|
|
Posted on 2009-02-15 10:15 王勇良 閱讀(490) 評(píng)論(0) 編輯 收藏 引用 所屬分類: 軟件安全
今天要完成一個(gè)項(xiàng)內(nèi)容,運(yùn)行另一個(gè)應(yīng)用程序abc.exe,實(shí)現(xiàn)它的父進(jìn)程是explorer.exe。
最開始的思路是獲得explorer.exe的句柄,用ShellExecute啟動(dòng)abc.exe。但是用explorer.exe的句柄創(chuàng)建的進(jìn)程的父進(jìn)程依然是調(diào)用和進(jìn)程,而不是傳入句柄的進(jìn)程。
看來直接的不行,只能用間接的了。把運(yùn)行abc.exe的代碼段寫到explorer.exe的內(nèi)存里面去。然后讓explorer來運(yùn)行這段代碼。
  static DWORD CALLBACK ThreadProc()...{
 ::ShellExecute(NULL,"open","abc.exe",NULL,NULL,SW_SHOW); return TRUE;
 }
但是現(xiàn)在就出現(xiàn)問題了,ShellExecute在shell32模塊里,還需要LoadLibrary和GetProcAddress。同時(shí)它也
用了兩個(gè)字符串常量,這些字串會(huì)出現(xiàn)在本進(jìn)程的內(nèi)存中,在explorer中運(yùn)行代碼就會(huì)出錯(cuò),系統(tǒng)把它關(guān)掉。所以改用了WinExec來代替
ShellExecute,同時(shí)要把需要的字串和函數(shù)指針都寫到explorer的內(nèi)存區(qū)里。
 typedef UINT (WINAPI * WINEXEC)(LPCSTR,UINT);
typedef struct tagTHREADDATA...{
TCHAR fileName[20];
WINEXEC pWinexec;
}THREADDATA, *LPTHREADDATA;
static DWORD CALLBACK ThreadProc(LPTHREADDATA pData)...{
pData->pWinexec(pData->fileName,SW_SHOW);
return TRUE;
}
獲得explorer進(jìn)程PID的方法
DWORD getExplorerPID()...{
HWND startButtonHandle;
DWORD processID;
startButtonHandle = ::FindWindow (TEXT("Shell_TrayWnd"),NULL);
::GetWindowThreadProcessId( startButtonHandle, &processID );
return processID;
}
注入內(nèi)存的過程:
user32Handle = ::GetModuleHandle(TEXT("kernel32"));
//得到kernel32模塊句柄
processHandle = ::OpenProcess(PROCESS_CREATE_THREAD | PROCESS_QUERY_INFORMATION | PROCESS_VM_OPERATION | PROCESS_VM_WRITE | PROCESS_VM_READ,FALSE,getExplorerPID());
//用explorer的PID來打開進(jìn)程,并得到創(chuàng)建線程和寫的權(quán)限。
dataAddr = ::VirtualAllocEx(processHandle,0,sizeof(THREADDATA),MEM_COMMIT,PAGE_EXECUTE_READWRITE);
//在explorer的內(nèi)存內(nèi)里申請(qǐng)一塊內(nèi)存來存所用的數(shù)據(jù)
THREADDATA data = ...{TEXT("a.exe"),(WINEXEC)GetProcAddress(user32Handle,"WinExec"),};
WriteProcessMemory(processHandle,dataAddr,&data,sizeof(THREADDATA),&byteWrited);
//把數(shù)據(jù)寫到申請(qǐng)的內(nèi)存中
codeAddr = ::VirtualAllocEx(processHandle,0,sizeOfThreadProc,MEM_COMMIT,PAGE_EXECUTE_READWRITE);
//申請(qǐng)代碼的內(nèi)存區(qū)
WriteProcessMemory(processHandle,codeAddr,&ThreadProc,sizeOfThreadProc,&byteWrited);
//把代碼寫進(jìn)去,這時(shí)我們己經(jīng)把我們要用的代碼和數(shù)據(jù)都準(zhǔn)備好了。
threadHandle = CreateRemoteThread(processHandle,NULL,0, LPTHREAD_START_ROUTINE)codeAddr,dataAddr,0,(LPDWORD)threadID);
//在explorer中創(chuàng)建一個(gè)線程,來執(zhí)行啟動(dòng)abc.exe的代碼。所需的數(shù)據(jù)都己經(jīng)在explorer的內(nèi)存塊中,所以不會(huì)出問題。
WaitForSingleObject(threadHandle, INFINITE);
VirtualFreeEx(processHandle,dataAddr,0,MEM_RELEASE);
VirtualFreeEx(processHandle,codeAddr,0,MEM_RELEASE);
CloseHandle(threadHandle);
CloseHandle(processHandle);
//等待執(zhí)行完畢,釋放內(nèi)存,關(guān)閉句柄。
這就完成了代碼的注入與執(zhí)行。
|