CreateRemoteThread返回ERROR_ACCESS_DENIED - Windows 7 DLL注入

时间:2012-02-26 19:12:18

标签: winapi dll windows-7 code-injection createremotethread

我正在尝试编写一个使用CreateRemoteThread来注入dll的程序。

问题是CreateRemoteThread拒绝工作。 GetLastError()返回5,即ERROR_ACCESS_DENIED。我想不出为什么!

我正在使用此视频http://www.youtube.com/watch?v=H3O3hmXkt1I

#include <iostream>
#include <direct.h>
#include <Windows.h>
#include <TlHelp32.h>

using namespace std;


char* GetCurrentDir()
{
    char*   szRet = (char*)malloc(MAX_PATH);
    _getcwd(szRet, MAX_PATH);
    return szRet;
}

LPCTSTR SzToLPCTSTR(char* szString)
{
    LPTSTR  lpszRet;
    size_t  size = strlen(szString)+1;

    lpszRet = (LPTSTR)malloc(MAX_PATH);
    mbstowcs_s(NULL, lpszRet, size, szString, _TRUNCATE);

    return lpszRet;
}

void WaitForProcessToAppear(LPCTSTR lpcszProc, DWORD dwDelay)
{
    HANDLE          hSnap;
    PROCESSENTRY32  peProc;
    BOOL            bAppeared = FALSE;

    while(!bAppeared)
    {
        if((hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0)) != INVALID_HANDLE_VALUE)
        {
            peProc.dwSize = sizeof(PROCESSENTRY32);
            if(Process32First(hSnap, &peProc))
                while(Process32Next(hSnap, &peProc) && !bAppeared)
                    if(!lstrcmp(lpcszProc, peProc.szExeFile))
                        bAppeared = TRUE;
        }
        CloseHandle(hSnap);
        Sleep(dwDelay);
    }
}

DWORD GetProcessIdByName(LPCTSTR lpcszProc)
{
    HANDLE          hSnap;
    PROCESSENTRY32  peProc;
    DWORD           dwRet = -1;

    if((hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0)) != INVALID_HANDLE_VALUE)
    {
        peProc.dwSize = sizeof(PROCESSENTRY32);
        if(Process32First(hSnap, &peProc))
            while(Process32Next(hSnap, &peProc))
                if(!lstrcmp(lpcszProc, peProc.szExeFile))
                    dwRet = peProc.th32ProcessID;
    }
    CloseHandle(hSnap);

    return dwRet;
}

BOOL InjectDll(DWORD dwPid, char* szDllPath)
{
    DWORD   dwMemSize;
    HANDLE  hProc;
    LPVOID  lpRemoteMem, lpLoadLibrary;
    BOOL    bRet = FALSE;

    if((hProc = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPid)) != NULL)
    {
        dwMemSize = strlen(szDllPath);
        if((lpRemoteMem = VirtualAllocEx(hProc, NULL, dwMemSize, MEM_COMMIT, PAGE_READWRITE)) != NULL)
            if(WriteProcessMemory(hProc, lpRemoteMem, szDllPath, dwMemSize, NULL))
            {
                lpLoadLibrary = GetProcAddress(GetModuleHandleA("kernel32.dll"), "LoadLibraryA");
                if(CreateRemoteThread(hProc, NULL, 0, (LPTHREAD_START_ROUTINE)lpLoadLibrary, lpRemoteMem, 0, NULL) != NULL)
                {
                    bRet = TRUE;
                }
                cout << GetLastError();
            }
    }
    CloseHandle(hProc);

    return bRet;
}

int main()
{
    char    szProc[MAX_PATH], szDll[MAX_PATH];
    char*   szDllPath = (char*)malloc(MAX_PATH);
    LPTSTR  lpszProc = NULL;

    for(;;)
    {
        cout << "Process: ";
        cin >> szProc;
        cout << "DLL: ";
        cin >> szDll;

        szDllPath = GetCurrentDir();
        strcat_s(szDllPath, MAX_PATH, "\\");
        strcat_s(szDllPath, MAX_PATH, szDll);

        cout << "Waiting for process.. ." << szDllPath << " " << szDll << endl;
        WaitForProcessToAppear(SzToLPCTSTR(szProc), 100);
        if(InjectDll(GetProcessIdByName(SzToLPCTSTR(szProc)), szDllPath))
            cout << "Injection Succeeded!" << endl;
        else
            cout << "Injection Failed!" << endl;
        cout << "\n";

    }

    return 0;

经过大量的谷歌搜索后,我无法找到一个不应该起作用的原因。

CreateRemoteThread在Windows 7下无效吗? 如果确实如此,我是否犯过任何明显的错误?

6 个答案:

答案 0 :(得分:15)

失败的原因是因为您的代码是32位且目标进程是64位。

您拥有多少权限并不重要。 Windows不会让这种情况发生。

我遇到了同样的问题。您生成一个系统32位exe并注入或将您的代码移植到64位(这意味着它不能在32位系统上运行)。

修改

很久以前,我发现了一种向任何处理器模式目标注入代码的好方法。它涉及将处理器模式动态切换到(任何)目标的模式。被称为“天堂之门”。为此,您必须使用内联汇编。所以基本上你可以在32位exe中同时拥有64位和32位代码,检测机器是否为64位,然后跳转到64位模式并运行64位代码。然后,您将遍历导入以查找ntdll并加载64位kernel.dll和其他库。以下是任何感兴趣的人的示例链接:http://bit.ly/19P0Lh3

答案 1 :(得分:2)

我看到的直接问题是你没有获得应该这样做的访问令牌:

HANDLE hToken; 
TOKEN_PRIVILEGES tp; 
HANDLE hProcess = OpenProcess( PROCESS_ALL_ACCESS, FALSE, GetCurrentProcessId() ); 

tp.PrivilegeCount = 1; 
LookupPrivilegeValue( NULL, _T("SeDebugPrivilege"), &tp.Privileges[0].Luid ); 
tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED; 
OpenProcessToken( hProcess, TOKEN_ADJUST_PRIVILEGES, &hToken ); 

AdjustTokenPrivileges( hToken, FALSE, &tp, NULL, NULL, NULL ); 
CloseHandle( hToken );

我现在没有时间查看所有代码,但这是我之前的一个项目中删除的内容:

// returns open process handle
HANDLE InjectDLL( DWORD dwPID, LPCWSTR szDLLPath, HMODULE* lphInjected ) {
  int     cszDLL;
  LPVOID  lpAddress;
  HMODULE hMod;
  HANDLE  hThread;
  HANDLE  hProcess = OpenProcess( PROCESS_CREATE_THREAD | 
      PROCESS_QUERY_INFORMATION | PROCESS_VM_OPERATION |
      PROCESS_VM_WRITE | PROCESS_VM_READ, FALSE, dwPID );

  if( hProcess == NULL ) {
    return NULL;
  }

  cszDLL = ( wcslen( szDLLPath ) + 1 ) * sizeof( WCHAR );

  // Injection
  lpAddress = VirtualAllocEx( hProcess, NULL, cszDLL, MEM_COMMIT, PAGE_EXECUTE_READWRITE );
  if( lpAddress == NULL ) {
    return NULL;
  }

  WriteProcessMemory( hProcess, lpAddress, szDLLPath, cszDLL, NULL );

  hMod = GetModuleHandle( L"kernel32.dll" );
  if( hMod == NULL ) {
    return NULL;
  }

  hThread = CreateRemoteThread( hProcess, NULL, 0,
        (LPTHREAD_START_ROUTINE)( GetProcAddress( hMod,
        "LoadLibraryW" ) ), lpAddress, 0, NULL );

  // Locate address our payload was loaded
  if( hThread != 0 ) {
    WaitForSingleObject( hThread, INFINITE );
    GetExitCodeThread( hThread, ( LPDWORD )lphInjected );
    VirtualFreeEx( hProcess, lpAddress, 0, MEM_RELEASE );
    CloseHandle( hThread );
  }

  return hThread != 0 ? hProcess : NULL;
}

看看它是否有帮助。稍后再看。

答案 2 :(得分:2)

好吧,你的代码很可能在Windows 7和Vista中失败,因为“受保护的进程”,即只能被其他受保护进程操纵的进程,例如explorer.exe等...在Windows 7 x32中有一种方法:因为你可以加载未签名的驱动程序,...好吧,你已经完成了(在谷歌搜索Alex Ionescu)。但是,在Windows 7 x64中,你不能(呃!)

  

“CreateRemoteThread()的第四个参数是一个地址。在你的情况下它是LoadLibraryA地址。但是,在Windows 7中,Kernel32.dll / LoadLibraryA基地址将在不同的过程中各种各样;”

嗯,这并不是真的,因为尽管有ASLR,但DLL在每个进程中都在相同的地址共享。但是,DLL可以重新定位,但是你可以在调用CreateRemoteThread之前调用GetProcAddress,因此DLL不太可能同时进行重新定位。

答案 3 :(得分:0)

我认为CreateRemoteThread()dll注入方法无法在Windows 7中工作。

CreateRemoteThread()的第四个参数是一个地址。在您的情况下,它是LoadLibraryA地址。但是,在Windows 7中,Kernel32.dll / LoadLibraryA的基地址将在不同的进程中进行各种处理;因此,CreateRemoteThread()将无法工作,因为地址不是您所期望的。这是我自己的看法,希望它会有所帮助。 :)

答案 4 :(得分:0)

CreateRemoteThread函数在Win Vista / 7中不起作用。您必须使用NTCreateThread函数,该函数未记录。

答案 5 :(得分:0)

TLDR :您的代码正确,将Visual Studio调试/编译目标更改为x64。

我之前也遇到过同样的问题,您的代码是Okey,问题是Visual Studio(或任何理智的人)默认以x86模式(32位)执行其程序,因为编译您的代码会很好程序可以在x86或x64体系结构中运行,但不能在进程注入方案中运行!由于其系统调用。

在代码注入的情况下,您应该在项目浏览器的项目属性中更改VS的构建和调试设置,以针对x64处理器进行编译/调试, 或者如果您交叉编译程序,则应使用x64编译器。

如果您正在寻找全局过程注入方法,可以使用 Heaven's Gate The 0x33 Segment Selector 的方法,该方法已在 Vawtrak < / strong>银行恶意软件。

您可能会看到关于“天堂之门”方法的this链接,内容为:

换句话说,它赋予了创建“裸” 64位的能力 代码,它将能够秘密运行,包括发行系统 呼叫,而大多数产品都无法拦截和/或 反思其执行情况