CreateRemoteThread == virus wtf?

Reply to CreateRemoteThread == virus wtf? on Wed, 13 May 2009 12:34:25 GMT

avirasucks — Wed, 13 May 2009 12:34:25 GMT

hallo
mit Hilfe eines Tutorials, habe ich mir nen DLL injector für meine eigenen Anwendungen geschrieben. Problem ist, dass er nur mit ASCII funzt aber das nur nebenbei. Hauptproblem: Wenn ich mit Debug kompiliere wird er von Avira als virus "Malware" erkannt (genauer: wenn ich CreateRemoteThread auskommentiere, dann nicht mehr). Was soll das denn? Ich schreibe doch keinen Virus.
In Release mode wird es zwar nicht erkannt, aber ich möchte ja keinen Virus schreiben und ich will nicht, dass der Scanner denkt ich mach einen Virus.
Hier mal mein Code:

#ifdef UNICODE
#define LoadLibraryTCHAR  "LoadLibraryW"
#else
#define LoadLibraryTCHAR  "LoadLibraryA"
#endif

typedef HINSTANCE (*fpLoadLibrary)(TCHAR*);
typedef LPVOID (*fpGetProcAddress)(HINSTANCE, TCHAR*);
typedef void (*fpFunktion)(void);

struct INJECTSTRUCT
{
      fpLoadLibrary LoadLibrary;
      fpGetProcAddress GetProcAddress;
      TCHAR path[255];
      TCHAR func[255];
};

DWORD WINAPI threadstart(LPVOID addr)
{
	HINSTANCE hDll;
	fpFunktion funktion;
	INJECTSTRUCT * is = (INJECTSTRUCT*)addr;       
	hDll = is->LoadLibrary(is->path);
	funktion = (fpFunktion)is->GetProcAddress(hDll, is->func);
	funktion();
	return 0;
}

void threadend()
{
}

bool EnableDebugPrivilege()
{
	TOKEN_PRIVILEGES priv;
	HANDLE hThis, hToken;
	LUID luid;
	hThis = GetCurrentProcess();
	OpenProcessToken(hThis, TOKEN_ADJUST_PRIVILEGES, &hToken);
	LookupPrivilegeValue(0, TEXT("seDebugPrivilege"), &luid);
	priv.PrivilegeCount = 1;
	priv.Privileges[0].Luid = luid;
	priv.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
	AdjustTokenPrivileges(hToken, false, &priv, 0, 0, 0);
	CloseHandle(hToken);
	CloseHandle(hThis);
	return true;
}

HANDLE InjectDll(unsigned ProcessId, TCHAR *DllFile, TCHAR* FunctionName)
{
	if(ExistFile(DllFile) == false)
	{
		MessageBox(0, TEXT("Can't find the DLL file!"), szAppName, MB_ICONERROR);
		return 0;
	}

	INJECTSTRUCT is;
	_tcscpy_s(is.path, DllFile);
	_tcscpy_s(is.func, FunctionName);
	DWORD funcsize = (DWORD)threadend - (DWORD)threadstart;

	EnableDebugPrivilege();

	HINSTANCE hDll = LoadLibrary(TEXT("KERNEL32"));
	if(hDll == NULL)
	{
		MessageBox(0, TEXT("LoadLibrary failed!"), szAppName, MB_ICONERROR);
		return 0;
	}

	is.LoadLibrary = (fpLoadLibrary)GetProcAddress(hDll, LoadLibraryTCHAR);
	is.GetProcAddress = (fpGetProcAddress)GetProcAddress(hDll, "GetProcAddress");
	if(is.LoadLibrary == NULL || is.GetProcAddress == NULL)
	{
		MessageBox(0, TEXT("GetProcAddress failed!"), szAppName, MB_ICONERROR);
		return 0;
	}

	HANDLE hProc = OpenProcess(PROCESS_ALL_ACCESS, false, ProcessId);
	if(hProc == NULL)
	{
		MessageBox(0, TEXT("OpenProcess failed!"), szAppName, MB_ICONERROR);
		return 0;
	}

	LPVOID start = VirtualAllocEx(hProc, 0, funcsize+sizeof(INJECTSTRUCT), MEM_COMMIT, PAGE_EXECUTE_READWRITE);
	if(start == NULL)
	{
		MessageBox(0, TEXT("VirtualAllocEx failed!"), szAppName, MB_ICONERROR);
		return 0;
	}

	if(WriteProcessMemory(hProc, start, (LPVOID)&is, sizeof(INJECTSTRUCT), NULL) == 0)
	{
		MessageBox(0, TEXT("WriteProcessMemory failed!"), szAppName, MB_ICONERROR);
		return 0;
	}

	LPVOID thread = (LPVOID)((DWORD)start+sizeof(INJECTSTRUCT));

	if(WriteProcessMemory(hProc, thread, (LPVOID)threadstart, funcsize, NULL) == 0)
	{
		MessageBox(0, TEXT("WriteProcessMemory failed!"), szAppName, MB_ICONERROR);
		return 0;
	}

	HANDLE threadID = CreateRemoteThread(hProc, 0, 0, (LPTHREAD_START_ROUTINE)thread, start, 0, 0);
	if(threadID == NULL)
	{
		MessageBox(0, TEXT("CreateRemoteThread failed!"), szAppName, MB_ICONERROR);
		return 0;
	}

	if(CloseHandle(hProc) == 0)
	{
		MessageBox(0, TEXT("CloseHandle failed!"), szAppName, MB_ICONERROR);
		return 0;
	}

	return threadID;
}

Würde mich wahnsinnig freuen, wenn jemand weiß, warum das als Virus erkannt wird oder was ich ändern muss.

Reply to CreateRemoteThread == virus wtf? on Wed, 13 May 2009 13:19:24 GMT

Jochen Kalmbach — Wed, 13 May 2009 13:19:24 GMT

DLL injection ist per Definition ein Virus: Ein Programm welches sich in anderen Programme einschleust, ohne dass der Wirt etwas davon weis.

Reply to CreateRemoteThread == virus wtf? on Wed, 13 May 2009 15:24:00 GMT

avirasucks — Wed, 13 May 2009 15:24:00 GMT

ok, aber wieso dann nur im debug mode? Und wie kann ich das ändern? Einfach den code bisschen umstellen?

Reply to CreateRemoteThread == virus wtf? on Wed, 13 May 2009 17:23:56 GMT

brain.exe — Wed, 13 May 2009 17:23:56 GMT

Your name answers the questions.

Reply to CreateRemoteThread == virus wtf? on Wed, 13 May 2009 17:41:53 GMT

avirasucks — Wed, 13 May 2009 17:41:53 GMT

ok ist egal, aber warum crashed das programm in das ich injecte?
Und warum geht unicode nicht? Mir ist klar, dass das warscheinlich keiner weiß, aber vielleicht weiß es zufällig jemand.

Reply to CreateRemoteThread == virus wtf? on Wed, 13 May 2009 17:54:12 GMT

avirasucks — Wed, 13 May 2009 17:54:12 GMT

hab den crash bug gefixt. Aber UNICODE wäre schon geil.

Reply to CreateRemoteThread == virus wtf? on Wed, 13 May 2009 18:06:00 GMT

Jochen Kalmbach — Wed, 13 May 2009 18:06:00 GMT

Deine Deklaration von fpGetProcAddress ist falsch.

Kleiner Tipp:
http://msdn.microsoft.com/en-us/library/ms683212

Reply to CreateRemoteThread == virus wtf? on Wed, 13 May 2009 18:14:47 GMT

avirasucks — Wed, 13 May 2009 18:14:47 GMT

die ist anscheinend nicht falsch. Es geht ja in ASCII. Das Problem ist nur UNICODE

Reply to CreateRemoteThread == virus wtf? on Wed, 13 May 2009 18:31:53 GMT

avirasucks — Wed, 13 May 2009 18:31:53 GMT

HINSTANCE mit HMODULE auszutauschen ändert da leider auch nichts.

Reply to CreateRemoteThread == virus wtf? on Wed, 13 May 2009 20:30:11 GMT

Jochen Kalmbach — Wed, 13 May 2009 20:30:11 GMT

avirasucks schrieb:

die ist anscheinend nicht falsch. Es geht ja in ASCII. Das Problem ist nur UNICODE

Na, wenn Du das sagst, dann wird das schon stimmen...

Reply to CreateRemoteThread == virus wtf? on Thu, 14 May 2009 04:49:22 GMT

avirasucks — Thu, 14 May 2009 04:49:22 GMT

natürlich bin ich nicht so arrogant und widerspreche einem MVP
ich habs ja getestet.

Reply to CreateRemoteThread == virus wtf? on Thu, 14 May 2009 05:49:01 GMT

Jochen Kalmbach — Thu, 14 May 2009 05:49:01 GMT

Dann wirst Du ja festgestellt haben, das die Unicode-Version nicht geht, oder?

Also gut, ich geb Dir noch ein Tipp: Der 2. Parameter ist falsch deklariert...

Reply to CreateRemoteThread == virus wtf? on Thu, 14 May 2009 08:54:47 GMT

avirasucks — Thu, 14 May 2009 08:54:47 GMT

hi Jochen,
nein Unicode klappt noch nicht.
wieso ist TCHAR falsch?

typedef LPVOID (*fpGetProcAddress)(HMODULE , TCHAR*); 

msdn:
FARPROC WINAPI GetProcAddress(
  __in  HMODULE hModule,
  __in  LPCSTR lpProcName // pointer zu char array und da unicode TCHAR.
);

Reply to CreateRemoteThread == virus wtf? on Thu, 14 May 2009 09:28:37 GMT

Jochen Kalmbach — Thu, 14 May 2009 09:28:37 GMT

Weil Du die Doku nicht lesen kannst!?
Warum steht in der MSDN LPCSTR und bei Dir TCHAR*?

Reply to CreateRemoteThread == virus wtf? on Thu, 14 May 2009 09:34:09 GMT

Mmacher — Thu, 14 May 2009 09:34:09 GMT

"kalt", "kalt"

etwas "wärmer" wirds, wenn Du dort suchst, wo der zweite Parameter als fixen Text-String an die besagte Funktion übergeben wird (kommt nur einmal in Deinem Code vor)

na, dann müßtest Du drauf kommen wo der Unicode-Fehler steckt!
Martin

Reply to CreateRemoteThread == virus wtf? on Thu, 14 May 2009 10:03:42 GMT

Jochen Kalmbach — Thu, 14 May 2009 10:03:42 GMT

Na, dass ist erst der Folgefehler
Das hätte ja dann der Compiler bemängelt...

Und auch die falsche definition des "func" Feldes in der Struktur...

Reply to CreateRemoteThread == virus wtf? on Thu, 14 May 2009 10:18:03 GMT

avirasucks — Thu, 14 May 2009 10:18:03 GMT

jetzt geht es nicht mal mehr mit ASCII
obwohl ich LPCSTR verwendet habe.

typedef HINSTANCE (__stdcall *fpLoadLibrary)   (TCHAR*);
typedef LPVOID    (__stdcall *fpGetProcAddress)(HINSTANCE, LPCSTR);  
typedef void (*fpFunktion)(void);

struct INJECTSTRUCT
{
      fpLoadLibrary LoadLibrary;
      fpGetProcAddress GetProcAddress;
      TCHAR path[255];
      LPCSTR func;
};

DWORD WINAPI threadstart(LPVOID addr)
{
    HINSTANCE hDll;
    fpFunktion funktion;
    INJECTSTRUCT * is = (INJECTSTRUCT*)addr;      
    hDll = is->LoadLibrary(is->path);
    funktion = (fpFunktion)is->GetProcAddress(hDll, is->func);
    funktion();
    return 0;
}

void threadend()
{
}

bool EnableDebugPrivilege()
{
    TOKEN_PRIVILEGES priv;
    HANDLE hThis, hToken;
    LUID luid;
    hThis = GetCurrentProcess();
    OpenProcessToken(hThis, TOKEN_ADJUST_PRIVILEGES, &hToken);
    LookupPrivilegeValue(0, TEXT("seDebugPrivilege"), &luid);
    priv.PrivilegeCount = 1;
    priv.Privileges[0].Luid = luid;
    priv.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    AdjustTokenPrivileges(hToken, false, &priv, 0, 0, 0);
    CloseHandle(hToken);
    CloseHandle(hThis);
    return true;
}

HANDLE InjectDll(unsigned ProcessId, TCHAR *DllFile, LPCSTR FunctionName)
{
    if(ExistFile(DllFile) == false)
    {
        MessageBox(0, TEXT("Can't find the DLL file!"), szAppName, MB_ICONERROR);
        return 0;
    }

    INJECTSTRUCT is;
    _tcscpy_s(is.path, DllFile);
    is.func = FunctionName;
    DWORD funcsize = (DWORD)threadend - (DWORD)threadstart;

    EnableDebugPrivilege();

    HINSTANCE hDll = LoadLibrary(TEXT("KERNEL32"));
    if(hDll == NULL)
    {
        MessageBox(0, TEXT("LoadLibrary failed!"), szAppName, MB_ICONERROR);
        return 0;
    }

    is.LoadLibrary = (fpLoadLibrary)GetProcAddress(hDll, "LoadLibraryA");
    is.GetProcAddress = (fpGetProcAddress)GetProcAddress(hDll, "GetProcAddress");
    if(is.LoadLibrary == NULL || is.GetProcAddress == NULL)
    {
        MessageBox(0, TEXT("GetProcAddress failed!"), szAppName, MB_ICONERROR);
        return 0;
    }

    HANDLE hProc = OpenProcess(PROCESS_ALL_ACCESS, false, ProcessId);
    if(hProc == NULL)
    {
        MessageBox(0, TEXT("OpenProcess failed!"), szAppName, MB_ICONERROR);
        return 0;
    }

    LPVOID start = VirtualAllocEx(hProc, 0, funcsize+sizeof(INJECTSTRUCT), MEM_COMMIT, PAGE_EXECUTE_READWRITE);
    if(start == NULL)
    {
        MessageBox(0, TEXT("VirtualAllocEx failed!"), szAppName, MB_ICONERROR);
        return 0;
    }

    if(WriteProcessMemory(hProc, start, (LPVOID)&is, sizeof(INJECTSTRUCT), NULL) == 0)
    {
        MessageBox(0, TEXT("WriteProcessMemory failed!"), szAppName, MB_ICONERROR);
        return 0;
    }

    LPVOID thread = (LPVOID)((DWORD)start+sizeof(INJECTSTRUCT));

    if(WriteProcessMemory(hProc, thread, (LPVOID)threadstart, funcsize, NULL) == 0)
    {
        MessageBox(0, TEXT("WriteProcessMemory failed!"), szAppName, MB_ICONERROR);
        return 0;
    }

    HANDLE threadID = CreateRemoteThread(hProc, 0, 0, (LPTHREAD_START_ROUTINE)thread, start, 0, 0);
    if(threadID == NULL)
    {
        MessageBox(0, TEXT("CreateRemoteThread failed!"), szAppName, MB_ICONERROR);
        return 0;
    }

    if(CloseHandle(hProc) == 0)
    {
        MessageBox(0, TEXT("CloseHandle failed!"), szAppName, MB_ICONERROR);
        return 0;
    }

    return threadID;
}

Reply to CreateRemoteThread == virus wtf? on Thu, 14 May 2009 10:19:53 GMT

Jochen Kalmbach — Thu, 14 May 2009 10:19:53 GMT

Du solltest zuerst mal die Grundlagen lernen...
Du deklarierst jetzt in Deiner Struktur einen Pointer und kein Feld, wo man Zeichen ablegen kann...
Ersetze LPCSTR in der *Struktur* (und nur da) durch char[255]

Reply to CreateRemoteThread == virus wtf? on Thu, 14 May 2009 10:27:49 GMT

avirasucks — Thu, 14 May 2009 10:27:49 GMT

jetzt geht es mit ASCII wieder aber nicht mit UNICODE.

struct INJECTSTRUCT
{
      fpLoadLibrary LoadLibrary;
      fpGetProcAddress GetProcAddress;
      TCHAR path[255];
      char func[255];
};

HANDLE InjectDll(unsigned ProcessId, TCHAR *DllFile, LPCSTR FunctionName)
{
    if(ExistFile(DllFile) == false)
    {
        MessageBox(0, TEXT("Can't find the DLL file!"), szAppName, MB_ICONERROR);
        return 0;
    }

    INJECTSTRUCT is;
    _tcscpy_s(is.path, DllFile);
    strcpy_s(is.func, FunctionName);
    DWORD funcsize = (DWORD)threadend - (DWORD)threadstart;
    [...]

Reply to CreateRemoteThread == virus wtf? on Thu, 14 May 2009 12:50:14 GMT

HerstAmoi — Thu, 14 May 2009 12:50:14 GMT

Was denn?
Du nimmst Visual Studio her, stellst in den general project properties all configurations auf multibyte character set und verwendest dann kein L oder _T oder sonstigen unnötigen Mist sondern schreibst einfach den Text.

Reply to CreateRemoteThread == virus wtf? on Thu, 14 May 2009 13:04:07 GMT

Belli — Thu, 14 May 2009 13:04:07 GMT

HerstAmoi schrieb:

Was denn?
Du nimmst Visual Studio her, stellst in den general project properties all configurations auf multibyte character set und verwendest dann kein L oder _T oder sonstigen unnötigen Mist sondern schreibst einfach den Text.

Und dann geht's mit UNICODE?

Reply to CreateRemoteThread == virus wtf? on Thu, 14 May 2009 14:11:06 GMT

omg — Thu, 14 May 2009 14:11:06 GMT

UNICODE ist mist kapiert das endlich -.- man kann außerdem keine dll injection mit unicode

Reply to CreateRemoteThread == virus wtf? on Thu, 14 May 2009 14:54:05 GMT

avirasucks — Thu, 14 May 2009 14:54:05 GMT

omg hätte noch statt LoadLibraryA W verwenden müssen, damit klappt es jetzt.
Und ihr braucht mir nicht mehr sagen wie dämlich dieser Fehler war.
Ich sollte erstmal besser die Grundlagen lernen. Aber wenigstens klappt es jetzt

Reply to CreateRemoteThread == virus wtf? on Thu, 14 May 2009 14:54:38 GMT

so_siehts_aus — Thu, 14 May 2009 14:54:38 GMT

Die UNICODE-Fanboys haben versäumt das PE-Format zu aktualisieren.

Reply to CreateRemoteThread == virus wtf? on Thu, 14 May 2009 16:51:50 GMT

Jochen Kalmbach — Thu, 14 May 2009 16:51:50 GMT

Hätte er nur den Fehler behoben, den ich ganz am Anfang gepostet hab, hätte es gleich getan....

Reply to CreateRemoteThread == virus wtf? on Thu, 14 May 2009 17:03:55 GMT

avirasucks — Thu, 14 May 2009 17:03:55 GMT

jo war meine schuld, natürlich vielen dank für deine Hilfe.