PE文件本地DLL注入实现

最新推荐文章于 2024-08-11 14:52:34 发布
最新推荐文章于 2024-08-11 14:52:34 发布
阅读量2.2k 收藏 3
点赞数
分类专栏: 代码人生 文章标签: VC Win32 PE DLL Hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/flukeshen/article/details/52922046
版权

  之前写过一个利用远程线程注入DLL的工具,大致过程如下:

  1.使用OpenProcessToken、LookupPrivilegeValue、AdjustTokenPrivileges函数修改当前进程的的访问令牌,获得调试权限。

  2.OpenProcess打开目标进程,用VirtualAllocEx在目标进程申请一段内存空间,WriteProcessMemory将要注入DLL的路径字符串写入申请的内存里。

  3.最后调用GetProcAddress获取LoadLibraryA(W)的地址,CreateRemoteThread执行远程线程,成功在目标进程注入DLL。

  远程注入的好处是动态的,它不修改文件本身,所有的改动都是在内存里,申请分配写入销毁,这就是说我们在注入DLL的时候目标程序已经在运行中了,但有时又需要注入代码执行在程序之前,有什么办法呢?很自然的想到通过修改本地PE文件的相关数据从而达成我们的目的。在Windows上所有EXE、DLL、OCX甚至SYS都是PE文件,所谓PE是微软制定的一种可移植的文件格式,其结构如图:

  DOS头的0x3C偏移处的DWORD值指向PE头,对于Win32程序,结构如下:

typedef struct _IMAGE_NT_HEADERS {
    DWORD Signature;
    IMAGE_FILE_HEADER FileHeader;
    IMAGE_OPTIONAL_HEADER32 OptionalHeader;
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

typedef struct _IMAGE_FILE_HEADER {
    WORD    Machine;
    WORD    NumberOfSections;
    DWORD   TimeDateStamp;
    DWORD   PointerToSymbolTable;
    DWORD   NumberOfSymbols;
    WORD    SizeOfOptionalHeader;
    WORD    Characteristics;
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

typedef struct _IMAGE_OPTIONAL_HEADER {
    WORD    Magic;
    BYTE    MajorLinkerVersion;
    BYTE    MinorLinkerVersion;
    DWORD   SizeOfCode;
    DWORD   SizeOfInitializedData;
    DWORD   SizeOfUninitializedData;
    DWORD   AddressOfEntryPoint;
    DWORD   BaseOfCode;
    DWORD   BaseOfData;
    DWORD   ImageBase;
    DWORD   SectionAlignment;
    DWORD   FileAlignment;
    WORD    MajorOperatingSystemVersion;
    WORD    MinorOperatingSystemVersion;
    WORD    MajorImageVersion;
    WORD    MinorImageVersion;
    WORD    MajorSubsystemVersion;
    WORD    MinorSubsystemVersion;
    DWORD   Win32VersionValue;
    DWORD   SizeOfImage;
    DWORD   SizeOfHeaders;
    DWORD   CheckSum;
    WORD    Subsystem;
    WORD    DllCharacteristics;
    DWORD   SizeOfStackReserve;
    DWORD   SizeOfStackCommit;
    DWORD   SizeOfHeapReserve;
    DWORD   SizeOfHeapCommit;
    DWORD   LoaderFlags;
    DWORD   NumberOfRvaAndSizes;
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

typedef struct _IMAGE_DATA_DIRECTORY {
    DWORD   VirtualAddress;
    DWORD   Size;
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;

  其中OptionalHeader.AddressOfEntryPoint是程序入口点,是系统装载程序完毕后跳转执行第一条指令的地址,这是一个内存偏移地址,程序基址由OptionalHeader.BaseOfCode指明。我们要做的就是修改OEP,先执行我们的代码,然后再跳转回原OEP,那么这些代码应该写入在哪里?PE文件中数据都是按节存放的,节中数据具有相同的属性,如可读可写可执行等等,PE格式规定节的物理大小必须是OptionalHeader.FileAlignment(一般为512)的倍数,不足的用0补齐,这些用0对齐的数据就是代码写入的地方。FileHeader.NumberOfSections表示节的数目,PE文头后面紧跟着节头信息,结构如下:

typedef struct _IMAGE_SECTION_HEADER {
    BYTE    Name[8];
    union {
            DWORD   PhysicalAddress;
            DWORD   VirtualSize;
    } Misc;
    DWORD   VirtualAddress;
    DWORD   SizeOfRawData;
    DWORD   PointerToRawData;
    DWORD   PointerToRelocations;
    DWORD   PointerToLinenumbers;
    WORD    NumberOfRelocations;
    WORD    NumberOfLinenumbers;
    DWORD   Characteristics;
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

  SizeOfRawData是对齐后的物理大小,Misc.VirtualSize是节的实际大小,两者一减,就是磁盘上对齐0的数量,PointerToRawData是节的文件偏移,Characteristics是节属性。好了,有了这些信息就能遍历节表,找到代码节,计算节剩余空间(即对齐的0数据),代码如下:

// 节的数目
int Sections = lpNtHead->FileHeader.NumberOfSections;
IMAGE_SECTION_HEADER *lpSections = (IMAGE_SECTION_HEADER*)((DWORD)&(lpNtHead->OptionalHeader) + lpNtHead->FileHeader.SizeOfOptionalHeader);
DWORD lpCodeOffset = 0;
DWORD dwCodeSize = 0;
DWORD dwFreeSize = 0;
// 遍历所有节头
for(int i=0;i<Sections;i++) {
	// 查找代码节
	if((lpSections[i].Characteristics & IMAGE_SCN_CNT_CODE) &&
		(lpSections[i].Characteristics & IMAGE_SCN_MEM_EXECUTE) &&
		(lpSections[i].Characteristics & IMAGE_SCN_MEM_READ)) {
		// 获得代码节的相对虚拟地址并转换成文件偏移地址
		lpCodeOffset = (DWORD)lpSections[i].VirtualAddress;
		lpCodeOffset = RVAToFileOffset(lpDosHead,lpCodeOffset);
		lpCodeOffset += (DWORD)lpDosHead;
		// 计算节的剩余空间
		dwCodeSize = lpSections[i].Misc.VirtualSize;
		if(lpSections[i].SizeOfRawData > dwCodeSize) {
			dwFreeSize = lpSections[i].SizeOfRawData - dwCodeSize;
		} else {
			dwFreeSize = 0;
			continue;
		}
		break;
	}
}

  找到可用的代码节,再判断一下剩余空间能否容下写入代码,如果符合条件就可以在lpCodeOffset + dwCodeSize处写入代码了:调用LoadLibraryA(W)函数,载入注入的DLL文件,然后跳转回原OEP程序继续执行,类似下面的:

__asm {
	pushad
	pushfd
	lea eax,szDllName
	push eax
	call lpLoadLibraryA
	popfd
	popad
	jmp oldOEP
}

  szDllName存放着DLL名字,可以在代码节剩余空间里分配,压入栈的是字符串的虚拟地址(RVA+映像基址),这个我们转换一下就行了,不过还有一个小问题:EXE和DLL不同,总是能成功映射首选基址不存在基址冲突的,但从Vista以后,系统出现一种新的“地址空间布局随机化”机制,如果一个EXE程序存在基址重定位信息并且没有IMAGE_FILE_RELOCS_STRIPPED标志,EXE基址会被随机化,如此一来之前压入的szDllName地址就不正确了,解决这问题最简单的办法就是强制EXE程序必须映射到首选基址上,FileHeader.Characteristics |= IMAGE_FILE_RELOCS_STRIPPED成功搞定!

  好了,就剩最后一步了,LoadLibraryA(W)的地址怎么找?从导入表里获取,于是循环导入表查找kernel32.dll然后……,此处省略N字还是直接上代码简洁明了:

IMAGE_DATA_DIRECTORY *pImportDirectory = &(lpNtHead->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT]);
DWORD lpBase = pImportDirectory->VirtualAddress;
lpBase = (DWORD)lpDosHead + RVAToFileOffset(lpDosHead,lpBase);
IMAGE_IMPORT_DESCRIPTOR *pImport = (IMAGE_IMPORT_DESCRIPTOR*)lpBase;
char *buf;
DWORD *dwAddress;
DWORD lpLoadLibraryA,lpLoadLibraryW,lpLoadLibraryExA,lpLoadLibraryExW;

lpLoadLibraryA = lpLoadLibraryW = lpLoadLibraryExA = lpLoadLibraryExW = NULL;

for(int i=0;;i++) {
	if(0 == pImport[i].Characteristics &&
		0 == pImport[i].Name) {
		break;
	}

	buf = (char*)((DWORD)lpDosHead + RVAToFileOffset(lpDosHead,pImport[i].Name));
	if(0 == stricmp(buf,"kernel32.dll")) {
		lpBase = pImport[i].FirstThunk;
		lpBase = (DWORD)lpDosHead + RVAToFileOffset(lpDosHead,lpBase);
		dwAddress = (DWORD*)lpBase;
		int pos = 0;
		while(0 != (*dwAddress)) {
			// 使用名称导入而非序号
			if(!((*dwAddress) & 0x80000000)) {
				// 2字节序号 + ASCII字符串(函数名)
				buf = (char*)((DWORD)lpDosHead + RVAToFileOffset(lpDosHead,(*dwAddress)));
				buf += 2;
				if(0 == strcmp(buf,"LoadLibraryA")) {
					lpLoadLibraryA = pImport[i].FirstThunk+pos*4;
				}
				if(0 == strcmp(buf,"LoadLibraryW")) {
					lpLoadLibraryW = pImport[i].FirstThunk+pos*4;
				}
				if(0 == strcmp(buf,"LoadLibraryExA")) {
					lpLoadLibraryExA = pImport[i].FirstThunk+pos*4;
				}
				if(0 == strcmp(buf,"LoadLibraryExW")) {
					lpLoadLibraryExW = pImport[i].FirstThunk+pos*4;
				}
			}
			dwAddress++;
			pos++;
		}
		break;
	}
}

  终于写完了,好像感觉有点虎头蛇尾敲打点击这里下载实例工具。如果代码节剩余空间不足可以使用本工具先添加一个任意大小的新节。

  最后,以此纪念我第一篇CSDN博文。微笑

flukeshen
关注
专栏目录
DLL注入学习总结
bcbobo21cn的专栏
04-23 2806
dll注入 所谓DLL[1]  注入就是将一个DLL放进某个进程的地址空间里,让它成为那个进程的一部分。要实现DLL注入,首先需要打开目标进程。 中文名 dll注入 外文名 hRemoteProcess 意    义 将一个DLL放进进程的地址空间里 方    法 打开目标进程 例: hRemoteProcess = OpenProcess( PROCESS_CREATE_THREAD |
用c++编写DLL注入工具
程序猿的博客
02-08 484
Injiect64.cpp: #include "stdafx.h" #include "Inject64.h" #include "Inject64Dlg.h" #ifdef _DEBUG #define new DEBUG_NEW #endif // CInject64App BEGIN_MESSAGE_MAP(CInject64App, CWinApp) ON_COMMAND(ID_HELP, &CWinApp::OnHelp) END_MESSAGE_MAP() // CInj
PE文件静态注入
YJ_12340的博客
10-31 337
DLL注入指的是向运行中的其他进程强制插入特定的DLL文件。可以通过修改静态的PE文件,修改输入表结构,使得程序执行时载入特定的DLL文件
PE文件本地DLL注入工具
10-26
本工具是通过修改PE文件的OEP位置,让它指向我们插入的代码(调用LoadLibrary函数),从而载入DLL进行程序注入,载入DLL后系统会自动调用DllMain函数,由于修改了OEP,使得我们的代码执行在被注入程序之前,且在同一地址空间里,简直可以为所欲为了。
PE文件结构及代码注入
最新发布
qq_67812668的博客
08-11 789
PE即Portable Executable,是win32环境自身所带的可执行文件格式,其部分特性继承自Unix的COFF(Common Object File Format)文件格式。PE表示该文件格式是跨win32平台的,即使Windows运行在非Intel的CPU上,任何Win32平台的PE装载器也能识别和使用该文件格式的文件。 所有Win32执行体(除了VxD和16位的DLL)都使用PE文件格式,如EXE文件DLL文件等,包括NT的内核模式驱动程序(Kernel Mode Driver)。
PE文件注入dll
B01814124的博客
08-20 515
0.前提 1.修改导入表的RVA值 84CC —— 8C80 0064 —— 0078 ;增加了新导入的dll, IID结构体大小 2.删除绑定导入表 修改其值为0即可 3.创建新的IDT 将76CC-76EF复写到7E80 在新IDT尾部(7ED0,空数据依然放到最后)添加与MessageBox.dll相关的数据 00 8D 00 00 00 00 00 00 10 8D 00 00 20 8D 00 00 (8D00–7F00 导入名称表 函数名称地址 8D10–7F10 名称 dll名称
PE格式: 新建节并插入DLL
CSDN
07-26 4811
PE格式是 Windows下最常用的可执行文件格式,理解PE文件格式不仅可以了解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,而有些技术必须建立在了解PE文件格式的基础上,如文件加密与解密,病毒分析,外挂技术等。
PE输入表DLL注入
08-25 519
PE输入表DLL注入
PE 通过导入表注入 Dll
多一份贡献,多一份环保
08-17 976
导入表注入,当程序被加载时,系统会根据程序导入表信息来加载需要用到的dll,导入表注入的原理就是修改程序的导入表,将自己的dll添加到程序的导入表中,这样程序运行时可以将自己的DLL加载到程序的进程空间。...
【安全技术】关于几种dll注入方式的学习
HBohan的博客
10-11 1138
何为dll注入 DLL注入技术,一般来讲是向一个正在运行的进程插入/注入代码的过程。我们注入的代码以动态链接库(DLL)的形式存在。DLL文件在运行时将按需加载(类似于UNIX系统中的共享库(share object,扩展名为.so))。然而实际上,我们可以以其他的多种形式注入代码(正如恶意软件中所常见的,任意PE文件,shellcode代码/程序集等)。 全局钩子注入 在Windows大部分应用都是基于消息机制,他们都拥有一个消息过程函数,根据不同消息完成不同功能,windows通过钩子机制来截获和监视.
通过修改PE加载DLL
Mi1k7ea
06-24 3799
基本概念除了DLL动态注入技术外,还可以通过手工修改PE文件的方式来加载DLL,这种方式只要应用过一次之后,每当进程开始运行时便会自动加载指定的DLL。整体思路如下:1、查看IDT是否有充足的空间,若无则移动IDT至其他位置,若有则直接添加至列表末尾;2、若无,修改OPTIONAL头IMPORT TABLE的RVA值并增大Size值,删除绑定导入表BOUND IMPORT Table,复制原IAT...
dll注入例子
07-05
该例子是利用CreateRemoteThread 实行远程代码注入的一个demo.
DLL注入实例+教程
10-17
远程注入DLL方法有很多种,也是很多木马病毒所使用的隐藏进程的方法,因为通过程序加载的DLL在进程管理器是没有显示的.这里介绍一种用 CreateRemoteThread 远程建立线程的方式注入DLL. 首先,我们要提升自己的权限,因为远程注入必不可免的要访问到目标进程的内存空间,如果没有足够的系统权限,将无法作任何事.下面是这个函数是用来提升我们想要的权限用的. function EnableDebugPriv: Boolean; var hToken: THandle; tp: TTokenPrivileges; rl: Cardinal; begin Result := false; //打开进程令牌环 OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES or TOKEN_QUERY, hToken); //获得进程本地唯一ID if LookupPrivilegeValue(nil, 'SeDebugPrivilege', tp.Privileges[0].Luid) then begin tp.PrivilegeCount := 1; tp.Privileges[0].Attributes := SE_PRIVILEGE_ENABLED; //调整权限 Result := AdjustTokenPrivileges(hToken, false, tp, SizeOf(tp), nil, rl); end; end; 关于 OpenProcessToken() 和 AdjustTokenPrivileges() 两个 API 的简单介绍: OpenProcessToken():获得进程访问令牌的句柄. function OpenProcessToken( ProcessHandle: THandle; //要修改访问权限的进程句柄 DesiredAccess: DWORD; //指定你要进行的操作类型 var TokenHandle: THandle//返回的访问令牌指针 ): BOOL; AdjustTokenPrivileges() :调整进程的权限. function AdjustTokenPrivileges( TokenHandle: THandle; // 访问令牌的句柄 DisableAllPrivileges: BOOL; // 决定是进行权限修改还是除能(Disable)所有权限 const NewState: TTokenPrivileges; { 指明要修改的权限,是一个指向TOKEN_PRIVILEGES结构的指针,该结构包含一个数组, 数据组的每个项指明了权限的类型和要进行的操作; } BufferLength: DWORD; //结构PreviousState的长度,如果PreviousState为空,该参数应为 0 var PreviousState: TTokenPrivileges; // 指向TOKEN_PRIVILEGES结构的指针,存放修改前的访问权限的信息 var ReturnLength: DWORD //实际PreviousState结构返回的大小 ) : BOOL; 远程注入DLL其实是通过 CreateRemoteThread 建立一个远程线程调用 LoadLibrary 函数来加载我们指定的DLL,可是如何能让远程线程知道我要加载DLL呢,要知道在Win32系统下,每个进程都拥有自己的4G虚拟地址空间,各个进程之间都是相互独立的。所我们需要在远程进程的内存空间里申请一块内存空间,写入我们的需要注入DLL 的路径. 需要用到的 API 函数有: OpenProcess():打开目标进程,得到目标进程的操作权限,详细参看MSDN function OpenProcess( dwDesiredAccess: DWORD; // 希望获得的访问权限 bInheritHandle: BOOL; // 指明是否希望所获得的句柄可以继承 dwProcessId: DWORD // 要访问的进程ID ): THandle; VirtualAllocEx():用于在目标进程内存空间中申请内存空间以写入DLL文件名 function VirtualAllocEx( hProcess: THandle; // 申请内存所在的进程句柄 lpAddress: Pointer; // 保留页面的内存地址;一般用nil自动分配 dwSize, // 欲分配的内存大小,字节单位;注意实际分 配的内存大小是页内存大小的整数倍 flAllocationType: DWORD; flProtect: DWORD ): Pointer; WriteProcessMemory():往申请到的空间中写入DLL文件名 function WriteProcessMemory( hProcess: THandle; //要写入内存数据的目标进程句柄 const lpBaseAddress: Pointer; //要写入的目标进程的内存指针, 需以 VirtualAllocEx() 来申请 lpBuffer: Pointer; //要写入的数据 nSize: DWORD; //写入数据的大小 var lpNumberOfBytesWritten: DWORD //实际写入的大小 ): BOOL; 然后就可以调用 CreateRemoteThread 建立远程线程调用 LoadLibrary 函数来加载我们指定的DLL. CreateRemoteThread() //在一个远程进程中建立线程 function CreateRemoteThread( hProcess: THandle; //远程进程的句柄 lpThreadAttributes: Pointer; //线程安全描述字,指向SECURITY_ATTRIBUTES结构的指针 dwStackSize: DWORD; //线程栈大小,以字节表示 lpStartAddress: TFNThreadStartRoutine; // 一个TFNThreadStartRoutine类型的指针,指向在远程进程中执行的函数地址 lpParameter: Pointer; //传入参数的指针 dwCreationFlags: DWORD; //创建线程的其它标志 var lpThreadId: DWORD //线程身份标志,如果为0, 则不返回 ): THandle; 整个远程注入DLL的具体实现代码如下: function InjectDll(const DllFullPath: string; const dwRemoteProcessId: Cardinal): Boolean; var hRemoteProcess, hRemoteThread: THandle; pszLibFileRemote: Pointer; pszLibAFilename: PwideChar; pfnStartAddr: TFNThreadStartRoutine; memSize, WriteSize, lpThreadId: Cardinal; begin Result := false; // 调整权限,使程序可以访问其他进程的内存空间 if EnableDebugPriv then begin //打开远程线程 PROCESS_ALL_ACCESS 参数表示打开所有的权限 hRemoteProcess := OpenProcess(PROCESS_ALL_ACCESS, false, dwRemoteProcessId); try // 为注入dll文件路径分配内存大小,由于为WideChar,故要乘2 GetMem(pszLibAFilename, Length(DllFullPath) * 2 + 1); // 之所以要转换成 WideChar, 是因为当DLL位于有中文字符的路径下时不会出错 StringToWideChar(DllFullPath, pszLibAFilename, Length(DllFullPath) * 2 + 1); // 计算 pszLibAFilename 的长度,注意,是以字节为单元的长度 memSize := (1 + lstrlenW(pszLibAFilename)) * SizeOf(WCHAR); //使用VirtualAllocEx函数在远程进程的内存地址空间分配DLL文件名空间 pszLibFileRemote := VirtualAllocEx(hRemoteProcess, nil, memSize, MEM_COMMIT, PAGE_READWRITE); if Assigned(pszLibFileRemote) then begin //使用WriteProcessMemory函数将DLL的路径名写入到远程进程的内存空间 if WriteProcessMemory(hRemoteProcess, pszLibFileRemote, pszLibAFilename, memSize, WriteSize) and (WriteSize = memSize) then begin lpThreadId := 0; // 计算LoadLibraryW的入口地址 pfnStartAddr := GetProcAddress(LoadLibrary('Kernel32.dll'), 'LoadLibraryW'); // 启动远程线程LoadLbraryW,通过远程线程调用创建新的线程 hRemoteThread := CreateRemoteThread(hRemoteProcess, nil, 0, pfnStartAddr, pszLibFileRemote, 0, lpThreadId); // 如果执行成功返回 True; if (hRemoteThread 0) then Result := true; // 释放句柄 CloseHandle(hRemoteThread); end; end; finally // 释放句柄 CloseHandle(hRemoteProcess); end; end; end; 接下来要说的是如何卸载注入目标进程中的DLL,其实原理和注入DLL是完全相同的,只是远程调用调用的函数不同而已,这里要调用的是FreeLibrary,代码如下: function UnInjectDll(const DllFullPath: string; const dwRemoteProcessId: Cardinal): Boolean; // 进程注入和取消注入其实都差不多,只是运行的函数不同而已 var hRemoteProcess, hRemoteThread: THandle; pszLibFileRemote: PChar; pszLibAFilename: PwideChar; pfnStartAddr: TFNThreadStartRoutine; memSize, WriteSize, lpThreadId, dwHandle: Cardinal; begin Result := false; // 调整权限,使程序可以访问其他进程的内存空间 if EnableDebugPriv then begin //打开远程线程 PROCESS_ALL_ACCESS 参数表示打开所有的权限 hRemoteProcess := OpenProcess(PROCESS_ALL_ACCESS, false, dwRemoteProcessId); try // 为注入dll文件路径分配内存大小,由于为WideChar,故要乘2 GetMem(pszLibAFilename, Length(DllFullPath) * 2 + 1); // 之所以要转换成 WideChar, 是因为当DLL位于有中文字符的路径下时不会出错 StringToWideChar(DllFullPath, pszLibAFilename, Length(DllFullPath) * 2 + 1); // 计算 pszLibAFilename 的长度,注意,是以字节为单元的长度 memSize := (1 + lstrlenW(pszLibAFilename)) * SizeOf(WCHAR); //使用VirtualAllocEx函数在远程进程的内存地址空间分配DLL文件名空间 pszLibFileRemote := VirtualAllocEx(hRemoteProcess, nil, memSize, MEM_COMMIT, PAGE_READWRITE); if Assigned(pszLibFileRemote) then begin //使用WriteProcessMemory函数将DLL的路径名写入到远程进程的内存空间 if WriteProcessMemory(hRemoteProcess, pszLibFileRemote, pszLibAFilename, memSize, WriteSize) and (WriteSize = memSize) then begin // 计算GetModuleHandleW的入口地址 pfnStartAddr := GetProcAddress(LoadLibrary('Kernel32.dll'), 'GetModuleHandleW'); //使目标进程调用GetModuleHandleW,获得DLL在目标进程中的句柄 hRemoteThread := CreateRemoteThread(hRemoteProcess, nil, 0, pfnStartAddr, pszLibFileRemote, 0, lpThreadId); // 等待GetModuleHandle运行完毕 WaitForSingleObject(hRemoteThread, INFINITE); // 获得GetModuleHandle的返回值,存在dwHandle变量中 GetExitCodeThread(hRemoteThread, dwHandle); // 计算FreeLibrary的入口地址 pfnStartAddr := GetProcAddress(LoadLibrary('Kernel32.dll'), 'FreeLibrary'); // 使目标进程调用FreeLibrary,卸载DLL hRemoteThread := CreateRemoteThread(hRemoteProcess, nil, 0, pfnStartAddr, Pointer(dwHandle), 0, lpThreadId); // 等待FreeLibrary卸载完毕 WaitForSingleObject(hRemoteThread, INFINITE); // 如果执行成功返回 True; if hRemoteProcess 0 then Result := true; // 释放目标进程中申请的空间 VirtualFreeEx(hRemoteProcess, pszLibFileRemote, Length(DllFullPath) + 1, MEM_DECOMMIT); // 释放句柄 CloseHandle(hRemoteThread); end; end; finally // 释放句柄 CloseHandle(hRemoteProcess); end; end; end;
注入DLL实例
11-16
传入dll路径字符串。 传入注入对象字符串。 注入
Windows DLL注入示例
04-02
Windows DLL注入系统文章的配套代码。详见“说明.txt”文档。
dll注入实例注入代码
11-03
dll注入实例,实现dll注入,代码详细介绍了整个dll注入的流程,以及生成exe,需要下载微软支持库,是学习dll注入的好东西
病毒编程奥秘:DLL的远程注入技术详解
12-25 966
DLL的远程注入技术是目前Win32病毒广泛使用的一种技术。使用这种技术的病毒体通常位于一个DLL中,在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)中运行。   这样一来,普通的进程管理器就很难发现这种病毒了,而且即使发现了也很难清除,因为只要病毒寄生的进程不终止运行,那么这个DLL就不会在内存中卸载,用户也就无法在资源管理器中删除这个DLL文件,真
DLL注入-静态修改PE
m0_52164435的博客
03-14 741
首先要知道,我们要完成的操作是通过修改PE结构来完成注入dllPE中有关于模块导入的是输入表结构,而输入表是一个IID数组,那么想要将我们的dll导入到程序中就需要将一个我们构造的IID结构写入这个数组中,此时需要考虑我们新写入的IID结构大小,假设原IID大小为old,那么显然,由于只导入了一个函数,我们新的IID结构大小newIIDSize = Old+ sizeof(IMAGE_IMPORT_DESCRIPTOR)。将以上各值填入原IID位置,填写的时候需要注意字节序是小端序,填写结果如下。
Dll注入--修改PE文件
热门推荐
王二娃的生活的博客
06-25 1万+
DLL注入,除了常见的远线程注入,挂钩和修改注册表以外还可以通过修改PE文件头来达到注入目的,废话少说先上菜。1. 思路PE文件经常会调用外部DLL文件,而需要调用的DLL文件都会在PE文件说明,通过 NT头->可选头->导入表 可以找到导入表,而导入表就是对需要导入的每个DLL的说明,它实际上是一个20个字节组成的IID结构体数组,每个结构体就是一个DLL信息说明,我们只需要想PE文件中准确添加这
编程实践:感染PE文件与强制加载DLL
"编程实现感染PE文件加载DLL,探讨了如何通过编程使PE文件感染并加载指定的DLL,涉及Windows系统API、DLL动态链接库、PE文件格式和结构等相关知识。文章介绍了PE文件的功能,包括API调用机制和DLL加载原理,并提到了...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值