[转载]Dll注入技术之劫持进程创建注入

最新推荐文章于 2021-04-03 17:25:41 发布
最新推荐文章于 2021-04-03 17:25:41 发布
阅读量105 收藏
点赞数
文章标签: 操作系统
原文链接:http://www.cnblogs.com/Acg-Check/p/4268665.html
版权

转自:黑客反病毒

 

DLL注入技术之劫持进程创建注入

  劫持进程创建注入原理是利用Windows系统中CreateProcess()这个API创建一个进程,并将第6个参数设为CREATE_SUSPENDED,进而创建一个挂起状态的进程,利用这个进程状态进行远程线程注入DLL,然后用ResumeThread()函数恢复进程。
1.创建挂起的进程     下面是创建一个挂起的计算器程序进程的主要代码:

 

    STARTUPINFO si = {0};
    si.cb = sizeof si;
    si.dwFlags = STARTF_USESHOWWINDOW;
    si.wShowWindow = SW_SHOW;
    PROCESS_INFORMATION pi;

    TCHAR cmdline[MAXBYTE] =_T("calc.exe");
    BOOL bRet = ::CreateProcess(
        NULL,
        cmdline,
        NULL,
        NULL,
        FALSE,
        CREATE_SUSPENDED, //需要注意的参数
        NULL,
        NULL,
        &si,
        &pi);

2.向挂起的进程中进行远程线程注入DLL     关于远程线程注入在这里就不重复讲述了,但是这里需要注意一个问题,那就是CreateRemoteThread()中第6个参数,需要设为CREATE_SUSPENDED,主要参数如下:

    //4. 创建远程线程
    m_hInjecthread = ::CreateRemoteThread(hProcess,      //远程进程句柄
        NULL,                                            //安全属性
        0,                                               //栈大小
        (LPTHREAD_START_ROUTINE)LoadLibrary,             //进程处理函数    
        pszDllName,                                      //传入参数
        CREATE_SUSPENDED,                                //默认创建后的状态
        NULL);                                           //线程ID

3.激活进程中的线程     这里主要用的是ResumeThread()的这个API,需要注意的是先激活主要线程,再激活注入的线程。
    劫持进程创建注入其实就是远程线程注入的前期加强版,他可以在进程启动前进行注入,由于进程的线程没有启动,这样就可以躲过待注入进程的检测,提高的注入的成功率。

转载于:https://www.cnblogs.com/Acg-Check/p/4268665.html

angbagangzhe065140
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
易语言创建进程注入DLL
07-21
易语言创建进程注入DLL源码,创建进程注入DLL,GetCmdLine,命令行缓冲区_,取文本内容长度_,CopyMemory,SN_CreateProcessA,SN_InjectDllA
创建进程挂起进程注入
02-08
下载请管理员帮忙修改下5分太多了。不会修改这个。 创建进程。挂起进程注入。然后可以做你想做的事情,比如修改不了PE头和各种恶心自检的文件。源码纯API,函数命令不提供了。想使用的自己添加一下,保证可以使用,希望大家自己动手添加函数命令这样记的更深刻。
DLL注入技术劫持进程创建注入
潜心学习
06-28 2196
正规主题 作者: xusir98 日期: 2013-06-03 来源: 黑客反病毒 (http://bbs.hackav.com) 出处: 黑客反病毒 (http://bbs.hackav.com) 注意: 转载请务必附带本组信息,否则侵权必究! DLL注入技术劫持进程创建
关于进程劫持注入的一点分析与思考
輚至消亡
04-03 2452
1. 劫持进程实现注入 今天我尝试对win10 x64上的计算器进程进行进程劫持注入劫持进程实现注入要执行如下步骤: 以挂起方式启动目标进程 采用其他注入方式将DLL注入目标进程 继续目标进程的主线程使目标进程继续运行 这种注入方式的优点: 被注入进程来不及做任何防御就会被注入。 因为以挂起方式启动进程,该进程的地址空间内除了目标进程的exe模块和ntdll.dll模块外 还来不及解析导入表将所需dll全部导入,也就是说作为防护的dll模块或者线程可能也来不及导入和执行,这大大提高了注入
x32x64DLL和代码注入工具
05-09
在IT领域,DLL(Dynamic Link Library...总的来说,这个工具包提供了一套完整的解决方案,涵盖了从创建DLL到执行代码注入的全过程,适用于合法的软件开发和研究,同时也提醒我们在使用此类技术时要谨慎行事,防止滥用。
DLL各种注入方法收集
11-08
6. **远线程注入**:这是最常用的DLL注入方法之一,通过创建或修改目标进程的远程线程,使其执行加载DLL的代码。这种方法需要使用到Windows API函数如CreateRemoteThread。 7. **消息钩子注入**:通过安装全局或...
易语言-DLL注入修改输入表模块
06-29
易语言-DLL注入修改输入表模块是一个用于编程实践的技术,主要应用于Windows系统环境中。这个模块的核心功能是通过DLL(动态链接库)注入技术来改变程序的输入处理方式,实现对输入表的动态修改。在易语言中,DLL...
易语言 dll注入
11-12
易语言DLL注入是一种技术,主要用于在不修改原有程序代码的情况下,动态地将功能或服务添加到正在运行的进程中。在Windows操作系统中,DLL(Dynamic Link Library)是共享库的一种形式,它包含可由多个程序同时使用...
version.dll 劫持源代码
01-08
- **进程注入**:可能需要将恶意代码注入到其他进程中,以在目标程序上下文中执行。 - **资源隐藏**:为了防止被安全软件检测到,可能需要将恶意代码隐藏在资源中,运行时再释放。 ### 4. 安全与风险 `version.dll...
进程注入实现
11-09
Android中的进程注入功能实现,
CreateProcess创建暂停进程进行DLL注入-[VC.Dll+VB.Code]
05-12
CreateProcess创建暂停进程进行DLL注入-[VC.Dll+VB.Code]
HookAPI并且在Windows程序启动前注入dll (C++)
05-08
这是本人用C++ 在VS2019IDE 用控制台写的一个可以在程序启动前注入dll 和Hook系统api的函数。Hook的是knernelbase的CreateProcessInternalW函数,希望对大家有帮助
进程注入创建傀儡进程
yeanhoo的博客
10-19 1721
傀儡进程创建一个进程,然后将其虚拟地址里的内容掏空,注入想要注入进程,以达到掩人耳目的效果 步骤: 1.以挂起的方式创建一个进程 2.卸载该进程的内存映射,即掏空该进程虚拟内存空间中的内容 3.获取该进程的CONTEXT上下文结构 4.将要注入的程序读入到内存中 5.在傀儡进程中申请足够的内存空间 6.手动将要注入的程序写入傀儡进程中所申请的内存空间 6.设置CONTEXT上下文的Eax为程序...
VB用CreateProcess创建进程注入DLL开源,不用第三方VC写的库
追逐光芒,追随内心
02-19 2785
Public Enum DebugEventTypes EXCEPTION_DEBUG_EVENT = 1& CREATE_THREAD_DEBUG_EVENT = 2& CREATE_PROCESS_DEBUG_EVENT = 3& EXIT_THREAD_DEBUG_EVENT = 4& EXIT_PROCESS_DEBUG_EVENT = 5& LOAD_DLL_DEBUG_EVENT = 6& UNLOAD_DLL_DEBUG_EVENT = 7&am
十种进程注入技术介绍:常见注入技术及趋势调查
Fly_鹏程万里
12-04 1531
前言 进程注入是一种广泛使用的躲避检测的技术,通常用于恶意软件或者无文件技术。其需要在另一个进程的地址空间内运行特制代码,进程注入改善了不可见性,同时一些技术也实现了持久性。尽管目前有许多进程注入技术,但在这篇文章中,我将会介绍十种在野发现的,在另一个程序的地址空间执行恶意代码的进程注入技术,并提供这些技术应用的截图,以便于逆向工程和恶意软件分析,然后协助检测并防御这些进程注入技术。 一、...
10种常见的进程注入技术的总结
热门推荐
qing666888的专栏
09-21 1万+
译者:myswsun 预估稿费:300RMB 投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿 0x00 前言 进程注入是一种广泛应用于恶意软件和无文件攻击中的逃避技术,这意味着可以将自定义代码运行在另一个进程的地址空间内。进程注入提高了隐蔽性,也实现了持久化。尽管有非常多的进程注入技术,但是本文我只列举了10种常见的技术。我还提供了这些
DLL注入 之线程劫持
FISH的专栏
04-03 2811
  大家好,我是FISH ,以下代码只是属于思路,都是我自己KEY进去的,有错误很抱歉,我尽量注意,  内容来自Greg hoglund 的> .    给应用程序注入新的代码,最常用的技巧是DLL注入,使用这个方法,可以让远线程加载到你自己设计的DLL. DLL本身的功能可以是挂钩函数,修改目标程序的内存空间,DLL注入是很隐藏,很方便的注入手段,(实际上,该方法很容易被发现,有
十种流行进程注入技术详细分析
weixin_34050389的博客
09-13 1013
本文讲的是十种流行进程注入技术详细分析, 前言 流程注入是一种恶意软件和无文件间谍攻击中使用的最为广泛的漏洞攻击技术,而且在攻击时还需要在另一个进程的地址空间内运行自定义代码。过程注入除了提高了攻击的隐蔽性之外,也实现了持久性攻击。尽管目前有许多流程注入技术,但在本文中,我只介绍十种在野外看到的能够运用另一个进程运行恶意代码的技术。在介绍的同时,我还会...
进程启动时注入dll 劫持注入
最新发布
10-11
进程启动时注入DLL,可以理解为在进程运行之前,将一个动态链接库(DLL)加载到进程的地址空间中。而劫持注入是指通过某种手段修改目标进程的执行流程,使其在执行过程中引用我们注入DLL文件。 进程启动时注入DLL的目的有很多,其中常见的是为了实现一些特定功能或者修改进程的行为。比如,我们可以通过注入DLL来监控进程的行为,记录某些关键信息;也可以用它来实现一些自定义的功能扩展,比如改变进程的界面样式或者增加一些自定义的快捷键等。 至于劫持注入,它是向一个正在运行的进程注入DLL,并修改目标进程的执行流程,使其在执行过程中跳转到我们注入DLL中执行特定的代码。这样做的目的通常是为了修改或者控制目标进程的行为,比如实现自定义的功能扩展、屏蔽某些功能或者增加一些额外的功能等。 然而,需要注意的是,进程启动时注入DLL劫持注入都是一种高级的技术手段,它们可以为我们提供很多便利,但同时也存在一些潜在的风险。比如,恶意代码可以通过注入DLL来实现攻击目标进程的目的,从而造成计算机系统的安全问题。因此,在进行进程启动时注入DLL劫持注入时,我们应该谨慎操作,并确保注入DLL文件是受信任的,以保证计算机系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值