源码解析DLL自卸载无模块注入

最新推荐文章于 2020-11-23 23:57:12 发布
最新推荐文章于 2020-11-23 23:57:12 发布
阅读量6.1k 收藏 10
点赞数 4
分类专栏: Windows 文章标签: 注入 自卸载 源码 DLL 无模块
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/justFWD/article/details/41121817
版权
这篇博客介绍了无模块DLL注入技术,该技术使得DLL在注入后不以模块形式存在,避免了被进程模块查看工具检测到。文章详细阐述了一种让DLL自身实现无模块注入的方法,即使在进程内加载后,DLL也会以无模块状态存在。通过Dbgview可以观察到注入的DLL在进程中的活动。作者提供了源码并添加注释以帮助读者理解这一技术。
摘要由CSDN通过智能技术生成

对windows安全比较熟悉的同学对模块注入应该都比较了解,很多病毒、木马、外挂都会用到,无模块注入应用得则比较少。

     无模块注入的好处是DLL注入进去后,确实已经不以模块的形式存在了,用任何进程模块查看工具,都找不到注入进去的DLL。因为它已经变为一块纯堆内存,跟EXE主模块里申请的堆没有任何差别。

     这里讲的一种无模块注入的方法,能够让DLL自身实现这样的功能,无需外部注入工具帮助处理。当然如果进程内自行加载这样的DLL后,也是以无模块DLL形式存在。

     注入完成后,进程内找不到注入的模块存在,用Dbgview每5秒可以看到"No Module Thread"消息打印出来,表示无模块DLL内进程的活动

     之前这个方法有在看雪发表过,不过没有详细讲,有的同学不是很明白,这里把源码贴出来,加上注释,应该会比较清楚了。

        LoadPE.CPP

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
"No Module Thread" //coded by 燕十二
 
#include "stdafx.h"
#include <stdio.h>
 
//将DLL文件读到内存
BOOL  LoadDll2Mem( PVOID  &pAllocMem, DWORD  &dwMemSize, char * strFileName)  
{  
     HANDLE  hFile = CreateFileA(strFileName, GENERIC_READ,  
         FILE_SHARE_READ, NULL,  
最低0.47元/天 解锁文章
justFWD
关注
专栏目录
隐藏模块(无模块注入
hambaga的博客
08-12 3221
模块隐藏那节课要求完成两个作业,都是隐藏模块,第一种方式是这样的: 这个题目的意思是将程序的基址设置成高地址,将0x400000空出来,然后将游戏主模块拉伸,修复IAT之后,注入进去。这样做的好处主要是简单,因为不需要修复重定位表了。缺点也很明显,很多时候根本没办法在0x400000处申请足够大的内存容纳游戏程序。,还有就是有些程序跳转到OEP之后会卡住,具体原因我也不知道。我这里用dbgview.exe测试,能够正常启动,这足够说明我的代码没有大的错误。 任务管理器中只会看到控制台的进程,看不到dbg
驱动无模块注入dll
最新发布
鬼手的博客
12-10 9811
Windows驱动无模块注入姿势全解 包含三环和零环的多种注入方式
C/C++ 进程无模块内存注入[x86/x64]
05-30
Windows R3 无模块注入,x86+x64通用,不支持异常处理,编译前关闭GS安全检查,VS2015所写,并无明显C++特征,兼容性极高
基于visual c++之windows核心编程代码分析(63)无模块dll进程注射
weixin_30691871的博客
01-24 121
我们在信息安全编程的时候经常需要进行dll进程注入,我们在编程中如何实现呢。需要引用Psapi.Lib,具体可以百度下载之。其头文件如下,odule Name: psapi.h Abstract: Include file for APIs provided by PSAPI.DLL Author: Richard Shupak [richards] 0...
C++驱动无模块注入代码
12-10
驱动无模块注入代码
(含源码) 注入dll 卸载进程模块 UM
11-21
本文将详细解析"注入DLL 卸载进程模块 UM"这一主题,并结合提供的源码文件,深入探讨相关知识点。 首先,DLL注入是通过在目标进程中创建一个新的线程或利用已存在的线程,将DLL的地址空间加载到目标进程的内存中。...
易语言模块基址获取源码-易语言
06-13
1. **模块管理**:了解易语言中的模块管理机制,包括如何加载、使用和卸载模块,以及如何获取模块的相关信息。 2. **内存操作**:在易语言中,获取模块基址通常涉及到内存操作,这包括对内存的读取、写入和查找。你...
易语言源码易语言插件注入源码.rar
03-31
"易语言源码易语言插件注入源码.rar"这个压缩包文件包含了关于易语言插件开发和注入的相关源代码,是学习和研究易语言扩展功能的好资料。 首先,我们要理解“插件”的概念。在软件开发中,插件是一种可插入到主程序...
内存无模块注入DLL易语言源码
09-19
将自身的功能DLL加载进资源中,然后编译成为注入DLL,然后把注入DLL注入到指定的程序中,该注入DLL就会把你的功能DLL采用重定位的方式注入到进程中,并把注入DLL自身卸载,实现无API无ldr无vad记录注入。最有效化隐藏自身功能DLL
易语言 远程线程注入DLL呼出窗口 源码(无模块)
11-24
这个可是非常好的源码 没有使用任何模块 放心下载 绝对不留后门,不修改IE,卸载dll一直有点小问题,希望大家多交流 QQ:22353017
易语言无模块输入法注入
08-15
模块输入法注入 很多人想要的 源码程序 内带输入法 易语言编写 仅仅采用核心库+API
UnModule_shellcode_Inject:无模块注入工程 VS2008
04-29
=====================ShellCodeFrame_x64 ================ ShellCodeFrame_x64 工程介绍 项目详细介绍,查看“Windows平台下高级Shellcode编程技术.doc” 这是一个使用VS2008生成的编写x64位shellcode的框架。 在shellcode主代码中,按照内存对齐大小,将dll在内存中进行展开,修复导入表,修复重定位,根据导出表,寻找dll中函数的地址,调用指定dll的函数。 =====================UnModuelInject================ 使用生成的shellcode对静态dll进行无模块注入 配置 x64 插入汇编的VS环境。 ==============ShellCodeFrame_x86 工程介绍=========== 生成x86平台的shellcod
易语言远程注入无需模块
05-29
这这个资源我自己没有看懂,需要大家来看看,看的不是很明白就是了
低级键盘钩子(免DLL注入)dota改键源码+总结(MFC)
10-03
在MFC中实现低级键盘钩子,我们需要使用`SetWindowsHookEx`函数,该函数接受一个`WH_KEYBOARD_LL`类型的钩子ID,一个回调函数指针,以及一个模块句柄(通常是我们的可执行文件或DLL),最后是钩子的线程ID。...
易语言无模块注入_[笔记]利用JVM SandBox注入异常
weixin_39874379的博客
11-23 723
题记:大名鼎鼎的ChaosBlade(混沌工具)和 jvm-sandbox-repeater(无侵入录制回放工具)底层都是基于JVM SandBox。JVM SandBox 使用起来非常很简单,但是 JVM SandBox 背后所涉及到的底层技术原理、实现细节却不简单,比如 Java Agent、Attach、JVMTI、Instrument、Class 字节码修改、ClassLoade...
模块注入示例
StanfordZhang的专栏
09-21 3149
原出处不详,作者见谅。 #include typedef struct _REMOTE_PARAMETERS { HWND hwnd; LPSTR lpszText; LPSTR lpszCaption; int nType; }REMOTE_PARAMETERS,*PREMOTE_PARAMETERS; //提升权限 BOOL GetdebugPrivilege() { BOOL
Windows系统下远程线程注入DLL的检测与卸载策略
"远程线程注入DLL的检测与卸载方法的研究" 远程线程注入(Remote Thread Injection)是一种常见的恶意软件技术,攻击者通过这种方式在目标进程中注入代码,通常是动态链接库(DLL),以实现隐蔽的监控、控制或破坏...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值