R0注入DLL到R3进程

最新推荐文章于 2024-07-27 00:00:00 发布
最新推荐文章于 2024-07-27 00:00:00 发布
阅读量3.1k 收藏
点赞数
分类专栏: 驱动开发学习

R0注入DLL到R3,貌似没有必要,也的确没有必要。以下代码只是为了验证R0调用NtQueueApcThread来注入DLL到R3进程中,没有什么神秘的东西,博大家一笑

#include <ntddk.h>
 
PVOID pfn_BaseDispatchApc = NULL;
PVOID pfn_LoadLibraryA = NULL;
PVOID pszText_Kernel32 = NULL;
 
NTSTATUS (NTAPI* pfn_NtQueueApcThread)(
     __in HANDLE     ThreadHandle,
     __in PVOID      ApcRoutine,
     __in_opt PVOID  ApcArgument1,
     __in_opt PVOID  ApcArgument2,
     __in_opt PVOID  ApcArgument3
     );
     
VOID LoadImageNotifyRoutine (
     IN PUNICODE_STRING  FullImageName,
     IN HANDLE  ProcessId, // where image is mapped
     IN PIMAGE_INFO  ImageInfo
     )
{   
     PWSTR ptr = FullImageName->Buffer + FullImageName->Length/ sizeof ( WCHAR )-4;
     
     if ( ptr > FullImageName->Buffer && _wcsicmp( ptr, L ".exe" ) == 0 )
     {
         ptr -= 8;           
         if ( ptr > FullImageName->Buffer && _wcsicmp( ptr, L "\\notepad.exe" ) == 0 );
         {
             pfn_NtQueueApcThread( ZwCurrentThread(),
                 pfn_BaseDispatchApc,
                 pfn_LoadLibraryA,
                 pszText_Kernel32,
                 NULL );
         }
     }       
}
 
VOID DriverUnload(IN PDRIVER_OBJECT DriverObject)
{
     PsRemoveLoadImageNotifyRoutine( LoadImageNotifyRoutine );
}
 
NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath)
{
     //just for winxp
     KdBreakPoint();
     
     //填写kernel32!BaseDispatchApc//win7上是ntdll!RtlDispatchAPC
     ( PVOID )pfn_BaseDispatchApc = ( PVOID )0x7c82c0f6;
     
     //填写kernel32!LoadLibraryA
     ( PVOID )pfn_LoadLibraryA = ( PVOID )0x7c801d7b;
     
     //保证待Load的DLL的名称为text.dll,可以放到system目录下
     //填写kernel32的头部text字符的位置
     ( PVOID )pszText_Kernel32 = ( PVOID )0x7c8001e9;
     
     //填写nt!NtQueueApcThread   
     ( PVOID )pfn_NtQueueApcThread = ( PVOID )0x805d3756;
     
     DriverObject->DriverUnload = DriverUnload;
     
     return PsSetLoadImageNotifyRoutine( LoadImageNotifyRoutine );
}

cosmoslife
关注
专栏目录
R0注入DllR3进程
被遗弃的庸才博客
12-14 2112
代码大部分都是CV(ctrl c+ctrl v)的(读书人的事情不能说抄是借鉴),注入参考的是Blackbone的代码,然后稍微改了改,经过测试能够分别注入x32和x64的进程,下面是代码。 原理也很简单,首先是附加到目标进程,获得目标进程的LdrLoadDll函数地址,申请地址空间构造函数call(x32和x64是分布进行构造的),之后获得ssdt表的NtCreateThreadEx启动构造的...
驱动级进程保护 隐藏 注入
08-04
驱动级进程保护 隐藏 注入 W7 W8 W10 32 64位都支持 不蓝屏
剑和沙盒 6 - 线程辱骂 – 使用线程名称进行攻击
最新发布
ms44的专栏
07-27 387
进程注入是攻击者使用的重要技术之一。我们可以在几乎所有恶意软件中发现其变体。防御规避:将恶意模块隐藏在不同进程的掩护下对现有进程的干扰:读取其内存、挂钩所使用的 API 等。特权升级由于恶意模块对进程内存的干扰会造成很大的破坏,因此各种 AV 和 EDR 产品都会监控此类行为并尝试阻止它们。但是,这种监控是基于对注入方法实现中使用的通用 API 的了解。这种猫捉老鼠的游戏永无止境。网络犯罪分子以及红队成员不断尝试通过使用一些非典型 API 来破坏已知模式,并借此逃避当时实施的检测。其中一个例子是。
【转】Ring3下Dll注入方法整理汇总
MA540213的专栏
01-10 475
原帖地址:https://www.cnblogs.com/daxingxing/archive/2011/12/16/2290353.html 1. lpk.dll、usp10.dll、msimg32.dll、midimap.dll、ksuser.dll、comres.dll、ddraw.dll 以lpk为例,在win7下由于lpk被加入KnownDLLs且该注册表值不可修改,使得lpk强制从...
R3R0联调
kernweak的博客
05-23 713
如果没有联调,当看栈时候 WARNING: Frame IP not in any known module. Following frames may be wrong. 看不见操作步骤是 使用!process 0 0 获取用户空间的进程的信息 .process /p 87373550 切换到要调试的应用程序的Eprocess地址 重新加载user程序的 PDB文件 (需在Windbg...
无痕注入dll_如何在R3尽量完美的隐藏一个DLL
weixin_39669761的博客
12-19 2159
哈哈哈专栏开通啦!咳咳..这个专栏主要写一些和安全开发的东西,需要一定的相关知识,并且不(定期)更新,恩,就这样主要是前几天群里师傅提出了这个问题,所以就去实现下,现将操作记录与此0x01 从加载开始要注入一个DLL的方法很多,但是我们希望一切在Exe知道之前就能完成(这样最不容易被发现对不),所以NTCreateThread和置换Dll就显得不好使了NTCreateThread创建线程的时间靠后...
映射dllr0的高维注入
被遗弃的庸才博客
03-03 1338
背景 之前写过一篇把r3代码放r0并且跑起来的例子,当时win10会出现1a错误,原因是我没关KPTI,导致页面异常,最近又看到了类似的注入,于是写了点代码映射dllr0,并注入到目标进程,代码:GitHub。 相关知识介绍 首先呢,大家都知道不同进程之间的虚拟地址是分开的,你改你的地址数据不会影响另外的进程。但是对于系统dll而已,不会经常修改,所以一般情况下只会映射一份,系统的ntdll和kernel32这类的dll的物理内存都是同一份。顺便说一下什么是COW,CORY-ON-WRITE写时拷贝
CC++ 进程无模块内存注入[x86x64] Windows R3 无模块注入
06-23
无模块内存注入意味着不依赖于在目标进程中加载任何外部DLL(动态链接库),而是直接将代码注入到目标进程的内存空间中执行。 实现无模块内存注入的关键步骤包括: 1. **获取目标进程信息**:通过`OpenProcess`...
CC++ 进程无模块内存注入[x86x64] Windows R3 无模块注入
06-23
传统的内存注入通常涉及创建一个DLL,然后将这个DLL注入到目标进程中,让目标进程执行DLL中的代码。而无模块内存注入则避免了这一过程,直接将代码注入到目标进程的内存空间中,提高了隐蔽性和抗检测能力。 "CC++...
(开源) Ring3下的DLL注入工具 x86(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)
12-31
DLL注入工具有很多,但是也有很多无法注入系统进程如explorer.exe,notepad.exe等,特别是Win7以上平台。此注入工具核心注入部分使用NtCreateThreadEx + LdrLoadDlll方式实现,特色在于比一般的远程线程注入稳定,可以注入系统进程,服务进程等。 工具介绍:http://blog.csdn.net/sunflover454/article/details/50441014 开源介绍:http://blog.csdn.net/sunflover454/article/details/50441146
X64位最新读写驱动 win10 win7 可用
02-28
1 安装驱动() 2 驱动.初始化(目标进程ID) 注意: //========== 1 安装驱动的时候,火绒会报提示,信任即可 2 32位系统无法使用 3 亲测win10 1809可用,win7可用
Windows内核编程R0R3通信
輚至消亡
03-20 1973
直接设备读写 其原理是锁定用户空间内存(这解决了分页内存置换导致缺页异常的问题)并将其映射到内核空间地址,直接对该内核空间地址进行写入即可,由于进程内核空间是共享的。所以属于任何进程的线程都可以写入。 注意的点: 1. 要为设备添加DO_DIRECT_IO标志 2. 为R3下ReadFile和WriteFile派遣函数时获取对对应传入参数 a. 其中WriteFile的用户输入内存地址和ReadFile的设备输出地址通过MmGetSystemAddressForMdlSafe函数锁定IRP.
Windows驱动开发第10课(R3R0通信交换数据第一节)
weixin_42655748的博客
11-28 1472
Linux 内核学习笔记
热门推荐
AI.PLAY
01-10 1万+
Linux内核学习笔记 《linux内核设计艺术》写的很好,对于理解操作系统的工作原理有很大帮助,以下是我在读这本书时所整理的一些框架,希望可以对读者理解linux操作系统的内核起到一定的作用,由于本人水平有限,不足之处,欢迎广大读者留言指正。 1.linnux启动 计算机在启动时,内存中是没有程序的,所以需要将硬盘中的操作系统加载到内存中,在内存(RAM)中什么程
R3内存保护
u012129783的博客
07-25 489
R0R3下得到当前用户的SID
Tommy(凌飞)的专栏
09-13 1041
http://hi.baidu.com/sudami/blog/item/5ba21ceef587e1ffb3fb9541.html (1.) R0下需要attach到一个用户进程,取其SID NTSTATUS   GetUserName(       char* a
IoCreateNotificationEvent 同步r3r0
爱杀之爪的矩阵
11-07 4056
r3r0共享对象来同步
C++实现DLL注入进程详解
DLL注入允许一个进程注入者)将自身的一部分(DLL)加载到另一个进程中(被注入进程),从而实现跨进程的通信和控制。在C++中实现DLL注入,通常涉及以下关键技术点: 1. **LoadLibrary函数**:这是Windows API...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值