关于WIN7下使用CreateRemoteThread失败的问题请教

dico · 发表于 2012-6-28 08:14:43

本人想尝试在WIN7下注入explorer进程加载DLL，传统的方法是用CreateRemoteThread来启动远程线程，让目标进程load我的DLL，可是在WIN7下返回总是NULL，GetLastError返回5。后来在网上查了查http://blog.csdn.net/wangningyu/article/details/6456607，按照作者的方法在WIN7 32位下成功。可是放到64位还是失败。是NtCreateThreadEx() 调用失败，错误代码127。请高手指点一下，感激不尽

Tesla.Angela · 发表于 2012-6-28 08:38:21

http://m5home.com/bbs/thread-5008-1-1.html

如果【你的进程】跟【你要注入的进程】处于不同的section，是无法注入的。

dico · 发表于 2012-6-28 10:06:07

Tesla.Angela 发表于 2012-6-28 08:38
http://m5home.com/bbs/thread-5008-1-1.html

如果【你的进程】跟【你要注入的进程】处于不同的section， ...

我的进程是SYSTEM权限，也就是SVCHOST.exe，而我要注入的是explorer.exe，是用户权限。但是为什么我在32位的WIN7下又可以呢？

Tesla.Angela · 发表于 2012-6-28 11:55:49

dico 发表于 2012-6-28 10:06
我的进程是SYSTEM权限，也就是SVCHOST.exe，而我要注入的是explorer.exe，是用户权限。但是为什么我在32 ...

不是权限，而是SECTION ID。
微软为了防止尔等鼠辈犯上作乱，故意设置了section机制防止DLL互相注射。{:soso_e113:}

dico · 发表于 2012-6-28 15:13:38

Tesla.Angela 发表于 2012-6-28 11:55
不是权限，而是SECTION ID。
微软为了防止尔等鼠辈犯上作乱，故意设置了section机制防止DLL互相注射。{:s ...

哦，我记得以前有一套代码是WTSQueryUserToken-》OpenProcessToken-》LookupPrivilegeValue-》DuplicateTokenEx-》SetTokenInformation-》AdjustTokenPrivileges-》CreateEnvironmentBlock-》CreateProcessAsUser，解决WIN7SESSION的，不知道是否是您说的那个

Xor · 发表于 2012-7-1 11:59:15

本帖最后由 Xor 于 2012-7-1 12:00 编辑

Tesla.Angela 发表于 2012-6-28 11:55
不是权限，而是SECTION ID。
微软为了防止尔等鼠辈犯上作乱，故意设置了section机制防止DLL互相注射。{:s ...

记得看过您２０１１在黑防上发过的一段WIn7注入代码（成功率很高），可惜忘了～

补充：

是这个http://vbasm.com/thread-5008-1-1.html吗？

Xor · 发表于 2012-7-1 12:07:01

本帖最后由 Xor 于 2012-7-1 13:02 编辑

Tesla.Angela 发表于 2012-6-28 08:38
http://m5home.com/bbs/thread-5008-1-1.html

如果【你的进程】跟【你要注入的进程】处于不同的section， ...

为什么我这里有时会无法分配内存？

dico · 发表于 2012-7-1 12:40:15

Xor 发表于 2012-7-1 12:07
为什么我这里总是无法分配内存？

我这里按照老大给的方法，是 CreateRemoteThread失败，神奇了。。。

kk1025 · 发表于 2013-4-9 21:12:59

飄過

账号		自动登录	找回密码
密码			加入我们