Dll的远程线程注入之关键代码描述总结

最新推荐文章于 2022-07-16 01:58:03 发布
最新推荐文章于 2022-07-16 01:58:03 发布
阅读量855 收藏
点赞数
分类专栏: C++成长日记 文章标签: api dll注入 c++ 进程权限 改变窗口函数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangwenlong136/article/details/8878150
版权

一、使用BCB实现关键代码的调用(我这里为了使dll注入时程序不至于卡主,所以重新创建了一个线程DllThreadTest)

(1)声明全局变量

HWND hWnd;
DWORD pid;
HANDLE hThread;
HANDLE hProcess;
void* pLibNameRemote;
HMODULE hKernel32;
DWORD hLibModule;

(2)Dll注入之前初始化

void DllThreadTest::InitDll()
{
	//hWnd = FindWindow(NULL, "DLL注入测试窗口"); // 查找目标进程
	hWnd = FindWindow(NULL, "DLL注入测试窗口"); // 查找目标进程
	pid;
	hThread;                                //
	GetWindowThreadProcessId(hWnd, &pid);       //
	EnableDebugPriv();      // 获得进程的调试权
	hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);  // 打开进程
	   // 要注入的dll
	pLibNameRemote = VirtualAllocEx(hProcess, NULL, PATHNAME_LENGTH, MEM_COMMIT, PAGE_READWRITE);
	// 在目标进程的地址空间分配内存
	WriteProcessMemory(hProcess, pLibNameRemote, szLibName, PATHNAME_LENGTH, NULL); // 写入dll路径
	hKernel32 = GetModuleHandle("Kernel32");   // 获得kernel32.dll的句柄
	FARPROC fp = GetProcAddress(hKernel32, "LoadLibraryA"); // 获得loadibrary的便宜地址
	hThread = CreateRemoteThread(hProcess, NULL, 0,  // 启动远程线程
		(LPTHREAD_START_ROUTINE)fp,                         // --要注入的代码写在dll的DllMain里
		pLibNameRemote, 0, NULL);                           //
	WaitForSingleObject(hThread, INFINITE);                 // 等待线程结束,也就是dllmain结束
	DWORD hLibModule;
	GetExitCodeThread(hThread, &hLibModule);                // 返回注入的dll的句柄
	CloseHandle(hThread);
}


(3)DIll注入调用

void DllThreadTest::StartDllThread()
{
	InitDll();
	HMODULE hPrint = LoadLibrary("D://BCBPJ//BCBPJ//HookTest//vc//DllInjectTest//Debug//DllInjectTest.dll");
	PTHREAD_START_ROUTINE  pfnStartAddr=(PTHREAD_START_ROUTINE)GetProcAddress(hPrint, "StartDllThread");   
        HANDLE hRemoteThread;
	if(pfnStartAddr == NULL)
	{
	   ShowMessage("函数调用失败");
	   return;
	}
	if((hRemoteThread=CreateRemoteThread(hProcess,NULL,0,pfnStartAddr,pLibNameRemote,0,NULL))==NULL)
	{
		ShowMessage("创建线程失败!");
		return;
	}
	WaitForSingleObject(hRemoteThread, INFINITE);                 // 等待线程结束,也就是dllmain结束
	DWORD hLibModule1;
	GetExitCodeThread(hRemoteThread, &hLibModule1);                // 返回注入的dll的句柄
	CloseHandle(hRemoteThread);
	//FreeLibrary(hPrint);
	EndDll();
	ShowMessage("aaaaa");
}


(4)DIll注入终止

void DllThreadTest::EndDll()
{
    VirtualFreeEx(hProcess, pLibNameRemote, PATHNAME_LENGTH, MEM_RELEASE);
	hThread = CreateRemoteThread(hProcess, NULL, 0,         // 释放注入的dll
		(LPTHREAD_START_ROUTINE)::GetProcAddress(hKernel32, "FreeLibrary"),
		(void*)hLibModule, 0, NULL );
	WaitForSingleObject(hThread, INFINITE);
	CloseHandle(hThread);
	CloseHandle(hProcess);
}

(5)提高当前执行线程的执行权限

void DllThreadTest::EnableDebugPriv()
{
    HANDLE hToken;          // 进程访问令牌的句柄
	LUID luid;              // 用于存储调试权对应的局local unique identifier
	TOKEN_PRIVILEGES tkp;   // 要设置的权限
    OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken);
	// 获取访问令牌
	LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &luid);   // 获得调试权的luid
	tkp.PrivilegeCount = 1; // 设置调试权
	tkp.Privileges[0].Luid = luid;
	tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
	AdjustTokenPrivileges(hToken, FALSE, &tkp, sizeof tkp, NULL, NULL); // 使进程拥有调试权
	CloseHandle(hToken);
}


(6)远程调用dll里面的其他输出函数停止dll里面的消息循环

void DllThreadTest::StopDllThread()
{
    HMODULE hPrint = LoadLibrary("D://BCBPJ//BCBPJ//HookTest//vc//DllInjectTest//Debug//DllInjectTest.dll");
	PTHREAD_START_ROUTINE  pfnStartAddr=(PTHREAD_START_ROUTINE)GetProcAddress(hPrint, "SetDllThread");
	HANDLE hRemoteThread;
	if(pfnStartAddr == NULL)
	{
	   ShowMessage("函数调用失败");
	   return;
	}
	else
	{}
	if((hRemoteThread=CreateRemoteThread(hProcess,NULL,0,pfnStartAddr,pLibNameRemote,0,NULL))==NULL)
	{
		ShowMessage("创建线程失败!");
		return;
	}
	WaitForSingleObject(hRemoteThread, INFINITE);                 // 等待线程结束,也就是dllmain结束
	DWORD hLibModule1;
	GetExitCodeThread(hRemoteThread, &hLibModule1);                // 返回注入的dll的句柄
	CloseHandle(hRemoteThread);
	FreeLibrary(hPrint);
}


二、DllInjectTest.dll的实现

(1)DllInjectTest.h的实现

#ifndef DLL_INJECT_TEST
#define DLL_INJECT_TEST

#include <windows.h>
#include <stdlib.h>
#include <stdio.h>
#include <process.h>
DWORD WINAPI WindowCallBackProc(LPVOID *param);
static LRESULT CALLBACK DllTestProc(HWND hwnd, UINT msg, WPARAM wp, LPARAM lp);
BOOL CALLBACK EnumChildProc(HWND hwnd,LPARAM lParam);

// 声明要导出的函数
extern "C" _declspec(dllexport) void SetDllThread();
extern "C" _declspec(dllexport) void StartDllThread();

#endif

(2)DllInjectTest.cpp的实现

#include "DllInjectTest.h"

HANDLE hThread=NULL;
DWORD dwThread=0;
HWND hwnd,btnHwnd;
DWORD pid;
DWORD g_OldButtonProc;
#pragma data_seg("MySec")
BOOL StopThread=false;
#pragma data_seg()


BOOL APIENTRY DllMain(HANDLE hModule,DWORD ul_reason_for_call,LPVOID pReserved) 
{
	
	  switch (ul_reason_for_call) 
	 { 
	  case DLL_PROCESS_ATTACH: 
		   //MessageBoxA(NULL,"DLL_PROCESS_ATTACH!","fuck",0); 
		   break; 

	  case DLL_THREAD_ATTACH: 
		     //MessageBoxA(NULL,"我操!","fuck",0);	     
	       break; 
	  case DLL_THREAD_DETACH:   
		   //MessageBoxA(NULL,"DLL_THREAD_DETACH!","fuck",0);
		   break; 
	  case DLL_PROCESS_DETACH: 
		   //MessageBoxA(NULL,"DLL_PROCESS_DETACH!","fuck",0);
		   break; 
	 } 
	//MessageBoxA(NULL,"DLL_PROCESS_DETACH!","fuck",0);
	//_beginthread(WindowCallBackProc,0,NULL);
	return TRUE;
} 

// 线程回调函数
DWORD WINAPI WindowCallBackProc(LPVOID *param)
{
  MessageBoxA(NULL,"进入进程!","fuck",0);
  hwnd=::FindWindow(NULL,"DLL注入测试窗口");
  //hwnd=::FindWindow(NULL,"添加好友");

   if(hwnd)
   {
	 EnumChildWindows(hwnd,(WNDENUMPROC)EnumChildProc, 0);//列举子窗口
   }
  while (!StopThread) 
  {
     
  }
  return 0;
}

void SetDllThread()
{
	StopThread=true;
}

void StartDllThread()
{
	hThread = ::CreateThread(NULL,0,(LPTHREAD_START_ROUTINE)WindowCallBackProc,NULL,0,&dwThread); 
	if(hThread)
	{
	    MessageBoxA(NULL,"cao ni ma ge B!","fuck",0);
	    WaitForSingleObject(hThread, INFINITE);
		CloseHandle(hThread);
	}
}

LRESULT CALLBACK DllTestProc(HWND hwnd, UINT msg, WPARAM wp, LPARAM lp)
{
	/*
	switch(wp)
	{
	   case EN_CHANGE:		 
		   MessageBoxA(NULL,"EN_CHANGE!","fuck",0);
	   break;
	}*/
	switch(msg)
	{
	   case WM_SETTEXT:
			MessageBoxA(NULL,"设置文本!","fuck",0);
		    ::CallWindowProc((WNDPROC)g_OldButtonProc,hwnd, msg, wp, lp);
	   break;

	}
	return ::CallWindowProc((WNDPROC)g_OldButtonProc,hwnd, msg, wp, lp);
}

BOOL CALLBACK EnumChildProc(HWND hwndChild, LPARAM lParam)
{
	
	WCHAR lpWinTitle[256],lpClassName[256];
	::GetWindowTextW(hwndChild,lpWinTitle,256-1); //获得窗口caption
	::GetClassNameW(hwndChild,lpClassName,256-1); //获得窗口类名
	::SendMessageW(hwndChild,WM_GETTEXT,100,(long)strTest);
	if(_wcsicmp(lpClassName,L"TEdit")==0)
	{
	  //修改窗口的执行函数
	  g_OldButtonProc=::SetWindowLong(hwndChild,GWL_WNDPROC,(LPARAM)(WNDPROC)DllTestProc);
	  char strTest[100]="这是一个测试程序";
          SendMessage(hwndChild,WM_SETTEXT,0,(LPARAM)strTest);
	}
	/*
	if(_wcsicmp(lpClassName,L"")!=0))
	   EnumChildWindows(hwndChild,(WNDENUMPROC)EnumChildProc, 0);*/
	return true;
}



二、问题总结与分析

(1)在Dll的注入初始化时会调用Dll里面的DllMain函数,此时必须有返回值。

(2)针对第一种情况,我在Dll里面新建了一个处理消息循环的可以创建线程的输出函数SetDllThread,这样做是为了可以在Dll里面做各种消息过滤和Hook等应用做准备。

(3)针对第二种情况,当需要停止Dll里面的消息循环时,可以通过远程调用Dll里面的SetDllThread函数,当退出消息循环时就会执行Dll注入终止函数释放数据。

 

CodeCodeLong
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《Windows核心编程》之“DLL注入”(一)
Sagittarius_Warrior的博客
08-09 7536
一、背景知识 1,Private Address Space         在Windows操作系统中,每个进程都有自己私有的地址空间(private address space)。各个进程的地址空间(user partition)是相互独立的,尽管它们的地址编码范围相同(0x00010000 ~ 0x7FFEFFFF),但是它们对应虚拟地址的后备物理存储器一般都不相同(只读模式下的Imag
Dll注入技术之劫持注入
Hades的博客
06-28 1万+
Dll注入技术之劫持注入测试环境系统:Windows 7 32bit工具:FileCleaner2.0 和 lpk.dll主要思路利用Window可以先加载当前目录下的dll特性,仿造系统的LPK.DLL,让应用程序先加载我们的伪LPK.DLL,然后在我们的dll中去调用原来系统的原函数.引用网络中的原理讲解●背景知识●首先我们要了解Windows为什么可以DLL劫持呢?主要是因为Windows的...
Win10远程线程注入DLL源码.zip
11-30
原理跟32位进程注入没太大区别,首先获取ntdll下的RtlInitUnicodeString,LdrLoadDll,NtCreateThreadEx地址,最后分配内存写入Code数据创建远程线程跑起来!
InjectDLL代码 实现远程注入线程.zip
03-28
InjectDLL代码 实现远程线程注入.zip
远程线程注入_远程_远程线程_dll注入_注入_
10-01
创建远程线程注入目标进程dll详情代码有注释
DLL远程线程注入源码
01-20
DLL远程线程注入源码结合VC++ VB等实现 包括说明
C#版DLL远程线程注入代码
01-21
C#没有自动调用WIN32的一些API函数,我们可以手动添加内核库到我们自己的代码中,从而实现调用win32API函数。 此方法不仅仅用于远程线程注入,还可以用于从MFC转C#过程中不知道如何用C#实现功能,但有知道如何用MFC实现功能的方法。
DLL注入
weixin_51313054的博客
10-20 6565
DLL注入DLL注入原理dll注入实现过程功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 DLL注入原理 在Windows操作系统中,运行的每一个进程都生活在自己的程序空间中(保护模式),每一个进程都认为自己拥有整个机器的控制权,
Dll注入技术之远程线程注入
ProgrammingRing的专栏
02-06 3121
转自:黑客反病毒 DLL注入技术之远线程注入     DLL注入技术指的是将一个DLL文件强行加载到EXE文件中,并成为EXE文件中的一部分,这样做的目的在于方便我们通过这个DLL读写EXE文件内存数据,(例如 HOOK EXE文件中的API),或以被注入EXE的身份去执行一些操作等等。     远线程注入原理是利用Windows 系统中CreateRemoteThread()这
多种DLL注入技术原理介绍
热门推荐
顺其自然~专栏
11-06 3万+
本文中我将介绍DLL注入的相关知识。不算太糟的是,DLL注入技术可以被正常软件用来添加/扩展其他程序,调试或逆向工程的功能性;该技术也常被恶意软件以多种方式利用。这意味着从安全角度来说,了解DLL注入的工作原理是十分必要的。 不久前在为攻击方测试(目的是为了模拟不同类型的攻击行为)开发定制工具的时候,我编写了这个名为“injectAllTheThings”的小工程的大...
线程注入
qiume的专栏
06-03 418
运行关键是隐藏,神不知鬼不觉才是王道.要隐藏,先要隐藏进程,Windows操作系统中程序以进程的<br /> 方式运行,大多数操作系统也是如此.任务管理器就可以看到当前运行的进程,所以有人HOOK相关枚举进程的函<br /> 数,让任务管理器不显示 进程,也有人把自己的 注册成服务运行,"任务管理器"不显示服务的.这样做只<br /> 是障眼法,进程还是存在的,最好的方法是让进程不存在,让 作为其他进程的一个线程来运行.Windows操<br /> 作系统提出了DLL的概念,其系
(二) 使用Detours调试远程线程注入dll
Code Captain的专栏
10-24 2432
调试远程线程注入DLL
详解最实用的几种dll注入方式
陈子青的博客
07-16 1万+
要谈dll注入,首先则要了解dll,对dll的概念和使用不熟悉的读者可移步所谓DLL注入就是将一个DLL放进某个进程的地址空间里,让它成为那个进程的一部分。这样该进程dll共享同一内存空间,这样dll可以使用该进程的所有资源,随时监控程序运行。通常,我们将需要实现的功能封装生成dll文件,然后将其注入到某一进程中,从而在该进程中添加或扩展我们需要的功能。因此dll注入技术被广泛运用在恶意攻击、游戏外挂、木马等程序中。.........
基于SRS的视频直播服务器搭建
zhangwenlong136的专栏
06-06 1万+
srs提供的一个demo实例,包括实时流的rtmp播放, hls播放,视频会议, ffmpeg视频变换, jwplayer播放, OSMF播放,vlc播放等等功能.
视频会议直播和存储
zhangwenlong136的专栏
06-06 3422
DVR的难点在于写入flv和文件命名,SRS的做法是随机生成文件名,用户可以使用http-callback方式,使用外部程序记录这个文件名,或者改成自己要的文件命名方式。 当然也可以修改SRS代码,这种做法不推荐,c操作文件名比较麻烦。还是用外部辅助系统做会很方便。
Session原理和会话跟踪登录实现方式分析
zhangwenlong136的专栏
07-05 2119
Session的创建和管理机制如下图所示: 由于HTTP是无状态的协议,客户程序每次都去web页面,都打开到web服务器的单独的连接,并且不维护客户的上下文信息。如果需要维护上下文信息,比如用户登录系统后,每次都能够知道操作的是此登录用户,而不是其他用户。对于这个问题,存在三种解决方案:cookie,url重写和隐藏表单域。 1、cookie    cookie是一个服务器和客户端相结合
基于JsessionId的会话跟踪登录设计与实现
zhangwenlong136的专栏
07-05 1574
点击QQ界面的邮箱图标就能实现直接登录QQ邮箱、登录验证进入新浪微博之后关掉浏览器下次再登录时就不用输入用户名密码而可以直接登录新浪微博,想必这些熟悉的操作大家已经不只操作过上万遍了。但是大家是否知道这些会话跟踪登录时如何实现的捏,带着这些问题让我们进入下面的知识点解析。 在进入本文之前大家可以先了解下有关Session的原理和会话跟踪的相关知识: http://blog.csdn.n
网页超链接调用应用程序实现
zhangwenlong136的专栏
05-16 1386
参考博客:http://www.cnblogs.com/glorysword/archive/2012/08/07/2626008.html 基于BCB的程序设计实现 1.BCB程序实现关键代码 // 页写入网页调用 TRegistry *Registry1 = new TRegistry; Registry1->RootKey = HKEY_CLASSES_ROOT; Unicod
请使用c++写出远程线程注入dll代码
最新发布
09-09
}我不能帮助你编写代码,但是我可以提供一些参考资料,帮助你编写远程线程注入dll代码。 ### 回答2: 远程线程注入DLL是一种技术,用于在目标进程注入自定义的动态链接库(DLL)并执行其中的代码。以下是一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值