CreateRemoteTherad в инжекторе крашит целевую программу

@Алексей_Либанов · Регистрация: 21.02.2015

Студворк — интернет-сервис помощи студентам

Здравствуйте, столкнулся с проблемой в написании инжектора DLL файлов. Проблема заключается в том, что при вызове CreateRemoteThread целевая программа(в которую я пытаюсь провести инъекцию) аварийно завершается. С самой dll-кой все хорошо, Extrime Injector ее успешно внедряет.
Код инжектора:

C++
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
#include <iostream>
#include <string>
#include <conio.h>
#include <Windows.h>
 
using namespace std;
BOOL Inject(DWORD dwPID, char *szDllPath);
 
int main(int argc, char *argv[])
{
    setlocale(LC_ALL, "Russian");
    cout << "*** DLL INJECTOR ***\n\n";
    DWORD dwPID = 0;
    string sDllPath;
    cout << "Введите PID целевого процесса: ";
    cin >> dwPID;
    cout << "Введите путь к целевой DLL: ";
    cin >> sDllPath;
 
    BOOL b = Inject(dwPID, (char*)sDllPath.c_str());
 
    cout << "Результат операции - " << b << '\n';
 
    _getch();
 
    return EXIT_SUCCESS;
}
 
BOOL Inject(DWORD dwPID, char *szDllPath)
{
    DWORD dwErr = 0;
    HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID);
    if (hProcess == NULL)
    {
        dwErr = GetLastError();
        OutputDebugString("OpenProcessError fail");
        return FALSE;
    }
    LPVOID lpLoadLibraryAFunction = (LPVOID)GetProcAddress(GetModuleHandle("kernel32.dll"), "LoadLibraryA");
    if (lpLoadLibraryAFunction == NULL)
    {
        dwErr = GetLastError();
        OutputDebugString("GetProcAddress fail");
        return FALSE;
    }
    LPVOID lpLoadDllPath = (LPVOID)VirtualAllocEx(hProcess, NULL, strlen(szDllPath), MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
    if (lpLoadDllPath == NULL)
    {
        dwErr = GetLastError();
        OutputDebugString("VirtualAllocEx fail");
        return FALSE;
    }
    HANDLE hRemoteThread = CreateRemoteThread(hProcess, NULL, NULL, (LPTHREAD_START_ROUTINE)lpLoadLibraryAFunction, (LPVOID)szDllPath, NULL, NULL);
    if (hRemoteThread == NULL)
    {
        dwErr = GetLastError();
        OutputDebugString("CreateRemoteThread fail");
        DWORD dwErro = GetLastError();
        return FALSE;
    }
    WaitForSingleObject(hRemoteThread, INFINITE);
    if (VirtualFreeEx(hProcess, hRemoteThread, strlen(szDllPath), MEM_RELEASE) == FALSE)
    {
        dwErr = GetLastError();
        OutputDebugString("VirtualFreeEx fail");
        return FALSE;
    }
    CloseHandle(hRemoteThread);
    CloseHandle(hProcess);
    return TRUE;
}

Код Dll-ки:

C++
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
#include <Windows.h>
 
 
BOOL APIENTRY DllMain(HMODULE hModule, DWORD dwReasonForCall, LPVOID lpReserved)
{
    switch (dwReasonForCall)
    {
    case DLL_PROCESS_ATTACH:
        MessageBoxA(NULL, "DLL_PROCESS_ATTACH", "Attached!", MB_OK);
        break;
    case DLL_PROCESS_DETACH:
        MessageBoxA(NULL, "DLL_PROCESS_DETACH", "Detached!", MB_OK);
        break;
    }
    return TRUE;
}

P.S. Dll-ка - Win32, Инжектор - Win32, Целевая программа - Win32.

Убежденный · 11.01.2017, 15:19

У тебя в коде инжектора после VirtualAllocEx отсутствует WriteProcessMemory.
Т.е. нет функции, которая бы записала путь к dll в выделенную память в
целевом процессе. Поэтому удаленный поток запускается и даже доходит до
LoadLibrary, но вместо пути к dll у него в память записан "мусор".

@Алексей_Либанов · 11.01.2017, 15:52 **[ТС]**

Спасибо за то, что показали мне на мою невнимательность. Но функция от этого не заработала. Целевая программа все равно крашится(все остается как было). VirtualFreeEx завершается с ошибкой(GetLastError 87). WriteProcessMemory работает, по адресу возвращаемому VirtualAllocEx записывается путь(смотрел CheatEngine-ом).
Новый код функции:

C++
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
BOOL Inject(DWORD dwPID, char *szDllPath)
{
    DWORD dwErr = 0;
    HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID);
    if (!hProcess)
    {
        dwErr = GetLastError();
        OutputDebugString("OpenProcessError fail");
        return FALSE;
    }
    LPVOID lpLoadLibraryAFunction = (LPVOID)GetProcAddress(GetModuleHandle("kernel32.dll"), "LoadLibraryA");
    if (!lpLoadLibraryAFunction)
    {
        dwErr = GetLastError();
        OutputDebugString("GetProcAddress fail");
        return FALSE;
    }
    LPVOID lpLoadDllPath = (LPVOID)VirtualAllocEx(hProcess, NULL, strlen(szDllPath), MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
    if (!lpLoadDllPath)
    {
        dwErr = GetLastError();
        OutputDebugString("VirtualAllocEx fail");
        return FALSE;
    }
    if (!WriteProcessMemory(hProcess, lpLoadDllPath, szDllPath, strlen(szDllPath), NULL))
    {
        dwErr = GetLastError();
        OutputDebugString("WriteProcessMemory fail");
        return FALSE;
    }
    HANDLE hRemoteThread = CreateRemoteThread(hProcess, NULL, NULL, (LPTHREAD_START_ROUTINE)lpLoadLibraryAFunction, (LPVOID)szDllPath, NULL, NULL);
    if (!hRemoteThread)
    {
        dwErr = GetLastError();
        OutputDebugString("CreateRemoteThread fail");
        return FALSE;
    }
    WaitForSingleObject(hRemoteThread, INFINITE);
    if (!VirtualFreeEx(hProcess, hRemoteThread, strlen(szDllPath), MEM_RELEASE))
    {
        dwErr = GetLastError();
        OutputDebugString("VirtualFreeEx fail");
        return FALSE;
    }
    CloseHandle(hRemoteThread);
    CloseHandle(hProcess);
    return TRUE;
}

Убежденный · 11.01.2017, 16:17

Сообщение от Алексей_Либанов

LPVOID lpLoadDllPath = (LPVOID)VirtualAllocEx(hProcess, NULL, strlen(szDllPath), MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);

Здесь должно быть strlen(szDllPath) + 1.
Потому что иначе нет гарантии, что путь запишется с завершающим нулем.

@Алексей_Либанов · 11.01.2017, 17:27 **[ТС]**

Теперь 50 на 50, или ничего не происходит, или целевая программа крашится. Немного доработал код.

C++
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
BOOL Inject(DWORD dwPID, char *szDllPath)
{
    DWORD dwErr = 0;
    HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID);
    if (!hProcess)
    {
        dwErr = GetLastError();
        OutputDebugString("OpenProcessError fail");
        return FALSE;
    }
    LPVOID lpLoadLibraryAFunction = (LPVOID)GetProcAddress(GetModuleHandle("kernel32.dll"), "LoadLibraryA");
    if (!lpLoadLibraryAFunction)
    {
        dwErr = GetLastError();
        OutputDebugString("GetProcAddress fail");
        CloseHandle(hProcess);
        return FALSE;
    }
    LPVOID lpLoadDllPath = VirtualAllocEx(hProcess, NULL, strlen(szDllPath) + 1, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
    if (!lpLoadDllPath)
    {
        dwErr = GetLastError();
        OutputDebugString("VirtualAllocEx fail");
        CloseHandle(hProcess);
        return FALSE;
    }
    if (!WriteProcessMemory(hProcess, lpLoadDllPath, szDllPath, strlen(szDllPath), NULL))
    {
        dwErr = GetLastError();
        OutputDebugString("WriteProcessMemory fail");
        CloseHandle(hProcess);
        return FALSE;
    }
    HANDLE hRemoteThread = CreateRemoteThread(hProcess, NULL, NULL, (LPTHREAD_START_ROUTINE)lpLoadLibraryAFunction, (LPVOID)szDllPath, NULL, NULL);
    if (!hRemoteThread)
    {
        dwErr = GetLastError();
        OutputDebugString("CreateRemoteThread fail");
        CloseHandle(hProcess);
        return FALSE;
    }
    WaitForSingleObject(hRemoteThread, INFINITE);
    if (!VirtualFreeEx(hProcess, hRemoteThread, strlen(szDllPath), MEM_RELEASE))
    {
        dwErr = GetLastError();
        OutputDebugString("VirtualFreeEx fail");
        CloseHandle(hRemoteThread);
        CloseHandle(hProcess);
        return FALSE;
    }
    CloseHandle(hRemoteThread);
    CloseHandle(hProcess);
    return TRUE;
}

Убежденный · 11.01.2017, 17:47

Ошибка с длиной строки все еще присутствует. См. строку с WriteProcessMemory,
там должно быть не "strlen(szDllPath)", а "strlen(szDllPath)+1".

Ну и вообще, такие ошибки следует отлаживать особым образом.
Например, цепляешься отладчиком к целевому процессу, ставишь break на
LoadLibraryA, например, а затем запускаешь свой инжектор. После чего
по шагам идешь до того места, где падает.

Либо снимай крэш-дамп процесса после падения (procdump с ключом -ma),
открывай его в WinDBG и смотри, где упало и почему.

@Алексей_Либанов · 11.01.2017, 18:03 **[ТС]**

Спасибо, займусь отладкой, как найду что-то непонятное - напишу.

@ISergey · 11.01.2017, 18:37

Память выделили под lpLoadDllPath, тудаже записали путь.. а в качестве параметра всеровно мусор пихаете...

C
1
CreateRemoteThread(hProcess, NULL, NULL, (LPTHREAD_START_ROUTINE)lpLoadLibraryAFunction, (LPVOID)szDllPath, NULL, NULL);

так сделайте

C++
1
2
3
4
5
WriteProcessMemory(hProcess, lpLoadDllPath, szDllPath, strlen(szDllPath) + 1, NULL))
 
...
 
CreateRemoteThread(hProcess, NULL, NULL, (LPTHREAD_START_ROUTINE)lpLoadLibraryAFunction, lpLoadDllPath, NULL, NULL);

@Алексей_Либанов · 11.01.2017, 18:48 **[ТС]**

ISergey, Большое спасибо! Dll успешно внедряется.
Убежденный, Вам тоже спасибо, за то, что указали на невнимательность с записью в процесс!

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .
SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .	SDL3 для Android: Загрузка PNG с альфа-каналом с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .

Убежденный Ушел с форума 16481 / 7444 / 1187 Регистрация: 02.05.2013 Сообщений: 11,616 Записей в блоге: 1
	11.01.2017, 15:19
	У тебя в коде инжектора после VirtualAllocEx отсутствует WriteProcessMemory. Т.е. нет функции, которая бы записала путь к dll в выделенную память в целевом процессе. Поэтому удаленный поток запускается и даже доходит до LoadLibrary, но вместо пути к dll у него в память записан "мусор". 0

Убежденный Ушел с форума 16481 / 7444 / 1187 Регистрация: 02.05.2013 Сообщений: 11,616 Записей в блоге: 1
	11.01.2017, 17:47
	Ошибка с длиной строки все еще присутствует. См. строку с WriteProcessMemory, там должно быть не "strlen(szDllPath)", а "strlen(szDllPath)+1". Ну и вообще, такие ошибки следует отлаживать особым образом. Например, цепляешься отладчиком к целевому процессу, ставишь break на LoadLibraryA, например, а затем запускаешь свой инжектор. После чего по шагам идешь до того места, где падает. Либо снимай крэш-дамп процесса после падения (procdump с ключом -ma), открывай его в WinDBG и смотри, где упало и почему. 1

@Алексей_Либанов 1 / 1 / 0 Регистрация: 21.02.2015 Сообщений: 126
	11.01.2017, 18:03 [ТС]
	Спасибо, займусь отладкой, как найду что-то непонятное - напишу. 0

@Алексей_Либанов 1 / 1 / 0 Регистрация: 21.02.2015 Сообщений: 126
	11.01.2017, 18:48 [ТС]
	ISergey, Большое спасибо! Dll успешно внедряется. Убежденный, Вам тоже спасибо, за то, что указали на невнимательность с записью в процесс! 0

CreateRemoteTherad в инжекторе крашит целевую программу

Решение