关于远进程dll注入(还有关于loadlibrary的一点问题)

最新推荐文章于 2023-05-16 14:55:09 发布
最新推荐文章于 2023-05-16 14:55:09 发布
阅读量1.1k 收藏
点赞数
分类专栏: c++

最后跟新了一个关于loadlibrary的问题。

看了一些关于动态注入的.其实都是很久的知识了,主要是没弄过,所以大概看了一下才知道,要实现其实有很多种方法:注册表注入,hook挂钩,远程进程注入,替换dll...等等,这里就尝试说一下远程进程的注入的,因为相对也比较简单,在win7下试了一下也行。

有点懒所以还是大概一段代码一段代码的贴了。

首先可能需要提一下权限,提升到debug的权限,这里不说了,和前面记得有一个文章说的(here),很简单了。:

HANDLE hToken; 
    LUID sedebugnameValue; 
    TOKEN_PRIVILEGES tkp; 
    if (!OpenProcessToken(GetCurrentProcess(), 
        TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken)) 
    { 
        return false; 
    } 
    if (!LookupPrivilegeValue(NULL, SE_DEBUG_NAME,  &sedebugnameValue)) 
    { 
        CloseHandle(hToken); 
        return false; 
    } 
    tkp.PrivilegeCount = 1; 
    tkp.Privileges[0].Luid = sedebugnameValue; 
    tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED; 
    if (!AdjustTokenPrivileges(hToken, FALSE, &tkp, sizeof(tkp), NULL, NULL)) 
   { 
        CloseHandle(hToken); 
        return false; 
    } 
    return true;

然后就是你要jnject的进程,有id最好了,没有id的话,那就要找,遍历,这个前面那个文章 here也说过了。大概就是取当前的进程的信息到结构中,然后遍历他们的进程名,知道找到你要的那个进程,然后取出id,代码都有,就不细说了。然后拿到线程id之后,那就是下面的操作了,代码没贴全,记得自己做一些delete。 

判断进程名后:
               {
                   qDebug()<<"find the process, ID ="<<processInfo->th32ProcessID;
                   DWORD dwWritePos = 0; //写入的字节数
                   //OpenProcess(权限类型,是否继承句柄,过程ID)
                   HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, processInfo->th32ProcessID);
                   DWORD memSize = (1 + lstrlenW(pathStr.toStdWString().c_str())) * sizeof(WCHAR);
                   //在目标进程分派虚拟地址,返回分派内存的地址
                   LPVOID lpMemoryAddress = VirtualAllocEx(hProcess, NULL,
                       memSize, MEM_COMMIT, PAGE_READWRITE);
                   if(lpMemoryAddress != NULL)
                   {
                       qDebug()<<pathStr;
                       //写入dll路径到内存
                       WriteProcessMemory(hProcess, lpMemoryAddress,
                                          pathStr.toStdWString().c_str(), memSize, &dwWritePos);
                       //用kernel32.dll文件中LoadLibrary()函数来动态加载DLL,kernel32.dll默认会被导入所有的进程,而kernerl32.dll导出LoadLibrary函数
                       HMODULE hModule = LoadLibrary(TEXT("Kernel32.dll"));
                       DWORD dwLoadLibraryWAddress = (DWORD)GetProcAddress(hModule,"LoadLibraryW");
                       if(dwLoadLibraryWAddress==0){
                           qDebug()<<"GetProcAddress of LoadLibraryW failed";
                           CloseHandle(hSnapShot);
                           CloseHandle(hProcess);
                           delete processInfo;
                           return false;
                       }
                       DWORD lpThreadId = 0;
                       //创建远程线程,加载dll
                       HANDLE hThread = CreateRemoteThread(hProcess,NULL,0,(LPTHREAD_START_ROUTINE)dwLoadLibraryWAddress,
                                                     lpMemoryAddress,0,&lpThreadId);
                       //等待线程返回
                       WaitForSingleObject(hThread, 2000);//==WAIT_OBJECT_0)
                       //释放进程空间中的内存
                       VirtualFreeEx(hProcess, lpMemoryAddress, 0, MEM_RELEASE);
                       if (lpThreadId !=0)
                       {
                           qDebug()<<"inject success";
                           CloseHandle(hSnapShot);
                           CloseHandle(hThread);
                           CloseHandle(hProcess);
                           delete processInfo;
                           return TRUE;
                       }else
                           qDebug()<<"inject failed";
                       CloseHandle(hThread);
                   }else
                       qDebug()<<"VirtualAllocEx failed";
                   CloseHandle(hProcess);
               }
应该很清楚的了, 然后置于检测已有的dll或者卸载掉dll的话,那么就需要在目标进程中,通过createremotethread来创建一个getmodulehandle的函数获取相应dll的地址,然后通过getExitCodeThread来取得dll的句柄,然后在调FreeLibrary去删除了。 
//写入dll路径到内存
                       WriteProcessMemory(hProcess, lpMemoryAddress,
                                          dllName.toStdWString().c_str(), memSize, &dwWritePos);
                       //用kernel32.dll文件中GetModuleHandle函数来检测DLL,kernel32.dll默认会被导入所有的进程
                       HMODULE hModule = LoadLibrary(TEXT("Kernel32.dll"));
                       DWORD dwGetModuleHandleAddress = (DWORD)GetProcAddress(hModule,"GetModuleHandleW");
//                       qDebug()<<dwGetModuleHandleAddress<<GetLastError();
                       if(dwGetModuleHandleAddress==0)
                       {
                           qDebug()<<"GetProcAddress of GetModuleHandleW failed";
                           CloseHandle(hSnapShot);
                           CloseHandle(hProcess);
                           delete processInfo;
                           return false;
                       }
                       DWORD lpThreadId = 0;
                       //创建远程线程,检测dll
                       HANDLE hDll = CreateRemoteThread(hProcess,NULL,0,(LPTHREAD_START_ROUTINE)dwGetModuleHandleAddress,
                                                     lpMemoryAddress,0,&lpThreadId);
                       //等待线程返回
                       WaitForSingleObject(hDll,20000);//==WAIT_OBJECT_0)
                       DWORD moduleRet = 0;
                       GetExitCodeThread(hDll,&moduleRet);
                       //释放进程空间中的内存
                       VirtualFreeEx(hProcess, lpMemoryAddress, 0, MEM_RELEASE);
                       if (lpThreadId ==0){
                           qDebug()<<"GetModuleHandleW create failed";
                           CloseHandle(hSnapShot);
                           CloseHandle(hDll);
                           CloseHandle(hProcess);
                           delete processInfo;
                           return false;
                       }
                       if (moduleRet ==0){
                           qDebug()<<"can't find the dll";
                           CloseHandle(hSnapShot);
                           CloseHandle(hDll);
                           CloseHandle(hProcess);
                           delete processInfo;
                           return false;
                       }qDebug()<<"find the dll!";
//                       qDebug()<<moduleRet;
                       CloseHandle(hDll);
DWORD lpUnloadThreadId = 0;
                       DWORD dwFreeLibraryAddress = (DWORD)GetProcAddress(hModule,"FreeLibrary");
                       HANDLE hUnload = CreateRemoteThread(hProcess,NULL,0,(LPTHREAD_START_ROUTINE)dwFreeLibraryAddress,
                                                     (LPVOID)moduleRet,0,&lpUnloadThreadId);
                       //等待线程返回
                       WaitForSingleObject(hUnload, 2000);//==WAIT_OBJECT_0)
                       //释放进程空间中的内存
//                       VirtualFreeEx(hProcess, lpMemoryAddress, 0, MEM_RELEASE);
                       if (lpUnloadThreadId ==0){
                           qDebug()<<"FreeLibrary create failed";
                       }else{
                           qDebug()<<"unload success";
                           CloseHandle(hSnapShot);
                           CloseHandle(hUnload);
                           CloseHandle(hProcess);
                           delete processInfo;
                           return true;
                       }
                       CloseHandle(hUnload);
 
代码不全所以一些看着处理吧,大概就是这样了,对了还有如果需要读取对应进程的内存数据,可以使用ReadProcessMemory来获取,只贴几句,道理其实都是一样的了: 
DWORD tmp1 = moduleRet+0x7B22BC;
                       if(ReadProcessMemory(hProcess,(LPCVOID)tmp1,&tmp1,4,&dwWritePos)==NULL){
                           。。。。。                       }
                       tmp1 = tmp1+0x38;
                       DWORD tmp2;
                       if(ReadProcessMemory(hProcess,(LPCVOID)tmp1,&tmp2,4,&dwWritePos)==NULL){。。。。。}

就大概是这样了,还有其他的方法,找个时间弄好再来说清楚。


这里在要说的一个是关于loadlibrary ,在注入进程的时候可能是有多种原因导致的注入的失败,比如说权限的之类的,可以通过在适当的api执行完后,去调用error去查看,但要记住一点是对于在远线程的调用,lasterror返回的是你起的这个线程的error 不是那个调用的lasterror。

在用的过程中发现,loadlibrary这个调用有时候会用getexitcode取得返回0,但是执行又是成功的,这里去查了一下官方的文档,loadlibrary这个函数其实返回不紧依赖于执行,当调用的dll中的dllmain函数如果返回的是false的时候,那么这个调用也将返回的是0。所以可能也要检查一下dll。

chaney_f
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
程线程注入
qq_41490873的博客
11-30 255
// inject.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include<Windows.h> #include <iostream> typedef HMODULE(WINAPI *PLPADLIBRARY)(LPCSTR lpLibFileName); BOOL EnableDebugPriv() { HANDLE hToken; LUID sedebugnameValue; TOKEN_PRIVILEGES tkp;
加载dll动态库时LoadLibraryLoadLibraryEx的区别
the_sea1的博客
05-14 723
DLL不在调用方的同一目录下,可以用LoadLibrary(L"DLL绝对路径")加载。 但若被调DLL内部又调用另外一个DLL,此时调用仍会失败。解决办法是用LoadLibraryEx: LoadLibraryEx(“DLL绝对路径”, NULL, LOAD_WITH_ALTERED_SEARCH_PATH); 通过指定LOAD_WITH_ALTERED_SEARCH_PATH,让系统DLL搜索顺序从DLL所在目录开始。 ...
Win32环境下代码注入与API钩子的实现
weixin_30755393的博客
12-31 286
本文详细的介绍了在Visual Studio(以下简称VS)下实现API钩子的编程方法,阅读本文需要基础:有操作系统的基本知识(进程管理,内存管理),会在VS下编写和调试Win32应用程序和动态链接库(以下简称DLL)。 API钩子是一种高级编程技巧,常常用来完成一些特别的功能,比如词典软件的屏幕取词,游戏修改软件的数据修改等。当然,此技术更多的是被黑客或是病毒用来攻击其它程序,截获需要的数据或...
windows中的DLL注入
qq_35426012的博客
07-27 205
概念 程线程:另一个进程中的线程。 注入:别的进程中执行自己的代码 程线程注入:指一个进程在另一个进程中创建线程的技术 设计思路 在DLLdllmain里写自己的代码,利用系统共享库(系统dll是所有进程共享)的函数动态加载自己的DLL,来运行自己的代码,系统dll里面的LoadLiabrary函数地址在不同进程中的地址是相同的,把这个地址当做程线程的函数回调,那线程执行的就是这个...
无法定位程序输入点kernel32.dll,如何修复kernel32.dll
热门推荐
电脑修复君的博客
02-28 3万+
kernel32.dll是Windows操作系统中非常重要的一个系统文件,如果它丢失或损坏可能会导致许多应用程序无法正常运行。今天小编就来给大家详细的讲解一下无法定位程序输入点kernel32.dll,我们要怎么修复这个kernel32.dll缺失的问题
进程注入器,dll注入
最新发布
08-30
进程注入DLL注入是计算机安全领域中的技术,主要用于软件调试、功能增强以及恶意软件的渗透测试。这些技术涉及操作系统的核心层面,尤其是进程管理和动态链接库(DLL)的加载机制。 DLL注入是一种技术,通过将一...
程线程注入_程_程线程_dll注入_注入_
10-01
在这个场景中,我们关注的是"程线程注入"和"DLL注入"这两个概念。 程线程注入是通过在目标进程中创建一个新的线程,并在该线程上下文中执行指定的代码。这允许一个进程注入者)在另一个进程(被注入者)中...
C++实现dll注入其它进程
01-21
DLL注入其他进程技术  阅读本篇文章,需要有《线程注入其他进程技术》基础。  DLL注入技术才具有强大的功能和使用性,同时简单易用,因为DLL中可以实现复杂的功能和很多的技术。  技术要点:  1、宿主进程...
驱动注入DLL指定进程.rar_dll注入_驱动 dll注入_驱动注入_驱动级注入dll_驱动进程
07-15
在实际应用中,"驱动DLL注入"可能会遇到一些挑战,比如权限问题、稳定性问题以及兼容性问题。描述中提到的程序声称具备高稳定性和强兼容性,这意味着它可能已经解决了这些常见问题,能够在多种环境下顺利地完成DLL...
dll注入器及源码
11-30
DLL注入技术是一种在计算机编程中用于控制或监控其他进程的技术。它允许一个程序将动态链接库(DLL)加载到另一个进程中,使得DLL中的函数可以在目标进程中执行,从而实现跨进程通信或者对目标进程进行某些操作...
WEB安全:深入反射式dll注入技术
2301_76694151的博客
05-16 912
通过调用CreateRemoteThread()/NtCreateThread()/RtlCreateUserThread()函数在被注入进程创建线程进行dll注入。通过调用QueueUserAPC()/SetThreadContext()函数来劫持被注入进程已存在的线程加载dll。通过调用SetWindowsHookEx()函数来设置拦截事件,在发生对应的事件时,被注入进程执行拦截事件函数加载dll。获取被注入进程PID。在注入进程的访问令牌中开启SE_DEBUG_NAME权限。
Win7x64通过ClientLoadLibrary注入DLL
Sven的忘却日记
08-04 892
测试程序cpp文件: // ClientLoadlibrary.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include <windows.h> typedef struct _CLientLoadLibraryParam { DWORD dwSize;//+0 DWORD dwStringLength; //+4 ...
LoadLibrary加载动态库失败
weixin_34396902的博客
07-20 2164
【1】LoadLibrary加载动态库失败的可能原因以及解决方案: (1)dll动态库文件路径不对。此场景细分为以下几种情况: 1.1 文件路径的确错误。比如:本来欲加载的是A文件夹下的动态库a.dll,但是经过仔细排查原因,发现a.dll动态库竟然被拷贝到B文件夹下去了。 若真遇到这种低级错误,建议你找个没人的墙角蹲下用小拇指逆时针划圈圈去吧。。。 1.2 实参传值错误。比如:实参...
loadlibrary释疑
莫问收获、敢问耕耘
06-20 6002
在利用loadlibrary显示装载某动态库的时候例如: HINSTANCE hDll = LoadLibrary("./abc.dll");  结果编译器报错说不能将char[]转换为LPCWSTR,    查阅msdn函数原型为 HMODULE WINAPI LoadLibrary(   __in          LPCTSTR lpFileName ); 将代码改为:
Kernel32.DLL APIs
Lobbyfish的专栏
10-07 1859
_hread_hwrite_lclose_lcreat_llseek_lopen_lread_lwriteActivateActCtxAddAtomAAddAtomWAddConsoleAliasAAddConsoleAliasWAddLocalAlternateComputerNameAAddLocalAlternateComputerNameWAddRefActCtxAddVectoredCo
LoadLibrary调用失败原因
望心空
02-22 2万+
利用loadlibrary显示装载动态库:HINSTANCE hDll; //DLL句柄hDll = LoadLibrary("user32.dll");if(hDll != NULL){}结果总是直接跳出if,dll加载失败排除了其它问题后,通过以下语句调用成功hDll = LoadLibrary(TEXT("user32.dll"));经过一番百度google后发现,原来是字符格式惹的祸。这里的LoadLibrary实际使用了LoadLibraryW而非LoadLibraryA,因此需要UNICODE字
KERNEL32.DLL中可供调用的API函数列表
forpersonal
08-07 2万+
KERNEL32.DLL中可供调用的API函数列表,如下: ActivateActCtx AddAtomA AddAtomW AddConsoleAliasA AddConsoleAliasW AddLocalAlternateComputerNameA AddLocalAlte
Windows注入DLL技术详解
"注入DLL技术,用于在其他进程中加载并执行自定义的DLL文件,以达到隐蔽执行代码的目的。该技术涉及多个Windows API函数,包括CreateRemoteThread、LoadLibraryDllMain等。" 注入DLL是一种高级的编程技术...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值