DLL注入技术之劫持进程创建注入

最新推荐文章于 2023-08-31 07:17:07 发布
最新推荐文章于 2023-08-31 07:17:07 发布
阅读量516 收藏
点赞数
分类专栏: 注入-标准
劫持进程创建注入原理是利用Windows系统中CreateProcess()这个API创建一个进程,并将第6个参数设为CREATE_SUSPENDED,进而创建一个挂起状态的进程,利用这个进程状态进行远程线程注入DLL,然后用ResumeThread()函数恢复进程。

1.创建挂起的进程
    下面是创建一个挂起的计算器程序进程的主要代码:

  1. STARTUPINFO si = {0};  
  2. si.cb = sizeof si;  
  3. si.dwFlags = STARTF_USESHOWWINDOW;  
  4. si.wShowWindow = SW_SHOW;  
  5. PROCESS_INFORMATION pi;  
  6.   
  7. TCHAR cmdline[MAXBYTE] =_T("calc.exe");  
  8. BOOL bRet = ::CreateProcess(  
  9.     NULL,  
  10.     cmdline,  
  11.     NULL,  
  12.     NULL,  
  13.     FALSE,  
  14.     CREATE_SUSPENDED, //需要注意的参数  
  15.     NULL,  
  16.     NULL,  
  17.     &si,  
  18.     &pi);  

2.向挂起的进程中进行远程线程注入DLL
    关于远程线程注入在这里就不重复讲述了,但是这里需要注意一个问题,那就是CreateRemoteThread()中第6个参数,需要设为CREATE_SUSPENDED,主要参数如下:

  1. //4. 创建远程线程  
  2. m_hInjecthread = ::CreateRemoteThread(hProcess,      //远程进程句柄  
  3.     NULL,                                            //安全属性  
  4.     0,                                               //栈大小  
  5.     (LPTHREAD_START_ROUTINE)LoadLibrary,             //进程处理函数      
  6.     pszDllName,                                      //传入参数  
  7.     CREATE_SUSPENDED,                                //默认创建后的状态  
  8.     NULL);                                           //线程ID  

3.激活进程中的线程
    这里主要用的是ResumeThread()的这个API,需要注意的是先激活主要线程,再激活注入的线程。

    劫持进程创建注入其实就是远程线程注入的前期加强版,他可以在进程启动前进行注入,由于进程的线程没有启动,这样就可以躲过待注入进程的检测,提高的注入的成功率。
blsm0930
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows Ring3层注入——CreateProcess劫持进程创建注入(三)
qq_38493448的博客
01-16 1366
Windows Ring3层注入——CreateProcess劫持进程创建注入(三)CreateProcess劫持进程创建注入原理劫持进程创建注入好处CreateProcess劫持进程创建注入函数原型**CreateProcess**函数原型CreateProcess劫持进程创建注入步骤CreateProcess劫持进程代码示例 CreateProcess劫持进程创建注入原理 劫持进程创建注入:利...
关于进程劫持注入的一点分析与思考
輚至消亡
04-03 2452
1. 劫持进程实现注入 今天我尝试对win10 x64上的计算器进程进行进程劫持注入劫持进程实现注入要执行如下步骤: 以挂起方式启动目标进程 采用其他注入方式将DLL注入目标进程 继续目标进程的主线程使目标进程继续运行 这种注入方式的优点: 被注入进程来不及做任何御就会被注入。 因为以挂起方式启动进程,该进程的地址空间内除了目标进程的exe模块和ntdll.dll模块外 还来不及解析导入表将所需dll全部导入,也就是说作为护的dll模块或者线程可能也来不及导入和执行,这大大提高了注入
利用DLL劫持内存补丁技术注入
fun0526的专栏
08-03 3936
<br />    当一个可执行文件运行时,Windows加载器将可执行模块映射到进程的地址空间中,加载器分<br /><br />析可执行模块的输入表,并设法找出任何需要的DLL,并将它们映射到进程的地址空间中。<br /><br />由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会<br /><br />尝试从当前程序所在的目录加载DLL,如果没找到,则在Windows系统目录查找,最后是在环境变<br /><br />量中列出的各个目录下查找。利用这个特点,先
x32x64DLL和代码注入工具
05-09
在IT领域,DLL(Dynamic Link Library...总的来说,这个工具包提供了一套完整的解决方案,涵盖了从创建DLL到执行代码注入的全过程,适用于合法的软件开发和研究,同时也提醒我们在使用此类技术时要谨慎行事,止滥用。
DLL各种注入方法收集
11-08
6. **远线程注入**:这是最常用的DLL注入方法之一,通过创建或修改目标进程的远程线程,使其执行加载DLL的代码。这种方法需要使用到Windows API函数如CreateRemoteThread。 7. **消息钩子注入**:通过安装全局或...
易语言-DLL注入修改输入表模块
06-29
易语言-DLL注入修改输入表模块是一个用于编程实践的技术,主要应用于Windows系统环境中。这个模块的核心功能是通过DLL(动态链接库)注入技术来改变程序的输入处理方式,实现对输入表的动态修改。在易语言中,DLL...
易语言 dll注入
11-12
易语言DLL注入是一种技术,主要用于在不修改原有程序代码的情况下,动态地将功能或服务添加到正在运行的进程中。在Windows操作系统中,DLL(Dynamic Link Library)是共享库的一种形式,它包含可由多个程序同时使用...
version.dll 劫持源代码
01-08
- **进程注入**:可能需要将恶意代码注入到其他进程中,以在目标程序上下文中执行。 - **资源隐藏**:为了止被安全软件检测到,可能需要将恶意代码隐藏在资源中,运行时再释放。 ### 4. 安全与风险 `version.dll...
易语言-易语言DLL劫持
06-25
以一个D3D为例子,表现DLL劫持 由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL,如果没找到,则在Windows系统目录中查找,最后是在环境变量中列出的各个目录下查找。利用这个特点,先伪造一个系统同名的DLL,提供同样的输出表,每个输出函数转向真正的系统DLL。程序调用系统DLL时会先调用当前目录下伪造的DLL,完成相关功能后,再跳到系统DLL同名函数里执行。这个过程用个形象的词来描述就是系统DLL劫持(hijack)了。 利用这种方法取得控制权后,可以对主程序进行补丁。此种方法只对除kernel32.dll、ntdll.dll等核心系统库以外的DLL有效,如网络应用程序的ws2_32.dll、游戏程序中的d3d8.dll,还有大部分应用程序都调用的lpk.dll、sxs.dll,这些DLL都可被劫持。 伪造的dll制作好后,放到程序当前目录下,这样当原程序调用原函数时就调用了伪造的dll的同名函数,进入劫持DLL的代码,处理完毕后,再调用原DLL此函数。 这种补丁技术,对加壳保护的软件很有效,选择挂接的函数最好是在壳中没有被调用的,当挂接函数被执行时,相关的代码已被解压,可以直接补丁了。在有些情况下,必须用计数器统计挂接的函数的调用次数来接近OEP。此方法巧妙地绕过了壳的复杂检测,很适合加壳程序的补丁制作。 一些木马或病毒也会利用DLL劫持技术搞破坏,因此当在应用程序目录下发现系统一些DLL文件存在时,如lpk.dll,应引起注意。 首先 运行exe他会把需要的DLL加载进来,加载的目录如无特别的制定的话,现在当前目录找,然后再去系统目录找 我的附件中自带了一个D3D9的绘图程序,是VC写的 调用的是系统的D3D9.DLL(因为目录下没有) 只解压那个exe文件,是不会有文字出现的 如果把其他的DLL一起解压,就会出现下图文字  hello D3D hook! 那么我们如何劫持了D3D9.dll呢 d3d9_Ex.dll 这个文件其实就是D3D9.dll了,但是我们改名字了,程序就不认识了 我们先用 把D3D9.DLL的输出表找到,弄到易语言里,并且生成D3D9.DLL到目录 这样他调用的就是我们的DLL,但是这样会报错,因为我们的DLL没有内容只是一个壳子 只要我们再把他要调用的函数调用一下不就行了吗 源码中的汇编指令是把函数传递到原来的D3D9。现在的D3D9_Ex里 这样调用就是调用我们的DLL->原来的DLL,中间就可以加些我们需要的代码了
易语言DLL注入视频教程 很难得的
01-07
易语言DLL注入视频教程 很难得的
2018年最新版PCHunter+processhacker系统查黑、黑、修复工具
08-31
PCHunter1.55 X32 X64位 2018年8月14最新版 processhacker v3.0.1847n X32 X64位 2018年8月最新版, 查看系统进程详细参数,系统进程管理,查看驱动,等等等等,找找木马,系统查黑、黑、修复工具,超级好用。
C++劫持注入(适用于大部分dll)
太期待丶
03-10 7454
导出函数使用depends查看 新建win32 dll 带导出符号 1.用depends查看原dll中所有的调用函数 #pragma comment(linker,"/EXPORT:导出函数名=自写函数名,@导出序号") 2.获取原函数的地址 DWORD oldCall[x];//原dll中调用了多少函数定义多少 +1 void initCall(void){
易语言lsp劫持_[原创]不用导出任何函数的DLL劫持注入,完美!
weixin_39935319的博客
12-21 2634
.最近在写SOCKS5代理,用的是LSP.代理成功了,但是因为LSP模块没办法隐藏,各种三方模块啊删除PE头,强制删除文件,游戏都会闪退想来想去,就想到这个法子,HOOK LdrLoadDll返回的模块句柄把返回句柄替换成真实的DLL句柄,这种劫持的方式好处就是不用任何导出函数不管什么是DLL劫持都可以,只要你能替换原来的DLL,LSP也挺方便的,哈哈哈不过这种lsp劫持注入,只能用API HOO...
dll劫持的实现原理
milk416666的博客
08-31 385
DLL劫持攻击的基本思想是:将恶意代码注入到目标进程中,然后在目标进程中使用LoadLibrary()函数加载一个合法的DLL文件,但实际上却加载了恶意代码生成的假DLL文件。当目标进程调用DLL中的函数时,实际上是在调用恶意代码中的函数,从而实现对目标进程的控制和窃取信息等恶意行为。当目标进程尝试加载一个未被授权的DLL文件时,系统会抛出异常并终止该进程DLL劫持是一种常见的攻击技术,它利用Windows操作系统中DLL加载机制的漏洞,将恶意代码注入到合法进程中,并在运行时劫持和控制目标进程的执行。
DLL注入的8种姿势
热门推荐
VI___
08-24 1万+
目录 1、远程线程注入 2、APC注入 3、注册表注入 4、ComRes注入 5、劫持进程创建注入 6、输入法注入 7、消息钩子注入 8、依赖可信任进程注入 一、DLL注入——远程线程注入 https://blog.csdn.net/Cody_Ren/article/details/100041660 二、DLL注入——APC注入 APC注入...
windows十种注入方式
从事厨房信息化行业,万能对接所有点餐系统,kds,智能控菜,酒店协调软件
09-13 5604
进程注入是一种广泛应用于恶意软件和无文件攻击中的逃避技术,这需要在另一个进程的地址空间内运行自定义代码。进程注入提高了隐蔽性,一些技术也实现了持久性。 尽管有许多流程注入技术,在本博客中,我提供了十种在现实看到注入另一个进程运行恶意代码的技术。 我还提供了许多这些技术的屏幕截图,以便于逆向工程和恶意软件分析,协助针对这些常见技术进行检测和御。 1. 经典的DLL注入方式 经典的DLL注入方式:通过CREATEREMOTETHREAD和LOADLIBRARY进行注入。 这种技术是用于将恶意软件注入另一
DLL免杀技术探讨
goddemon
07-19 1460
本文章仅用于渗透交流学习,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任本来不打算写免杀相关的了但是确实是忍不住想吐槽,啧啧啧,因为有一直在研究进程注入以及ring3层的bypass免杀的一些东西因为就得去给相关的文件做免杀杀的然后给某步提交了一些样本提交完不管是否公开感觉就是转手就给厂商卖钱这里公开一个样本给大家看看时间样本均是登录账户提交的均未公开14的时候是vt全过。...
进程启动时注入dll 劫持注入
最新发布
10-11
然而,需要注意的是,进程启动时注入DLL劫持注入都是一种高级的技术手段,它们可以为我们提供很多便利,但同时也存在一些潜在的风险。比如,恶意代码可以通过注入DLL来实现攻击目标进程的目的,从而造成计算机系统...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值