内核线程注入x86

主要通过Ring0层驱动Attach到目标进程然后调用NtCreateThreadEx来执行ShellCode，ShellCode做了一个注入Dll的简单行为。

// Dll.cpp : 定义 DLL 应用程序的导出函数。
//

#include “stdafx.h“

 属性            大小     日期    时间   名称
----------- ---------  ---------- -----  ----
     目录           0  2018-11-22 14:37  内核线程注入x86\
     目录           0  2018-11-18 14:00  内核线程注入x86\.vs\
     目录           0  2018-11-18 14:00  内核线程注入x86\.vs\内核线程注入x86\
     目录           0  2018-11-18 14:00  内核线程注入x86\.vs\内核线程注入x86\v14\
     文件       38912  2018-11-22 14:37  内核线程注入x86\.vs\内核线程注入x86\v14\.suo
     目录           0  2018-11-22 14:31  内核线程注入x86\Debug\
     文件       35328  2018-11-22 14:31  内核线程注入x86\Debug\Dllx86.dll
     文件      233092  2018-11-22 14:31  内核线程注入x86\Debug\Dllx86.ilk
     文件     1028096  2018-11-22 14:31  内核线程注入x86\Debug\Dllx86.pdb
     目录           0  2018-11-22 14:31  内核线程注入x86\Debug\Ring0\
     文件         848  2018-11-22 14:31  内核线程注入x86\Debug\Ring0.cer
     文件      315392  2018-11-22 14:31  内核线程注入x86\Debug\Ring0.pdb
     文件       10952  2018-11-22 14:31  内核线程注入x86\Debug\Ring0.sys
     文件       10952  2018-11-22 14:31  内核线程注入x86\Debug\Ring0\Ring0.sys
     文件       38400  2018-11-22 14:31  内核线程注入x86\Debug\Ring3.exe
     文件      309996  2018-11-22 14:31  内核线程注入x86\Debug\Ring3.ilk
     文件      823296  2018-11-22 14:31  内核线程注入x86\Debug\Ring3.pdb
     目录           0  2018-11-18 14:04  内核线程注入x86\Dll\
     目录           0  2018-11-22 14:31  内核线程注入x86\Dll\Debug\
     文件        1279  2018-11-18 10:22  内核线程注入x86\Dll\Debug\Dll.Build.CppClean.log
     文件         248  2018-11-22 14:31  内核线程注入x86\Dll\Debug\Dll.log
     文件        2125  2018-11-22 14:31  内核线程注入x86\Dll\Debug\Dll.obj
     目录           0  2018-11-22 14:31  内核线程注入x86\Dll\Debug\Dll.tlog\
     文件        2292  2018-11-22 14:31  内核线程注入x86\Dll\Debug\Dll.tlog\CL.command.1.tlog
     文件       24444  2018-11-22 14:31  内核线程注入x86\Dll\Debug\Dll.tlog\CL.read.1.tlog
     文件        1460  2018-11-22 14:31  内核线程注入x86\Dll\Debug\Dll.tlog\CL.write.1.tlog
     文件         228  2018-11-22 14:31  内核线程注入x86\Dll\Debug\Dll.tlog\Dll.lastbuildstate
     文件        1434  2018-11-22 14:31  内核线程注入x86\Dll\Debug\Dll.tlog\link.command.1.tlog
     文件        3106  2018-11-22 14:31  内核线程注入x86\Dll\Debug\Dll.tlog\link.read.1.tlog
     文件         668  2018-11-22 14:31  内核线程注入x86\Dll\Debug\Dll.tlog\link.write.1.tlog
     文件        8981  2018-11-22 14:31  内核线程注入x86\Dll\Debug\dllmain.obj
............此处省略90个文件信息