DLL注入和API 拦截

最新推荐文章于 2022-02-26 23:37:30 发布
最新推荐文章于 2022-02-26 23:37:30 发布
阅读量857 收藏
点赞数
文章标签: DLL 注入 应用程序 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/asfdasfdsf/article/details/17040781
版权

一.注册表注入

AppInit_DLLs值在以下注册表项中找到:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows

在此值中指定的所有 Dll 都被加载的每个基于 Windows 的应用程序中。当User32.dll被影射到一个新的进程的时候,会收到DLL_PROCESS_ATTACH通知。User32.dl会取得上述注册表键的值,并调用LOadlibrary 来载入这个字符串中制定的所有DLL。只有加载User32.dll的应用程序才会使用到上述的注册表来注入DLL 。U

我们的DLL只会被影射到那些使用了User32.dll的进程中,所有基于GUI的应用程序都使用了User32.dll,但大多数CUI应用程序没有使用User32.dll。

二.使用windows挂钩(hook)注入

调用SetWindowsHookEx函数来安装挂钩:

ex: HHOOK hHook = SetWindowsHookEx(WH_GETMESSAGE,GetMsgProc,hInstDll,0);

第一个参数表示安装挂钩类型:可以参考: 

Hook Scope
WH_CALLWNDPROC Thread or global
WH_CALLWNDPROCRET Thread or global
WH_CBT Thread or global
WH_DEBUG Thread or global
WH_FOREGROUNDIDLE Thread or global
WH_GETMESSAGE Thread or global
WH_JOURNALPLAYBACK Global only
WH_JOURNALRECORD Global only
WH_KEYBOARD Thread or global
WH_KEYBOARD_LL Global only
WH_MOUSE Thread or global
WH_MOUSE_LL Global only
WH_MSGFILTER Thread or global
WH_SHELL Thread or global
WH_SYSMSGFILTER Global only

 第二个参数是一个函数的地址,第三个参数标示一个DLL,这个DLL包含这第二个参数指定的函数,第四个参数为线程ID。

例:进程Pa安装了挂钩,当第一个参数为WH_GETMESSAGE,当进程pb中的一个线程准备向一个窗口发送消息会:

  1. 系统检测该进程是否安装了WH_GETMESSAGE挂钩
  2. 系统检测GetMsgProc所在的DLL是否被影射到该进程(pb)的地址空间中
  3. 如果尚未被影射,那么系统会强制将该DLL影射到该进程(pb)中并将该进程中该DLL的锁计数器递增



_伊万
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
dll注入API拦截测试代码.rar
08-11
1.被注入的程序为:10 Camera 2.主动注入的程序为:inject 3.注入dll为:hookDll 4.注入dll截取的窗口图像在文件夹:“拦截图像” 描述:程序inject负责将hookDll动态库注入到10 Camera进程,然后hookDll拦截Present函数调用。(拦截API使用Detours-4.0.1库文件,动态库注入使用CreateRemoteThread函数)
DLL注入API拦截
weixin_30856965的博客
08-22 121
读《Windows核心编程》笔记一DLL注入API拦截   在Windows中,每个进程相互独立,都有自己的私有的地址空间,程序中使用的指针都是进程自己地址空间的一个内存地址,无法创建也没法使用其他进程的指针。这种机制使得各个进程之间不会相互影响,万一自己出现了问题,也不会影响到其他的进程。对用户来说,系统更加的稳定了,但是对于开发人员来说,会使我们很难编写能够与其他进程通信的应用程序或对其...
dll注入API拦截
zhengdongshiwo的博客
09-20 645
DLL注入 1.注册表注入          为所有的进程注入我们自己编写的DLL,然后通过另一个进程改变消息接收函数。此种方式由于没有细粒度的控制,不推荐使用。 2.挂钩注入          通过setwindowhook(****)函数将消息类型、处理函数、所在的DLLMODULE和所要安装钩子的线程(0代表操作系统内所有的线程)。g_hInstDll动态库句柄可在dllMain获取
注入dll 拦截API
07-07
拦截API 注入dll 只能拦截非增量链接的程序。
windows下DLL动态库注入拦截
06-08
总结来说,这个项目展示了如何在Windows环境中利用DLL注入API Hook技术来实现对其他程序行为的控制。`DLLinject`是注入工具,`inlinehook`是实现拦截的关键,而`Test`程序则作为被监控和控制的对象。这种技术在...
pc端msn插件(应用dll注入API拦截技术)
06-05
在PC端开发MSN插件的过程中,我们通常会利用...解决将tab页放入MSN的问题,需要深入理解MSN的内部机制,并熟练掌握API拦截和自定义控件的技术。虽然这个过程复杂且具有挑战性,但成功后可以极大地扩展应用程序的功能。
vc++ dll注入api hook.zip
02-28
在“vc++ dll注入api hook.zip”这个压缩包中,包含了实现这两种技术的相关源代码,如`apihijack.cpp`、`apihijack.h`以及测试程序`TestLauncher`和`TestDLL`。 首先,我们来理解DLL注入DLL(动态链接库)注入是...
进程注入(把DLL注入到进程)( 通过钩子、线程等方式)
weixin_33868027的博客
11-14 1613
后卫大师教你进程注入首先提一下,由于文章完全是我手写,所以打不了太多,请包含,由于我已经提供了源代码,所以我在这里详细讲一下理论,至于想看代码的下载代码就可以了。代码中关于注入的部分做了详细的注释。MFC界面部分的注释没有写,(毕竟太肤浅了。) 好,言归正传。 所谓DLL注入,既把一个DLL文件放到目标进程中。 下面介绍2种注入方式: 1.远程线程注入。 2...
易语言拦截DLL注入源码
02-22
易语言拦截注入源码 可拦截360 完全API
dll加载作品 拦截sleep
07-30
dll加载拦截sleep 按button3 加载dll 会弹出新程序 将dll注入
Windows抓包方法-通过DLL注入拦截系统API实现
qq_40012479的博客
11-16 1688
一.DLL注入 为什么要注入DLL呢? 因为我们想在一个进程中做我们想要做的操作。而在Windows中,系统为每个进程都虚拟出了私有的地址空间。例如指针,它指向的只是本进程的内存,这使得很难对另一个进程进行操作和控制。但是通过注入DLL,我们可以在目标进程中执行DLL中的代码,从而达到操控目标进程的效果。 这里只详细说一下远程线程注入的方法,注入的方法还有很多,不再详细介绍。 首先准备好需要注入DLL,注意DLL的指令集与目标程序是否兼容。 我们要通过CreateRemoteThread在目标进程创建一个
Windows注入拦截(3) -- 使用钩子方式完成DLL注入
while(1) { smile(); }
04-02 4万+
一. 钩子技术介绍 前面介绍了《 Windows注入拦截(2) – 使用注册表方式完成DLL注入》,本文介绍使用钩子的方式将DLL注入到进程的地址空间中。 Windows提供了3个API来让我们可以很方便使用钩子技术将DLL文件注入到进程之中: // 安装指定消息类型的钩子到钩子链中 HHOOK SetWindowsHookEx(int idHook, HOOKPROC lpfn,...
Windows注入拦截(4) -- 使用远程线程方式完成DLL注入
while(1) { smile(); }
04-02 4万+
一. 远程线程注入原理 前面几篇文章介绍了《Windows注入拦截(2) – 使用注册表方式完成DLL注入》,《Windows注入拦截(3) – 使用钩子方式完成DLL注入》这2种注入方式。“注册表注入方式”由于不能精确指定需要注入的进程,而且只能注入到GUI程序中,灵活性较差;“钩子注入方式”虽然能够精确指定注入的线程,但只能针对特定类型的消息进行Hook,从而间接的实现注入,对于类似wi...
Windows注入拦截(1) -- DLL注入的基本原理
热门推荐
while(1) { smile(); }
03-30 5万+
一. DLL注入技术的用途 从前面的《Windows内存体系》系列文章中我们可以知道,在Windows系统中,每个进程都有自己私有的地址空间。当我们用指针来引用内存的时候,指针的值表示的是进程自己的地址空间的一个虚拟的内存地址。进程不能通过指针来引用其他进程地址空间的内存。因此,如果一个进程有缺陷会导致其引用和覆盖随机地址处的内存,那么这个缺陷的影响就会不会扩散到其他的进程。 独立的地址空间有...
Dll注入API拦截
11-08 396
Dll注入API拦截
windows核心编程---DLL注入API拦截
x13262608581的博客
12-11 2052
-派生子类窗口,要派生窗口属于另一个进程 SetWindowLongPtr会检查一个进程试图修改的WndProc是否是另一个进程的窗口的,如果是,忽略调用。可以在进程A获得进程B窗口的句柄。 FindWindow(xx); // 派生子类窗口,现在应用: SetWindowSubclass GetWindowSubclass RemoveWindowSubclass DefSubcla
Windows DLL注入API拦截简介
机器学习与神经网络
09-22 3171
1.函数 LONG_PTR WINAPI SetWindowLongPtr( __in HWND hWnd, __in int nIndex, __in LONG_PTR dwNewLong ); 函数介绍参见http://msdn.microsoft.co
[笔记]Windows核心编程《二十二》注入DLL拦截API
二次元怪兽的博客
02-26 1577
文章目录前言一、插入DLL:一个例子二、使用注册表来插入DLL三、使用Windows挂钩来插入DLL四、使用远程线程来插入DLL4.1 Inject Library示例应用程序4.2 Image Walk DLL五、使用特洛伊DLL来插入DLL六、将DLL作为调试程序来插入七、用Windows 98上的内存映射文件插入代码八、用CreateProcess插入代码九、挂接A P I的一个示例9.1 通过改写代码来挂接API、9.2 通过操作模块的输入节来挂接API9.3 LastMsgBoxInfo示例应用程
dll注入api拦截
最新发布
02-01
总的来说,DLL注入API拦截都是用于修改或增强目标程序行为的技术,它们的实现方式和应用场景各有不同,但都需要在目标程序运行时介入其运行状态。这些技术在安全研究、系统优化、恶意软件分析等领域都有重要的应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值