天马阁

 找回密码
 立即注册
                                        →→→→→→→→→→→→ 1点击查看所有VIP教程目录长列表(总教程数269个) 2办理VIP详情进入 ←←←←←←←←←←←←
1 x64CE与x64dbg入门基础教程 7课 已完结 2 x64汇编语言基础教程 16课 已完结 3 x64辅助入门基础教程 9课 已完结 4 C++x64内存辅助实战技术教程 149课 已完结
5 C++x64内存检测与过检测技术教程 10课 已完结 6 C+x64二叉树分析遍历与LUA自动登陆教程 19课已完结 7 C++BT功能原理与x64实战教程 29课 已完结 8 C+FPS框透视与自瞄x64实现原理及防护思路 30课完结
64驱?封? 9 64反驱? 10 64位V? 11 绝? 12 ???课?
13 64透 ? 14 64U ? 15 64Q ? 16 64功 ?
17 64U ? 18 64模 ? 19 64多 ? 20 64网 ?
21 64注 ? 22 64火 ? 23 64棋 ? 24 64自二链L?
25 64破 ? VIP会员办理QQ: 89986068   
【请先加好友,然后到好友列表双击联系客服办理,不然可能无法接受到信息。】
27 加入2000人交流群637034024 3 28 免责声明?
查看: 4753|回复: 0

Ring3注入总结及编程实现

[复制链接]

11

主题

0

回帖

13

积分

编程入门

Rank: 1

天马币
22
发表于 2024-3-4 09:17:15 | 显示全部楼层 |阅读模式
Ring3注入总结

导入表注入

静态注入的方法。修改PE文件,添加一个新节,修改导入表添加一个新的DLL实现注入。

挂起线程注入

OpenThread-->SuspendThread-->GetThreadContext-->获取EIP-->修改EIP-->SetThreadContext-->ResumeThread

挂起进程注入

CreateProcess注入方法之一,CREATE_SUSPENDED以挂起的方式打开进程,写入ShellCode注入。
  1. 调试器注入

  2. CreateProcess注入方法之二,DEBUG_ONLY_THIS_PROCESS以调试的方法打开进程,利用CREATE_PROCESS_DEBUG_EVENT,向目标程序中写入我们的ShellCode完成相应功能,并且我们的ShellCode中写入以CC断点,代码执行指令时触发EXCEPTION_DEBUG_EVENT事件,在EXCEPTION_DEBUG_EVENT的处理函数中回到原来的执行流程。

  3. 注册表注入

  4. 全局的注入方式:

  5. 修改:

  6. HKEY_LOCAL_MACHINE/Software/Microsoft/WindowsNT/CurrentVersion/Windows/AppInit_DLLs的键值为我们DLL的路径,只要使用了user32.dll的程序都会加载这个目录下的DLL。

  7. 钩子注入

  8. 利用SetWindowsHookEx拦截消息进行注入。

  9. APC注入

  10. APC注入的原理是利用当线程被唤醒时APC中的注册函数会被执行的机制,并以此去执行我们的DLL加载代码,进而完成DLL注入的目的。利用QueueUserAPC()可以向APC队列投入Loadlibrary函数指针完成注入,其实这种方法配合CreateProcess使用注入最为简单,先挂起打开线程,再QueueUserAPC(),再恢复线程,完成注入。

  11. 远程线程注入

  12. 老的套路,主要是用到CreateRemoteThread这个API,通过它可以打开目标进程中的远程线程,然后跑我们的代码完成注入。

  13. 输入法注入

  14. 利用输入法在工作时需要向进程中加载Ime文件(其实就是个Dll),我们构造自己的Ime文件,在Ime文件注入对方进程的时候加载我们自己的DLL完成注入

  15. DLL劫持

  16. 简单来说就是自己实现应用程序的某些DLL,完成导出函数,替换DLL实现注入。

  17. 关于Ring3下的反注入思路
  18. 反注入的方法大牛应该都是在Ring0下面玩,我只了解一些三环下的反注入思路,这里只聊3环下的反注入思路。

  19. 导入表注入

  20. 毕竟是静态修改文件的方法注入DLL,可以对自身PE文件求校验值判断是否被修改。

  21. 钩子注入

  22. (1)HOOK自身进程的LoadLibraryExW这个函数,判断调用是否来自user32.dll,因为钩子注入时LoadLibraryExW的调用者为user32.dll,HOOK关键代码如下

  23. HMODULE WINAPI newLoadLibraryExW(LPCWSTR  lpLibFileName,HANDLE hFile,DWORD dwFlags)
  24. {
  25. //get the return address
  26. DWORD dwCaller;
  27.         //ebp+4返回上层调用者的地址
  28. __asm push dword ptr [ebp+4]
  29. __asm pop  dword ptr [dwCaller]
  30. if(dwCaller > m_dwUser32Start && dwCaller < m_dwUser32End)
  31. {
  32.        return FALSE;
  33. }   
  34. return rawLoadLibraryExW(lpLibFileName,hFile,dwFlags);
  35. }

  36. (2)安装WH_DEBUG消息钩子,在WH_DEBUG钩子的消息回到中屏蔽消息钩子,回调

  37. LRESULT CALLBACK DebugProc(  
  38.    int nCode,  
  39.      WPARAM wParam,  
  40.      LPARAM lParam  
  41. )  

  42. 其中第三个参数 lParam  指向DEBUGHOOKINFO结构体如下:

  43. typedef struct  
  44. {  
  45.      DWORD idThread;  //安装WH_DEBUG钩子的线程ID。
  46.      DWORD idThreadInstaller;  //当前即将被调用的钩子所在的线程ID。
  47.      LPARAM lParam;  
  48.      WPARAM wParam;  
  49.      int code;  
  50. } DEBUGHOOKINFO, *PDEBUGHOOKINFO;  
  51. 判断这两个idThread与idThreadInstaller是否相等即可判断是自己进程的钩子

  52. 远程线程注入

  53. 当程序被远程线程被注入时候,线程的入口点一定为LoadLibraryA或者LoadLibraryW,我们用判断线程的入口点是不是LoadLibraryA或者LoadLibraryW,是就干掉。拿到线程入口点的方法是通过为公开的API --GetThreadStartAddress

  54. 关键代码如下:
  55. typedef enum _THREADINFOCLASS {
  56.     ThreadBasicInformation,
  57.     ThreadTimes,
  58.     ThreadPriority,
  59.     ThreadBasePriority,
  60.     ThreadAffinityMask,
  61.     ThreadImpersonationToken,
  62.     ThreadDescriptorTableEntry,
  63.     ThreadEnableAlignmentFaultFixup,
  64.     ThreadEventPair_Reusable,
  65.     ThreadQuerySetWin32StartAddress,
  66.     ThreadZeroTlsCell,
  67.     ThreadPerformanceCount,
  68.     ThreadAmILastThread,
  69.     ThreadIdealProcessor,
  70.     ThreadPriorityBoost,
  71.     ThreadSetTlsArrayAddress,
  72.     ThreadIsIoPending,
  73.     ThreadHideFromDebugger,
  74.     ThreadBreakOnTermination,
  75.     MaxThreadInfoClass
  76. } THREADINFOCLASS;
  77.   
  78. typedef LONG (WINAPI *NtQueryInformationThreadProc)(
  79.     _In_       HANDLE ThreadHandle,
  80.     _In_       THREADINFOCLASS ThreadInformationClass,
  81.     _Inout_    PVOID ThreadInformation,
  82.     _In_       ULONG ThreadInformationLength,
  83.     _Out_opt_  PULONG ReturnLength
  84.     );
  85.   
  86. NtQueryInformationThreadProc   NtQueryInformationThread = NULL;
  87. hNtdll                      = GetModuleHandleW(L"ntdll.dll");
  88. NtQueryInformationThread    = (NtQueryInformationThreadProc)GetProcAddress(hNtdll, "NtQueryInformationThread");
  89.   
  90. HANDLE  hThread = NULL;
  91. PVOID   pvStart = NULL;
  92. hThread = OpenThread(THREAD_QUERY_INFORMATION | THREAD_TERMINATE, FALSE, te32.th32ThreadID);
  93. NtQueryInformationThread(hThread, ThreadQuerySetWin32StartAddress, &pvStart, sizeof(pvStart), NULL);

  94. ④DLL劫持

  95. DLL的防御姿势我能想到就是对自己进程每个要加载的DLL求一个校验值,程序运行过程中进行校验

  96. 其他的防御姿势坐等各位指教。。。。。
复制代码

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

天马阁|C/C++辅助教程|安卓逆向安全| 论坛导航|免责申明|Archiver||网站地图
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论,本站内容均为会员发表,并不代表天马阁立场!
任何人不得以任何方式翻录、盗版或出售本站视频,一经发现我们将追究其相关责任!
我们一直在努力成为最好的编程论坛!
Copyright© 2010-2021 All Right Reserved.
快速回复 返回顶部 返回列表