防dll远程注入

已于 2022-06-16 16:37:27 修改
阅读量1.5k 收藏 4
点赞数
分类专栏: windows Windows api 文章标签: windows 系统安全
于 2022-06-16 16:29:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_28572705/article/details/125317231
版权

DLL注入 远程线程 LoadLibrary 防御策略 Windows编程
关键词由CSDN通过智能技术生成

dll远程注入

注入步骤:

远程注入是在远程进程中创建远程线程,并调用loadlibrary加载dll。

1、openProcess 打开远程进程

2、VirtualAllocEx 分配远程进程的地址空间中的内存

3、WriteProcessMemory 将dll路径名拷贝到第二步的内存中

4、GetProcAddress 获取LoadLibraryA/LoadLibraryW函数的实地址(kernel32.dll中)

5、CreateRemoteThread 创建远程线程,调用LoadLibrary传递第二部的内存地址

至此,被注入的dll的DllMain函数收到DLL_PROCESS_ATTACH通知。执行完DllMain函数时,远程线程从LoadLibrary返回到BaseThreadStart函数,然后BaseThreadStart调用ExitThread,使远程线程终止运行。

接下来是清理步骤:

6、VirtualFreeEx释放第二步申请的内存

7、GetProcAddress获取FreeLibrary函数的实地址

8、使用CreateRemoteThread创建远程线程,调用FreeLibrary,传递远程DLL的HINSTANCE

防注入:

当外部函数通过CreateRemoteThread创建远程线程,调用远程dll 的DllMain函数之前,会向该进程加载的本地dll发送DLL_THREAD_ATTACH 通知。

因此可以同在本地dll中判断,远程线程写入请求信息的函数是否是LoadLibrary。 线程+LoadLibrary可以判断该dll是远程注入。


BOOL VerifyDLLThread() {
  NTQUERYINFORMATIONTHREAD NtQueryInformationThread =
    (NTQUERYINFORMATIONTHREAD)GetProcAddress(GetModuleHandle(TEXT("ntdll")), "NtQueryInformationThread");
  if (NtQueryInformationThread == NULL) {
    return TRUE;
  }

  HANDLE hThread = OpenThread(THREAD_QUERY_INFORMATION, FALSE, GetCurrentThreadId());

  DWORD_PTR dwStaAddr = 0;
  DWORD dwLength = 0;
  MEMORY_BASIC_INFORMATION mbi = { 0 };
  DWORD ret = NtQueryInformationThread(hThread, 9, &dwStaAddr, sizeof(dwStaAddr), &dwLength);
  if (ret != 0) {
    CloseHandle(hThread);
    return TRUE;
  }
  if (s_loadlibrarya_addr == NULL) {
    s_loadlibrarya_addr = (DWORD_PTR)GetProcAddress(LoadLibraryA("kernel32.dll"), "LoadLibraryA");
  }
  if (s_loadlibraryw_addr == NULL) {
    s_loadlibraryw_addr = (DWORD_PTR)GetProcAddress(LoadLibraryA("kernel32.dll"), "LoadLibraryW");
  }
  if (s_loadlibraryexa_addr == NULL) {
    s_loadlibraryexa_addr = (DWORD_PTR)GetProcAddress(LoadLibraryA("kernel32.dll"), "LoadLibraryExA");
  }
  if (s_loadlibraryexw_addr == NULL) {
    s_loadlibraryexw_addr = (DWORD_PTR)GetProcAddress(LoadLibraryA("kernel32.dll"), "LoadLibraryExW");
  }
  if (dwStaAddr == s_loadlibrarya_addr ||
    dwStaAddr == s_loadlibraryw_addr ||
    dwStaAddr == s_loadlibraryexa_addr ||
    dwStaAddr == s_loadlibraryexw_addr) {

    CloseHandle(hThread);
    return FALSE;
  }

  BOOL bVerifyResult = TRUE;
  VirtualQueryEx(GetCurrentProcess(), (LPVOID)dwStaAddr, &mbi, sizeof(mbi));
  if (mbi.State == MEM_COMMIT && mbi.Type != MEM_IMAGE) {
    bVerifyResult = FALSE;
  }
  CloseHandle(hThread);
  return bVerifyResult;
}

当然这样处理最多是提示,有远程注入。想要在这一步FreeLibrary是不行的。因为此时远程dll的DllMain函数还未执行,而TerminateThread也是失败。

最好的解决方案还是循环不断进行dll表的遍历检测,并且维护一个白名单,防止白名单以外的dll文件被加载。

参考:windows核心编程

​​​​​​Remote_DLL_Injection

hhlhhll
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windowsDLL动态库注入和拦截
06-08
程序实现的功能是注入一个动态库,拦截其它程序不能打开指定exe。程序分为三部分:用于测试的exe程序(Test)、拦截动态库(inlinehook)、动态库注入和卸载程序(DLLinject)
防止DLL注入游戏进程后被检测方法
热门推荐
分享各种编程技术
05-25 1万+
Dll注入游戏进程后,如何防止DLL被检测,目前想到的有如下几种方法: 1.对进程的PEB链表中抹除该DLL,防止Module32First/Next模块枚举到注入DLL 2.删除PE头标志(MZ),防止暴力搜索到DLL信息 3.R0下删除VAD下的Object_File,R3下通过ZwQueryVirtualMemory枚举Dll 想学习写挂可以百度搜魔鬼作坊。 ...
如何防止dll注入
weixin_30402343的博客
10-29 1517
不管LoadLibraryA,LoadLibraryW,LoadLibraryExA,LoadLibraryExW,所以只要hook LoadLibraryExW就可以监视所有的dll加载。 值得注意的是,win7 以上系统,LoadLibraryExW函数在KernelBase.dll中,kernel32中的只是个跳板函数。 还有一种利用dll的回调方法,会更优雅,下一次介绍,不...
DLL_THREAD_ATTACH防止远程线程注入
125096
05-05 5374
/* 原理: 当创建线程时,系统会向当前进程所有dll发送DLL_THREAD_ATTACH通知 此时新的线程已经被创建但尚未执行,更精切的说已经创建了线程内核对象、线程堆栈等资源 正处于初始化阶段。只有在每个dll正常处理了DLL_THREAD_ATTACH线程才开始执行 对于远程线程本质上和本地线程完全一样,区别在于由其他进程创建 如果在接受DLL_THREAD_ATTACH时通知结束线程,线
转一个win32k回调实现自定义r3函数的方法 教主威武
Sunny_wwc的专栏
03-27 2623
<br />ring0调用ring3早已不是什么新鲜事,除了APC,我们知道还有KeUserModeCallback.其原型如下:<br />NTSTATUS<br />KeUserModeCallback (<br />     IN ULONG ApiNumber,<br />     IN PVOID InputBuffer,<br />     IN ULONG InputLength,<br />     OUT PVOID *OutputBuffer,<br />     IN PULONG O
应用层阻止远程线程注入
XboxMicro
02-19 2329
利用DLL_THREAD_ATTACH即可。当有新线程加入时,进行过滤即可。 BOOL WINAPI DllMain(HINSTANCE hinstDll, DWORD fdwReason, PVOID fImpLoad) 2 { 3 switch (fdwReason) 4 { 5 6 case DLL_PROCESS_ATTACH: 7 8
注入DLL怎么解除?
zqf_office的专栏
10-22 1083
LL注入木马是目前网络上十分流行的木马形式,它就像是一个寄生虫,木马以DLL文件的形式,寄宿在某个重要的系统进程中,通过宿主来调用DLL文件,实现远程控制的功能。这样的木马嵌入到系统进程中可以穿越火墙,更让人头疼的是,用杀毒软件进行查杀,杀软即使报警提示发现病毒,但是也无法杀掉木马病毒文件,因为木马DLL文件正被宿主调用而无法删除。下面我们把杀软放到一边,通过专用工具及其手工的方法来清除DLL
注入dll 远程注入方法
10-30
标题中的"注入dll 远程注入方法"指的是通过编程手段将DLL文件注入到一个远程正在运行的进程中。这通常涉及到以下几个关键步骤: 1. **创建远程线程**:注入的核心在于创建一个新的线程在目标进程中执行。使用`...
win32汇编——dll远程注入
10-05
win32汇编实现dll远程注入。所谓DLL远程注入,就是强迫DLL程序运行在其他进程中,这样做的目的无非有两种:第一是伪装自身,第二是控制宿主。前者常见于病毒或木马,后者则一般用于正规之场合,比如常见的输入法、...
DLL远程注入工具
10-20
DLL远程注入技术则是利用编程手段,将DLL文件的内容注入到另一个正在运行的进程内存空间中,使得被注入DLL能够被执行,从而实现对目标进程的功能扩展或控制。 DLL注入通常包括以下几个步骤: 1. **目标进程获取*...
C# DLL 进程注入示例。
09-15
C# DLL 进程注入示例。C# DLL 进程注入示例。C# DLL 进程注入示例。
DLL注入测试工具
06-03
给定一个进程名称,获得当前进程系统中有该进程的实例(以PID列表形式),并给定一组DLL名称,检测DLL是否成功注入目标进程中。
dll远程注入工具
02-08
DLL远程注入技术则是程序设计中的一种高级技巧,常用于调试、监控、恶意软件等场景。本工具名为"DLL远程注入工具",支持32位和64位进程,方便用户对目标进程进行DLL注入DLL远程注入的基本原理是通过进程间通信...
远程注入dll
08-23
运行Project1.exe 程序 用CreateRemoteThread 函数 将dll远程注入到其它进程 提供3种远程注入方式 1.通过程序名远程注入dll 2.通过PID远程注入DLL 3.通过窗口名远程注入DLL 在程序注入成功后,dll会在 'D:\...
c#注入方法
weixin_42479155的博客
06-28 2227
版权声明:原创博文,转载请标注链接!!! https:/...
dll远程注入
wansichao的专栏
12-31 540
// ConsoleApplication16.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include int _tmain(int argc, _TCHAR* argv[]) { if (szDllName[0] == NULL) return -1; //打开进程 HANDLE hProcess = OpenProcess(PR
C#防止注入式攻击的方法
linshichen的专栏
07-14 1875
public bool Exists(int ID) { StringBuilder strSql=new StringBuilder(); strSql.Append("select count(1) from T_AfterSaleCustomer"); strSql.Append(" where ID=@ID "); SqlParameter[] parameters = { n
一、C++反作弊对抗实战 (基础篇 —— 2.注册表注入DLL)
Koma的主页
03-02 727
Windows NT/XP操作系统中,当需要加载user32.dll的程序启动时,user32.dll会加载注册表键HLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_dlls下面列出的所有模块。
【C/C++】劫持技术
linchaolong的专栏
02-28 7933
劫持 劫持的原理就是把目标函数的指针的指向修改为自定义函数的地址。 函数是放在内存中的代码区,所以劫持与代码区密切相关。 实现劫持需要使用detours。 detours detours是微软亚洲研究院出口的信息安全产品,主要用于劫持。这个工具使用C语言实现,所以是跨平台的。 detours根据函数指针改变函数的行为,可以拦截任何函数,即使操作系
对.net程序进行远程线程注入dll
最新发布
05-28
对于这个问题,我必须强调,远程线程注入是一种可能被视为恶意的行为,可能会违反计算机使用政策或法律。因此,我不会提供任何有关如何执行此操作的指导或建议。 如果您需要执行远程线程注入,您应该在合法和合适的环境中进行,并且应该遵守所有相关的政策和法律。同时,我建议您在进行任何操作之前,仔细评估您的目的和后果,并确保您具备必要的技能和知识来执行这些操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值