Windows下DLL注入 - 线程注入及对抗方案

最新推荐文章于 2023-03-29 14:58:32 发布
最新推荐文章于 2023-03-29 14:58:32 发布
阅读量946 收藏 2
点赞数
分类专栏: 逆向工程 二进制 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/KaiKaiaiq/article/details/109106411
版权

本文讲解如何把一个DLL注入在另一个EXE的进程中(附32bit例子)

方法之一 线程注入

步骤

第一步,要把dll路径字符串写到目标exe的内存中。

这里使用的是 “远程申请内存”和“向进程写内存”;

第二步,开启一个远程线程,远程执行 LoadLibaryA函数,来加载我们要注入的DLL。

test.exe inject.dll这里使用易语言编写。

inject.dll代码截图

 

将"inject.dll"注入“test.exe”,注入成功。

 

DLL注入器流程图

 

注入器代码(C++):


#include <iostream>
#include <string>
#include <thread>
#include <mutex>
#include "windows.h"
#include "tlhelp32.h"

wchar_t* char2w
最低0.47元/天 解锁文章
俺是大宝kaikaizhu
关注
专栏目录
远程线程注入--DLL注入(C++)
啊渊的专栏
08-26 210
远程线程注入(Remote Thread Injection)是指通过创建远程线程的方式将代码注入到另一个进程的地址空间中。下面是一个简单的 C++ 示例,展示如何通过远程线程注入一个 DLL 到目标进程中。
[网络安全自学篇] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局钩子、远线程钩子、突破Session 0注入、APC注入
热门推荐
杨秀璋的专栏
06-25 1万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点,希望对您有所帮助。第二篇文章主要介绍4种常见的注入技术,包括全局钩子、远线程钩子、突破SESSION 0隔离的远线程注入、APC注入,案例包括键盘钩子、计算器远线程注入实现、APC注入等,希望对您有所帮助。
简单的DLL注入线程
10-14
简单的DLL注入线程,说明DLL注入过程,适合初学者
dll远程线程注入(支持64bit win7)
07-20
dll注入到远程线程。使用的时候创建一个空的工程,然后把代码当做主文件放到工程中,自己写个mian函数调用injectDLL函数就能注入了。菜鸟级友情提醒:64位别忘了编译成x64的可执行文件
DLL注入——使用远程线程
希望能帮助大家,希望大家多多支持,你们的支持是我前进的动力。
08-30 2018
从根本上来说,DLL注入技术要求目标进程中的一个线程调用LoadLibrary来载入我们想要的DLL。由于我们不能轻易地控制别人进程中的线程,因此这种方法要求我们在目标进程中创建一个新的线程Windows提供了创建远程线程的函数。);hProcess:用于创建线程的进程的句柄。lpThreadAttributes:指向SECURITY_ATTRIBUTES结构的指针,该结构确定返回的句柄是否可以被子进程继承。dwStackSize:堆栈的初始大小,以字节为单位。......
DLL注入之远线程方式
04-20
线程注入 每个进程都有自己的虚拟地址空间,对32位进程来说,这个地址空间的大小为4GB。因为每个进程都有自己专有的地址空间,当进程的各个线程运行的时候,它们只能够访问属于自己进程的内存。这样做的一个好处是维护系统的安全,防止进程的私有空间被入侵。世界上有了矛就有了盾,windows也撕开了一个小口,提供了一些函数来让其它进程对另一个进程进行操作,当然亦邪亦正,全在于你。大名鼎鼎的CreateRemoteThread就是属于这样的函数。 远线程注入的基本原理就是通过在另一个进程中创建远程线程的方法进入目标进程的内存地址空间。使用插入到目标进程中的远程线程将该DLL插入到目标进程的地址空间,即利用该线程通过调用Windows API LoadLibrary函数来加载DLL,从而实现获取目标进程空间的使用权。如下摘自ReactOS 3.14的代码所示,CreateRemoteThread实际实现的功能就是调用NtCreateThread创建一个属于目标进程的线程
关于dll注入方式的学习(远程线程注入
2201_75856701的博客
02-11 461
的地址(由于Windows引入了基址随机化ASLR安全机制,所以导致每次开机启动时系统DLL加载基址都不一样,有些系统dll(kernel,ntdll)的加载地址,允许每次启动基址可以改变,但是启动之后必须固定,也就是说两个不同进程在相互的虚拟内存中,这样的系统dll地址总是一样的),在注入进程中创建线程(PAGE_GUARD: 区域第一次被访问时进入一个STATUS_GUARD_PAGE异常,这个标志要和其他保护标志合并使用,表明区域被第一次访问的权限。PAGE_READONLY: 该区域为只读。
dll.rar_GameSpider_GameSpider.dll_dll 注入_dll注入_注入dll
09-24
在实际操作中,有多种方法可以实现dll注入,包括利用进程创建、线程创建、内存写入等手段。每种方法都有其优缺点,选择哪种取决于具体需求和目标环境。例如,CreateRemoteThread API是最常见的一种注入方式,它可以...
Win10 x64远程线程注入DLL技术详解
由于Windows 10相较于早期的Windows版本在安全机制上做出了很多改进,如PatchGuard保护和用户账户控制(UAC)等,因此在Win10环境下进行DLL注入相较于以往版本更为困难。开发者必须对Windows系统架构和安全模型有深入...
DLL注入与卸载
05-22
DLL(Dynamic Link Library)是Windows操作系统中的一个重要组成部分,它是一种可共享的代码库,用于存储程序执行时可能...正确理解和使用DLL注入与卸载,不仅可以提高程序效率,还能帮助预防和对抗潜在的安全威胁。
C# dll注入(指定进程注入指定dll
墨鱼菜鸡
03-30 281
原文出处:https://www.cnblogs.com/lonelyxmas/p/5088028.html 直接上代码:(亲测可用) using System; using System.Collections.Gen...
C#版DLL远程线程注入源代码
01-21
C#没有自动调用WIN32的一些API函数,我们可以手动添加内核库到我们自己的代码中,从而实现调用win32API函数。 此方法不仅仅用于远程线程注入,还可以用于从MFC转C#过程中不知道如何用C#实现功能,但有知道如何用MFC实现功能的方法。
dllinject.exe
03-02
简单好用的dll注入软件,支持win10及以上操作系统,可以作为辅助应用。
Inject.exe
11-12
原创dll 注入工具 简易安全。纯净无毒。可供学习者使用。有问题请反馈作者。 原创dll 注入工具 简易安全。纯净无毒。可供学习者使用。有问题请反馈作者。 原创dll 注入工具 简易安全。纯净无毒。可供学习者使用。有问题请反馈作者。
远程dii注入
03-05
挺不错的我自己用易语言改进的游戏输入法注入器,如果有不行的地方请自行改进,自我感觉挺好的
线程注入 根据进程名字来实现注入
天蓝的专栏
09-01 1265
 #include "stdafx.h"#include "windows.h"#include #include "stdio.h"// ========== 定义一个代码结构,本例为一个对话框============struct MyData{int can1; char sz[64]; // 对话框显示内容 DWORD dwMessageBox; // 对话框的地址};// ====
DLL挂接到远程进程之中(远程注入
vcforever的专栏
03-15 8969
在上一篇文章《线程的远程注入》中介绍了如何让其他的进程中执行自己的代码的一种方法 及自己定义一个线程,在线程体中编写执行代码,然后使用VirtualAllocEx函数为线程体以 及线程中用到的字符常量和调用的MessageBox入口函数地址,在目标进程中开辟存储区,然 后再通过WriteProcessMemory函数,将这些数据写入目标进程的地址空间中。最后通过 CreateRemoteThrea
代码注入线程注入
Mi1k7ea
10-05 7127
代码注入概念 代码注入是一种向目标进程插入独立运行代码并使之运行的技术,其一般调用CreateRemoteThread() API以远程线程的形式运行插入的代码,亦称为线程注入。代码以线程过程(ThreadProcedure)形式插入,而代码中使用的数据则以线程参数的形式插入,即代码和数据是分别注入的。   代码注入DLL注入的区别 DLL注入适用于代码量大且复杂的情况,而代码注入适用于...
【逆向工程核心原理:DLL注入
最新发布
qq_42363151的博客
03-29 736
在注册表编辑器中,将要注人的DLL的路径字符串写人AppInit DLLs项目,然后把LoadAppInit DLLs的项目值设置为1。3、重启系统会发现所有加载user32.dll的进程都注入了myhack2.dll,如果打开notepad还会启动 IE。实验成功前提:notepad的kernel32.dllInjectDll的地址一样。编辑修改AppInit_ DLLs表项的值,输人myhack2.dII的完整路径。被注入DLL就干了两件事,一个是输出了一串字符串,二是下载了一个网页。
Windows系统下远程线程注入DLL的检测与卸载策略
这篇研究由王佩红、赵尔敦和张瑜发表,探讨了如何在Windows环境下检测和卸载由远程线程注入DLL。 首先,文章强调了远程线程注入技术的复杂性和隐蔽性,这种技术通常用于创建木马,使其能在目标进程中运行而不被...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值