Board logo

标题: [系统相关] [讨论]一个进程如何修改其他进程的环境变量 [打印本页]
作者: plp626    时间: 2012-9-15 13:56     标题: [讨论]一个进程如何修改其他进程的环境变量

如题: 最好能有C的测试代码;
这个话题和第三方开发密切相关,大家务必重视。。
作者: wc726842270    时间: 2012-9-15 14:03

有点黑克的意思了,有点不太好吧
作者: plp626    时间: 2012-9-15 14:05

本帖最后由 plp626 于 2012-9-15 14:08 编辑

论坛的第三方区提供了一个工具:
conset.exe, 不知其中实现方法
  1. ->set var

  2. 环境变量 var 没有定义

  3. 

  4. ->dir/b |conset var=

  5. 

  6. ->set var

  7. var=Debug

  8. x.dsp

  9. x.dsw

  10. x.ncb

  11. x.opt

  12. x.plg
复制代码
还有系统自带的外部命令doskey.exe
不知如何修改父进程空间数据的?
  1. ->ls

  2. 'ls' 不是内部或外部命令,也不是可运行的程序

  3. 或批处理文件。

  4. 

  5. ->doskey ls=dir/w

  6. 

  7. ->ls

  8.  驱动器 D 中的卷是 SOFT

  9.  卷的序列号是 B89F-E38E

  10. 

  11.  D:\Documents_and_Settings\plp2\desktop\x 的目录

  12. 

  13. [.]     [..]    [Debug] x.dsp   x.dsw   x.ncb   x.opt   x.plg

  14.                5 个文件         88,389 字节

  15.                3 个目录  5,512,269,824 可用字节
复制代码
作者: IUnknown    时间: 2012-9-15 17:24

远程注入法,简单写了一个:
  1. #include <windows.h>

  2. #include <stdio.h>

  3. #include <tchar.h>

  4. #include <assert.h>

  5. #include <tlhelp32.h>

  6. 

  7. DWORD GetParentProcessId(DWORD pid)

  8. {

  9.     DWORD ppid = (DWORD)(-1);

  10.     HANDLE hProcessSnap;

  11.     PROCESSENTRY32 pe32;

  12. 

  13.     hProcessSnap = CreateToolhelp32Snapshot( TH32CS_SNAPPROCESS, 0 );

  14.     assert(hProcessSnap != INVALID_HANDLE_VALUE);

  15. 

  16.     pe32.dwSize = sizeof( PROCESSENTRY32 );

  17.     BOOL bResult = Process32First( hProcessSnap, &pe32 );

  18.     assert(bResult != FALSE);

  19. 

  20.     do

  21.     {

  22.         if (pid == pe32.th32ProcessID)

  23.         {

  24.             ppid = pe32.th32ParentProcessID;

  25.             break;

  26.         }

  27.     } while( Process32Next( hProcessSnap, &pe32 ) );

  28. 

  29.     CloseHandle( hProcessSnap );

  30.     return( ppid );

  31. }

  32. 

  33. DWORD ppid(VOID)

  34. {

  35.     return GetParentProcessId( GetCurrentProcessId() );

  36. }

  37. 

  38. 

  39. typedef struct _RemoteParam {

  40.     DWORD funcptr;

  41.     BYTE Param1[64];

  42.     BYTE Param2[64];

  43. } RemoteParam, *PRemoteParam;

  44. 

  45. typedef int  (WINAPI *PFN_MessageBox)(HWND, LPCTSTR, LPCTSTR, DWORD);

  46. typedef BOOL (WINAPI *PFN_SetEnvironmentVariable)(LPCTSTR, LPCTSTR);

  47. 

  48. 

  49. DWORD WINAPI threadProc(LPVOID lpParam)

  50. {

  51.     RemoteParam *pRP = (RemoteParam *)lpParam;

  52. 

  53.     PFN_SetEnvironmentVariable pfnSetEnvironmentVariable = (PFN_SetEnvironmentVariable)pRP[0].funcptr;

  54.     pfnSetEnvironmentVariable(pRP[0].Param1, pRP[0].Param2);

  55. 

  56.     PFN_MessageBox pfnMessageBox = (PFN_MessageBox)pRP[1].funcptr;

  57.     pfnMessageBox(NULL, pRP[1].Param1, pRP[1].Param2, 0);

  58. 

  59.     return 0;

  60. }

  61. 

  62. 

  63. int main(int argc, char *argv[])

  64. {

  65.     DWORD dwProcessId = ppid();

  66.     assert(dwProcessId != (DWORD)(-1));

  67. 

  68.     HANDLE hTargetProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessId); 

  69.     assert(hTargetProcess != NULL);

  70. 

  71.     DWORD dwMemSize = 4096;

  72.     LPVOID pRemoteThread = VirtualAllocEx(hTargetProcess, 0, dwMemSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE) ; 

  73.     assert(pRemoteThread != NULL);

  74.     BOOL bResult = WriteProcessMemory(hTargetProcess, pRemoteThread, threadProc, dwMemSize, NULL) ; 

  75.     assert(bResult != FALSE);

  76. 

  77.     RemoteParam RemoteParams[2] = {{0}};

  78.     HMODULE hUser32 = LoadLibrary("User32.dll");

  79.     HMODULE hKernel32 = LoadLibrary("Kernel32.dll");

  80. 

  81.     RemoteParams[0].funcptr = (DWORD)GetProcAddress(hKernel32, "SetEnvironmentVariableA");

  82.     strcpy(RemoteParams[0].Param1, "__var");

  83.     strcpy(RemoteParams[0].Param2, "hello");

  84.     RemoteParams[1].funcptr = (DWORD)GetProcAddress(hUser32, "MessageBoxA");

  85.     strcpy(RemoteParams[1].Param1, "www.bathome.net");

  86.     strcpy(RemoteParams[1].Param2, "hello");

  87. 

  88.     dwMemSize = sizeof(RemoteParams);

  89.     LPVOID pRemoteParam = VirtualAllocEx(hTargetProcess, 0, dwMemSize, MEM_COMMIT, PAGE_READWRITE);

  90.     assert(pRemoteParam != NULL);

  91.     bResult = WriteProcessMemory(hTargetProcess, pRemoteParam, RemoteParams, dwMemSize, NULL) ; 

  92.     assert(bResult != FALSE);

  93. 

  94.     HANDLE hRemoteThread = CreateRemoteThread(hTargetProcess, NULL, 0, pRemoteThread, pRemoteParam, 0, NULL); 

  95.     assert(hRemoteThread != NULL);

  96. 

  97.     CloseHandle(hRemoteThread);

  98.     CloseHandle(hTargetProcess);

  99.     return 0;

  100. }
复制代码
E:\Projects\Inject>set
ALLUSERSPROFILE=D:\Documents and Settings\All Users
APPDATA=D:\Documents and Settings\root\Application Data
CLIENTNAME=Console
CommonProgramFiles=D:\Program Files\Common Files
COMPUTERNAME=POWERPC
ComSpec=D:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=D:
HOMEPATH=\Documents and Settings\root
LOGONSERVER=\\POWERPC
NUMBER_OF_PROCESSORS=4
OS=Windows_NT
Path=D:\WINDOWS\system32;D:\WINDOWS;D:\WINDOWS\System32\Wbem;E:\MinGW\bin
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 37 Stepping 5, GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=2505
ProgramFiles=D:\Program Files
PROMPT=$P$G
SESSIONNAME=Console
SystemDrive=D:
SystemRoot=D:\WINDOWS
TEMP=D:\DOCUME~1\root\LOCALS~1\Temp
TMP=D:\DOCUME~1\root\LOCALS~1\Temp
USERDOMAIN=POWERPC
USERNAME=root
USERPROFILE=D:\Documents and Settings\root
windir=D:\WINDOWS

E:\Projects\Inject>gcc -o conset.exe conset.c

E:\Projects\Inject>conset

E:\Projects\Inject>set
ALLUSERSPROFILE=D:\Documents and Settings\All Users
APPDATA=D:\Documents and Settings\root\Application Data
CLIENTNAME=Console
CommonProgramFiles=D:\Program Files\Common Files
COMPUTERNAME=POWERPC
ComSpec=D:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=D:
HOMEPATH=\Documents and Settings\root
LOGONSERVER=\\POWERPC
NUMBER_OF_PROCESSORS=4
OS=Windows_NT
Path=D:\WINDOWS\system32;D:\WINDOWS;D:\WINDOWS\System32\Wbem;E:\MinGW\bin
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 37 Stepping 5, GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=2505
ProgramFiles=D:\Program Files
PROMPT=$P$G
SESSIONNAME=Console
SystemDrive=D:
SystemRoot=D:\WINDOWS
TEMP=D:\DOCUME~1\root\LOCALS~1\Temp
TMP=D:\DOCUME~1\root\LOCALS~1\Temp
USERDOMAIN=POWERPC
USERNAME=root
USERPROFILE=D:\Documents and Settings\root
windir=D:\WINDOWS
__var=hello

E:\Projects\Inject>
作者: broly    时间: 2012-9-15 21:12

conset用的远程注入的方法是对的,如图(不知为何论坛上传不了图片,用了外链)
我测试的代码是
  1. echo test|conset x=
复制代码
图中就是conset赋值的关键地方,先CreateRemoteThread创建远程线程,再用SetEnvironmentVariableA进行变量赋值。
大家可以看右下角的堆栈区

作者: Demon    时间: 2012-9-17 00:16

远程注入法,简单写了一个:
IUnknown 发表于 2012-9-15 17:24


这个程序用Visual C++是无法通过编译的。
作者: Seder    时间: 2012-9-17 11:58

回复 6# Demon
    用了gcc编译器。蓝色字体那里
作者: Demon    时间: 2012-9-17 12:08

回复  Demon
    用了gcc编译器。蓝色字体那里
Seder 发表于 2012-9-17 11:58


我知道他用的是GCC,我说的是用VC无法编译。
作者: CrLf    时间: 2015-5-18 17:07

回复 4# IUnknown

反馈个 bug,这个长度取的是结构体数组的大小:
  1.     dwMemSize = sizeof(RemoteParams);
复制代码
实际上应该取的是数组中指向的结构体的总长度:
  1.     dwMemSize = sizeof(RemoteParams)*sizeof(RemoteParam)/sizeof(int);
复制代码




欢迎光临 批处理之家 (http://www.bathome.net/) Powered by Discuz! 7.2