|
|
Posted on 2009-02-15 10:15 王勇良 閱讀(479) 評論(0) 編輯 收藏 引用 所屬分類: 軟件安全
今天要完成一個項內容�����,運行另一個應用程序abc.exe���,實現它的父進程是explorer.exe�����。
最開始的思路是獲得explorer.exe的句柄,用ShellExecute啟動abc.exe。但是用explorer.exe的句柄創建的進程的父進程依然是調用和進程,而不是傳入句柄的進程���。
看來直接的不行,只能用間接的了���。把運行abc.exe的代碼段寫到explorer.exe的內存里面去。然后讓explorer來運行這段代碼���。
  static DWORD CALLBACK ThreadProc()...{
 ::ShellExecute(NULL,"open","abc.exe",NULL,NULL,SW_SHOW); return TRUE;
 }
但是現在就出現問題了,ShellExecute在shell32模塊里���,還需要LoadLibrary和GetProcAddress�����。同時它也
用了兩個字符串常量�����,這些字串會出現在本進程的內存中�����,在explorer中運行代碼就會出錯,系統把它關掉。所以改用了WinExec來代替
ShellExecute��,同時要把需要的字串和函數指針都寫到explorer的內存區里��。
 typedef UINT (WINAPI * WINEXEC)(LPCSTR,UINT);
typedef struct tagTHREADDATA...{
TCHAR fileName[20];
WINEXEC pWinexec;
}THREADDATA, *LPTHREADDATA;
static DWORD CALLBACK ThreadProc(LPTHREADDATA pData)...{
pData->pWinexec(pData->fileName,SW_SHOW);
return TRUE;
}
獲得explorer進程PID的方法
DWORD getExplorerPID()...{
HWND startButtonHandle;
DWORD processID;
startButtonHandle = ::FindWindow (TEXT("Shell_TrayWnd"),NULL);
::GetWindowThreadProcessId( startButtonHandle, &processID );
return processID;
}
注入內存的過程:
user32Handle = ::GetModuleHandle(TEXT("kernel32"));
//得到kernel32模塊句柄
processHandle = ::OpenProcess(PROCESS_CREATE_THREAD | PROCESS_QUERY_INFORMATION | PROCESS_VM_OPERATION | PROCESS_VM_WRITE | PROCESS_VM_READ,FALSE,getExplorerPID());
//用explorer的PID來打開進程��,并得到創建線程和寫的權限。
dataAddr = ::VirtualAllocEx(processHandle,0,sizeof(THREADDATA),MEM_COMMIT,PAGE_EXECUTE_READWRITE);
//在explorer的內存內里申請一塊內存來存所用的數據
THREADDATA data = ...{TEXT("a.exe"),(WINEXEC)GetProcAddress(user32Handle,"WinExec"),};
WriteProcessMemory(processHandle,dataAddr,&data,sizeof(THREADDATA),&byteWrited);
//把數據寫到申請的內存中
codeAddr = ::VirtualAllocEx(processHandle,0,sizeOfThreadProc,MEM_COMMIT,PAGE_EXECUTE_READWRITE);
//申請代碼的內存區
WriteProcessMemory(processHandle,codeAddr,&ThreadProc,sizeOfThreadProc,&byteWrited);
//把代碼寫進去,這時我們己經把我們要用的代碼和數據都準備好了���。
threadHandle = CreateRemoteThread(processHandle,NULL,0, LPTHREAD_START_ROUTINE)codeAddr,dataAddr,0,(LPDWORD)threadID);
//在explorer中創建一個線程,來執行啟動abc.exe的代碼。所需的數據都己經在explorer的內存塊中���,所以不會出問題。
WaitForSingleObject(threadHandle, INFINITE);
VirtualFreeEx(processHandle,dataAddr,0,MEM_RELEASE);
VirtualFreeEx(processHandle,codeAddr,0,MEM_RELEASE);
CloseHandle(threadHandle);
CloseHandle(processHandle);
//等待執行完畢�����,釋放內存�����,關閉句柄��。
這就完成了代碼的注入與執行��。
|