前言

昨天完成了dll注入，今天就完成了代码注入，早知道这个，就应该早点这么做。

需要注意的问题

• 64位程序只能注入64位目标程序，否则会告诉你访问错误(GetLastError() == 5)
• 经过实际操作发现Release版本能正常注入，但是Debug版本不能(卡了好久，，，我太笨了)

DLL注入和代码注入区别

• dll注入之后，dll就会一直在目标进程空间中，但是代码注入执行完成之后就消失了
• 代码注入体积小，不占内存
• 实际上我觉得可以再加一个，，，dll贼方便，，，不需要使劲考虑会不会变量地址错误的问题

代码

#include <windows.h>
#include <iostream>
#include <tlhelp32.h>

using namespace std;

// 用来传参的结构体
struct PARAM
{
	FARPROC func[2];	// LoadLibraryA() GetProcAddress()
	char cBuff[4][128];	// "User32.dll"、"MessageBox()"、"标题"、"内容"
};

// 定义三个函数指针（其实我理解来看就是制定了怎么格式化代码）
typedef HMODULE(*PLOADLIBRARYA)(LPCSTR);
typedef FARPROC(*PGETPROCADDRESS)(HMODULE,LPCSTR);
typedef int(*PMESSAGEBOXA)(int,LPCSTR,LPCSTR,int);	// 这里应该和MessageBoxA函数的参数列表一样，但是我这样也可以

// 通过进程名获取pid
DWORD GetPidByName(LPCWSTR lpName)
{
	HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	if (!hSnap)
	{
		cout << "创建进程快照失败" << endl;
		return 0;
	}
	PROCESSENTRY32 pe;
	pe.dwSize = sizeof(PROCESSENTRY32);
	Process32First(hSnap, &pe);
	do
	{
		if (!_wcsicmp(lpName, pe.szExeFile))
		{
			return pe.th32ProcessID;
		}
	} while (Process32Next(hSnap, &pe));
	return 0;
}

// 即将注入到目标进程的细作 写的这么麻烦完全是因为代码注入不能使用自己程序的资源，
// 下面用到的变量资源完全在目标进程空间
DWORD WINAPI ThreadProc(LPVOID lParam)
{
	PARAM* s = (PARAM*)lParam;											// 强转参数
	HMODULE hmMod = ((PLOADLIBRARYA)s->func[0])(s->cBuff[0]);			// 实际上是LoadLibraryA()
	FARPROC pFunc = ((PGETPROCADDRESS)s->func[1])(hmMod, s->cBuff[1]);	// 实际上是GetProcAddress()
	((PMESSAGEBOXA)pFunc)(NULL, s->cBuff[2], s->cBuff[3], 0);			// 实际上是MessageBoxA
	return 0;
}

// 提权
int EnableDebugPrivilege()
{
	HANDLE token;
	TOKEN_PRIVILEGES tp;
	// 打开进程令牌环
	if (!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &token))
	{
		cout << "打开进程令牌失败" << endl;
		return 0;
	}
	//  获取进程本地唯一ID
	LUID luid;
	if (!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &luid))
	{
		cout << "获取LUID失败" << endl;
		return 0;
	}
	tp.PrivilegeCount = 1;
	tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
	tp.Privileges[0].Luid = luid;
	// 调整进程权限
	if (!AdjustTokenPrivileges(token, 0, &tp, sizeof(TOKEN_PRIVILEGES), NULL, NULL))
	{
		cout << "提权失败" << endl;
		return 0;
	}
	return 1;
}

int main()
{
	cout << "ThreadProc地址: "<<ThreadProc << endl;
	if (!EnableDebugPrivilege())
	{
		cout << "提权失败" << endl;
		return 0;
	}
	DWORD dwTargetPid = GetPidByName(L"notepad.exe");
	if (!dwTargetPid)
	{
		cout << "获取PID失败" << endl;
		return 0;
	}
	cout << "PID: " << dwTargetPid << endl;

	// 打开进程
	HANDLE hTarget = OpenProcess(PROCESS_ALL_ACCESS, false, dwTargetPid);
	if (!hTarget)
	{
		cout << "打开进程失败" << GetLastError() << endl;
		return 0;
	}

	PARAM p;
	p.func[0] = (FARPROC)LoadLibraryA;	// 因为本进程已经加载了这个函数所在的模块 kernel32.dll 所以能直接得到地址
	p.func[1] = (FARPROC)GetProcAddress;// 这两个在目标进程中地址也是这个，所以能直接用

	// 填充参数
	strcpy_s(p.cBuff[0],"User32.dll");	
	strcpy_s(p.cBuff[1],"MessageBoxA");
	strcpy_s(p.cBuff[2],"我是细作二号，多多指教 By Startu");
	strcpy_s(p.cBuff[3],"你好，");

	void* pParam = nullptr;
	pParam = VirtualAllocEx(hTarget, 0, sizeof(p), MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
	if (pParam == nullptr)
	{
		cout << "申请参数所需内存失败" << endl;
		return 0;
	}
	
	if (!WriteProcessMemory(hTarget, pParam, (LPCVOID)&p, sizeof(p), NULL))
	{
		cout << "写入参数失败" << endl;
		return 0;
	}
	
	void* pFunc = nullptr;
	//DWORD dwFuncSize = (DWORD)ThreadProc - (DWORD)EnableDebugPrivilege;
	DWORD dwFuncSize = 4096;	// 写死函数大小，在Debug模式下，上面注释的代码会得到错误的结果
	cout << "函数大小: "<<dwFuncSize << endl;
	pFunc = VirtualAllocEx(hTarget,0, dwFuncSize,MEM_COMMIT|MEM_RESERVE,PAGE_EXECUTE_READWRITE);
	if (pFunc == nullptr)
	{
		cout << "申请函数内存失败" << endl;
		CloseHandle(hTarget);
		return 0;
	}

	if (!WriteProcessMemory(hTarget, pFunc, (LPCVOID)ThreadProc, dwFuncSize, NULL))
	{
		cout << "写入函数代码失败" << endl;
		CloseHandle(hTarget);
		return 0;
	}

	cout << "函数地址: " << pFunc << endl;
	DWORD dwThreadId = 0;
	HANDLE hRemoteThread = CreateRemoteThread(hTarget, NULL, 0, (LPTHREAD_START_ROUTINE)pFunc, (LPVOID)pParam, 0, &dwThreadId);
	if (!hRemoteThread)
	{
		cout << "创建进程失败" << endl;
		CloseHandle(hTarget);
		return 0;
	}
	WaitForSingleObject(hRemoteThread,INFINITE);		// 等待注入线程结束
	cout << "运行结束" << hRemoteThread << endl;
	CloseHandle(hTarget);
	return 0;
}

• 运行之后，就能喜闻乐见的见到下面的结果了

通过x64dbg可以代码确实注入到notepad里面了 撒花★,°:.☆(￣▽￣)/$:.°★ 。

解决问题过程

前面解决这个问题想了好久（笨死，，）

后来师傅说可以试试windbg调试一下试试，但是windbg是真的很难操作。。。

后来想到了OD，不过OD不能调试64位程序，幸好在两年前了解到了x64dbg，这个是个好工具，我觉得完全可以接下OD的旗帜。

• 这里 https://github.com/x64dbg/x64dbg/releases下载到x64dbg
• 然后打开记事本，使用dbg附加进程，点击选项、选项然后选择在线程入口下暂停
  • 
  • OD设置位置也是这里
• 多点几次运行按钮，让notepad自己的线程先跑起来
• 然后打开代码开始注入，成功之后dbg会暂停的，一般来说就能看到下图中代码，也即是注入进去的线程函数
• F8步过，看到传参那部分没有问题，然后再call的时候(MessageBox函数)，报错了，下面提示说不合法的访问(EXCEPTION_ACCESS_VIOLATION)，突然想起来，应该是这里的指针指向了不合法的地址。

• 检查代码之后，确认参数地址都没问题，但是我直接在线程函数中调用了MessageBoxA(),这个应该就是问题的关键，一直没想到的原因，就是因为别的博文中说，“线程函数中，不可以使用Kernel32.dll和user32.dll之外的函数”，，，我理解成了，MessageBoxA是User32.dll里面的函数，所以应该可以直接使用。😔

• 那么接下来就改造一下代码，把函数也给写入进去，在线程中载入模块。也就变成了上面的成品代码。

• 但是依旧不行，还是会闪退，，，再通过dbg看了发现错误不一样了，他是这样的了

  • 

• 似乎没有看到具体代码，全是jmp，然后通过vs的汇编窗口，我看到这了

  • 

• 这里是所有的函数，似乎是一个目录，我通过代码中的方式获取到的地址实际上只是个jmp，注入的只是这个jmp，然后线程中，jmp了不合法的地址，就错了。

• 最终调成Release模式之后，就能成功运行了。这么看来 Release模式下，似乎是没有这个目录的。但是这个目录是什么还是不太清楚，了解的伙伴麻烦留个言。

参考

参考：https://www.cnblogs.com/2f28/p/9974552.html

谢谢~~