进程迁移在Meterpreter中的工作原理

Question

有人想知道进程迁移是如何在Windows环境下的Meterpreter中工作的吗？我想自己写剧本来学习这一点，但我没有找到一个起点。嗯，我有一个想法使用NtQuerySystemInformation库和它的SystemHandleInformation函数，因为它可以返回操作系统中线程的句柄，并且使用这些句柄我可以更改它的父函数，但是我怀疑它是否能工作(因为TEB)。我有种感觉，应该有一个比NtQuerySystemInformation更简单的方法。有人能建议使用DLL或算法吗？

Answer 1

这就是meterpreter中迁移的工作方式：

1. 获取用户想要迁移到的PID。这是目标过程。
2. 检查目标进程的体系结构，无论是32位还是64位。它对内存对齐很重要。
3. 检查计量器进程是否有SeDebugPrivilege。这用于获取目标进程的句柄。关于http://support.microsoft.com/kb/131065的更多细节
4. 从要注入目标进程的处理程序中获取实际有效负载。计算它的长度。
5. 调用OpenProcess() API来访问目标进程的虚拟内存。
6. 调用VirtualAllocEx() API在目标进程中分配RWX (读、写、执行)内存
7. 调用WriteProcessMemory() API在目标内存虚拟内存空间中写入有效负载。
8. 调用CreateRemoteThread() API来执行新创建的内存存根，在新线程中具有注入的有效负载。
9. 关闭在旧进程中运行初始计量器的前一个线程。

Answer 2

在github的最深处中，我找到了这段代码，它完成了所有必要的工作，所以那些查找这些信息的人可以在下面的API函数中找到答案：

def injectshellcode(self, shellcode):
    """This function merely executes what it is given"""
    shellcodeaddress = self.kernel32.VirtualAllocEx(
                                                    self.handle,
                                                    None,
                                                    len(shellcode),
                                                    0x1000,
                                                    0x40
                                                    )
    self.kernel32.WriteProcessMemory(
                                    self.handle,
                                    shellcodeaddress,
                                    shellcode,
                                    len(shellcode),
                                    None
                                    )
    thread = self.kernel32.CreateRemoteThread(
                                    self.handle,
                                    None,
                                    0,
                                    shellcodeaddress,
                                    None,
                                    0,
                                    None
                                    )