关于createremoteprocess的一个疑问？(50分)

iamfly · 2001-07-06

不知有大家有没有看过今年6月份的<<电脑高手>>其中在“WINDOWS API揭密”这一栏，有 如下一段C++的代码： #include<windows.h> bool SafeClose(HANDLE hProcess,UINT uExitCode) {  DWORD dwTID,dwCode,dwErr=0;  HANDLE hProcessDup=INVALID_HANDLE_VALUE;  HANDLE hRt=NULL;  HINSTANCE hKernel=GetModuleHandle("Kernel32");  BOOL bSuccess=FALSE;  BOOL bDup=DuplicateHandle(GetCurrentProcess(),hProcess,GetCurrentProcess(),                            &hProcessDup,PROCESS_ALL_ACCESS,FALSE,0);  if(GetexitCodeProcess((bDup)?hProcessDup:hProcess,&dwCode)&&(dwCode==STILL_ACTIVE))  { FARPROC pfnExitProc;    pfnExitProc=GetProcAddress(hKernel,"ExitProcess");    hRt=CreateRemoteThread((bDup)?hProcessDup:hProcess,NULL,0,                           (LPTHREAD_START_ROUTINE)pfnExitProc,(PVOID)uExitCode,0&dwTID);    if (hRt==NULL)       dwErr=GetLastError();  }  else  {dwErr=ERROR_PROCESS_ABORTED;  }  if(hRt)  { WaitForSingleObject((bDup)?hProcessDup:hProcess,INFINITE);    CloseHandle(hRt);    bSuccess=TRUE;  }  if(bDup)    CloseHandle(hProcessDup);  if(!bSuccess)    setlasterror(dwErr);  return bSuccess; } 现在我的疑问是：在createremotethread这，(pvoid)uexitcode有什么用呢？我应该传递 什么exitcode呢？其它的代码，我都已经转成了DELPHI的，就是这儿不是很明白，暂时 还无法调用这个函数。who can help me

iamfly · 2001-07-06

不是吧，连看都没人看？？？

iamfly · 2001-07-19

莫非，又要我自己去查MSDN？

iamfly · 2001-07-20

找了半天的MSDN，终于找到了可能可以的答案：） 我传了个1过去，HPROCESS那将OPENPROCESS返回的PROCESS HANDLE传过去，OK了：） 版主，我能把分给回自己吗？

Tense · 2001-10-11

hehe.[

]

iamfly · 2001-11-22

我要将这个问题放到直到我明白为什么再结束：P[

]

YB_unique · 2001-12-26

CreateRemoteThread函数在Delphi下的调用原型： CreateRemoteThread(hProcess,ThreadAttributes^,StackSize,StartAddress^,Parameter^,CreationFlags,ThreadId); 其中hProcess一般调用OpenProcess()获得     ThreadAttributes^则一般默认NIL     StackSize初始值默认为0     StartAddress^往往由GetProcAddress()得到     Parameter^则由VirtualAllocEx()获得     CreationFlags默认赋值为0     ThreadId为dword类型     其作用就是在另一进程中建立线程。引申点就是可以在将自己的线程加入到别人的进程中去 ^_^ 如： pRemoteThread:=CreateRemoteThread(pRemoteProcess,NIL,0,pfnStartAddr,pFileRemote,0,p); 接下来你可以利用WaitForSingleObject()等待event，最后利用函数TerminateThread()即可结束线程！ 照自己的理解说了一通，不知道是否清楚？希望能对你有所帮助！ （无意中在一张帖子里看到你的回帖，深有感触，就特意找来你的帖子看看！） 才疏学浅，若有不当，还望多多交流，不吝赐教！

iamfly · 2001-12-27

在MSDN里PARAMETER这一个参数里是这样说的： Specifies a single value passed to the thread function 可能是和SENDMESSAGE里的WPARAM与LPARAM两个参数类似，要根据具体的不同来传递不同的 参数。 Parameter^则由VirtualAllocEx()获得？这个函数不是用来分配内存的吗？ 望YB_UNIQUE兄能指点迷津：) P.S 兄所说的用TERMINATETHREAD来结束线程的方法我不赞同，因为这样造成的可能后果在 MSDN里已经有很好的说明。 AND 我的程序在2000下已经运行通过了，在98下不行，因为Windows 95/98: Unsupported.

YB_unique · 2001-12-27

VirtualAllocEx()函数可以为线程申请内存，在上例中是分配远程进程的地址空间中的内存。 这样你才可以利用WriteProcessMemory()函数将DLL的路径名复制到远程进程的内存空间　 臭名昭著的SirCAM病毒（Delphi写的）就利用了上面的原理！ 至于TerminateThread()函数的问题，早有耳闻。但我觉得作为线程终止运行时发生的操作， 只要注意释放线程所占用的资源一般不会引发异常（尤其是多线程）！ 现在这年头，一些未公开的技术传播得越快，好像非但造福苍生，反而变成唯恐天下不乱[

] 实在是。。。唉！在国外HACK网站看到用Delphi写的病毒木马越来越多，就越是迷惘！ 这些本非Delphi所长，但居然也被发扬光大，实在令人感慨！

iamfly · 2001-12-28

“至于TerminateThread()函数的问题，早有耳闻。但我觉得作为线程终止运行时发生的操 作，只要注意释放线程所占用的资源一般不会引发异常（尤其是多线程）！” 如果是自己写的程序中的线程，释放资源还是不难，可是，对于别的进程的线程来说，就不 对了吧。别的线程占用了什么资源我们怎么知道呢？又怎么去在强行中止它时释放呢？ 关于PARAMTER^此参数，我想应该是作为StartAddress^所指向的函数的函数的：) 为此，再查了下MSDN，发现是这样的： VOID ExitProcess(   UINT uExitCode   // exit code for all threads ); 因为我并不用将一个DLL路径名复制到远程进程的地址空间(USER32.DLL已经是在每一个进程 的地址空间里了)，只需要将一个API函数插进它的空间去，并运行这个API函数，所以用不 到VirtualAllocEx()。在DFW看过一个在2000下把一个DLL插入另一个进程的空间的例子。 因为目前机上没装2000，所以试不了。YB_UNIQUE兄说的应该就是和那个贴差不多的意思吧：) 其实目前的很多病毒都算不上真正的病毒，只能说是蠕虫。。。 有很多蠕虫、木马用DELPHI来编是件好事，起码说明DELPHI也能做到：)

YB_unique · 2001-12-31

既然兄弟有如此雅兴，呵呵！我们就再来聊聊 CreateRemoteThread() 的威力有多大！ Function CreateRemoteThread (processHandle : cardinal;                              threadAttr    : PSecurityAttributes;                              stackSize     : integer;                              startAddr     : pointer;                              params        : pointer;                              creationFlags : cardinal;                              var threadID  : cardinal           ) : cardinal; stdcall; CreateRemoteThread()作为一个NT格式下的强力函数，在另一进程中建立自己的线程。 （程序在2000下已经运行通过了，在98下不行，因为Windows 95/98: Unsupported），其实通过改写扩展以后， 该函数完全可以在所有的32bit的OS下运行！这是我在一国外论坛上看到的！ （USER32.DLL已经是在每一个进程的地址空间里了，所以只需将一个API函数插进它的空间去） 注意两个开始地址和参数在目标进程里必须为有效！为了在进程里得到有效的开始地址要将所需的函数插入！ （关于PARAMTER^此参数，我想应该是作为StartAddress^所指向的函数的函数的） 对于PARAMTER^参数，一般是利用VirtualAllocEx()获得； 也可以先用AllocMemEx()分配Buffer，然后WriteProcessMemory()给赋初值即可。 （其实目前的很多病毒都算不上真正的病毒，只能说是蠕虫。。。） 说得不错，大部分只能说是蠕虫，但对于网络而言，这不是危害更大吗？何况很多还是复合型的！ （有很多蠕虫、木马用DELPHI来编是件好事，起码说明DELPHI也能做到：)） Delphi的强大不是依靠蠕虫、木马来体现的，这也本非其所长。 如果有一天微软愿意公布其所有操作系统的源码，不知道那会是什么样？没有秘密，谁都可以做到！

iamfly · 2001-12-31

"其实通过改写扩展以后，该函数完全可以在所有的32bit的OS下运行！这是我在一国外论坛 上看到的！" 很想知道如何做到的：) “注意两个开始地址和参数在目标进程里必须为有效！为了在进程里得到有效的开始地址要 将所需的函数插入！” 不是很明这句话，两个开始地址，startAddr和哪一个呢？有效的开始地址是指远地进程的 开始地址还是本进程的开始地址？将所需的函数插入就能得到这个开始地址，无论什么函数 都行吗？ “对于PARAMTER^参数，一般是利用VirtualAllocEx()获得； 也可以先用AllocMemEx()分配Buffer，然后WriteProcessMemory()给赋初值即可。 ” 能给个可行的例子看看吗：) 谢了，YB兄^_^

YB_unique · 2002-01-02

例子：先分配Buffer，然后WriteProcessMemory()给赋初值即可 Var ProcessId : integer; ThreadId : integer; buf : PChar; HandleWindow : Integer; write : cardinal; Const WindowTitle = 'MY test'; Address = $41D090; PokeValue = $32; NumberOfBytes = 1; ThreadId := GetWindowThreadProcessId(FindWindow(nil,WindowTitle),@ProcessId); HandleWindow := OpenProcess(PROCESS_ALL_ACCESS,False,ProcessId);   //当前进程 GetMem(buf,1); buf^ := Chr(PokeValue); WriteProcessMemory(HandleWindow,ptr(Address),buf,NumberOfBytes,write); //ptr(Address)指向线程地址 FreeMem(buf); 上面的AllocMemEx原型是 function AllocMemEx(size:cardinal;processHandle:cardinal=0)

ointer;stdcall; 是GetMem的加强版（自定义的^_^）！

iamfly · 2002-02-17

接受答案了.

关于createremoteprocess的一个疑问？(50分)

iamfly

Unregistered / Unconfirmed

iamfly

Unregistered / Unconfirmed

iamfly

Unregistered / Unconfirmed

iamfly

Unregistered / Unconfirmed

Tense

Unregistered / Unconfirmed

iamfly

Unregistered / Unconfirmed

YB_unique

Unregistered / Unconfirmed

iamfly

Unregistered / Unconfirmed

YB_unique

Unregistered / Unconfirmed

iamfly

Unregistered / Unconfirmed

YB_unique

Unregistered / Unconfirmed

iamfly

Unregistered / Unconfirmed

YB_unique

Unregistered / Unconfirmed

iamfly

Unregistered / Unconfirmed

Similar threads