		&pri             //句柄会传入到这个结构体
	);

第二步 使用VirtualAllocEx在目标进程分配内存

//第二步在目标进程分配内存  用于写入loadlibrary的参数
	LPVOID lpAlloc = VirtualAllocEx(pri.hProcess, NULL, strlen(szPath) + 1, MEM_COMMIT, PAGE_READWRITE);
	if (!lpAlloc)
	{
		return;
	}

第三步使用WriteProcessMemory向目标进程写入参数

BOOL bWrite = WriteProcessMemory(pri.hProcess, lpAlloc, szPath, strlen(szPath) + 1, NULL);
	if (!bWrite)
	{
		return;
	}

第四步使用CreateRemoteThread开启远程线程注入

HANDLE hRemoteThread = CreateRemoteThread(pri.hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)LoadLibraryA, lpAlloc, 0, NULL);
	if (!hRemoteThread)
	{
		cout << "CreateRemoteThread error" << GetLastError() << endl;
		return;
	}

小水林
关注
ThreadBoat:程序使用线程执行劫持将本地Shell代码注入到标准Win32应用程序中
05-04
线程船 程序使用线程劫持将本机Shellcode注入到标准Win32应用程序中。 关于 我开发了这个小项目,以继续我对不同代码注入方法的经验,并允许RedTeam安全专业人员将这种方法用作执行软件渗透测试的独特方法。 使用线程劫持,它允许hijacker.exe程序在target.exe程序中暂停一个线程,从而使我们可以将Shellcode写入该目标线程,然后再执行(通过; WriteProcessMemory(),SetThreadContext(),ResumeThread(), CreateThread())。 GIF示例(存入残局) 用法 int main () { System sys; Interceptor incp; Exception exp ; sys. returnVersionState (); if (sys. returnPrivilegeEscala
DLL远程线程劫持注入技术解析
m0_38103658的博客
09-23 1319
十大进程注入(一) DLL远程线程劫持注入技术解析 进程注入是一种广泛应用于恶意软件或无文件攻击中的躲避检测的技术。其需要在另一个进程的地址空间内运行特制代码,进程注入改善了不可见性、同时一些技术也实现了持久化。 而所谓的DLL注入是诸多进程注入方法中最常用的技术。恶意软件将恶意的动态链接库的路径写入另一个进程的虚拟地址空间内,通过在目标进程中创建远程线程来确保远程进程加载它。而因为DLL本身是由...
内核中劫持线程注入DLL并隐藏
人生苦短,我用python
04-18 2075
在驱动程序中,您可以通过调用PsSetCreateThreadNotifyRoutine或PsSetLoadImageNotifyRoutine等API来获取进程线程的通知。这时,您可以暂停线程并修改其上下文,以便在恢复时执行您的代码。为了实现这些功能,您需要学习Windows内核编程和驱动开发。在此过程中,您可能需要使用Windows Driver Kit(WDK)和Visual Studio。编写好驱动程序后,您需要在目标系统上加载和卸载它。在劫持线程后,您需要将目标DLL加载到目标进程的内存中。
线程劫持技术
weixin_43799752的博客
11-27 1468
windows 线程劫持
用户层注入:(3)DLL劫持注入
weixin_43972499的博客
03-13 1428
目录基本概念注入原理函数转发函数调用局限性 基本概念   Windows的应用程序在加载进程所需的动态库时,会根据导入表一一加载。但是,我们的导入表中只保存有动态库的名称,系统如何知道这个动态库的完整路径并将其加载呢?   其实,在加载动态库时,系统会按照一定的顺序搜索各个目录来寻找指定的Dll文件。一般搜索顺序为: 应用程序所在目录-->系统目录-->16位系统目录-->Windows目录-->运行程序的当前目录-->PATH环境变量。   这还与注册表项HKLM\Syst
关于进程劫持注入的一点分析与思考
輚至消亡
04-03 3347
1. 劫持进程实现注入 今天我尝试对win10 x64上的计算器进程进行进程劫持注入劫持进程实现注入要执行如下步骤: 以挂起方式启动目标进程 采用其他注入方式将DLL注入目标进程 继续目标进程的主线程使目标进程继续运行 这种注入方式的优点: 被注入进程来不及做任何防御就会被注入。 因为以挂起方式启动进程,该进程的地址空间内除了目标进程的exe模块和ntdll.dll模块外 还来不及解析导入表将所需dll全部导入,也就是说作为防护的dll模块或者线程可能也来不及导入和执行,这大大提高了注入
DLL注入技术之劫持进程创建注入
潜心学习
06-28 2403
正规主题 作者: xusir98 日期: 2013-06-03 来源: 黑客反病毒 (http://bbs.hackav.com) 出处: 黑客反病毒 (http://bbs.hackav.com) 注意: 转载请务必附带本组信息,否则侵权必究! DLL注入技术之劫持进程创建注
Dll注入技术之劫持进程创建注入
125096
03-22 3781
DLL注入技术之劫持进程创建注入     劫持进程创建注入原理是利用Windows系统中CreateProcess()这个API创建一个进程,并将第6个参数设为CREATE_SUSPENDED,进而创建一个挂起状态的进程,利用这个进程状态进行远程线程注入DLL,然后用ResumeThread()函数恢复进程。 1.创建挂起的进程     下面是创建一个挂起的计算器程序进程的主要代码:
DLL注入线程劫持
FISH的专栏
04-03 2972
  大家好,我是FISH ,以下代码只是属于思路,都是我自己KEY进去的,有错误很抱歉,我尽量注意,  内容来自Greg hoglund 的> .    给应用程序注入新的代码,最常用的技巧是DLL注入,使用这个方法,可以让远线程加载到你自己设计的DLL. DLL本身的功能可以是挂钩函数,修改目标程序的内存空间,DLL注入是很隐藏,很方便的注入手段,(实际上,该方法很容易被发现,有
线程劫持注入
最新发布
lh18813221462的博客
06-18 240
【代码】线程劫持注入
驱动开发:内核RIP劫持实现DLL注入
LYSHARK
06-16 9545
本章将探索内核级DLL模块注入实现原理,DLL模块注入在应用层中通常会使用`CreateRemoteThread`直接开启远程线程执行即可,驱动级别的注入有多种实现原理,而其中最简单的一种实现方式则是通过劫持EIP的方式实现,其实现原理可总结为,挂起目标进程,停止目标进程EIP的变换,在目标进程开启空间,并把相关的指令机器码和数据拷贝到里面去,然后直接修改目标进程EIP使其强行跳转到我们拷贝进去的相关机器码位置,执行相关代码后,然后再次跳转回来执行原始指令集。
Dll注入技术之劫持注入
热门推荐
Hades的博客
06-28 1万+
Dll注入技术之劫持注入测试环境系统:Windows 7 32bit工具:FileCleaner2.0 和 lpk.dll主要思路利用Window可以先加载当前目录下的dll特性,仿造系统的LPK.DLL,让应用程序先加载我们的伪LPK.DLL,然后在我们的dll中去调用原来系统的原函数.引用网络中的原理讲解●背景知识●首先我们要了解Windows为什么可以DLL劫持呢?主要是因为Windows的...
【亲测免费】 ThreadJect:手动DLL注入器使用线程劫持教程
gitblog_00210的博客
09-01 890
ThreadJect:手动DLL注入器使用线程劫持教程 项目介绍 ThreadJect 是一个基于 C++ 开发的手动 DLL 注入工具,利用线程劫持技术将 DLL 文件注入到目标进程中。此项目由 D4stiny 创建,灵感来源于 @ZwClose7 在Rohitab论坛上分享的基于是线程劫持的 LoadLibrary 注射器以及使用 CreateRemoteThread 的手动 DLL 注射器...
DLL注入与DLL劫持注入
qq_43082315的博客
10-08 3690
DLL注入和DLL劫持注入都可以让游戏运行我们编写的DLL
【漏洞挖掘】——47、 DLL劫持注入浅析
Fly_鹏程万里
06-07 409
基本介绍DLL(Dynamic Link Library,动态链接库)文件是一种包含可重用代码、数据和资源的可执行文件格式,在Windows下许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库(DLL文件)放置于系统中,当我们执行某一个程序时,相应的DLL文件就会被调用,一个应用程序可使用多个DLL文件,一个DLL文件也可能被不同的应用程序使用,这样的DLL文件被称为共享DLL文件文件加载。
劫持DLL自动注入(delphi)
weixin_65409651的博客
05-22 875
用代码解析劫持dll自动注入的原理.可hook,编写外挂,木马,游戏MOD,破解补丁等用处.
DLL劫持注入学习应用
qq_55515447的博客
02-21 868
动态链接库 .DLL,英文全称:Dynamic Link Library。在Windows系统中运行可执行文件时,系统会调用相应需要的.dll链接库,系统的默认优先级规则是最优先调用是当前目录下的.dll链接库,寻找不到则去系统目录下寻找。
X64--线程劫持-Suspend-Inject-Resume
商少
07-18 1882
X64–线程劫持-Suspend-Inject-Resume X64与X86 的原理是一样的。这里不做多解释 #include <stdio.h> #include <Windows.h> #include <string.h> #include <Psapi.h> #include <TlHelp32.h> #include <tchar.h> EXTERN_C VOID asm_
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值