DLL注入技术

最新推荐文章于 2024-05-22 09:44:01 发布
最新推荐文章于 2024-05-22 09:44:01 发布
阅读量1.8w 收藏 26
点赞数 5
分类专栏: VC游戏开发/MFC/WTL/ATL/COM 算法/面试题 文章标签: dll winapi byte access fold struct

转载自: http://hi.baidu.com/xwind85/blog/item/ae5332ad04bb7f034a36d662.html

一、DLL注入技术的用途

DLL注入技术的用途是很广泛的,这主要体现在:

1、假如你要操纵的对象涉及的数据不在进程内

2、你想对目标进程中的函数进行拦截(甚至API函数,嘿嘿,由此编写个拦截timeGettime的过程,变速齿轮不就出来了么?改天我试试),比如对它所属窗口进行子类化。

3、你想编写一些函数用于增强或增加目标进程功能,比如可以给目标进程的某个窗口插入个消息循环增加其响应能力。(Mfc Windows程序设计称之为消息泵)。

4、隐藏自己的程序,很多恶意程序都是这样做的,即使你将恶意程序的进程结束掉也毫无意义了,因为它自己已经插入到很多进程中去了,唯一有效的办法只有注销windows.。如果你是个爱搞破坏的人就更应该掌握该技术了,不但可以利用该技术实现隐藏自己的进程,还可以破坏某个目标进程。因为将破坏代码插入到目标进程进行破坏的话简直易如反掌。不信试试?:(

二、实现DLL注入的另一种方法

1、将DLL注入进程技术在实现Api函数的监视程序中不可缺少的一项工作。其中最常见的就是用SetWindowsHookEx函数实现了。不过,该方法的缺点是被监视的目标进程必须有窗口,这样,SetWindowsHookEx才能将DLL注入目标进程中。而且,目标程序已经运行了,那么,在窗口创建之前的Api函数就不能被Hook了
2、另外一种方法用Debug方案,就可以实现在程序创建时监视所有的Api了,缺点是必须是目标进程的Debug源,在监视程序终了时,目标进程会无条件终了。最大的缺点就是无法调试注入的DLL
3、还有其他多种方案也可以实现DLL的注入,在《Windows核心编程》一书中就介绍了8-9种,其中有一种采用CreateProcess的方法,实现起来比较复杂,但没有上面几种方法的局限性。且可以用其他工具(VC等)调试注入的DLL。下面进行介绍。
原理如下:
1). 用CreateProcess(CREATE_SUSPENDED)启动目标进程。
2). 找到目标进程的入口,用ImageHlp中的函数可以实现。
3). 将目标进程入口的代码保存起来。
4). 在目标进程的入口写入LoadLibrary(MyDll)实现Dll的注入。
5). 用ResumeThread运行目标进程。
6). 目标进程就运行了LoadLibrary(MyDll),实现DLL的注入。
7). 目标进程运行完LoadLibrary(MyDll)后,将原来的代码写回目标进程的入口
8). 目标进程Jmp至原来的入口,继续运行程序。
从原理上可以看出,DLL的注入在目标进程的开始就运行了,而且不是用Debug的方案,这样,就没有上面方案的局限性了。该方案的关键在6,7,8三步,实现方法需要监视进程和DLL合作。下面,结合代码进行分析。
在监视进程中,创建FileMapping,用来保存目标进程的入口代码,同时保证DLL中可以访问。在第7步实现将原目标代码写回目标进程的入口。

// 监视程序和DLL共用的结构体
#pragma pack (push ,1)	// 保证下面的结构体采用BYTE对齐(必须)
typedef struct 
{
	BYTE int_PUSHAD;	// pushad 0x60 
	BYTE int_PUSH;		// push &szDLL 0x68
	DWORD push_Value;	// &szDLL = "ApiSpy.dll"的path
	BYTE int_MOVEAX;	// move eax &LoadLibrary 0xB8
	DWORD eax_Value;	// &LoadLibrary
	WORD call_eax;		// call eax 0xD0FF(FF D0) (LoadLibrary("ApiSpy.dll");
	BYTE jmp_MOVEAX;	// move eax &ReplaceOldCode 0xB8 
	DWORD jmp_Value;	// JMP的参数
	WORD jmp_eax;		// jmp eax 0xE0FF(FF E0) jmp ReplaceOldCode;
	char szDLL[MAX_PATH]; // "ApiSpy.dll"的FullPath
}INJECT_LOADLIBRARY_CODE, *LPINJECT_CODE;
#pragma pack (pop , 1)


上面结构体的代码为汇编代码,对应的汇编为:

pushad
push szDll
mov eax, &LoadLibraryA
call eax								// 实现调用LoadLibrary(szDll)的代码
mov eax, oldentry
jmp eax									// 实现在LoadLibrary运行完后, 跳至目标进程的入口继续运行
// FileMaping的结构体
typedef struct 
{
	LPBYTE lpEntryPoint;				// 目标进程的入口地址
	BYTE oldcode[sizeof(INJECT_CODE)];	// 目标进程的代码保存
}SPY_MEM_SHARE, * LPSPY_MEM_SHARE;


准备工作:
第一步:用CreateProcess(CREATE_SUSPENDED)启动目标进程。

CreateProcessA(0, szRunFile, 0, 0, FALSE, CREATE_SUSPENDED
0, NULL, &stInfo,
&m_proInfo) ;

用CreateProcess启动一个暂停的目标进程;
找到目标进程的入口点,函数如下
第二步:找到目标进程的入口,用ImageHlp中的函数可以实现。

pEntryPoint = GetExeEntryPoint(szRunFile);
LPBYTE GetExeEntryPoint(char *filename)
{
	PIMAGE_NT_HEADERS pNTHeader;
	DWORD pEntryPoint;
	PLOADED_IMAGE pImage;
	pImage = ImageLoad(filename, NULL);
	if(pImage == NULL)
		return NULL;
	pNTHeader = pImage->FileHeader;
	pEntryPoint = pNTHeader->OptionalHeader.AddressOfEntryPoint + pNTHeader->OptionalHeader.ImageBase;
	ImageUnload(pImage);
	return (LPBYTE)pEntryPoint;
}


// 创建FileMapping

hMap = CreateFileMapping((HANDLE)0xFFFFFFFF, NULL,
PAGE_READWRITE, 0, sizeof(SPY_MEM_SHARE), “MyDllMapView”);


// 保存目标进程的代码
第三步:将目标进程入口的代码保存起来。

LPSPY_MEM_SHARE lpMap = pMapViewOfFile(hMap, FILE_MAP_ALL_ACCESS,0, 0, 0);
ReadProcessMemory(m_proInfo.hProcess, pEntryPoint,&lpMap->oldcode, sizeof(INJECT_CODE),&cBytesMoved);
lpMap->lpEntryPoint = pEntryPoint;

// 第四步:在目标进程的入口写入LoadLibrary(MyDll)实现Dll的注入。
// 准备注入DLL的代码

INJECT_CODE newCode;
// 写入MyDll―――用全路径
lstrcpy(newCode.szDLL, szMyDll);
// 准备硬代码(汇编代码)
newCode.int_PUSHAD = 0x60; 
newCode.int_PUSH = 0x68;
newCode.int_MOVEAX = 0xB8;
newCode.call_eax = 0xD0FF;
newCode.jmp_MOVEAX = 0xB8;
newCode.jmp_eax = 0xE0FF;
newCode.eax_Value = (DWORD)&LoadLibrary;
newCode.push_Value=(pEntryPoint + offsetof(INJECT_CODE,szDLL));
// 将硬代码写入目标进程的入口
// 修改内存属性
DWORD dwNewFlg, dwOldFlg;
dwNewFlg = PAGE_READWRITE;
VirtualProtectEx(m_proInfo.hProcess, (LPVOID)pEntryPoint, sizeof(DWORD), dwNewFlg, &dwOldFlg);
WriteProcessMemory(m_proInfo.hProcess, pEntryPoint,&newCode, sizeof(newCode), NULL);//&dwWrited);
VirtualProtectEx(proInfo.hProcess, (LPVOID)pEntryPoint, sizeof(DWORD), dwOldFlg, &dwNewFlg);
// 释放FileMaping 注意,不是Closehandle(hMap)
UnmapViewOfFile(lpMap);


// 继续目标进程的运行
第五步:用ResumeThread运行目标进程。

ResumeThread(m_proInfo.hThread);

在监视进程中就结束了自己的任务,剩下的第6,7,8步就需要在Dll的DllMain中进行配合
DLL中用来保存数据的结构体

typedef struct
{
	DWORD lpEntryPoint;
	DWORD OldAddr;
	DWORD OldCode[4];	
}JMP_CODE,* LPJMP_CODE;
static JMP_CODE _lpCode;


// 在DllMain的DLL_PROCESS_ATTACH中调用InitApiSpy函数
// 在该函数中实现第6,7,8步
第六步:目标进程就运行了LoadLibrary(MyDll),实现DLL的注入。

int WINAPI DllMain(HINSTANCE hInst, DWORD dwReason, LPVOID lpReserved)
{
switch(dwReason)
{
case DLL_PROCESS_ATTACH:
	return InitApiSpy();
	……


// InitApiSpy函数的实现

BOOL WINAPI InitApiSpy()
{
	HANDLE hMap;
	LPSPY_MEM_SHARE lpMem;
	DWORD dwSize;
	BOOL rc;
	BYTE* lpByte;
	// 取得FileMapping的句柄
	hMap = OpenFileMapping(FILE_MAP_ALL_ACCESS, 0, “MyDllMapView”);
	if(hMap)
	{
		lpMem = (LPSPY_MEM_SHARE)MapViewOfFile(hMap,FILE_MAP_ALL_ACCESS,0, 0, 0);
		if(lpMem)
		{


第七步:目标进程运行完LoadLibrary(MyDll)后,将原来的代码写回目标进程的入口。

BOOL WINAPI InitApiSpy()
{
	HANDLE hMap;
	LPSPY_MEM_SHARE lpMem;
	DWORD dwSize;
	BOOL rc;
	BYTE* lpByte;
	// 取得FileMapping的句柄
	hMap = OpenFileMapping(FILE_MAP_ALL_ACCESS, 0, “MyDllMapView”);
	if(hMap)
	{
		lpMem = (LPSPY_MEM_SHARE)MapViewOfFile(hMap,FILE_MAP_ALL_ACCESS,0, 0, 0);
		if(lpMem)
		{

			// 恢复目标进程的入口代码
			// 得到mov eax, value代码的地址
			_lpCode.OldAddr = (DWORD)((BYTE*)lpMem->lpEntryPoint + offsetof(INJECT_CODE, jmp_MOVEAX));
			_lpCode.lpEntryPoint = (DWORD)lpMem->lpEntryPoint;
			// 保存LoadLibrary()后面的代码
			memcpy(&_lpCode.OldCode, (BYTE*)lpMem->oldcode + offsetof(INJECT_CODE, jmp_MOVEAX), 2*sizeof(DWORD));
			// 恢复目标进程的入口代码
			rc = WriteProcessMemory(GetCurrentProcess(), lpMem->lpEntryPoint, lpMem->oldcode, sizeof(INJECT_CODE), &dwSize);
			lpByte = (BYTE*)lpMem->lpEntryPoint + offsetof(INJECT_CODE, jmp_MOVEAX);
			UnmapViewOfFile(lpMem);
		}
		CloseHandle(hMap);
	}
	// 实现自己Dll的其他功能,如导入表的替换
	// ……
	// 将LoadLibrary后面的代码写为转入处理程序中
	// 指令为:mov eax, objAddress
	// jmp eax
	{
		BYTE* lpMovEax;
		DWORD* lpMovEaxValu;
		WORD* lpJmp;
		DWORD fNew, fOld;
		fNew = PAGE_READWRITE;
		lpMovEax = lpByte;
		VirtualProtect(lpMovEax, 2*sizeof(DWORD), fNew, &fOld);
		*lpMovEax = 0xB8;
		lpMovEaxValu = (DWORD*)(lpMovEax + 1);
		*lpMovEaxValu = (DWORD)&DoJmpEntryPoint;
		lpJmp = (WORD*)(lpMovEax + 5);
		*lpJmp = 0xE0FF; // (FF E0)
		VirtualProtect(lpMovEax, 2*sizeof(DWORD), fOld, &fNew);
	}
	return TRUE;
}


 

// 转入处理程序
DWORD* lpMovEax;
DWORD fNew, fOld;
void __declspec(naked) DoJmpEntryPoint ()
{
	// 恢复LoadLibrary后面的代码
	_gfNew = PAGE_READWRITE;
	_glpMovEax = (DWORD*)_lpCode.OldAddr;
	VirtualProtect(_glpMovEax, 2*sizeof(DWORD), _gfNew, &_gfOld);
	*_glpMovEax = _lpCode.OldCode[0];
	*(_glpMovEax + 1) = _lpCode.OldCode[1];
	VirtualProtect(_glpMovEax, 2*sizeof(DWORD), _gfOld, &_gfNew);
//第八步:目标进程Jmp至原来的入口,继续运行程序。
// 跳至目标代码的入口
_asm popad
_asm jmp _lpCode.lpEntryPoint
}


 

第八步:目标进程Jmp至原来的入口,继续运行程序。

// 跳至目标代码的入口
_asm popad
_asm jmp _lpCode.lpEntryPoint
}


这样就实现了原来的目标,将DLL的注入放在目标进程的入口运行,实现了目标进程运行之前运行我们的注入Dll的功能。

 

 



 

 

 

 



 

Jackchenyj
关注
  • 5
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CreateProcess创建暂停进程进行DLL注入-[VC.Dll+VB.Code]
05-12
CreateProcess创建暂停进程进行DLL注入-[VC.Dll+VB.Code]
CreateProcess注入方法
Lyntion的Blog
10-02 4871
采用CreateProcess的方法,实现起来比较复杂,但没有上面几种方法的局限性。且可以用其他工具(VC等)调试注入DLL。下面进行介绍.原理如下: 1.  用CreateProcess(CREATE_SUSPENDED)启动目标进程。 2.  找到目标进程的入口,用ImageHlp中的函数可以实现。 3.  将目标进程入口的代码保存起来。 4.  在目标进程的入口写入LoadLi
推荐文章:DriverInjectDll - 隐藏式DLL注入技术的革新
最新发布
gitblog_00001的博客
05-22 249
推荐文章:DriverInjectDll - 隐藏式DLL注入技术的革新 项目地址:https://gitcode.com/strivexjun/DriverInjectDll 项目介绍 在软件工程领域,DLL注入技术常用于调试、监控或性能优化。而DriverInjectDll是一个创新的开源项目,它将DLL注入提升到了一个新的层次。借助驱动级全局注入,该工具能够巧妙地隐藏DLL模块,使得注入过程...
通过CreateProcess插入DLL的方法 (DLL篇)
ClassFree(自由魔方)的Blog
03-13 2022
#include #include #include #pragma comment(lib, "ImageHlp.lib")#pragma pack (push ,1)   //以下结构字节对齐typedef struct{ BYTE int_PUSHAD;  BYTE int_PUSH; DWORD push_Value;  BYTE int_MOVEAX; DWORD eax_Value; 
createprocess重启程序_InjectCreateProcess 利用CreateProcess挂起启动一个程序并注入dll文件 - 下载 - 搜珍网...
weixin_39963096的博客
12-19 152
InjectCreateProcess/InjectCreateProcess/Detours/InjectCreateProcess/Detours/detours.hInjectCreateProcess/Detours/Detoursx64.libInjectCreateProcess/Detours/Detoursx86.libInjectCreateProcess/InjectCreat...
创建进程挂起进程注入
02-08
下载请管理员帮忙修改下5分太多了。不会修改这个。 创建进程。挂起进程。注入。然后可以做你想做的事情,比如修改不了PE头和各种恶心自检的文件。源码纯API,函数命令不提供了。想使用的自己添加一下,保证可以使用,希望大家自己动手添加函数命令这样记的更深刻。
DLL注入技术之一远程线程注入源码
01-03
DLL注入技术是Windows平台上一种常见的系统级编程技巧,主要用于改变或扩展其他进程的功能。它通过在目标进程中创建新的线程并执行自定义的DLL代码来实现。本篇将深入探讨远程线程注入及其源码实现。 DLL(动态链接...
dll 注入技术 ppt
05-14
DLL注入技术是一种高级的编程技巧,它允许一个进程(注入者)将自身的代码以动态链接库(DLL)的形式插入到另一个进程中(宿主进程),从而影响宿主进程的行为。这种技术在软件调试、性能监控、恶意软件攻击等方面都...
dll注入实例注入代码
11-03
这些代码可以作为学习和理解DLL注入的起点,但需要注意的是,DLL注入技术可能被滥用,用于非法活动,因此在实际操作时应确保遵循合法和道德的原则。 为了实践和学习dll注入,你需要安装和配置相应的开发环境,比如...
DLL注入器.rar
04-04
DLL(Dynamic Link Library)注入是一种高级的编程技术,通常用于在其他进程上下文中执行代码,以便于调试、监控、扩展或...因此,理解和正确使用DLL注入技术至关重要,同时也要遵循合法和道德的编程实践,避免滥用。
dll注入例子
07-05
DLL注入是一种常见的逆向工程和系统调试技术,它允许一个进程将动态链接库(DLL)加载到另一个进程中,使得DLL中的代码可以在目标进程中执行。在本例中,“dll注入例子”是一个演示如何使用`CreateRemoteThread` API...
DLL注入实例+教程
10-17
远程注入DLL方法有很多种,也是很多木马病毒所使用的隐藏进程的方法,因为通过程序加载的DLL在进程管理器是没有显示的.这里介绍一种用 CreateRemoteThread 远程建立线程的方式注入DLL. 首先,我们要提升自己的权限,因为远程注入必不可免的要访问到目标进程的内存空间,如果没有足够的系统权限,将无法作任何事.下面是这个函数是用来提升我们想要的权限用的. function EnableDebugPriv: Boolean; var hToken: THandle; tp: TTokenPrivileges; rl: Cardinal; begin Result := false; //打开进程令牌环 OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES or TOKEN_QUERY, hToken); //获得进程本地唯一ID if LookupPrivilegeValue(nil, 'SeDebugPrivilege', tp.Privileges[0].Luid) then begin tp.PrivilegeCount := 1; tp.Privileges[0].Attributes := SE_PRIVILEGE_ENABLED; //调整权限 Result := AdjustTokenPrivileges(hToken, false, tp, SizeOf(tp), nil, rl); end; end; 关于 OpenProcessToken() 和 AdjustTokenPrivileges() 两个 API 的简单介绍: OpenProcessToken():获得进程访问令牌的句柄. function OpenProcessToken( ProcessHandle: THandle; //要修改访问权限的进程句柄 DesiredAccess: DWORD; //指定你要进行的操作类型 var TokenHandle: THandle//返回的访问令牌指针 ): BOOL; AdjustTokenPrivileges() :调整进程的权限. function AdjustTokenPrivileges( TokenHandle: THandle; // 访问令牌的句柄 DisableAllPrivileges: BOOL; // 决定是进行权限修改还是除能(Disable)所有权限 const NewState: TTokenPrivileges; { 指明要修改的权限,是一个指向TOKEN_PRIVILEGES结构的指针,该结构包含一个数组, 数据组的每个项指明了权限的类型和要进行的操作; } BufferLength: DWORD; //结构PreviousState的长度,如果PreviousState为空,该参数应为 0 var PreviousState: TTokenPrivileges; // 指向TOKEN_PRIVILEGES结构的指针,存放修改前的访问权限的信息 var ReturnLength: DWORD //实际PreviousState结构返回的大小 ) : BOOL; 远程注入DLL其实是通过 CreateRemoteThread 建立一个远程线程调用 LoadLibrary 函数来加载我们指定的DLL,可是如何能让远程线程知道我要加载DLL呢,要知道在Win32系统下,每个进程都拥有自己的4G虚拟地址空间,各个进程之间都是相互独立的。所我们需要在远程进程的内存空间里申请一块内存空间,写入我们的需要注入DLL 的路径. 需要用到的 API 函数有: OpenProcess():打开目标进程,得到目标进程的操作权限,详细参看MSDN function OpenProcess( dwDesiredAccess: DWORD; // 希望获得的访问权限 bInheritHandle: BOOL; // 指明是否希望所获得的句柄可以继承 dwProcessId: DWORD // 要访问的进程ID ): THandle; VirtualAllocEx():用于在目标进程内存空间中申请内存空间以写入DLL的文件名 function VirtualAllocEx( hProcess: THandle; // 申请内存所在的进程句柄 lpAddress: Pointer; // 保留页面的内存地址;一般用nil自动分配 dwSize, // 欲分配的内存大小,字节单位;注意实际分 配的内存大小是页内存大小的整数倍 flAllocationType: DWORD; flProtect: DWORD ): Pointer; WriteProcessMemory():往申请到的空间中写入DLL的文件名 function WriteProcessMemory( hProcess: THandle; //要写入内存数据的目标进程句柄 const lpBaseAddress: Pointer; //要写入的目标进程的内存指针, 需以 VirtualAllocEx() 来申请 lpBuffer: Pointer; //要写入的数据 nSize: DWORD; //写入数据的大小 var lpNumberOfBytesWritten: DWORD //实际写入的大小 ): BOOL; 然后就可以调用 CreateRemoteThread 建立远程线程调用 LoadLibrary 函数来加载我们指定的DLL. CreateRemoteThread() //在一个远程进程中建立线程 function CreateRemoteThread( hProcess: THandle; //远程进程的句柄 lpThreadAttributes: Pointer; //线程安全描述字,指向SECURITY_ATTRIBUTES结构的指针 dwStackSize: DWORD; //线程栈大小,以字节表示 lpStartAddress: TFNThreadStartRoutine; // 一个TFNThreadStartRoutine类型的指针,指向在远程进程中执行的函数地址 lpParameter: Pointer; //传入参数的指针 dwCreationFlags: DWORD; //创建线程的其它标志 var lpThreadId: DWORD //线程身份标志,如果为0, 则不返回 ): THandle; 整个远程注入DLL的具体实现代码如下: function InjectDll(const DllFullPath: string; const dwRemoteProcessId: Cardinal): Boolean; var hRemoteProcess, hRemoteThread: THandle; pszLibFileRemote: Pointer; pszLibAFilename: PwideChar; pfnStartAddr: TFNThreadStartRoutine; memSize, WriteSize, lpThreadId: Cardinal; begin Result := false; // 调整权限,使程序可以访问其他进程的内存空间 if EnableDebugPriv then begin //打开远程线程 PROCESS_ALL_ACCESS 参数表示打开所有的权限 hRemoteProcess := OpenProcess(PROCESS_ALL_ACCESS, false, dwRemoteProcessId); try // 为注入dll文件路径分配内存大小,由于为WideChar,故要乘2 GetMem(pszLibAFilename, Length(DllFullPath) * 2 + 1); // 之所以要转换成 WideChar, 是因为当DLL位于有中文字符的路径下时不会出错 StringToWideChar(DllFullPath, pszLibAFilename, Length(DllFullPath) * 2 + 1); // 计算 pszLibAFilename 的长度,注意,是以字节为单元的长度 memSize := (1 + lstrlenW(pszLibAFilename)) * SizeOf(WCHAR); //使用VirtualAllocEx函数在远程进程的内存地址空间分配DLL文件名空间 pszLibFileRemote := VirtualAllocEx(hRemoteProcess, nil, memSize, MEM_COMMIT, PAGE_READWRITE); if Assigned(pszLibFileRemote) then begin //使用WriteProcessMemory函数将DLL的路径名写入到远程进程的内存空间 if WriteProcessMemory(hRemoteProcess, pszLibFileRemote, pszLibAFilename, memSize, WriteSize) and (WriteSize = memSize) then begin lpThreadId := 0; // 计算LoadLibraryW的入口地址 pfnStartAddr := GetProcAddress(LoadLibrary('Kernel32.dll'), 'LoadLibraryW'); // 启动远程线程LoadLbraryW,通过远程线程调用创建新的线程 hRemoteThread := CreateRemoteThread(hRemoteProcess, nil, 0, pfnStartAddr, pszLibFileRemote, 0, lpThreadId); // 如果执行成功返回 True; if (hRemoteThread 0) then Result := true; // 释放句柄 CloseHandle(hRemoteThread); end; end; finally // 释放句柄 CloseHandle(hRemoteProcess); end; end; end; 接下来要说的是如何卸载注入目标进程中的DLL,其实原理和注入DLL是完全相同的,只是远程调用调用的函数不同而已,这里要调用的是FreeLibrary,代码如下: function UnInjectDll(const DllFullPath: string; const dwRemoteProcessId: Cardinal): Boolean; // 进程注入和取消注入其实都差不多,只是运行的函数不同而已 var hRemoteProcess, hRemoteThread: THandle; pszLibFileRemote: PChar; pszLibAFilename: PwideChar; pfnStartAddr: TFNThreadStartRoutine; memSize, WriteSize, lpThreadId, dwHandle: Cardinal; begin Result := false; // 调整权限,使程序可以访问其他进程的内存空间 if EnableDebugPriv then begin //打开远程线程 PROCESS_ALL_ACCESS 参数表示打开所有的权限 hRemoteProcess := OpenProcess(PROCESS_ALL_ACCESS, false, dwRemoteProcessId); try // 为注入dll文件路径分配内存大小,由于为WideChar,故要乘2 GetMem(pszLibAFilename, Length(DllFullPath) * 2 + 1); // 之所以要转换成 WideChar, 是因为当DLL位于有中文字符的路径下时不会出错 StringToWideChar(DllFullPath, pszLibAFilename, Length(DllFullPath) * 2 + 1); // 计算 pszLibAFilename 的长度,注意,是以字节为单元的长度 memSize := (1 + lstrlenW(pszLibAFilename)) * SizeOf(WCHAR); //使用VirtualAllocEx函数在远程进程的内存地址空间分配DLL文件名空间 pszLibFileRemote := VirtualAllocEx(hRemoteProcess, nil, memSize, MEM_COMMIT, PAGE_READWRITE); if Assigned(pszLibFileRemote) then begin //使用WriteProcessMemory函数将DLL的路径名写入到远程进程的内存空间 if WriteProcessMemory(hRemoteProcess, pszLibFileRemote, pszLibAFilename, memSize, WriteSize) and (WriteSize = memSize) then begin // 计算GetModuleHandleW的入口地址 pfnStartAddr := GetProcAddress(LoadLibrary('Kernel32.dll'), 'GetModuleHandleW'); //使目标进程调用GetModuleHandleW,获得DLL在目标进程中的句柄 hRemoteThread := CreateRemoteThread(hRemoteProcess, nil, 0, pfnStartAddr, pszLibFileRemote, 0, lpThreadId); // 等待GetModuleHandle运行完毕 WaitForSingleObject(hRemoteThread, INFINITE); // 获得GetModuleHandle的返回值,存在dwHandle变量中 GetExitCodeThread(hRemoteThread, dwHandle); // 计算FreeLibrary的入口地址 pfnStartAddr := GetProcAddress(LoadLibrary('Kernel32.dll'), 'FreeLibrary'); // 使目标进程调用FreeLibrary,卸载DLL hRemoteThread := CreateRemoteThread(hRemoteProcess, nil, 0, pfnStartAddr, Pointer(dwHandle), 0, lpThreadId); // 等待FreeLibrary卸载完毕 WaitForSingleObject(hRemoteThread, INFINITE); // 如果执行成功返回 True; if hRemoteProcess 0 then Result := true; // 释放目标进程中申请的空间 VirtualFreeEx(hRemoteProcess, pszLibFileRemote, Length(DllFullPath) + 1, MEM_DECOMMIT); // 释放句柄 CloseHandle(hRemoteThread); end; end; finally // 释放句柄 CloseHandle(hRemoteProcess); end; end; end;
CreateProcess插入DLL的方法 (EXE篇)
ClassFree(自由魔方)的Blog
03-13 1777
#include #include #pragma comment(lib, "ImageHlp.lib")#pragma pack (push ,1)typedef struct{ BYTE int_PUSHAD; BYTE int_PUSH; DWORD push_Value; BYTE int_MOVEAX; DWORD eax_Value; WORD call_eax; BYTE jmp_
VB用CreateProcess创建进程注入DLL开源,不用第三方VC写的库
追逐光芒,追随内心
02-19 2793
Public Enum DebugEventTypes EXCEPTION_DEBUG_EVENT = 1& CREATE_THREAD_DEBUG_EVENT = 2& CREATE_PROCESS_DEBUG_EVENT = 3& EXIT_THREAD_DEBUG_EVENT = 4& EXIT_PROCESS_DEBUG_EVENT = 5& LOAD_DLL_DEBUG_EVENT = 6& UNLOAD_DLL_DEBUG_EVENT = 7&am
Windows Ring3层注入——CreateProcess劫持进程创建注入(三)
qq_38493448的博客
01-16 1373
Windows Ring3层注入——CreateProcess劫持进程创建注入(三)CreateProcess劫持进程创建注入原理劫持进程创建注入好处CreateProcess劫持进程创建注入函数原型**CreateProcess**函数原型CreateProcess劫持进程创建注入步骤CreateProcess劫持进程代码示例 CreateProcess劫持进程创建注入原理 劫持进程创建注入:利...
dll注入系列——简单介绍
40KO的博客
01-31 2456
概念 dll注入是一种将Windows动态链接库注入到目标进程中的技术,具体的说,就是将dll文件加载到一个进程的虚拟地址空间中。对某个进程进行dll注入,也就意味着dll模块与该进程共用一个进程空间,则这个dll文件就有了操纵这个进程空间的能力,以达到执行dll模块中的代码修改进程数据的能力。dll注入技术在逆向工程,病毒,外挂,调试等技术领域都有广泛的应用,它也是WindowsAPI ho...
CreateProcess插入DLL的方法
08-28 1517
 #include #include #include #pragma comment(lib, "ImageHlp.lib")#pragma pack (push ,1)    //以下结构字节对齐typedef struct{BYTE int_PUSHAD; BYTE int_PUSH;DWORD push_Value; BYTE int_MOVEAX;DWORD
注入小结
weixin_30258901的博客
07-21 120
平常用的最多的dll注入技术就是远程线程,刚刚逛看雪,看到有人写的面试的时候被问到的问题,其中就有dll注入的方法,我突然想到我开始面试的时候也被问了dll注入的方法,当时也是就只知道一个远程线程,答的也不好,然后就想把一些注入技术写个总结。接下来讲的注入技术,有ring3层的lld的远程线程和apc注入,还有ring0的apc注入,此外还有更为隐蔽的代码注入。 先写最广泛的,也是相对简单的注...
非常简单的利用CreateProcess注入DLL的方法
zwfgdlc的专栏
04-20 5026
TCHAR szDll[] = TEXT("d:\\test.dll"); STARTUPINFO si = {0}; PROCESS_INFORMATION pi = {0}; si.cb = sizeof(si); si.dwFlags = STARTF_USESHOWWINDOW; si.wShowWindow = SW_SHOW; TCHAR szCommandLine[MAX_PATH]
易语言创建进程CreateProcessA暂停注入DLL到游戏进程
511遇见
05-29 5680
通过API(CreateProcessA)创建进程后,先暂停这个进程,然后申请内存空间,把我们注入DLL路径写入内存,再通过CreateRemoteThread创建远程线程调用LoadLibraryA函数,获取远程句柄,然后ResumeThread唤醒主线程,实现注入,本课视频演示了注入的主体部分 CreateProcessA暂停注入 .版本 2 .支持库 spec .局部变量 文件路径, 文本型 .局部变量 运行目录, 文本型 .局部变量 si, STARTUPINFO .局部变量 pi, 进程.
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值