Win7x64通过ClientLoadLibrary注入DLL

最新推荐文章于 2024-05-26 00:58:42 发布
最新推荐文章于 2024-05-26 00:58:42 发布
阅读量899 收藏 5
点赞数 1
分类专栏: 心情杂货铺 文章标签: ClientLoadLibrary注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cssxn/article/details/98472148
版权

测试程序cpp文件:

// ClientLoadlibrary.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <windows.h>


typedef struct _CLientLoadLibraryParam
{
    DWORD dwSize;//+0
    DWORD dwStringLength; //+4
    DWORD ReservedZero1;//+8
    DWORD ReservedZero2;//+C
    DWORD ReservedZero3;//+10
    DWORD ReservedZero4;//+14
    DWORD ReservedZero5;//+18 () +1A () //不需要!
    DWORD ReservedZero6;//+1C
    DWORD ReservedZero8;//+20
    DWORD test[3]; // 占位
    ULONG ptrDllString;//+30
    DWORD ReservedZero11[5];
    ULONG ptrApiString;//+40
    WCHAR szDllName[MAX_PATH];
    WCHAR szApiName[MAX_PATH];
    
   
}CLientLoadLibraryParam, *PCLientLoadLibraryParam;

extern "C" ULONG _stdcall MyClientLoadLibrary(PCLientLoadLibraryParam);

int _tmain(int argc, _TCHAR* argv[])
{
    LoadLibraryA("user32.dll");
    CLientLoadLibraryParam CParam = {0};
    CParam.dwSize = sizeof(CLientLoadLibraryParam);
    CParam.ReservedZero1 = LOAD_WITH_ALTERED_SEARCH_PATH;
    CParam.ReservedZero8 = 0x1; // 绕过FixupCallbackPointers(v1);
    CParam.ReservedZero6 = 0x1;


    wcsncpy(CParam.szApiName, L"test", MAX_PATH);
    wcsncpy(CParam.szDllName, L"d:\\1.dll", MAX_PATH);
    CParam.ptrApiString = (DWORD)CParam.szApiName;
    CParam.ptrDllString = (DWORD)CParam.szDllName;

    MyClientLoadLibrary(&CParam);


	return 0;
}

需要在VS项目中使用MASM汇编获取函数地址
test.asm

.CODE
PUBLIC MyClientLoadLibrary

MyClientLoadLibrary PROC
	mov rax,gs:[60h] ; 获取PEB
	mov rax,[rax+58h]; 获取PEB.KernelCallbackTable数组基址
	mov rax,[rax+8*41h]; 获取KernelCallbackTable[0x41]号回调用函数USER32!_ClientLoadLibrary
	call rax		  ; 调用 USER32!_ClientLoadLibrary
	ret
MyClientLoadLibrary ENDP
END

以上程序编译成功后,再使用下面代码,编译一个要注入的DLL文件:

// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "stdafx.h"

extern "C" _declspec(dllexport) DWORD WINAPI test(DWORD Arg0, DWORD Arg1)
{
   // nothing to do here.
   return 0;
}


void do_work()
{
    HANDLE hFile = CreateFileA("d:\\test.txt", GENERIC_ALL, FILE_SHARE_READ, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL,NULL);
    WCHAR lpBuffer[] = L"just test!!!";
    DWORD dwWritten = 0;
    WriteFile(hFile, lpBuffer, sizeof(lpBuffer),&dwWritten,NULL);
    CloseHandle(hFile);
}
BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
					 )
{
	switch (ul_reason_for_call)
	{
	case DLL_PROCESS_ATTACH:
        do_work();
        break;
	case DLL_THREAD_ATTACH:
	case DLL_THREAD_DETACH:
	case DLL_PROCESS_DETACH:
		break;
	}
	return TRUE;
}

DLL文件编译成功后,放在D:\1.dll

然后运行编译的ClientLoadlibrary.exe,1.dll注入成功后,写入一个D:\test.txt文件。

以上两个项目需要使用x64架构编译。

FFE4
关注
专栏目录
转一个win32k回调实现自定义r3函数的方法 教主威武
Sunny_wwc的专栏
03-27 2658
<br />ring0调用ring3早已不是什么新鲜事,除了APC,我们知道还有KeUserModeCallback.其原型如下:<br />NTSTATUS<br />KeUserModeCallback (<br />     IN ULONG ApiNumber,<br />     IN PVOID InputBuffer,<br />     IN ULONG InputLength,<br />     OUT PVOID *OutputBuffer,<br />     IN PULONG O
x64-injector:使用汇编器(MASM)中的LoadLibraryx64进样器
05-10
x64进样器 采用x64组件(MASM)制成的LoadLibrary进样器。
USER32!__ClientLoadLibrary定位.
weixin_30378311的博客
08-11 152
保护软件一般都直接用新的函数指针替换CallBack表中__ClientLoadLibrary对应的位置 对于Ring3的应用程序,fs:[0]的地址指向的是TEB结构,这个结构的开头是一个NT_TIB结构,NT_TIB结构的0x18偏移处是一个Self指针,指向这个结构自身,也就是指向TEB结构的开头。 TEB结构的0x30偏移是一个指向PEB的指针。PEB又是一个结构,这个结构的0...
linux user32.lib,USER32!__ClientLoadLibrary定位
weixin_30499091的博客
05-14 390
保护软件一般都直接用新的函数指针替换CallBack表中__ClientLoadLibrary对应的位置对于Ring3的应用程序,fs:[0]的地址指向的是TEB结构,这个结构的开头是一个NT_TIB结构,NT_TIB结构的0x18偏移处是一个Self指针,指向这个结构自身,也就是指向TEB结构的开头。TEB结构的0x30偏移是一个指向PEB的指针。PEB又是一个结构,这个结构的0x2偏移处是一个...
用户态下屏蔽全局消息钩子 —— ClientLoadLibrary 指针覆盖
最新发布
溡漪幽博客
05-26 815
拦截 SetWindowsHookEx 函数的官方方法是在系统或程序运行的早期,安装一个 WH_DEBUG 类型的 Win32 钩子,这将允许你捕获后面几乎所有 Win32 钩子的挂钩过程(除了WH_KEYBOARD_LL 低级键盘钩子无法拦截以外),具体可以参考。首先,它定位回调指针的地址。首先是一种触发操作时的调用堆栈,可以看出间接调用了 __ClientLoadLibrary 指针指向的函数,然后依次调用钩子回调队列中的函数。它保存 DLL 的路径、指向通知函数的指针以及一些尚不清楚的数据。
win7LoadLibrary报错126,无法加载模块
cau_eric的专栏
12-20 4043
今天调试一个工程(vs2010 编译的dll),win7LoadLibrary报错126( ERROR_MOD_NOT_FOUND),无法加载模块 ,网上搜了半天,也没有解决。 后来重建一个空dll用新程序调用,开始也报这个错,不过还提示少个dll(msvcr100.dll),加入dll,问题解决,特此记录,以备后查。 win7LoadLibrary报错126,无法加载模块
Win10远程线程注入DLL源码.zip
11-30
原理跟32位进程注入没太大区别,首先获取ntdll下的RtlInitUnicodeString,LdrLoadDll,NtCreateThreadEx地址,最后分配内存写入Code数据创建远程线程跑起来!
msvcr71.dll for win7x64
12-02
《msvcr71.dllWin7 64位系统中的应用与问题解析》 msvcr71.dll,全称Microsoft Visual C++ Runtime Library 7.1,是微软开发的一种动态链接库文件,主要用于支持运行使用Visual C++ 7.1编译器开发的应用程序。在...
dll远程线程注入(支持64bit win7
07-20
标题 "dll远程线程注入(支持64bit win7)" 描述了一种技术,用于在其他进程中动态加载和执行DLL(动态链接库)代码。这种方法通常被用于调试、监控、自动化测试或恶意软件中。这里特别指出它适用于64位Windows 7...
WIN7 libcrypto_1_1-x64.dll 文件
09-29
缺少libcrypto-1_1-x64.dll,原因好像是盗版window系统有可能没有这个库...3、Windows XP/WIN7/win10系统(64位系统对应64位dll文件,32位系统对应32位dll文件),将libcrypto-1_1.dll复制到C:\Windows\System32目录下。
python 调用 C++ dll 32位 64位 问题 ctypes.cdll.LoadLibrary
04-08
t532.rar 测试代码 https://blog.csdn.net/wowocpp/article/details/105382257 python 调用 C++ dll 32位 64位 问题 ctypes.cdll.LoadLibrary
ntwdblib.dll win7 64位,亲测可用,附方法
09-17
===如果是win7的64位系统=== 把windows2008x64下的ntwdblib.dll复制到如下目录 C:\Windows\System32\ 覆盖php安装目录下的ntwdblib.dll 覆盖apache\bin 目录下的ntwdblib.dll 开启php.ini中如下配置 extension=...
LoadLibrary 绝对路径,错误193的(dll 和 跑的程序版本不一致x86和x64
诗水人间
03-22 9909
在写dll注入工具的时候发现始终注入失败 文章实例代码 C语言远程线程注入(dll 注入技术) 本想着注入微信,钉钉等客户端,然后自己写了一个dll 以及一个注入工具,进行测试。 在写的过程中没有注意到 dll 编译的版本是 x64,而自己调用dll的程序则是x86 然后利用java的System.load("***.dll")发现能调用,就很郁闷,后来发现原来是版本问题。又是一个坑~ 将dll 与调用的 程序都指定同一个版本即可解决问题。 如下:都选择x64 远程线程注入的步骤 CreateToolh
DLL注入学习总结
bcbobo21cn的专栏
04-23 2806
dll注入 所谓DLL[1]  注入就是将一个DLL放进某个进程的地址空间里,让它成为那个进程的一部分。要实现DLL注入,首先需要打开目标进程。 中文名 dll注入 外文名 hRemoteProcess 意    义 将一个DLL放进进程的地址空间里 方    法 打开目标进程 例: hRemoteProcess = OpenProcess( PROCESS_CREATE_THREAD |
DLL注入技术
醉等佳人归
06-08 395
文章目录1.显式载入|卸载DLL模块2.得到DLL符号地址 1.显式载入|卸载DLL模块 在任何时候,进程中的一个线程可以调用下面两个函数来将一个DLL映射到进程的地址空间中: HMODULE LoadLibrary(PCTSTR pszDLLPathName); HMODULE LoadLibraryEx( PCTSTR pszDLLPathName, HANDLE hFile, //默认NULL DWORD dwFlags //默认0 ); 卸载函数 BOOL FreeLibrary
ring3改KernelCallbackTable防键盘钩子
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
11-09 1780
ring3改KernelCallbackTable防键盘钩子 __declspec(naked) test() {   _asm   {     ret     jmp oldaddr   } } DWORD * KernelCallbackTable = NULL; _asm {      push eax      mov eax,dw
Python修改文件往指定行插入内容
热门推荐
Sven的忘却日记
07-11 1万+
需求:批量修改py脚本中的类属性,为类增加一个core = True新的属性 a.py class A(): description = &amp;quot;abc&amp;quot; 现在有一个1.txt文本,保存着需要修改的py文件中含有的description属性。 1.txt description = &amp;quot;abc&amp;quot; description = &amp;quot;123&amp;quot; 实现思
Win7x64安装Oracle10g与PL/SQL Developer教程
在Windows 7 x64环境下安装Oracle 10g数据库需要遵循以下步骤: 1. 首先,你需要从Oracle官方网站获取适合Windows Vista和Windows Server 2008 x64版本的Oracle Database 10g Release 2 (10.2.0.4)安装文件。这个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值