好久没更新博客了,最近在忙实验周的事情,空下来的时间再看逆向工程核心原理,上次看的时候后半部分涉及到windows核心编程那里就没有进行下去了,当时还不太懂windows编程,最近重新借来看了下越看越有意思
DLL注入技术看完了,总结一下dll注入技术实现方式有三个(或者更多?)。
1.使用windows消息机制实现dll注入,使用SetWindowsHookEx这个api,使用这个api给指定的消息设定回调函数,然后当windows上的任意程序收到你指定的消息时都会强制将你的dll文件注入进去,注入进去之后默认调用dllmain函数,这是dll注入的第一种形式。
2.修改注册表AppInit_DLLs的值
3.创建远程线程。首先获取你要注入的进程的句柄,然后调用VitualALLocEx函数分配内存空间,想这个内存空间中写入(WriteprocessMemory)你想注入的dll的路径。然后获取本进程的kernel32.dll中的loadlibraryw的地址(系统函数所有进程共享一个地址),最后调用CreateRemoteThread函数实现在要注入的进程中调用loadlibraryw函数加载你的dll,加载完dll后调用dllmain函数实现攻击。
4??.直接通过修改PE结构的方式实现dll加载。pe文件中找到输入表(IMAGE_IMPORT_DESCRIPTOR)的开始地址,pe工具中查下他默认加载了几个dll,一个dll就是一个iid结构体,占用20个字节。整体移位,添加新的dll信息,修改pe头中输入表的位置和大小两个值。这样文件就会默认加载dll了。
后面会看API HOOK相关内容,每天都会写点