Windows DLL注入和API拦截简介

最新推荐文章于 2022-08-28 21:58:54 发布
最新推荐文章于 2022-08-28 21:58:54 发布
阅读量3.1k 收藏 2
点赞数
分类专栏: C/C++ 文章标签: dll windows winapi descriptor null import

1.函数

LONG_PTR WINAPI SetWindowLongPtr(
  __in  HWND hWnd,
  __in  int nIndex,
  __in  LONG_PTR dwNewLong
);
函数介绍参见http://msdn.microsoft.com/en-us/library/ms644898(v=VS.85).aspx。可以调用SetWindowLongPtr(hWnd,GWLP_WNDPROC,MySubclassProc),告诉系统所有发到hWnd窗口的消息,应该由MySubclassProc来处理,而不是由该窗口的标准窗口过程来处理。也就是当系统需要向指定窗口的WndProc发送消息的时候,会先查看窗口过程的地址,然后通过该地址来调用WndProc。

问题:请看下面代码,函数过程在进程B中实现。

void SomeFunc(void){
HWND hWnd = FindWindow(TEXT("Class-A"),NULL);
SetWindowLongPtr(hWnd,GWLP_WNDPROC,MySubclassProc);
}
LRESULT MySubclassProc(HWND hWnd,UINT Msg,...){}

这里B调用了SetWindowLongPtr,试图改变A进程对应窗口的WndProc地址,结果就是返回NULL。因为SetWindowLongPtr中的代码会检查一个进程试图修改的WndProc的地址是否属于另一个进程创建的窗口,如果是这种情况的话,函数会直接忽略该调用。

2.函数 
HHOOK WINAPI SetWindowsHookEx(
  __in  int idHook,
  __in  HOOKPROC lpfn,
  __in  HINSTANCE hMod,
  __in  DWORD dwThreadId
);
函数介绍参见http://msdn.microsoft.com/en-us/library/ms644990(VS.85).aspx。调用SetWindowsHookEx(WH_GETMESSAGE,GetMsgProc,hInstDll,0),WH_GETMESSAGE表示监控发送到消息队列中的消息,GetMsgProc挂钩的处理函数,如果dwThreadId参数是零或指定不同进程创建的一个线程标识符lpfn参数必须指向DLL中的钩子函数否则lpfn指向一个当前进程相关钩子函数。hInstDll为包含GetMsgProc过程的DLL,其值是进程地址空间中的DLL被映射到的虚拟内存地址。

 3.函数 
HANDLE WINAPI CreateRemoteThread(
  __in   HANDLE hProcess,
  __in   LPSECURITY_ATTRIBUTES lpThreadAttributes,
  __in   SIZE_T dwStackSize,
  __in   LPTHREAD_START_ROUTINE lpStartAddress,
  __in   LPVOID lpParameter,
  __in   DWORD dwCreationFlags,
  __out  LPDWORD lpThreadId
);

函数介绍参见 http://msdn.microsoft.com/en-us/library/ms682437(VS.85).aspx 。参数pfnStartAddr是线程函数的在远程进程的内存地址。要执行DLL注入,让远程线程载入我们的DLL,需要让该线程调用LoadLibrary函数。因此我们只需要执行如下代码:
HANDLE hThread = CreateRemoteThread(hProcessRemote,NULL,0,LoadLibraryW,L"C:\\MyLib.dll",0,NULL);
如果我们想要使用ANSI版本的,那么代码将是
HANDLE hThread = CreateRemoteThread(hProcessRemote,NULL,0,LoadLibraryA,"C:\\MyLib.dll",0,NULL)。
这里有两个问题:
1.直接把LoadLibraryW或LoadLibraryA作为第4个参数传给CreateRemoteThread,原因不是那么明显。 在编译和链接一个程序的时候,生成的二进制文件中会包含一个导入段,这个段由一系列转换函数构成,这些转换函数用来跳转到导入的函数。因此在调用CreateRemoteThread的时候直接引用LoadLibraryW,该引用会被解析为我们模块的导入段中的LoadLibraryW转换函数的地址,这就可能导致访问违规。为了强制调用LoadLibraryW函数,我们必须通过调用GetProcAddress来得到LoadLibraryW的确切地址。由于每个 应用程序都需要Kernel32.dll,而系统每个进程都会将Kernel32.dll映射到同一个地址,所以必须如下调用CreateRemoteThread: 
// Get the real address of LoadLibraryW in Kernel32.dll.
PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE)
   GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryW");

HANDLE hThread = CreateRemoteThread(hProcessRemote, NULL, 0,
   pfnThreadRtn, L"C:\\MyLib.dll", 0, NULL);

如果在ANSI下,对应函数调用如下:

// Get the real address of LoadLibraryA in Kernel32.dll.
PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE)
   GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryA");

HANDLE hThread = CreateRemoteThread(hProcessRemote, NULL, 0,
   pfnThreadRtn, "C:\\MyLib.dll", 0, NULL);
2.DLL路径字符并不在远程调用进程内存中。  字符串"C:\\MyLib.dll "位于调用进程的地址空间中,我们把这个地址传给新创建的远程线程,远程线程再把它传给LoadLibraryW,但当LoadLibraryW去访问这个内存地址的时候,DLL的路径字符串并不在那里,远程进程的线程很可能发生访问违规,导致远程进程终止。为了解决这个问题,我们需要把DLL的路径字符串存放到远程进程的地址空间中。Windows为我们提供了VirtualAllocEx函数,它可以让一个进程在另一个进程的地址空间中分配一块内存。 
LPVOID WINAPI VirtualAllocEx(
  __in      HANDLE hProcess,
  __in_opt  LPVOID lpAddress,
  __in      SIZE_T dwSize,
  __in      DWORD flAllocationType,
  __in      DWORD flProtect
);

释放该内存的函数为:

BOOL WINAPI VirtualFreeEx(
  __in  HANDLE hProcess,
  __in  LPVOID lpAddress,
  __in  SIZE_T dwSize,
  __in  DWORD dwFreeType
);

一旦为字符串分配了一块内存,我们就需要将字符串从本地进程的地址空间复制到远程进程的地址空间中去。Windows提供了一些函数,可以让一个进程对另一个进程的地址空间进行读写: 
BOOL WINAPI ReadProcessMemory(
  __in   HANDLE hProcess,
  __in   LPCVOID lpBaseAddress,
  __out  LPVOID lpBuffer,
  __in   SIZE_T nSize,
  __out  SIZE_T *lpNumberOfBytesRead
);
BOOL WINAPI WriteProcessMemory(
  __in   HANDLE hProcess,
  __in   LPVOID lpBaseAddress,
  __in   LPCVOID lpBuffer,
  __in   SIZE_T nSize,
  __out  SIZE_T *lpNumberOfBytesWritten
);
4.修改模块的导入段来拦截API
为了拦截一个特定的函数,我们所需要做的就是要修改它在模块中的导入段的地址。 
void CAPIHook::ReplaceIATEntryInOneMod(PCSTR pszCalleeModName,
   PROC pfnCurrent, PROC pfnNew, HMODULE hmodCaller) {

   // Get the address of the module's import section
   ULONG ulSize;

   // An exception was triggered by Explorer (when browsing the content of
   // a folder) into imagehlp.dll. It looks like one module was unloaded...
   // Maybe some threading problem: the list of modules from Toolhelp might
   // not be accurate if FreeLibrary is called during the enumeration.
   PIMAGE_IMPORT_DESCRIPTOR pImportDesc = NULL;
   __try {
      pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR) ImageDirectoryEntryToData(
         hmodCaller, TRUE, IMAGE_DIRECTORY_ENTRY_IMPORT, &ulSize);
   }
   __except (InvalidReadExceptionFilter(GetExceptionInformation())) {
      // Nothing to do in here, thread continues to run normally
      // with NULL for pImportDesc
   }

   if (pImportDesc == NULL)
      return; // This module has no import section or is no longer loaded

   // Find the import descriptor containing references to callee's functions
   for (; pImportDesc->Name; pImportDesc++) {
      PSTR pszModName = (PSTR) ((PBYTE) hmodCaller + pImportDesc->Name);
      if (lstrcmpiA(pszModName, pszCalleeModName) == 0) {

         // Get caller's import address table (IAT) for the callee's functions
         PIMAGE_THUNK_DATA pThunk = (PIMAGE_THUNK_DATA)
            ((PBYTE) hmodCaller + pImportDesc->FirstThunk);

         // Replace current function address with new function address
         for (; pThunk->u1.Function; pThunk++) {

            // Get the address of the function address
            PROC* ppfn = (PROC*) &pThunk->u1.Function;

            // Is this the function we're looking for?
            BOOL bFound = (*ppfn == pfnCurrent);
            if (bFound) {
               if (!WriteProcessMemory(GetCurrentProcess(), ppfn, &pfnNew,
                    sizeof(pfnNew), NULL) && (ERROR_NOACCESS == GetLastError())) {
                  DWORD dwOldProtect;
                  if (VirtualProtect(ppfn, sizeof(pfnNew), PAGE_WRITECOPY,
                     &dwOldProtect)) {

                     WriteProcessMemory(GetCurrentProcess(), ppfn, &pfnNew,
                        sizeof(pfnNew), NULL);
                     VirtualProtect(ppfn, sizeof(pfnNew), dwOldProtect,
                        &dwOldProtect);
                  }
               }
               return; // We did it, get out
           }
        }
      } // Each import section is parsed until the right entry is found and patched
   }
}
 
 
 

 

 
 PCSTR pszCalleeModName:调用模块(含要被替换的函数)。 

 

 
 PROC pfnCurrent:调用模块中被替换的函数。 

 

 
 PROC pfnNew:需要执行的函数。 

 

 
 HMODULE hmodCaller:调用模块。 
 
 


                

        

        

    

  


    

      

        

            

              
                
                  buaalei
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
Windows核心编程(二十二)API拦截

				
			

			

				

					woshibendangao的专栏
				

				

					04-07
					
					1044
					
				

			

		

		

			
				
一个模块的导入段包含一组DLL。为了让模块能够运行,这些DLL是必须的。导入段还包含一个符号表。它列出了该模块从各DLL中导入的符号。当模块调用这些导入符号的时候,系统实际上会调用转换函数,获得导入函数在导入表的地址,然后再跳到相应的位置。如果我们能将导入段中相应导入函数的地址替换成自定义的函数的地址,即可实现对该函数的拦截。在自定义的函数中,我们既可以调用拦截的函数,也可以执行其他工作。



			
		

	



                

              
                



	

		

			

				
					
Windows核心编程:DLL注入API拦截

				
			

			

				

					shenzi的天空
				

				

					10-28
					
					1万+
					
				

			

		

		

			
				
 作者:shenzi链接:http://blog.csdn.net/shenzi  Windows核心编程:DLL注入API拦截        在Windows中,每个进程有自己的私有地址空间。当我们用指针来引用内存的时候,指针的值表示的是进程自己的地址空间中的一个内存地址。进程不能创建一个指针来引用属于其它进程的内存。

			
		

	



                


  
              

                


	

		

			

				
					
Windows注入拦截(4) -- 使用远程线程方式完成DLL注入

					
热门推荐

				
			

			

				

					while(1) { smile(); }
				

				

					04-02
					
					4万+
					
				

			

		

		

			
				
一. 远程线程注入原理

前面几篇文章介绍了《Windows注入拦截(2) – 使用注册表方式完成DLL注入》,《Windows注入拦截(3) – 使用钩子方式完成DLL注入》这2种注入方式。“注册表注入方式”由于不能精确指定需要注入的进程,而且只能注入到GUI程序中,灵活性较差;“钩子注入方式”虽然能够精确指定注入的线程,但只能针对特定类型的消息进行Hook,从而间接的实现注入,对于类似wi...

			
		

	





	

		

			

				
					
WINDOWS API拦截技术与实现

				
			

			

				

					10-26
				

			

		

		

			
				
WINDOWS API拦截技术与实现,拦截WINDOW消息。钩子实现。

			
		

	



		

			
		



	

		

			

				
					
DLL注入API拦截

				
			

			

				

					jaken99的专栏
				

				

					07-28
					
					1153
					
				

			

		

		

			
				
Windows中,每个进程有自己的私有地址空间。当我们用指针来引用内存的时候,指针的值表示的是进程自己的地址空间中的一个内存地址。进程不能创建一个指针来引用属于其它进程的内存。因此,如果进程有一个缺陷会覆盖随机地址处的内存,那么这个缺陷不会影响到其它进程所使用的内存。
     独立的地址空间对开发人员和用户都是非常有利的。对开发人员来说,系统更有可能捕获错误的内存读/写。对用户来说,操作系

			
		

	





	

		

			

				
					
Win32 API(MFC DLL注入)

				
			

			

				

					GNAIXGNAHZ的博客
				

				

					08-28
					
					694
					
				

			

		

		

			
				
Win32 API(MFC DLL注入)

			
		

	





	

		

			

				
					
Windows核心编程笔记】第二十二章 DLL注入API拦截

				
			

			

				

					半雨微凉
				

				

					06-16
					
					620
					
				

			

		

		

			
				
Dll注入的一个例子

从其他进程创建的窗口派生子类窗口

SetWindowSubclass

GetWindowSubclass

RemoveWindowSubclass

DefSubclassProc



使用注册表来注入dll

整个系统的配置在注册表中

HLM\SoftWare\Microsoft\Windows NT\CurrentVersion\Windows\



A...

			
		

	





	

		

			

				
					
dll注入API拦截测试代码.rar

				
			

			

				

					08-11
				

			

		

		

			
				
1.被注入的程序为:10 Camera 2.主动注入的程序为:inject 3.注入dll为:hookDll 4.注入dll截取的窗口图像在文件夹:“拦截图像” ...(拦截API使用Detours-4.0.1库文件,动态库注入使用CreateRemoteThread函数)

			
		

	





	

		

			

				
					
windowsDLL动态库注入拦截

				
			

			

				

					06-08
				

			

		

		

			
				
总结来说,这个项目展示了如何在Windows环境中利用DLL注入API Hook技术来实现对其他程序行为的控制。`DLLinject`是注入工具,`inlinehook`是实现拦截的关键,而`Test`程序则作为被监控和控制的对象。这种技术在...

			
		

	





	

		

			

				
					
dll注入api拦截

					
最新发布

				
			

			

				

					02-01
				

			

		

		

			
				
总的来说,DLL注入API拦截都是用于修改或增强目标程序行为的技术,它们的实现方式和应用场景各有不同,但都需要在目标程序运行时介入其运行状态。这些技术在安全研究、系统优化、恶意软件分析等领域都有重要的应用...

			
		

	





	

		

			

				
					
windows-DLL注入

				
			

			

				

					08-14
				

			

		

		

			
				
windows-DLL注入整理

			
		

	





	

		

			

				
					
函数拦截DLL,函数拦截测试共2部分程序.rar

				
			

			

				

					09-09
				

			

		

		

			
				
函数拦截DLL,函数拦截测试共2部分程序

			
		

	





	

		

			

				
					
Windows抓包方法-通过DLL注入拦截系统API实现

				
			

			

				

					qq_40012479的博客
				

				

					11-16
					
					1743
					
				

			

		

		

			
				
一.DLL注入
为什么要注入DLL呢?
因为我们想在一个进程中做我们想要做的操作。而在Windows中,系统为每个进程都虚拟出了私有的地址空间。例如指针,它指向的只是本进程的内存,这使得很难对另一个进程进行操作和控制。但是通过注入DLL,我们可以在目标进程中执行DLL中的代码,从而达到操控目标进程的效果。
这里只详细说一下远程线程注入的方法,注入的方法还有很多,不再详细介绍。
首先准备好需要注入DLL,注意DLL的指令集与目标程序是否兼容。
我们要通过CreateRemoteThread在目标进程创建一个

			
		

	





	

		

			

				
					
Windows核心编程》读书笔记二十二章 DLL注入API拦截

				
			

			

				

					sesiria的博客
				

				

					12-18
					
					2458
					
				

			

		

		

			
				
第22章  DLL注入API拦截


本章内容
22.1 DLL注入的一个例子
22.2 使用注册表来注入DLL
22.3 使用Windows挂钩来注入DLL
22.4 使用远程线程来注入DLL
22.5 使用木马DLL注入DLL
22.6 把DLL作为调试器来注入
22.7 使用CreateProcess来注入代码
22.8 API拦截的例子


通常在操作系统中

			
		

	





	

		

			

				
					
dll注入API拦截

				
			

			

				

					zhengdongshiwo的博客
				

				

					09-20
					
					655
					
				

			

		

		

			
				
DLL注入
1.注册表注入
         为所有的进程注入我们自己编写的DLL,然后通过另一个进程改变消息接收函数。此种方式由于没有细粒度的控制,不推荐使用。
2.挂钩注入
         通过setwindowhook(****)函数将消息类型、处理函数、所在的DLLMODULE和所要安装钩子的线程(0代表操作系统内所有的线程)。g_hInstDll动态库句柄可在dllMain获取

			
		

	





	

		

			

				
					
DLL注入API 拦截

				
			

			

				

					asfdasfdsf的专栏
				

				

					11-30
					
					864
					
				

			

		

		

			
				
一.注册表注入
AppInit_DLLs值在以下注册表项中找到:


HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
在此值中指定的所有 Dll 都被加载的每个基于 Windows 的应用程序中。当User32.dll被影射到一个新的进程的时候,会收到DLL_PROCESS_ATTACH通知。

			
		

	





	

		

			

				
					
Dll注入API拦截

				
			

			

				

					
				

				

					11-08
					
					429
					
				

			

		

		

			
				
Dll注入API拦截



			
		

	





	

		

			

				
					
windows核心编程---DLL注入API拦截

				
			

			

				

					x13262608581的博客
				

				

					12-11
					
					2070
					
				

			

		

		

			
				
-派生子类窗口,要派生窗口属于另一个进程 
SetWindowLongPtr会检查一个进程试图修改的WndProc是否是另一个进程的窗口的,如果是,忽略调用。可以在进程A获得进程B窗口的句柄。 
FindWindow(xx); 
// 派生子类窗口,现在应用: 
SetWindowSubclass 
GetWindowSubclass 
RemoveWindowSubclass 
DefSubcla

			
		

	





	

		

			

				
					
进程注入(把DLL注入到进程)( 通过钩子、线程等方式)

				
			

			

				

					weixin_33868027的博客
				

				

					11-14
					
					1641
					
				

			

		

		

			
				
后卫大师教你进程注入首先提一下,由于文章完全是我手写,所以打不了太多,请包含,由于我已经提供了源代码,所以我在这里详细讲一下理论,至于想看代码的下载代码就可以了。代码中关于注入的部分做了详细的注释。MFC界面部分的注释没有写,(毕竟太肤浅了。) 好,言归正传。 所谓DLL注入,既把一个DLL文件放到目标进程中。 下面介绍2种注入方式: 1.远程线程注入。 2...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值