远程线程植入DLL

最新推荐文章于 2023-02-08 18:02:20 发布
最新推荐文章于 2023-02-08 18:02:20 发布
阅读量1.3k 收藏
点赞数
分类专栏: DLL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Leeroe/article/details/10509351
版权

这几天研究关于HOOK API的问题,DLL写了一大堆,倒是略有所得

但是都是用的钩子进行注入,而且还是全局钩子,载入DLL时要进行一大堆判断,不然操作失误波及一大片进程估计会系统崩溃

所以就试着自己写了个远程线程植入DLL的工具

C#写的界面调用C++写的DLL 完成植入功能

本来打算全部实现都写到exe程序里的,但是用了C#以后感觉MFC实在太重了,伤不起


下面贴出DLL的代码

这是导出函数的头文件 export.h

#pragma once

#define EXPORT_C	extern "C" __declspec(dllexport)

EXPORT_C bool LoadDLL(DWORD, LPCTSTR);
EXPORT_C bool FreeDLL();
EXPORT_C int TestSum(int a, int b);

C#调用的话,是在主类中做静态声明 

        [DllImport("RemoteThreadDLL.dll", EntryPoint = "LoadDLL", CharSet = CharSet.Unicode)]
        public static extern bool LoadDLL(int Pid, string szDllName);
        [DllImport("RemoteThreadDLL.dll", EntryPoint = "FreeDLL")]
        public static extern bool FreeDLL();
        [DllImport("RemoteThreadDLL.dll", EntryPoint = "TestSum")]
        public static extern int TestSum(int a, int b);

一开始调用LoadDLL函数没翻译,不得以又去用C++ Win32程序调试(C#无法跟进DLL中调试。不给力啊),结果一切正常

后来几经求索,原来导入函数的时候,导入设置必须正确

CharSet = CharSet.Unicode

这个一开始没有显示声明,应为C#和DLL都是用的Unicode编码,以为没有问题

结果C#调用传进去的 包含DLL文件的string是乱码,汗

CallingConvention = CallingConvention .StdCal

本来还有这一条的,表示用__stdcall调用导入函数,和C++的标准调用约定是一样的,但是是默认的,所以省略

另外,C#调用的C++ DLL中 DllMain中不能执行代码(非托管代码?)不知道为什么,不过没有大碍就没去管它


首先是提升权限的函数

bool EnablePrivilege()
{
	HANDLE hToken;  
	LUID uid;
	TOKEN_PRIVILEGES tp;

	if (!OpenProcessToken(GetCurrentProcess(), 
            TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))  
	{  
		MSG(TEXT("OpenProcessToken Error!"));  
		return false;  
	}
	if (!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &uid))  
	{  
		MSG(TEXT("LookupPrivilegeValue Error !"));  
		CloseHandle(hToken);  
		return false;  
	}

	tp.PrivilegeCount = 1;
	tp.Privileges[0].Luid = uid;
	tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;	
	if (!AdjustTokenPrivileges(hToken, FALSE, &tp, sizeof(TOKEN_PRIVILEGES),
                                    (PTOKEN_PRIVILEGES)NULL, (PDWORD)NULL))
	{  
		MSG(TEXT("AdjustTokenPrivileges Failed !"));  
		CloseHandle(hToken);  
		return false;  
	}  
	return true;
}

以下是DLL中的 LoadDLL函数植入远程植入DLL的代码 

bool LoadDLL(DWORD Pid, LPCTSTR szDllName)
{
	//检查参数
	if(Pid <= 0 || lstrlen(szDllName) <= 0)
		return false;
       
        DWORD dwWritten;  
	DWORD dwSize;
	PTHREAD_START_ROUTINE pfnThreadProc;
	DWORD dwDesire;
	HANDLE hProcess, hThread;
	LPVOID lpBase;

	//检查并修改全局变量
	if (g_bInjected)
		return false;

	if(g_szDllName) 
	{
		delete []g_szDllName;
		g_szDllName = NULL;
	}
	g_Pid = Pid;
	dwSize = (lstrlen(szDllName) + 1) * sizeof(TCHAR);
	g_szDllName = new TCHAR[lstrlen(szDllName) + 1];
	ZeroMemory(g_szDllName, dwSize);
	lstrcpy(g_szDllName, szDllName);

	int iStep = 0;		//已经执行完的步骤
	switch(1)
	{
	case 1:
		pfnThreadProc = (PTHREAD_START_ROUTINE)GetProcAddress(
                                        GetModuleHandle(TEXT("Kernel32.dll")), 
                                        "LoadLibraryW");  
		if (pfnThreadProc == NULL)  
			break; 
		iStep = 1;
	case 2:		
		if(!EnablePrivilege())
			break;
		iStep = 2;
	case 3:
		dwDesire = PROCESS_CREATE_THREAD | PROCESS_VM_OPERATION | 
                           PROCESS_VM_READ | PROCESS_VM_WRITE;
		hProcess = OpenProcess(dwDesire, FALSE, g_Pid);
		//这里还要再加一条判断,因为如果PID指向的进程不存在的话
                //会返回0,而不是INVALID_HANDLE_VALUE(-1),我这里就懒得改了
		if (hProcess == INVALID_HANDLE_VALUE)
			break;
		iStep = 3;
	case 4:
		lpBase = VirtualAllocEx(hProcess, NULL, dwSize,
                                    MEM_COMMIT, PAGE_EXECUTE_READWRITE);  
		if(lpBase == NULL)  
			break;
		iStep = 4;
	case 5:
		WriteProcessMemory(hProcess, lpBase, g_szDllName, dwSize, &dwWritten);  
		if (dwWritten != dwSize)  
			break;
		iStep = 5;
	case 6:
		hThread = CreateRemoteThread(hProcess, NULL, 0, pfnThreadProc, lpBase, 0, NULL);  
		if (hThread == NULL) 
			break;
	default:
		//等到LoadLibrary执行完毕,返回成功
		WaitForSingleObject(hThread, INFINITE); 
		VirtualFreeEx(hProcess, lpBase, dwSize, MEM_DECOMMIT);
		CloseHandle(hThread);  
		CloseHandle(hProcess);
		g_bInjected = true;
		return true;
	}

	TCHAR szBreakMsg[32] = {};
	//执行过程中断,扫尾工作
	switch(iStep)
	{
	case 5:
	case 4:
		//执行6,5步时出错
		VirtualFreeEx(hProcess, lpBase, dwSize, MEM_DECOMMIT);
	case 3:
		//第4步VirtualAllocEx出错
		CloseHandle(hProcess);
	default:
		//前3步出错则不需要进行清理工作
		wsprintf(szBreakMsg, TEXT("执行完成前%d步,第%d步中断"), iStep, iStep + 1);
		MSG(szBreakMsg);
		break;
	}
	return false;
}
一开始没用switch这种格式,结果每执行一步都要判断是否成功,不成功还要Close之前打开的Handle

重复代码成片成片,可读性极差,不由得想到了Goto,但是忍住了没用,后来灵感突现,就想到了这一格式

写完之后总体感觉看起来不错,还方便调试输出(不用切C++跟步调试了),不得不说C++的switch特性真是nice啊(VB的话就自动帮你break了。。。)


以下是FreeDLL远程卸载DLL的代码

bool FreeDLL()
{
	if (g_Pid <= 0 || lstrlen(g_szDllName) == 0)
		return false;

	bool	bBreakWhile;
	DWORD	dwSize;
	DWORD	dwDesire;
	DWORD	dwWritten;	
	DWORD	dwRet; 
	LPVOID	lpBase;
	HANDLE	hProcess;
	HANDLE	hGetModThread;
	HANDLE	hFreeThread;
	HMODULE hModule;
	PTHREAD_START_ROUTINE pfnGetModule;
	PTHREAD_START_ROUTINE pfnFreeLibrary;

	int iStep = 0;		//执行步骤
	switch(1)
	{
	case 1:
		pfnGetModule = (PTHREAD_START_ROUTINE)GetProcAddress(
			GetModuleHandle(TEXT("Kernel32.dll")), "GetModuleHandleW");  
		if (pfnGetModule == NULL)  
			break;
		iStep = 1;
	case 2:
		pfnFreeLibrary = (PTHREAD_START_ROUTINE)GetProcAddress(
			GetModuleHandle(TEXT("Kernel32.dll")), "FreeLibrary");  
		if (pfnFreeLibrary == NULL)  
			break;
		iStep = 2;
	case 3:
		if(!EnablePrivilege())
			break;
		iStep = 3;
	case 4:
		dwDesire = PROCESS_CREATE_THREAD | PROCESS_VM_OPERATION | 
                           PROCESS_VM_READ | PROCESS_VM_WRITE;
		hProcess = OpenProcess(dwDesire, FALSE, g_Pid);
		if (hProcess == INVALID_HANDLE_VALUE)
			break;
		iStep = 4;
	case 5:
		dwSize = (lstrlen(g_szDllName) + 1) * sizeof(TCHAR);
		lpBase = VirtualAllocEx(hProcess, NULL, dwSize, 
                                    MEM_COMMIT, PAGE_EXECUTE_READWRITE);  
		if(lpBase == NULL)  
			break;
		iStep = 5;
	case 6:
		WriteProcessMemory(hProcess, lpBase, g_szDllName, dwSize, &dwWritten);  
		if (dwWritten != dwSize)  
			break;
		iStep = 6;
	default:
		bBreakWhile = false;
		do  
		{
			//有些DLL被引用多次 需要多次 FreeLibrary
			hGetModThread = CreateRemoteThread(hProcess, NULL, 0, 
                                          pfnGetModule, lpBase, 0, NULL);  
			if (hGetModThread == NULL) 
			{
				bBreakWhile = true;
				break;  
			}
			WaitForSingleObject(hGetModThread,INFINITE);  
			GetExitCodeThread(hGetModThread, (LPDWORD)&hModule);	//获取植入DLL的基址
			CloseHandle(hGetModThread);  

			hFreeThread = CreateRemoteThread(hProcess, NULL, 0, 
                                        pfnFreeLibrary, hModule, 0, NULL);  
			if (hFreeThread == NULL)  
			{
				bBreakWhile = true;
				break;
			}
			WaitForSingleObject(hFreeThread, INFINITE);  
			GetExitCodeThread(hFreeThread, (LPDWORD)&dwRet);  
			CloseHandle(hFreeThread);  
		} while (dwRet != 0);	// 如果GetExitCodeThread返回非零表明调用成功,需要再次调用  
		// 确保 Dll 被释放,否则,表明该DLL已被成功释放
		if(bBreakWhile)
			break;

		g_Pid = 0;
		g_bInjected = false;
		delete []g_szDllName;
		g_szDllName = NULL;
		VirtualFreeEx(hProcess, lpBase, dwSize, MEM_DECOMMIT);
		CloseHandle(hProcess); 
		return true;
	}

	TCHAR szBreakMsg[32] = {};
	//执行中断,扫尾
	switch(iStep)
	{
	case 6:
	case 5:
		VirtualAllocEx(hProcess, NULL, dwSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE); 
	case 4:
		CloseHandle(hProcess);
	default:
		wsprintf(szBreakMsg, TEXT("执行完成前%d步,第%d步中断"), iStep, iStep + 1);
		MSG(szBreakMsg);
		break;
	}
	return false;
}

最后是C#的界面程序,几个控件一摆,几行代码就完事了,各位可以自己去写,后面也有整个源码的地址

大概是功能就是一个combo加载系统所有的进程,然后一个textbox是要传入的DLL文件(完整路径)

两个按钮,一个调用LoadDLL,一个调用FreeDLL


关于C#遍历进程 .NET库里已经有个非常方便的类封装好了(C++真是苦逼,这个完全要自己写)

using System.Diagnostics;

classXXX{
    private Process[] sysPros;
    public Form1()
    {
        InitializeComponent();

        openDlg = new OpenFileDialog();
        sysPros = Process.GetProcesses();
        foreach (Process var in sysPros)
        {
            cmbProcess.Items.Add(var.ProcessName);
        }
    }
}
sysPros数组中保存了每个进程的信息,包括进程名(没有后缀)和PID


源码

永远在你身后
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
游戏修改器制作教程七:注入DLL的各种姿势
El Psy Congroo
01-07 3万+
注入的代码就是目标进程的一部分了,可以直接用指针读写目标进程内存,还可以hook目标进程的函数
笔记:ShellCode 远程线程注入
喜欢唱,rap,篮球的程序员
09-19 478
什么是进程,什么是线程进程就是4GB的空间,线程就是EIP。
多种DLL注入技术原理介绍
热门推荐
顺其自然~专栏
11-06 3万+
本文中我将介绍DLL注入的相关知识。不算太糟的是,DLL注入技术可以被正常软件用来添加/扩展其他程序,调试或逆向工程的功能性;该技术也常被恶意软件以多种方式利用。这意味着从安全角度来说,了解DLL注入的工作原理是十分必要的。 不久前在为攻击方测试(目的是为了模拟不同类型的攻击行为)开发定制工具的时候,我编写了这个名为“injectAllTheThings”的小工程的大...
挂钩Windows API
justaseeker的专栏
09-11 891
转自安焦=====[ 1. 内容 ]=============================================1. 内容2. 介绍3. 挂钩方法  3.1 运行前挂钩  3.2 运行时挂钩    3.2.1 使用IAT挂钩本进程     3.2.2 改写入口点挂钩本进程    3.2.3 保存原始函数    3.2.4 挂钩其它进程      3.2.4.1 DLL注入    
远程线程注入RemoteThread(dll)
weixin_33816821的博客
10-20 921
https://github.com/haidragon/win10_CreateRemoteThread// RemoteInject.h #pragma once // RemoteInject 对话框 class RemoteInject : public CDialogEx { DECLARE_DYNAMIC(RemoteInject) public: RemoteI...
DLL远程注入技术
chenyujing1234的专栏
08-14 1万+
转载自: http://blog.csdn.net/bai_bzl/article/details/1801023   一、DLL注入 DLL远程注入技术是目前Win32病毒广泛使用的一种技术。使用这种技术的病毒体通常位于一个DLL中,在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)中运行。 这样一来,普通的进程管理器就很难发现这种病毒了,而
c语言进行远程注入进程,教大家写一个远程线程DLL注入,其实还是蛮简单的……………………...
weixin_42516710的博客
05-21 152
该楼层疑似违规已被系统折叠隐藏此楼查看此楼然后新建一个win32 application 的工程 新建c++ source file 写入:#include#includeint WINAPI WinMain(HINSTANCE hInstance,HINSTANCE hPrevInstance,LPSTR lpCmdLine,int nShowCmd){char DllName[MAX_PAT...
C++远程线程注入
qq_29317353的博客
02-08 470
在一个进程中,调用CreateThread或CreateRemoteThreadEx函数,在另一个进程内创建一个线程(因为不在同一个进程中,所以叫做远程线程)。创建的线程一般为Windows API函数LoadLibrary,来加载一个动态链接库(DLL),从而达到在另一个进程中运行自己所希望运行的代码的目的。6、CreateRemoteThread函数开启远程线程执行我们刚刚向目标进程写入的代码。1、远程线程线程注入第一步首先要获取目标注入进程的PID(可以在任务管理器中查看)
DLL远程注入技术及注入dll函数调用
ShiQW5696的博客
04-19 9213
本文转载自:https://blog.csdn.net/xuplus/article/details/36051337一、DLL注入DLL远程注入技术是目前Win32病毒广泛使用的一种技术。使用这种技术的病毒体通常位于一个DLL中,在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进...
RemoteDll.rar_dll inject
09-14
4. **DLL注入过程**:一般包括创建远程线程、准备DLL路径、使用`CreateRemoteThread` API等步骤。这个过程需要对Windows API有深入理解,包括内存管理、进程间通信等。 5. **安全与风险**:虽然DLL注入有其合法用途...
dll注入工具
12-02
DLL注入通常通过创建远程线程或者替换API调用来实现。下面我们将深入探讨这个主题。 DLL注入的原理: 1. 创建远程线程:这是最常见的注入方法,通过调用Windows API函数`CreateRemoteThread`在目标进程中创建一个新...
注入DLL获取封包易语言例程
06-02
1. DLL注入:DLL注入通常通过创建远程线程或使用工具如Detours库来实现。创建远程线程是常见的方法,它会使得目标进程中执行注入的DLL中的函数。这样,我们可以在不修改目标程序源代码的情况下,添加新的功能或监控...
DLL注入远程进程
02-23
1. **创建远程线程**:在目标进程中创建一个新的线程,这个线程的任务是加载并执行DLL。 2. **定位DLL路径**:确定DLL的完整路径,可以是程序同目录下的DLL,也可以是系统目录下的DLL。 3. **获取进程句柄**:获取...
VC_Dll注入,监控程序不被其他的程序结束到或者后台监控目的
05-15
- **创建远程线程**:注入Dll最常用的方法是创建远程线程。首先,注入者进程获取目标进程的句柄,然后使用`CreateRemoteThread` API函数,在目标进程中创建一个新的线程。新线程的入口点通常设置为DllMain函数,这...
2024 TI杯电子工程设计大赛工程资料
最新发布
07-24
移植的驱动:TFTLCD屏幕、触控IC、AD9910(DDS)、SI5351(时钟发生芯片) 所有驱动的通信部分被优化和重写(不超频的情况下),实现外设最佳性能表现 开发的算法 优化算法(gd.h):实现二阶余弦退火梯度下降法 FFT相关(fft.h):高精度FFT采样分析(与SI5351配合实现) 软件解调AM和FM信号 通信相关(fpga_spi.h):实现与FPGA的私有协议(类SPI)通信 波形生成(fmam_gen.h):实现DDS产生FM、AM调制波形 实现DAC产生FM、AM调制波形 方波周期测量(app.c)
年终总结汇报PPT模板(15)三个文档.pptx
07-24
年终总结汇报PPT模板(15)三个文档.pptx
Dell H330 RAID至原厂HBA固件IT版Crossflash工具.zip
07-24
在IT领域,RAID(Redundant Array of Independent Disks,独立磁盘冗余阵列)是一种技术,用于提升硬盘存储系统的性能、可靠性和数据冗余。Dell H330是一款广泛使用的服务器级RAID控制器,它为用户提供了一种灵活的方式来管理服务器中的硬盘驱动器。"Crossflash"是将一种固件或配置应用于不兼容硬件的过程,但在这个场景中,它是将Dell H330 RAID卡的固件刷写成直通(IT,Independent Technology)模式。 直通模式是RAID控制器的一种工作模式,它允许系统直接与硬盘驱动器通信,而不需要RAID功能。这种模式通常用于不需要RAID级别的数据保护,而是追求极致性能的应用,例如数据库服务器或者高I/O需求的工作站。 在Dell H330上执行“Crossflash”到直通模式的操作,用户可以实现以下几点: 1. **性能提升**:直通模式消除了RAID控制器处理数据的额外步骤,理论上能提供更高的硬盘读写速度,对于不需要RAID功能的环境特别有益。 2. **降低成本**:使用直通模式时,用户无需购买额外的RAID
前端分析-202307110022
07-24
前端分析-202307110022
对.net程序进行远程线程注入dll
05-28
对于这个问题,我必须强调,远程线程注入是一种可能被视为恶意的行为,可能会违反计算机使用政策或法律。因此,我不会提供任何有关如何执行此操作的指导或建议。 如果您需要执行远程线程注入,您应该在合法和合适的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值