WriteProcessMemory_linux注入

大家好，又见面了，我是你们的朋友全栈君。

今天要完成一个项内容，运行另一个应用程序abc.exe，实现它的父进程是explorer.exe。

最开始的思路是获得explorer.exe的句柄，用ShellExecute启动abc.exe。但是用explorer.exe的句柄创建的进程的父进程依然是调用和进程，而不是传入句柄的进程。

看来直接的不行，只能用间接的了。把运行abc.exe的代码段写到explorer.exe的内存里面去。然后让explorer来运行这段代码。

WriteProcessMemory_linux注入

WriteProcessMemory_linux注入

static DWORD CALLBACK ThreadProc() … {

WriteProcessMemory_linux注入

::ShellExecute(NULL,”open”,”abc.exe”,NULL,NULL,SW_SHOW);

WriteProcessMemory_linux注入

return TRUE;

WriteProcessMemory_linux注入

}

但是现在就出现问题了，ShellExecute在shell32模块里，还需要LoadLibrary和GetProcAddress。同时它也用了两个字符串常量，这些字串会出现在本进程的内存中，在explorer中运行代码就会出错，系统把它关掉。所以改用了WinExec来代替ShellExecute，同时要把需要的字串和函数指针都写到explorer的内存区里。

WriteProcessMemory_linux注入

typedef UINT (WINAPI * WINEXEC)(LPCSTR,UINT);

WriteProcessMemory_linux注入

WriteProcessMemory_linux注入

WriteProcessMemory_linux注入

typedef struct tagTHREADDATA … {

WriteProcessMemory_linux注入

TCHAR fileName[ 20 ];

WriteProcessMemory_linux注入

WINEXEC pWinexec;

WriteProcessMemory_linux注入

} THREADDATA, * LPTHREADDATA;

WriteProcessMemory_linux注入

WriteProcessMemory_linux注入

WriteProcessMemory_linux注入

static DWORD CALLBACK ThreadProc(LPTHREADDATA pData) … {

WriteProcessMemory_linux注入

pData -> pWinexec(pData -> fileName,SW_SHOW);

WriteProcessMemory_linux注入

return TRUE;

WriteProcessMemory_linux注入

}

获得explorer进程PID的方法

WriteProcessMemory_linux注入

WriteProcessMemory_linux注入

DWORD getExplorerPID() … {

WriteProcessMemory_linux注入

HWND startButtonHandle;

WriteProcessMemory_linux注入

DWORD processID;

WriteProcessMemory_linux注入

startButtonHandle = ::FindWindow (TEXT( “ Shell_TrayWnd “ ),NULL);

WriteProcessMemory_linux注入

::GetWindowThreadProcessId( startButtonHandle, & processID );

WriteProcessMemory_linux注入

return processID;

WriteProcessMemory_linux注入

}

注入内存的过程：

WriteProcessMemory_linux注入

user32Handle = ::GetModuleHandle(TEXT( “ kernel32 “ ));

WriteProcessMemory_linux注入

// 得到kernel32模块句柄

WriteProcessMemory_linux注入

processHandle = ::OpenProcess(PROCESS_CREATE_THREAD | PROCESS_QUERY_INFORMATION | PROCESS_VM_OPERATION | PROCESS_VM_WRITE | PROCESS_VM_READ,FALSE,getExplorerPID());

WriteProcessMemory_linux注入

// 用explorer的PID来打开进程，并得到创建线程和写的权限。

WriteProcessMemory_linux注入

dataAddr = ::VirtualAllocEx(processHandle, 0 , sizeof (THREADDATA),MEM_COMMIT,PAGE_EXECUTE_READWRITE);

WriteProcessMemory_linux注入

// 在explorer的内存内里申请一块内存来存所用的数据

WriteProcessMemory_linux注入

WriteProcessMemory_linux注入

THREADDATA data = … {TEXT( “ a.exe “ ),(WINEXEC)GetProcAddress(user32Handle, “ WinExec “ ),} ;

WriteProcessMemory_linux注入

WriteProcessMemory(processHandle,dataAddr, & data, sizeof (THREADDATA), & byteWrited);

WriteProcessMemory_linux注入

// 把数据写到申请的内存中

WriteProcessMemory_linux注入

codeAddr = ::VirtualAllocEx(processHandle, 0 ,sizeOfThreadProc,MEM_COMMIT,PAGE_EXECUTE_READWRITE);

WriteProcessMemory_linux注入

// 申请代码的内存区

WriteProcessMemory_linux注入

WriteProcessMemory(processHandle,codeAddr, & ThreadProc,sizeOfThreadProc, & byteWrited);

WriteProcessMemory_linux注入

// 把代码写进去，这时我们己经把我们要用的代码和数据都准备好了。

WriteProcessMemory_linux注入

threadHandle = CreateRemoteThread(processHandle,NULL, 0 , LPTHREAD_START_ROUTINE)codeAddr,dataAddr, 0 ,(LPDWORD)threadID);

WriteProcessMemory_linux注入

// 在explorer中创建一个线程，来执行启动abc.exe的代码。所需的数据都己经在explorer的内存块中，所以不会出问题。

WriteProcessMemory_linux注入

WaitForSingleObject(threadHandle, INFINITE);

WriteProcessMemory_linux注入

VirtualFreeEx(processHandle,dataAddr, 0 ,MEM_RELEASE);

WriteProcessMemory_linux注入

VirtualFreeEx(processHandle,codeAddr, 0 ,MEM_RELEASE);

WriteProcessMemory_linux注入

CloseHandle(threadHandle);

WriteProcessMemory_linux注入

CloseHandle(processHandle);

WriteProcessMemory_linux注入

// 等待执行完毕，释放内存，关闭句柄。

这就完成了代码的注入与执行。

英语还算不错的推荐去看看这篇文章，帮助很大。

Three Ways to Inject Your Code into Another Process

http://www.codeproject.com/threads/winspy.asp

版权声明：本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 举报，一经查实，本站将立刻删除。

发布者：全栈程序员栈长，转载请注明出处：https://javaforall.cn/194356.html原文链接：https://javaforall.cn