利用远程线程注入DLL （DELPHI版）

研究外挂3个多月了～发现写一个完整的外挂，注入是少不了的，找了几篇不错的转来～和我一样的新手们可以看看，高手就当复习吧。呵呵。
SDK文档里是这样描述的:进程是一个正在运行的程序,它拥有自己的地址空间,拥有自己的代码,数据和其他系统资源.一个进程包含了一个或者多个运行在此进程内的线程. 从定义上看出进程一定要有线程,线程是进程内存中的独立实体. 线程插入技术就是把一个线程弄到别的进程中执行的技术。

远程线程插入代码之DLL注入技术：

我们先编写个简单的DLL：

library TestDll;

uses

Windows;{$R *.res}

procedure func_a;

begin
MessageBox(0,'I love delphi','Function form Tset DLL',0);
end;

procedure func_b(MSG:pchar);

begin
MessageBox(0,MSG,'Function form Tset DLL',0);
end;

begin
func_a;
func_b('I like it too!');
end.

我们弄个程序加载它的入口点，> 新建一个普通程 >加一个按钮> 按钮事件只要写一句 >loadlibrary('testdll.dll'); > 存为MainShow.dpr
运行,单击按钮,怎么养 弹出东西了吧。

DLL会写了,现在的问题就是怎么注入了

我们目的只是让对方的程序运行一句loadlibrary('testdll.dll');而已

你可能要问,既然刚才说了远程线程可以直接注入一个线程,为什么还要多此一举反过来再调用DLL呢这是因为,远程线程技术一般是直接对目标程序的内存进行操作，我们知道不同程序的虚拟内存是不一样的 ，所以很多函数的地址不一定一样，而程序运行的时候实际上是Call函数地址进行函数调用的 ；而DLL调用时其实是被映射到进程内存里面，DLL拥有自己的导入表,资源,函数等东西,实际上就是一个完整的程序 ，映入内存后和执行一个程序效果是一样的这样我们就不用考虑那些乱七八糟的东西,只要安心的写功能即可.

我们看看WindowsAPI CreateThread :

function CreateThread(

lpThreadAttributes: Pointer; //安全指针一般nil就可以了

dwStackSize: DWORD; //线程初始化尺寸,一般用0,获得与主线程一样尺寸(不够自己会增加,别担心)

lpStartAddress: TFNThreadStartRoutine; //一个指向要执行线程函数的指针,这个函数必须遵守stdcall约定,并且可带一个参数,参数必须是指针类型

lpParameter: Pointer; //函数的参数

dwCreationFlags: DWORD;//控制创建标志,用0表示线程立刻执行

var lpThreadId: DWORD) //返回标识变量我觉得没什么用,反正句柄都有了

): THandle; //返回线程的句柄

stdcall;//标准调用 Windows下API一般都是标准调用

看起来似乎比较复杂,等下举个例子

我们把DLL源码里面的func_b拷到刚才那个EXE上
稍微修改下
procedure func_b(MSG:pchar); stdcall;
begin
MessageBox(0,MSG,'Function form Tset DLL',0);
sleep(10000);//线程暂停N久(不超过10s)
end;
加上2个按钮
第一个
procedure TForm1.Button2Click(Sender: TObject);
begin
func_b('123');
end;
第二个
procedure TForm1.Button3Click(Sender: TObject);
var tid:longword;//放返回值,不放她不让执行,郁闷
str:pchar;//便于获得pointer
begin
str:='123';
createthread(nil,
0,
@func_b, //函数名前面加@是得到函数指针
pointer(str),//虽然str也是指针,但是delphi就是要pointer型的,那就转一下类型
0 , tid);//tid纯属放着占格式的,一般我们用不到
end;
//上面CreateThread看得懂吧,几乎都是默认设置,以后套下去用就是了

实际上都是调用func_b,只是第二个过程用了信新线程
但是效果是不一样的
第一个按钮按下弹出窗口后,程序卡死了(暂停10000)
第二个却不会
为什么呢
我们可以这样理解
窗口看做一个主线程,执行func_b,弹出窗口,然后主线程挂起,于是卡死了
而第二个过程创建一个新线程,新线程执行func_b,弹出窗口,挂起10000,但是由于主线程没有挂起,所以
看起来关掉窗口后没什么事情发生(实际上那个线程还在偷偷执行,直到线程代码运行完,只是它卡死不会影
响你)

这个如果明白了那么下面就容易理解了
看看这个函数
function CreateRemoteThread(
hProcess: THandle;
lpThreadAttributes: Pointer;
dwStackSize: DWORD;
lpStartAddress: TFNThreadStartRoutine;
lpParameter: Pointer;
dwCreationFlags: DWORD;
var lpThreadId: DWORD
): THandle; stdcall;

除了函数名不一样,下面的参数多了个hProcess: THandle;,剩下的完全一样
呵呵,这个东西就是本节课的关键了
先看函数名就知道是干什么用的了 '创建远程线程'
用法和刚才基本一致
就是hProcess: THandle是什么呢
这里要填的是被注入线进程的句柄

什么是句柄
打个比方,对象是一个门,句柄就是那个把手,通过句柄我们可以对门进行操作
也就是说我们利用句柄来操作某些东西(包括进程,线程等等)
你有没有注意到,CreateThread和CreateRemoteThread都返回一个THandle,也就是线程的句柄
还有loadlibrary也会返回DLL的句柄,我们可以利用他们对相关对象进行操作

那么怎么获得进程句柄呢
一般采用先得到进程PID再用下面的函数取得句柄
function OpenProcess(
dwDesiredAccess: DWORD; //访问标志一般填写 PROCESS_ALL_ACCESS,这样这个句柄可以获得最大操作权限
bInheritHandle: BOOL;
//可否继承,这个跟子程序有关,无所谓了,填false和true都可以,反正我们自己能操作久可以
dwProcessId: DWORD): //要获得句柄的进程ID
THandle; stdcall;//返回句柄
有时候会返回0,说明打开句柄失败了
一般是你的权限不够(比如你想对Winlogon这些系统级程序操作)
这时候我们需要提升权限 一般Debug权限就可以了(其实操作权限里面最高了)
提升的过程我写好了
直接调用就可以了(修改进程令牌到Debug级别,为什么这样写这里不详细讲了,自己去网上搜索下)
procedure GetDebugPrivs;
var
hToken: THandle;
tkp: TTokenPrivileges;
retval: dword;
begin
If (OpenProcessToken(GetCurrentProcess, TOKEN_ADJUST_PRIVILEGES or TOKEN_QUERY, hToken))
then
begin
LookupPrivilegeValue(nil, 'SeDebugPrivilege' , tkp.Privileges[0].Luid);
tkp.PrivilegeCount := 1;
tkp.Privileges[0].Attributes := SE_PRIVILEGE_ENABLED;
AdjustTokenPrivileges(hToken, False, tkp, 0, nil, retval);
end;
end;

不会晕吧
应该记得我刚才提到了要PID,那怎么得到呢
一般用FindWindow和GetWindowThreadProcessId配合的到
这样写
先var Pid:longword;//储存那个PID
GetWindowThreadProcessId(FindWindow('Notepad', nil), @PID);
这样就找到笔记本的PID,再如'Shell_TrayWnd'可以找到Explorer的
窗口类名据说可以用SPY++查询,不过这东西我没见过,呵呵
当然还可以枚举进程判断进程名等等
这个先告一段落.

好了,拿Windows的笔记本下手吧
procedure TmyForm.Button4Click(Sender: TObject);
var h:longword;
//PID和THandle 的类型其实都是longword,改个名字而已,所以可以通用
begin
winexec('notepad',1);//运行笔记本
GetWindowThreadProcessId(FindWindow('notepad', nil), @h);//得到Pid存在h
h:=OpenProcess(PROCESS_ALL_ACCESS, False, h);
//得到handle存在h,后面那个是变量pid,算完放到前面的h是句柄(两个不同的东西,只是类型一样而已)
sleep(2000);//等2秒
TerminateProcess(h,0);//关闭笔记本,h是那个句柄,0表示正常退出
end;

运行起来就是打开一个笔记本,大约2s狗关掉它
不知道大家看懂了没有,没有不要紧,只是为了证明我们可以拿到一个课操作的进程句柄

好像万事具备了吧 那试试远程线程了吧
再建一个按钮
前面的还是这样写,再把那个建立线程的拷过来
改成CreateRemoteThread加上h参数
procedure TmyForm.Button5Click(Sender: TObject);
var
h:longword;
tid:longword;
str:pchar;
begin
str:='123';
winexec('notepad',1);
GetWindowThreadProcessId(FindWindow('notepad', nil), @h);
h:=OpenProcess(PROCESS_ALL_ACCESS, False, h);
CreateRemoteThread(h,nil, 0, @func_b, pointer(str), 0 , tid);
end;
运行起来
笔记本出来了,对话框也出来了...
可是对话框却不是我们弄的那个,是个报错的
看看写了什么
内存'0x00000000'不能为'writen'
为什么呢 记得我刚才说的么
远程线程是在别的程序里运行一个线程
相当于让里一个函数执行CreateThread
所以,函数的地址不一定是一样的,更何况笔记本里面怎么可能会有func_b这个我们自己写的函数呢
这么一来当然要出错了

这下傻了,那怎么注入我们要的函数呢
记得我们要讲什么吗 -利用远程线程进行DLL注入
我们可以把函数写在DLL里面,用远程线程让目标进程加载它
这样函数就执行了
我们只要想办法让对方程序loadlibrary('testdll.dll');那就OK了
看看LoadLibrary的原型
function LoadLibrary(lpLibFileName: PAnsiChar): HMODULE; stdcall;
你应该发现了它和线程要求的函数格式几乎一样
参数是指针型PAnsiChar就是pchar,一个指向字符串的指针
返回HMODULE,HMODULE实质是longword(改个名字而已)
^_^,那就远程运行它吧

这时候你可能会想,LoadLibrary的地址要怎么得到呢
要知道,LoadLibrary是一个API(在Kernel32.dll里面),实际上,每个Win32程序都需要里面的函数
所以,大部分程序运行代码前会装入这个DLL,把里面的函数映射到自己的内存了
这么一来,只要是这个DLL里面同一个函数在所有的进程里地址都是一样的
哈哈,这样就容易了
地址我们一般用GetProcAddress
function GetProcAddress(
hModule: HMODULE; //模块句柄,DLL被加载后就成立模块,等下告诉大家怎么得到这个
lpProcName: LPCSTR
//函数在DLL中的导出名LoadLibrary实际上是LoadLibraryA
//这个大家看看DelphiWindows单元的源码就知道了
): FARPROC; stdcall;//返回指针
那些类型看得乱乱的吧,不要管他们,在Delphi上不鼠标停在函数上,类型的原型就出来了
好了
现在是怎么得到那个模块的句柄的问题
用GetModuleHandle
function GetModuleHandle(
lpModuleName: PChar)//模块名,DLL被加载后就成立模块,所以就是DLL的文件名了
: HMODULE; stdcall;//返回模块句柄
好了.知道了这些得到函数地址就容易了
GetProcAddress(GetModuleHandle('KERNEL32.DLL'), 'LoadLibraryA');
一句搞定
问题似乎都解决了吧
先别高兴,不要忘记了,它还带了个参数,就是那个DLL的名字
参数类型是一个指向字符串地址的指针
这个是个大问题,一来你不能保证别人的程序内存里有这个字符串
二来有你也不知道他的位置,这可怎么办呢

自己写!
我们把那个字符串写到对方内存里
呵呵,很霸道的方法,但的确是个好方法
不废话了,开始
我们首先要在目标进程申请一块内存,以便把那个参数写进去
申请内存用VirtualAllocEx,看看它的原型
function VirtualAllocEx(
hProcess: THandle;//目标进程句柄,这个不用说了吧
lpAddress: Pointer;//分配内存位置,一般用nil,这样会在系统认为最合适的位置分配
dwSize: DWORD;//分配的地址范围,也就是大小了
flAllocationType: DWORD;//如何分配地址,一般用MEM_COMMIT为指定空间提交物理内存
flProtect: DWORD//该段内存的保护类型,PAGE_READWRITE表示可读可写
): Pointer; stdcall;//返回内存地址,哈哈,这就是我们要的那个参数的指针了

好了,分配完内存当然是要把我们的数据写过去了
这时候需要用到WriteProcessMemory来写进程的内存
function WriteProcessMemory(
hProcess: THandle; //目标进程句柄
const lpBaseAddress: Pointer;
//要写的内存地址,就填我们那个参数的指针
lpBuffer: Pointer;
//数据的地址,我们把字符串存这里,让他拷
nSize: DWORD;
//要拷贝的数据长度
//字符串在Windows定义是以null(就是16进制的0)结尾的
//所以长度就是字符串的长度+1
var lpNumberOfBytesWritten: DWORD)//返回的什么东西,没什么用
: BOOL; stdcall; //返回成功或失败

我们来写个完整的代码吧
procedure TmyForm.Button6Click(Sender: TObject);
var
h:longword; //放句柄,中间顺便暂放下PID
tmp:longword;//这个专门来占格式收集垃圾
DllName:pchar;
Mysize:longword;//放字符串长度
Parameter:pointer;//放那个参数的指针(位置在目标进程内)
begin
DLLName:='Testdll.dll';
Mysize:=strlen(Dllname)+1;
winexec('notepad',1);
GetWindowThreadProcessId(FindWindow('notepad', nil), @h);
h:=OpenProcess(PROCESS_ALL_ACCESS, False, h);
Parameter:= VirtualAllocEx(h, nil, Mysize, MEM_COMMIT, PAGE_READWRITE);
WriteProcessMemory(h, Parameter, Pointer(DllName), MySize, tmp);
CreateRemoteThread(h,nil, 0, GetProcAddress(GetModuleHandle('KERNEL32.DLL'), 'LoadLibraryA'),
Parameter, 0 , tmp);
end;
又看到那两个熟悉的对话框了
哈哈,这么说我们成功了
如把那个DLL换成其他的功能,那就...

一个现成的调用代码：
procedure Inject(ProcessHandle: longword; EntryPoint: pointer);
var
Module, NewModule: Pointer;
Size, BytesWritten, TID: longword;
begin
Module := Pointer(GetModuleHandle(nil));//得到模块句柄,nil表示得到自身模块的
Size := PImageOptionalHeader(Pointer(integer(Module) + PImageDosHeader(Module)._lfanew +
SizeOf(dword) + SizeOf(TImageFileHeader))).SizeOfImage;
VirtualFreeEx(ProcessHandle, Module, 0, MEM_RELEASE);
NewModule := VirtualAllocEx(ProcessHandle, Module, Size, MEM_COMMIT or MEM_RESERVE,
PAGE_EXECUTE_READWRITE);
WriteProcessMemory(ProcessHandle, NewModule, Module, Size, BytesWritten);
CreateRemoteThread(ProcessHandle, nil, 0, EntryPoint, Module, 0, TID);
end;

用的时候写个无参数的函数(遵守标准调用)比如func吧
inject(目标句柄,@func);
就OK了
注意那个func里面只能有API函数,自己写的函数都不能调用,想用就直接写过程进去吧
不然会怎样你试试就知道了

注意了
VirtualAllocEx
VirtualFreeEx
CreateRemoteThread
在NT下才能用
9X/me系统可以利用一些辅助单元实现

***************************************************

 

线程注入实例：

 

我们知道在NT及以上操作系统提供了一个函数VirtualAllocEx,利用这个函数我们可以在其它进程中申请一块内存,其定义如下:

function VirtualAllocEx( //在其它进程中申请一块内存

hProcess: THandle;// hProcess为要申请内存的进程的句柄

lpAddress: Pointer;// lPAddress为地址指针,指向需要分配的某地址范围内的页面的起始地址,可以设为nil,由系统确定分配空间的地址.

dwSize:dword; //分配内存区域的大小.

flAllocationType: DWORD; //flAllocationType为分配类型,在这儿我们设为MEM_COMMIT.

flProtect: DWORD//flProtect为新分配内存的存取保护类型,可设为PAGE_EXECUTE_READWRITE来定义其为可执行可读写.

): Pointer; stdcall;//函数执行成功后,将会返回所分配页面的基址.

 

其中,可以用如下方法得到指定的窗口所属的进程的进程句柄.

Function GetProcessHandle: THandle;

var

WndHandle, PID: THandle;

begin

WndHandle := FindWindow(nil, '窗口名');//得到其进程和线程ID

GetWindowThreadProcessId(WndHandle, PID);//以完全访问权限打开进程句柄

Result := OpenProcess(PROCESS_ALL_ACCESS, False, PID);

end;

看下面的例子:

unit unit1;

interface

uses

Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,Dialogs, StdCtrls;

const

WM_HOOKED = WM_USER + 3221; //Hook安装成功的消息

type

TThreadProVarList = record //变量列表

SendMessage: DWORD;

ExitProcess: DWORD;

ExitThread: DWORD; //上面用来保存API真实地址

WndHandle: DWORD;

end;

TForm1 = class(TForm)

Button1: TButton;

Button2: TButton;

procedure Button1Click(Sender: TObject);

procedure Button2Click(Sender: TObject);

private

ThreadAdd: Pointer;//在目标进程中申请的内存地址

PID, PHandle: DWORD; //目标窗口进程ID,句柄和线程ID

ThreadHandle, ThreadID: Thandle; //新的远程线程的ID和句柄

procedure WMHOOKED(var Msg: TMessage);message WM_HOOKED;

public

// Public declarations

end;

var

Form1: TForm1;

implementation

//$R *.dfm

procedure ThreadPro;

var

VarList: TThreadProVarList;

begin

asm

mov eax, $FFFFFFFF //到$FFFFFFFF的偏移是7

mov VarList.SendMessage, eax

mov eax, $FFFFFFFF //这个$FFFFFFFF是在上一个偏移位置加8

mov VarList.WndHandle, eax

mov eax, $FFFFFFFF

mov VarList.ExitProcess, eax

mov eax, $FFFFFFFF

mov VarList.ExitThread, eax

push 0

push 0

push 4245 //4245就是自定义的WM_HOOKED

push VarList.WndHandle

call VarList.SendMessage

push 0

call VarList.ExitThread

end;

end;

procedure TForm1.Button1Click(Sender: TObject);

var

WndHandle, TmpHandle: THandle;//要注入线程的窗口句柄和临时存放的句柄.

DllModule, SendPro, WriteCount: DWORD;

ExitPro, ExitTPro: DWORD;

begin

WndHandle := FindWindow(nil, '记事本');//先查找到要注入远程线程的窗口

GetWindowThreadProcessId(WndHandle, PID);//得到其进程和线程ID

PHandle := OpenProcess(PROCESS_ALL_ACCESS, False, PID);//以完全访问权限打开进程句柄

ThreadAdd := VirtualAllocEx(PHandle, nil, 4096, MEM_COMMIT, PAGE_EXECUTE_READWRITE);//在目标进程中分配内存

WriteProcessMemory(PHandle, ThreadAdd, @ThreadPro, 4096, WriteCount);//把自定义函数写入到目标进程中

ThreadHandle := createRemoteThread(PHandle, nil, 0, ThreadAdd, nil, create_SUSPENDED, ThreadID);//以挂起方式建立远端线程,以便修改

DllModule := LoadLibrary('User32.dll');//得到API真实的地址

SendPro := DWORD(GetProcAddress(DllModule, 'SendMessageW'));

DllModule := LoadLibrary('Kernel32.dll');

ExitPro := DWORD(GetProcAddress(DllModule, 'ExitProcess'));

ExitTPro := DWORD(GetProcAddress(DllModule, 'ExitThread'));

//把API真实地址和数据写入到在目标进程中的函数中

TmpHandle := Self.Handle;

WriteProcessMemory(PHandle, Pointer(LongInt(ThreadAdd)+7), @SendPro, SizeOf(DWORD), WriteCount);

WriteProcessMemory(PHandle, Pointer(LongInt(ThreadAdd)+15), @TmpHandle, SizeOf(DWORD), WriteCount);

WriteProcessMemory(PHandle, Pointer(LongInt(ThreadAdd)+23), @ExitPro, SizeOf(DWORD), WriteCount);

WriteProcessMemory(PHandle, Pointer(LongInt(ThreadAdd)+31), @ExitTPro, SizeOf(DWORD), WriteCount);

ResumeThread(ThreadHandle);//开始运行远端线程

CloseHandle(ThreadHandle);//

end;

procedure TForm1.Button2Click(Sender: TObject);

begin

VirtualFreeEx(PHandle, ThreadAdd, 4096, MEM_DECOMMIT);//释放在目标进程中分配的内存

CloseHandle(PHandle);//关闭不用的句柄

end;

procedure TForm1.WMHOOKED(var Msg: TMessage);

begin

MessageBox(self.Handle, '建立远端线程成功', '!!!', MB_OK);

end;

end.{---END---}

要在线程函数中新定义变量的话,在TThreadProVarList类型中添加就可以了,然后再添加一条类似于

mov eax, $FFFFFFFF

mov VarList.ExitProcess, eax

的指今,并用WriteProcessMemory写入新变量的值就可以了.

如果是在var中申请变量的话,到函数第一条指今的偏移地址会改变,源程序也要相应改变,可以利用CPU窗口来查看。

注意:

此方法不适用于9x系统.

在线程函数中调用VCL函数也会有问题,因为指向的是自己的进程中的函数地址.

如果使用Pchar类型的字串的话,必须先用VirtualAllocEx函数申请内存,再用WriteProcessMemory写字串到目标进程中并保存下来字串地址,再按传送API地址的方法传送给线程函数就可以使用了.

最后记得使用VirtualFreeEx函数来释放在目标进程中分配的内存.

利用VirtualAllocEx函数还可以实现不需要DLL文件的HOOK技术等.