美文网首页Windows客户端开发
【Windows】远程线程注入

【Windows】远程线程注入

作者: mercurygear | 来源:发表于2016-12-14 16:35 被阅读172次

    站在巨人的肩膀上

    通过CreateRemoteThread,我们能实现把dll或者代码注入到目标进程中,从而实现一些特殊功能。
    网上关于远程线程注入的文章汗牛充栋,这里就不再重复劳动了。
    其中这篇文章《远程线程注入引出的问题》把实现远程线程注入中会遇到的问题都一一罗列出来了,更给力的是,不单单是注入dll的方式,还把更高阶的注入代码来执行的方法也详细列了出来,非常值得一读。

    进一步的补充

    这里在补充一些,上面的文章中所没提到,但是在真正的实践中遇到的情况。
    首先就是CreateRemoteThread这个API的问题,无论执行调用该API的进程是否有管理员权限,这个API在2000、XP 、XP SP1这几个版本上都可以正常运作,但是在XP SP2及以上的系统,由于安全改进,再执行这个API,会得到ERROR_NOT_ENOUGH_MEMORY的错误。
    怎么解决这个问题呢? 这篇文章《Injecting Code Into Privileged Win32 Processes》的作者进行了深入探索,并给出了解决方案,解答如下:

    1. 在2000、XP、XP SP1上使用CreateRemoteThread
    2. 在XP SP2、SP3上使用从nt.dll导出的RtlCreateUserThread,这是个Undocumented API
    3. 在Vista以上使用从nt.dll导出的NtCreateThreadEx,这也是个Undocumented API,还有32位和64位版本的区别,且这个API是从Vista才开始引入的

    按上面的方案是能解决问题,但是有没有更好的解决方案呢,毕竟上面的方案要根据系统版本作不同的处理,还得调用Undocumented API。
    好了,终极解决方案就是使用服务,运行在system权限下的service,可以在当前的所有windows版本中正常的调用CreateRemoteThread来进行工作!

    遗憾

    用service的方案看似完美,但是还是有它的局限性,这就是从Win 8开始,微软引入了保护进程的概念,关键的系统进程(csrss、servies、lsass等等)全部输入保护进程,不允许注入。

    相关文章

      网友评论

        本文标题:【Windows】远程线程注入

        本文链接:https://www.haomeiwen.com/subject/zliimttx.html