[原创]纯C++编写Win32/X64通用Shellcode注入csrss进程.-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]纯C++编写Win32/X64通用Shellcode注入csrss进程.

发表于: 2015-8-8 04:26 38802

[原创]纯C++编写Win32/X64通用Shellcode注入csrss进程.

猪会被杀掉

2015-8-8 04:26

38802

这是做的一些研究,觉得没什么用处,人生不应该把精力放在这些小打小闹的垃圾玩意身上;先讲一下文章的主题这样做的目的，这样做免去了用汇编代码限制，纯C++编写的东西移植性高.

注入csrss进程要点：只能用导入表之存在ntdll的dll进行注入,否则会失败.其他要点基本上没什么了,csrss进程pid使用CsrGetProcessId函数获取，免去了遍历进程的痛苦.

看下我们的注入器(这是Win32/x64通用的).

#include "main.h"
#include "base/component_name.h"

namespace bootldr{
	static HANDLE WINAPI ShellcodeBegin(PTHREAD_DATA parameter){
		if (parameter->fnRtlInitUnicodeString != nullptr&&parameter->fnLdrLoadDll != nullptr){
			UNICODE_STRING UnicodeString;
			parameter->fnRtlInitUnicodeString(&UnicodeString, parameter->dllpath);
			HANDLE module_handle = nullptr;
			return (HANDLE)parameter->fnLdrLoadDll(nullptr, nullptr, &UnicodeString, &module_handle);
		}
		else{
			return (HANDLE)-3;
		}
	}
	static DWORD WINAPI ShellcodeEnd(){
		return 0;
	}
	static bool SetProcessPrivilege(DWORD SE_DEBUG_PRIVILEGE = 0x14){
		BOOLEAN bl;
		RtlAdjustPrivilege(SE_DEBUG_PRIVILEGE, TRUE, FALSE, &bl);
		return bl;
	}
	static bool ProcessInternalExecute(PTHREAD_DATA parameter,DWORD process_id){
		HANDLE hProcess = nullptr;
		CLIENT_ID cid = { (HANDLE)process_id, nullptr };
		OBJECT_ATTRIBUTES oa;
		InitializeObjectAttributes(&oa, NULL, 0, NULL, NULL);
		if (!NT_SUCCESS(NtOpenProcess(&hProcess, PROCESS_ALL_ACCESS, &oa, &cid))){
			return false;
		}
		PVOID data = VirtualAllocEx(hProcess, NULL, 0x2000, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
		PVOID code = VirtualAllocEx(hProcess, NULL, 0x2000, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
		if (!data || !code){
			NtClose(hProcess);
			return false;
		}
		NtWriteVirtualMemory(hProcess, data, parameter, sizeof(THREAD_DATA), NULL);
		NtWriteVirtualMemory(hProcess, code, (PVOID)ShellcodeBegin, (ULONG)((LPBYTE)ShellcodeEnd - (LPBYTE)ShellcodeBegin), NULL);
		HANDLE hThread = nullptr;
		if (!NT_SUCCESS(RtlCreateUserThread(hProcess, NULL, FALSE, 0, 0, 0, code, data, &hThread, NULL))){
			NtClose(hProcess);
			return false;
		}
		NtWaitForSingleObject(hThread, FALSE, NULL);
		DWORD exit_code = -1;
		GetExitCodeThread(hThread, &exit_code);
		NtClose(hThread);
		VirtualFreeEx(hProcess, data, 0, MEM_RELEASE);
		VirtualFreeEx(hProcess, code, 0, MEM_RELEASE);
		NtClose(hProcess);
		return (exit_code==0);
	}
	std::wstring GetAbsolutePath(const std::wstring& name){
		wchar_t fileName[MAX_PATH] = {0};
		GetModuleFileNameW(NULL, fileName, MAX_PATH);
		PathRemoveFileSpec(fileName);
		return std::wstring(fileName).append(name);
	}
	void SetShellcodeLdrModulePath(PTHREAD_DATA parameter,const std::wstring& srcfile){
		wcscpy_s(parameter->dllpath, srcfile.c_str());
	}
}

int WINAPI wWinMain(HINSTANCE hInstance,HINSTANCE hPrevInstance,LPWSTR lpCmdLine,int nShowCmd){
	THREAD_DATA parameter = {0};
	parameter.fnRtlInitUnicodeString = (pRtlInitUnicodeString)GetProcAddress(GetModuleHandleW(L"ntdll.dll"), "RtlInitUnicodeString");
	parameter.fnLdrLoadDll = (pLdrLoadDll)GetProcAddress(GetModuleHandleW(L"ntdll.dll"), "LdrLoadDll");
	parameter.fnGetTempPathW = (pGetTempPathW)GetProcAddress(GetModuleHandleW(L"kernel32.dll"), "GetTempPathW");
	parameter.fnGetSystemDirectoryW = (pGetSystemDirectoryW)GetProcAddress(GetModuleHandleW(L"kernel32.dll"), "GetSystemDirectoryW");
	parameter.fnGetVolumeInformationW = (pGetVolumeInformationW)GetProcAddress(GetModuleHandleW(L"kernel32.dll"), "GetVolumeInformationW");
	bootldr::SetProcessPrivilege();
	bootldr::SetShellcodeLdrModulePath(&parameter, bootldr::GetAbsolutePath(base::kBootldrName));
	bootldr::ProcessInternalExecute(&parameter, GetCurrentProcessId()/*CsrGetProcessId()*/);
    return 0;
}

登录后可查看完整内容

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

上传的附件：

src.7z （6.46kb，1634次下载）

收藏・160

免费・11

支持

最新回复 (30) 1 2 ▶
kanxue 雪币： 58782 活跃值： (21921) 能力值： (RANK：350 ) 在线值：发帖 2384 回帖 17068 粉丝 615 关注私信	kanxue 8 2 楼 IE首页保护算法逆向工程? 东西先不要删除，如果写的好，版主会移到软件调试版块去的 2015-8-8 17:54 2
猪会被杀掉雪币： 18 活跃值： (1064) 能力值： ( LV7，RANK：110 ) 在线值：发帖 32 回帖 503 粉丝 46 关注私信	猪会被杀掉 1 3 楼顶起来，人生必须通过努力才能得到自己想要、喜欢的东西. 2015-8-13 20:51 1
rel 雪币： 10 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	rel 4 楼占坑以待 2015-8-14 02:37 1
Rprop 雪币： 878 活跃值： (496) 能力值： ( LV3，RANK：20 ) 在线值：发帖 35 回帖 743 粉丝 14 关注私信	Rprop 5 楼小东西成就大事物 2015-8-16 11:34 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 6 楼围观一下，顶起来 2015-8-16 12:08 0
灰太羊雪币： 42 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	灰太羊 7 楼人生不应该把精力放在这些小打小闹的垃圾玩意身上 2015-8-16 14:13 0
orz1ruo 雪币： 16711 活跃值： (2783) 能力值： ( LV9，RANK：147 ) 在线值：发帖 1 回帖 613 粉丝 10 关注私信	orz1ruo 8 楼楼上偏了,.感谢楼主分享.不要小看一些小事物,积累起来可能成就无穷的力量. 2015-8-16 14:51 0
wulongxian 雪币： 242 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 51 粉丝 0 关注私信	wulongxian 9 楼附件缺少头文件啊，大神。 main.cc(2): fatal error C1083: 无法打开包括文件: “base/component_name.h”: No such file or directory 2015-8-16 15:54 0
hurtmanzc 雪币： 263 活跃值： (79) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	hurtmanzc 10 楼技术很重要，修养也很重要，老板眼中都只是工具，相煎何急呢 2015-8-18 09:45 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 11 楼点赞~csrss注入还是被人发出来了~ 2015-8-18 11:27 0
天行客雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 59 粉丝 0 关注私信	天行客 12 楼错误 1 error C1083: 无法打开包括文件: “base/component_name.h”: No such file or directory C:\Users\link\Desktop\bootldr\dllmain.cc 3 1 bootldr 2015-8-18 12:21 0
信息组雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	信息组 13 楼 mark 2015-8-18 14:36 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 4 关注私信	人在塔在 14 楼膜拜 csrss注入 2015-8-23 21:49 0
bambooCC 雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	bambooCC 15 楼感谢楼主分享 2015-8-26 18:28 0
xdlakx 雪币： 630 活跃值： (665) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 99 粉丝 0 关注私信	xdlakx 16 楼感谢楼主分享～ 2016-1-9 09:42 0
ashooter 雪币： 260 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	ashooter 17 楼启动远程线程失败了。。 2016-3-7 10:01 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 18 楼你这逗逼 2016-4-1 23:04 0
yybdanny 雪币： 137 活跃值： (120) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 49 粉丝 0 关注私信	yybdanny 19 楼报个要求版本12，你当前版本为4的错误 2016-4-3 11:11 0
hfyy 雪币： 235 活跃值： (23) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 122 粉丝 2 关注私信	hfyy 2 20 楼打开csrss进程失败呀？如何打开csrss进程 2016-9-27 09:25 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 21 楼你就想大家都不发，你们统治内核！！ 2016-11-18 21:05 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 22 楼兄弟，六个联系方式把。我有事情请教你！ 2016-11-18 21:06 0
superlover 雪币： 11379 活跃值： (5566) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 110 粉丝 1 关注私信	superlover 23 楼感谢楼主分享。 2016-11-18 21:56 0
CWangChao 雪币： 40 活跃值： (303) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	CWangChao 24 楼谢谢，易编译出来竟然免杀 2016-11-20 22:57 0
他她它雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	他她它 25 楼能说说这个注入后有什么用.可以做什么坏事呢....这进程权限很高的啊 2016-11-20 23:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

猪会被杀掉

发帖

503

回帖

110

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (30) 1 2 ▶
kanxue 雪币： 58782 活跃值： (21921) 能力值： (RANK：350 ) 在线值：发帖 2384 回帖 17068 粉丝 615 关注私信	kanxue 8 2 楼 IE首页保护算法逆向工程? 东西先不要删除，如果写的好，版主会移到软件调试版块去的 2015-8-8 17:54 2
猪会被杀掉雪币： 18 活跃值： (1064) 能力值： ( LV7，RANK：110 ) 在线值：发帖 32 回帖 503 粉丝 46 关注私信	猪会被杀掉 1 3 楼顶起来，人生必须通过努力才能得到自己想要、喜欢的东西. 2015-8-13 20:51 1
rel 雪币： 10 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	rel 4 楼占坑以待 2015-8-14 02:37 1
Rprop 雪币： 878 活跃值： (496) 能力值： ( LV3，RANK：20 ) 在线值：发帖 35 回帖 743 粉丝 14 关注私信	Rprop 5 楼小东西成就大事物 2015-8-16 11:34 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 6 楼围观一下，顶起来 2015-8-16 12:08 0
灰太羊雪币： 42 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	灰太羊 7 楼人生不应该把精力放在这些小打小闹的垃圾玩意身上 2015-8-16 14:13 0
orz1ruo 雪币： 16711 活跃值： (2783) 能力值： ( LV9，RANK：147 ) 在线值：发帖 1 回帖 613 粉丝 10 关注私信	orz1ruo 8 楼楼上偏了,.感谢楼主分享.不要小看一些小事物,积累起来可能成就无穷的力量. 2015-8-16 14:51 0
wulongxian 雪币： 242 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 51 粉丝 0 关注私信	wulongxian 9 楼附件缺少头文件啊，大神。 main.cc(2): fatal error C1083: 无法打开包括文件: “base/component_name.h”: No such file or directory 2015-8-16 15:54 0
hurtmanzc 雪币： 263 活跃值： (79) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	hurtmanzc 10 楼技术很重要，修养也很重要，老板眼中都只是工具，相煎何急呢 2015-8-18 09:45 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 11 楼点赞~csrss注入还是被人发出来了~ 2015-8-18 11:27 0
天行客雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 59 粉丝 0 关注私信	天行客 12 楼错误 1 error C1083: 无法打开包括文件: “base/component_name.h”: No such file or directory C:\Users\link\Desktop\bootldr\dllmain.cc 3 1 bootldr 2015-8-18 12:21 0
信息组雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	信息组 13 楼 mark 2015-8-18 14:36 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 4 关注私信	人在塔在 14 楼膜拜 csrss注入 2015-8-23 21:49 0
bambooCC 雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	bambooCC 15 楼感谢楼主分享 2015-8-26 18:28 0
xdlakx 雪币： 630 活跃值： (665) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 99 粉丝 0 关注私信	xdlakx 16 楼感谢楼主分享～ 2016-1-9 09:42 0
ashooter 雪币： 260 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	ashooter 17 楼启动远程线程失败了。。 2016-3-7 10:01 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 18 楼你这逗逼 2016-4-1 23:04 0
yybdanny 雪币： 137 活跃值： (120) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 49 粉丝 0 关注私信	yybdanny 19 楼报个要求版本12，你当前版本为4的错误 2016-4-3 11:11 0
hfyy 雪币： 235 活跃值： (23) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 122 粉丝 2 关注私信	hfyy 2 20 楼打开csrss进程失败呀？如何打开csrss进程 2016-9-27 09:25 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 21 楼你就想大家都不发，你们统治内核！！ 2016-11-18 21:05 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 22 楼兄弟，六个联系方式把。我有事情请教你！ 2016-11-18 21:06 0
superlover 雪币： 11379 活跃值： (5566) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 110 粉丝 1 关注私信	superlover 23 楼感谢楼主分享。 2016-11-18 21:56 0
CWangChao 雪币： 40 活跃值： (303) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	CWangChao 24 楼谢谢，易编译出来竟然免杀 2016-11-20 22:57 0
他她它雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	他她它 25 楼能说说这个注入后有什么用.可以做什么坏事呢....这进程权限很高的啊 2016-11-20 23:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复