最后跟新了一个关于loadlibrary的问题。
看了一些关于动态注入的.其实都是很久的知识了,主要是没弄过,所以大概看了一下才知道,要实现其实有很多种方法:注册表注入,hook挂钩,远程进程注入,替换dll...等等,这里就尝试说一下远程进程的注入的,因为相对也比较简单,在win7下试了一下也行。
有点懒所以还是大概一段代码一段代码的贴了。
首先可能需要提一下权限,提升到debug的权限,这里不说了,和前面记得有一个文章说的(here),很简单了。:
HANDLE hToken;
LUID sedebugnameValue;
TOKEN_PRIVILEGES tkp;
if (!OpenProcessToken(GetCurrentProcess(),
TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))
{
return false;
}
if (!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &sedebugnameValue))
{
CloseHandle(hToken);
return false;
}
tkp.PrivilegeCount = 1;
tkp.Privileges[0].Luid = sedebugnameValue;
tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
if (!AdjustTokenPrivileges(hToken, FALSE, &tkp, sizeof(tkp), NULL, NULL))
{
CloseHandle(hToken);
return false;
}
return true;
然后就是你要jnject的进程,有id最好了,没有id的话,那就要找,遍历,这个前面那个文章 here也说过了。大概就是取当前的进程的信息到结构中,然后遍历他们的进程名,知道找到你要的那个进程,然后取出id,代码都有,就不细说了。然后拿到线程id之后,那就是下面的操作了,代码没贴全,记得自己做一些delete。
判断进程名后:
{
qDebug()<<"find the process, ID ="<<processInfo->th32ProcessID;
DWORD dwWritePos = 0; //写入的字节数
//OpenProcess(权限类型,是否继承句柄,过程ID)
HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, processInfo->th32ProcessID);
DWORD memSize = (1 + lstrlenW(pathStr.toStdWString().c_str())) * sizeof(WCHAR);
//在目标进程分派虚拟地址,返回分派内存的地址
LPVOID lpMemoryAddress = VirtualAllocEx(hProcess, NULL,
memSize, MEM_COMMIT, PAGE_READWRITE);
if(lpMemoryAddress != NULL)
{
qDebug()<<pathStr;
//写入dll路径到内存
WriteProcessMemory(hProcess, lpMemoryAddress,
pathStr.toStdWString().c_str(), memSize, &dwWritePos);
//用kernel32.dll文件中LoadLibrary()函数来动态加载DLL,kernel32.dll默认会被导入所有的进程,而kernerl32.dll导出LoadLibrary函数
HMODULE hModule = LoadLibrary(TEXT("Kernel32.dll"));
DWORD dwLoadLibraryWAddress = (DWORD)GetProcAddress(hModule,"LoadLibraryW");
if(dwLoadLibraryWAddress==0){
qDebug()<<"GetProcAddress of LoadLibraryW failed";
CloseHandle(hSnapShot);
CloseHandle(hProcess);
delete processInfo;
return false;
}
DWORD lpThreadId = 0;
//创建远程线程,加载dll
HANDLE hThread = CreateRemoteThread(hProcess,NULL,0,(LPTHREAD_START_ROUTINE)dwLoadLibraryWAddress,
lpMemoryAddress,0,&lpThreadId);
//等待线程返回
WaitForSingleObject(hThread, 2000);//==WAIT_OBJECT_0)
//释放进程空间中的内存
VirtualFreeEx(hProcess, lpMemoryAddress, 0, MEM_RELEASE);
if (lpThreadId !=0)
{
qDebug()<<"inject success";
CloseHandle(hSnapShot);
CloseHandle(hThread);
CloseHandle(hProcess);
delete processInfo;
return TRUE;
}else
qDebug()<<"inject failed";
CloseHandle(hThread);
}else
qDebug()<<"VirtualAllocEx failed";
CloseHandle(hProcess);
}
应该很清楚的了, 然后置于检测已有的dll或者卸载掉dll的话,那么就需要在目标进程中,通过createremotethread来创建一个getmodulehandle的函数获取相应dll的地址,然后通过getExitCodeThread来取得dll的句柄,然后在调FreeLibrary去删除了。
//写入dll路径到内存
WriteProcessMemory(hProcess, lpMemoryAddress,
dllName.toStdWString().c_str(), memSize, &dwWritePos);
//用kernel32.dll文件中GetModuleHandle函数来检测DLL,kernel32.dll默认会被导入所有的进程
HMODULE hModule = LoadLibrary(TEXT("Kernel32.dll"));
DWORD dwGetModuleHandleAddress = (DWORD)GetProcAddress(hModule,"GetModuleHandleW");
// qDebug()<<dwGetModuleHandleAddress<<GetLastError();
if(dwGetModuleHandleAddress==0)
{
qDebug()<<"GetProcAddress of GetModuleHandleW failed";
CloseHandle(hSnapShot);
CloseHandle(hProcess);
delete processInfo;
return false;
}
DWORD lpThreadId = 0;
//创建远程线程,检测dll
HANDLE hDll = CreateRemoteThread(hProcess,NULL,0,(LPTHREAD_START_ROUTINE)dwGetModuleHandleAddress,
lpMemoryAddress,0,&lpThreadId);
//等待线程返回
WaitForSingleObject(hDll,20000);//==WAIT_OBJECT_0)
DWORD moduleRet = 0;
GetExitCodeThread(hDll,&moduleRet);
//释放进程空间中的内存
VirtualFreeEx(hProcess, lpMemoryAddress, 0, MEM_RELEASE);
if (lpThreadId ==0){
qDebug()<<"GetModuleHandleW create failed";
CloseHandle(hSnapShot);
CloseHandle(hDll);
CloseHandle(hProcess);
delete processInfo;
return false;
}
if (moduleRet ==0){
qDebug()<<"can't find the dll";
CloseHandle(hSnapShot);
CloseHandle(hDll);
CloseHandle(hProcess);
delete processInfo;
return false;
}qDebug()<<"find the dll!";
// qDebug()<<moduleRet;
CloseHandle(hDll);
DWORD lpUnloadThreadId = 0;
DWORD dwFreeLibraryAddress = (DWORD)GetProcAddress(hModule,"FreeLibrary");
HANDLE hUnload = CreateRemoteThread(hProcess,NULL,0,(LPTHREAD_START_ROUTINE)dwFreeLibraryAddress,
(LPVOID)moduleRet,0,&lpUnloadThreadId);
//等待线程返回
WaitForSingleObject(hUnload, 2000);//==WAIT_OBJECT_0)
//释放进程空间中的内存
// VirtualFreeEx(hProcess, lpMemoryAddress, 0, MEM_RELEASE);
if (lpUnloadThreadId ==0){
qDebug()<<"FreeLibrary create failed";
}else{
qDebug()<<"unload success";
CloseHandle(hSnapShot);
CloseHandle(hUnload);
CloseHandle(hProcess);
delete processInfo;
return true;
}
CloseHandle(hUnload);
代码不全所以一些看着处理吧,大概就是这样了,对了还有如果需要读取对应进程的内存数据,可以使用ReadProcessMemory来获取,只贴几句,道理其实都是一样的了:
DWORD tmp1 = moduleRet+0x7B22BC;
if(ReadProcessMemory(hProcess,(LPCVOID)tmp1,&tmp1,4,&dwWritePos)==NULL){
。。。。。 }
tmp1 = tmp1+0x38;
DWORD tmp2;
if(ReadProcessMemory(hProcess,(LPCVOID)tmp1,&tmp2,4,&dwWritePos)==NULL){。。。。。}
就大概是这样了,还有其他的方法,找个时间弄好再来说清楚。
这里在要说的一个是关于loadlibrary ,在注入进程的时候可能是有多种原因导致的注入的失败,比如说权限的之类的,可以通过在适当的api执行完后,去调用error去查看,但要记住一点是对于在远线程的调用,lasterror返回的是你起的这个线程的error 不是那个调用的lasterror。
在用的过程中发现,loadlibrary这个调用有时候会用getexitcode取得返回0,但是执行又是成功的,这里去查了一下官方的文档,loadlibrary这个函数其实返回不紧依赖于执行,当调用的dll中的dllmain函数如果返回的是false的时候,那么这个调用也将返回的是0。所以可能也要检查一下dll。