|
|
Posted on 2009-02-15 10:15 王勇良 閱讀(486) 評論(0) 編輯 收藏 引用 所屬分類: 軟件安全
今天要完成一個項內容,運行另一個應用程序abc.exe,實現它的父進程是explorer.exe。
最開始的思路是獲得explorer.exe的句柄,用ShellExecute啟動abc.exe。但是用explorer.exe的句柄創建的進程的父進程依然是調用和進程,而不是傳入句柄的進程。
看來直接的不行,只能用間接的了。把運行abc.exe的代碼段寫到explorer.exe的內存里面去。然后讓explorer來運行這段代碼。
  static DWORD CALLBACK ThreadProc()...{
 ::ShellExecute(NULL,"open","abc.exe",NULL,NULL,SW_SHOW); return TRUE;
 }
但是現在就出現問題了,ShellExecute在shell32模塊里,還需要LoadLibrary和GetProcAddress。同時它也
用了兩個字符串常量,這些字串會出現在本進程的內存中,在explorer中運行代碼就會出錯,系統把它關掉。所以改用了WinExec來代替
ShellExecute,同時要把需要的字串和函數指針都寫到explorer的內存區里。
 typedef UINT (WINAPI * WINEXEC)(LPCSTR,UINT);
typedef struct tagTHREADDATA...{
TCHAR fileName[20];
WINEXEC pWinexec;
}THREADDATA, *LPTHREADDATA;
static DWORD CALLBACK ThreadProc(LPTHREADDATA pData)...{
pData->pWinexec(pData->fileName,SW_SHOW);
return TRUE;
}
獲得explorer進程PID的方法
DWORD getExplorerPID()...{
HWND startButtonHandle;
DWORD processID;
startButtonHandle = ::FindWindow (TEXT("Shell_TrayWnd"),NULL);
::GetWindowThreadProcessId( startButtonHandle, &processID );
return processID;
}
注入內存的過程:
user32Handle = ::GetModuleHandle(TEXT("kernel32"));
//得到kernel32模塊句柄
processHandle = ::OpenProcess(PROCESS_CREATE_THREAD | PROCESS_QUERY_INFORMATION | PROCESS_VM_OPERATION | PROCESS_VM_WRITE | PROCESS_VM_READ,FALSE,getExplorerPID());
//用explorer的PID來打開進程,并得到創建線程和寫的權限。
dataAddr = ::VirtualAllocEx(processHandle,0,sizeof(THREADDATA),MEM_COMMIT,PAGE_EXECUTE_READWRITE);
//在explorer的內存內里申請一塊內存來存所用的數據
THREADDATA data = ...{TEXT("a.exe"),(WINEXEC)GetProcAddress(user32Handle,"WinExec"),};
WriteProcessMemory(processHandle,dataAddr,&data,sizeof(THREADDATA),&byteWrited);
//把數據寫到申請的內存中
codeAddr = ::VirtualAllocEx(processHandle,0,sizeOfThreadProc,MEM_COMMIT,PAGE_EXECUTE_READWRITE);
//申請代碼的內存區
WriteProcessMemory(processHandle,codeAddr,&ThreadProc,sizeOfThreadProc,&byteWrited);
//把代碼寫進去,這時我們己經把我們要用的代碼和數據都準備好了。
threadHandle = CreateRemoteThread(processHandle,NULL,0, LPTHREAD_START_ROUTINE)codeAddr,dataAddr,0,(LPDWORD)threadID);
//在explorer中創建一個線程,來執行啟動abc.exe的代碼。所需的數據都己經在explorer的內存塊中,所以不會出問題。
WaitForSingleObject(threadHandle, INFINITE);
VirtualFreeEx(processHandle,dataAddr,0,MEM_RELEASE);
VirtualFreeEx(processHandle,codeAddr,0,MEM_RELEASE);
CloseHandle(threadHandle);
CloseHandle(processHandle);
//等待執行完畢,釋放內存,關閉句柄。
這就完成了代碼的注入與執行。
|