DLL注入_远程线程注入

 

什么是线程注入？

线程注入，是通过开启远程线程的方式，将DLL加载到目标宿主进程中的常用方式。

 

什么是动态链接库？

首先Windows中链接库分为两种：动态链接库DLL、静态链接库LIB。

① 静态链接库：在运行的时候就直接把代码全部加载到程序中，调用方式比如：

#prama comment (lib,"Psapi.lib")

② 动态链接库：在需要的时候加载，加载方式为：

——使用LoadLibrary动态加载DLL

——使用GetProcAddress获取DLL中导出函数的指针

——最后用FreeLibrary卸载指定的DLL

动态链接库设计的目的是为了动态加载功能，动态地释放内存，节约内存，方便每一个程序的4GB内存的管理，4GB有2GB用来放系统内核，即系统大量的DLL。其本质上也是一个可以被加载的程序。同时系统对于DLL只会保存一份。

 

在Visual Studio编译环境下，DLL又分为三类：

① 非MFC的DLL——使用SDK API进行编程，能被所有语言调用

② MFC规则DLL——使用MFC进行编程，能被所有语言调用

③ MFC扩展DLL——使用MFC进行编程，只能被MFC编写的程序调用

（下面使用第一种）

 

MFC——Microsoft Foundation Class-Library ：微软用C++对API进行的封装，全部封装成了类，方便使

 

需要注意：

DLL的导出函数使用

extern "C" _declspec(dllexport)

而导入函数使用

extern "C" _declspec(dllimport)

extern "C" 的作用是作为一种编译约定

 

那么进程是如何调用DLL的呢？

①使用LoadLibrary加载进所需DLL

HMODULE hMod = LoadLibrary(DLL路径)

②定义导入函数指针

typedef int(*ADD_IMPORT) (int a,int b); // 定义一个指向返回值为int类型的函数指针

③使用GetProcAddress获得函数入口点

ADD_IMPORT add_proc = (ADD_IMPORT) GetProcAddress(hMod,"Add");

④然后就可以使用了：比如 int result = add_proc(1,2);

 

如下使用VS2019进行编写编译：

1、新建Win32项目，选择DLL

关于DLL入口主函数第二个参数ul_reason_for_call，即DLL四种当前的状态：

2、新建如下头文件

3、在dajiDLL.cpp中

然后同一解决方案下新建MFC项目

 

这里需要说一下注入的可行性：

①kernel32和user32是两个在大部分程序上都会调用的DLL

②同一个DLL，在不同的进程中，不一定被映射（加载）到同一个内存地址

③但是kernel32和user32除外，他们总是被映射到进程的内存首选地址

④因此在所有使用这两个DLL的进程中，这两个DLL的内存地址是相同的

⑤所以在本进程获取的kernel32.dll中的函数的地址，在目标进程中也是一样的

流程：目标进程-传入DLL地址-开启远程线程-加载DLL-实现DLL注入

 

具体使用函数如下：

OpenProcess    // 获取已知进程的句柄

VirtualAllocEx    // 在远程进程中申请内存空间

WriteProcessMemory    // 向进程中写入东西

GetProcAddress    // 取得函数在DLL中的地址

CreateRemoteThreadEx    // 创建远程线程——即在其他进程中创建新的线程

CloseHandle    // 关闭句柄

利用以上函数即可完成线程的注入

 

上面讲了这么多下面开始编写远程线程注入的代码：
① 在资源视图中找到主Dialog文件新建如下组件并命名，其中Inject按钮设为默认按钮，两个Button的ID分别为IDC_INJECT和IDC_OPEN

② 双击Open按钮编写如下代码，需要提前将编辑框1和2的ID分别命名为IDC_DLLPATH、IDC_EXENAME

// 获取DLL路径名，打开DLL文件
void CdajiInjecterDlg::OnBnClickedOpen()
{
	// 定义一个filedialog对象，通过它来获取dll的路径
	CFileDialog filedialog(TRUE,0,0,6UL,_T("DLL Files|*.dll|"));
	// 如果弹出了对话框并且选择了DLL，那么将获得的路径填充显示到DLLPath
	if (filedialog.DoModal() == IDOK)
	{
		CString DLLpath;
		DLLpath = filedialog.GetPathName();
		// 将路径填充到IDC_DLLPATH的对话框
		SetDlgItemText(IDC_DLLPATH, DLLpath);
	}
}

③ 双击Inject按钮，首先需要在inject按钮函数的前面添加注入功能的函数Inject

// 注入函数，同时返回值为是否注入成功，默认返回成功
BOOL Inject(LPCTSTR DLLPath,DWORD ProcessID) 
{
	// 定义一个句柄获取目标进程的所有权限，包括子进程
	HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, TRUE, ProcessID);
	// 判读是否获取到
	if (!hProcess)
	{
		return FALSE;
	}
	// 计算一下获取到的DLLpath究竟有多长，要在内存空间中申请内存来存放它，注意+1,为\0
	SIZE_T PathSize = (_tcslen(DLLPath) + 1) * sizeof(TCHAR); // 宽字节
	// 在晋城中申请内存存放此DLLpath
	LPVOID StartAddress = VirtualAllocEx(hProcess, NULL, PathSize, MEM_COMMIT, PAGE_READWRITE);
	// 如果未能获取到地址，返回失败
	if (!StartAddress)
	{
		return FALSE;
	}
	// 获取到地址则将DLLPath写入此地址
	if (!WriteProcessMemory(hProcess, StartAddress, DLLPath, PathSize, NULL))
	{
		return FALSE;
	}
	// 获取LoadLibrary的入口点地址，需要进行强制类型转换
	PTHREAD_START_ROUTINE pfnStartAddress = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle(_T("kernel32.dll")), "LoadLibraryW");
	// 在这里获取到的地址，在目标进程中也一样，因此直接传递过去即可
	// 先判断是否获取到
	if (!pfnStartAddress)
	{
		return FALSE;
	}
	// 最重要的一步，创建远程线程，首先获取句柄，createremotethreadex函数只在win7以上系统有
	HANDLE hThread = CreateRemoteThreadEx(hProcess,NULL,NULL,pfnStartAddress,StartAddress,NULL,NULL,NULL);
	// 判断线程是否创建成功
	if (!hThread)
	{
		return FALSE;
	}
	// 最后等待线程结束，然后清理线程和进程
	WaitForSingleObject(hThread, INFINITE);
	CloseHandle(hThread);
	CloseHandle(hProcess);
	return TRUE; 
}

④ 在上面的注入函数之前还需要添加一个进程查找函数，如下

// 获取进程，其参数为进程名——在进程列表中获取我们想要的参数
DWORD ProcessFind(LPCTSTR Exename) 
{
	// 第一个参数只获取进程名
	HANDLE hProcess = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, NULL);
	// 对获取的进程进行判断
	if(!hProcess)
	{
		return FALSE;
	}
	// 获取成功
	PROCESSENTRY32 info;
	info.dwSize = sizeof(PROCESSENTRY32);
	if (!Process32First(hProcess,&info)) 
	{
		return FALSE;
	}
	while (true) // 遍历进程中的所有项
	{
		// 判断是否与所给进程名相符，就是输入的进程名
		if(_tcscmp(info.szExeFile,Exename)==0)
		{
			// 相符的话返回该进程的PID
			return info.th32ProcessID;
		}
		// 如果遍历了整个进程列表都没有找到，那么返回FALSE
		if (!Process32Next(hProcess, &info))
		{
			return FALSE;
		}
	}
	// 函数默认返回FALSE
	return FALSE;
}

⑤ 最后是注入按钮Inject的函数代码：

// 点击按钮执行注入
void CdajiInjecterDlg::OnBnClickedInject()
{
	CString Dllpath;
	CString Exename;
	GetDlgItemText(IDC_EXENAME, Exename);
	GetDlgItemText(IDC_DLLPATH, Dllpath);

	// 如果用户什么进程名都没输入，那么提示
	if (Exename.GetLength() == 0)
	{
		MessageBox(_T("请输入进程名！"));
		return;  // 未填写进程名，直接返回，不让此函数继续执行
	}
	// DWORD类型变量用于存储PID
	DWORD ProcessID = ProcessFind(Exename);
	// 如果在进程列表中没找到此程序，提示
	if (!ProcessID)
	{
		MessageBox(_T("未找到该程序！"));
		return;  // 不再执行下面的
	}
	// 执行注入，并且对注入结果进行获取
	BOOL IsInjected = Inject(Dllpath, ProcessID);
	// 注入成功与失败，提示
	if (IsInjected)
	{
		MessageBox(_T("注入成功！"));
	}
	else
	{
		MessageBox(_T("注入失败！"));
	}
}

最后在dllmain.cpp中添加一个清楚的注入成功提醒标识：

// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "pch.h"

BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
	// 进程连接时进程提示
    case DLL_PROCESS_ATTACH:
		MessageBox(NULL,L"Hello daji!",L"Welcome!",NULL);
		break;
	// 注意到此只能注入32位的进程，如果想要注入64位的进程
	// 需要在配置管理器中进行修改


    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

 

如下进行测试，选择x64版本DLL（注意编译的时候选择编译的版本）：

目标进程为Everything.exe

可以在任务栏的Evething中发现DLL的线程，二者此时属于同一个进程。