[C++] - DLL远程注入实例

最新推荐文章于 2022-03-11 18:42:07 发布
最新推荐文章于 2022-03-11 18:42:07 发布
阅读量836 收藏 1
点赞数

[C++] - DLL远程注入实例

来源:http://blog.csdn.net/syf442/archive/2009/07/04/4318899.aspx

 

一般情况下,每个进程都有自己的私有空间,理论上,别的进程是不允许对这个私人空间进行操作的,但是,我们可以利用一些方法进入这个空间并进行操作,将自己的代码写入正在运行的进程中,于是就有了远程注入了。 
对dll后门的编写就不作过多的讨论了,现在来看实现注入功能的可执行文件的编写: 
用到的函数有:

复制代码 
   
   

    
    OpenProcessToken();
LookupPrivilegeValue();
AdjustTokenPrivileges();
OpenProcess();
VirtualAllocEx();
WriteProcessMemory();
GetProcAddress();
CreateRemoteThread();
复制代码

 

 

先简单的介绍以下这些函数的作用,因为我们要操作的是系统中的其他进程,如果没有足够的系统权限,我们是无法写入甚至连读取其它进程的内存地址的,所以我们就需要提升自己的权限,用到以下3个函数

   
   

    
    OpenProcessToken();       
    
    //
    
    打开进程令牌
    
    

    
    LookupPrivilegeValue();   
    
    //
    
    返回一个本地系统独一无二的ID,用于系统权限更改
    
    

    
    AdjustTokenPrivileges();  
    
    //
    
    从英文意思也能看出它是更改进程权限用的吧?

 

 

 

 

进入宿主进程的内存空间 
在拥有了进入宿主进程空间的权限之后,我们就需要在其内存加入让它加载我们后门的代码了,用LoadLibraryA()函数就可以加载我们的DLL了,它只需要DLL文件的路径就可以了,在这里我们要把DLL文件的路径写入到宿主的内存空间里,因为DLL的文件路径并不存在于宿主进程内存空间了,用到的函数有:

   
   

    
    OpenProcess();
    
             //
    
    用于修改宿主进程的一些属性,详细参看MSDN
    
    

    
    VirtualAllocEx();    
    
      //
    
    用于在宿主内存空间中申请内存空间以写入DLL的文件名
    
    

    
    WriteProcessMemory();
    
      //
    
    往申请到的空间中写入DLL的文件名

 

 

 

在宿主中启动新的线程 
用的是LoadLibraryA()函数来加载,但在使用LoadLibraryA()之前必须知道它的入口地址,所以用GetProcAdress来获得它的入口地址,有了它的地址以后,就可以用CreateRemoteThread()函数来启动新的线程了,到次,整个注入过程完成,不过还不非常完善,这就留给聪明的你来完成了;)。 


简单的例子:

 

复制代码 
   
   

    
    #include 
    
    <
    
    windows.h
    
    >
    
    
#include 
    
    <
    
    iostream.h
    
    >
    
    


    
    int
    
     EnableDebugPriv(
    
    const
    
     
    
    char
    
     
    
    *
    
     name)
{
    HANDLE hToken;
    TOKEN_PRIVILEGES tp;
    LUID luid;
    
    
    //
    
    打开进程令牌环
    
    

    
        OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES
    
    |
    
    TOKEN_QUERY, 
    
    &
    
    hToken);
    
    
    //
    
    获得进程本地唯一ID
    
    

    
        LookupPrivilegeValue(NULL, name, 
    
    &
    
    luid) ;
     
    tp.PrivilegeCount 
    
    =
    
     
    
    1
    
    ;
    tp.Privileges[
    
    0
    
    ].Attributes 
    
    =
    
     SE_PRIVILEGE_ENABLED;
    tp.Privileges[
    
    0
    
    ].Luid 
    
    =
    
     luid;
    
    
    //
    
    调整权限
    
    

    
        AdjustTokenPrivileges(hToken, 
    
    0
    
    , 
    
    &
    
    tp, 
    
    sizeof
    
    (TOKEN_PRIVILEGES), NULL, NULL);
    
    
    return
    
     
    
    0
    
    ;
}


    
    //
    
    *****************************************************************************************************************************
    
    

    
    
BOOL InjectDll(
    
    const
    
     
    
    char
    
     
    
    *
    
    DllFullPath, 
    
    const
    
     DWORD dwRemoteProcessId)
{
    HANDLE hRemoteProcess;
    EnableDebugPriv(SE_DEBUG_NAME);
    
    
    //
    
    打开远程线程
    
    

    
        hRemoteProcess 
    
    =
    
     OpenProcess( PROCESS_ALL_ACCESS, FALSE, dwRemoteProcessId );

    
    
    char
    
     
    
    *
    
    pszLibFileRemote;

    
    
    //
    
    使用VirtualAllocEx函数在远程进程的内存地址空间分配DLL文件名空间
    
    

    
        pszLibFileRemote 
    
    =
    
     (
    
    char
    
     
    
    *
    
    ) VirtualAllocEx( hRemoteProcess, NULL, lstrlen(DllFullPath)
    
    +
    
    1
    
    , MEM_COMMIT, PAGE_READWRITE);


    
    
    //
    
    使用WriteProcessMemory函数将DLL的路径名写入到远程进程的内存空间
    
    

    
        WriteProcessMemory(hRemoteProcess, pszLibFileRemote, (
    
    void
    
     
    
    *
    
    ) DllFullPath, lstrlen(DllFullPath)
    
    +
    
    1
    
    , NULL);


    
    //
    
    ##############################################################################
    
    
    //
    
    计算LoadLibraryA的入口地址
    
    

    
        PTHREAD_START_ROUTINE pfnStartAddr 
    
    =
    
     (PTHREAD_START_ROUTINE)
            GetProcAddress(GetModuleHandle(TEXT(
    
    "
    
    Kernel32
    
    "
    
    )), 
    
    "
    
    LoadLibraryA
    
    "
    
    );
    
    
    //
    
    (关于GetModuleHandle函数和GetProcAddress函数)

    
    
    //
    
    启动远程线程LoadLibraryA,通过远程线程调用创建新的线程
    
    

    
        HANDLE hRemoteThread;
    
    
    if
    
    ( (hRemoteThread 
    
    =
    
     CreateRemoteThread( hRemoteProcess, NULL, 
    
    0
    
    , pfnStartAddr, pszLibFileRemote, 
    
    0
    
    , NULL) ) 
    
    ==
    
     NULL)
    {
        cout
    
    <<
    
    "
    
    注入线程失败!
    
    "
    
    <<
    
    endl;
        
    
    return
    
     FALSE;
    }

    
    //
    
    ##############################################################################
    
    

    
    
    
    
    /*
    
    
    // 在//###.....//###里的语句也可以用如下的语句代替:
     DWORD dwID;
     LPVOID pFunc = LoadLibraryA;
     HANDLE hRemoteThread = CreateRemoteThread(hRemoteProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pFunc, pszLibFileRemote, 0, &dwID );
     //是不是感觉简单了很多
    
    
    */
    
    

      
    
    //
    
     释放句柄
    
    

    
    
    CloseHandle(hRemoteProcess);
    CloseHandle(hRemoteThread);

    
    
    return
    
     TRUE;
}


    
    //
    
    *****************************************************************************************************************************
    
    

    
    

    
    int
    
     main()
{
    InjectDll(
    
    "
    
    c:\\zrqfzr.dll
    
    "
    
    , 
    
    3060
    
    ) ;
    
    //
    
    这个数字是你想注入的进程的ID号
    
    

    
        
    
    return
    
     
    
    0
    
    ;
}
flyingleo1981
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
C++ 远程dll注入
11-20
C++ 远程dll注入,初识病毒,可以记录下用户的键盘按下事件
C++ dll注入 程序注入 示例代码
06-10
C++ dll注入 程序注入 示例代码
DLL远程注入实例
weixin_34161083的博客
03-08 116
一般情况下,每个进程都有自己的私有空间,理论上,别的进程是不允许对这个私人空间进行操作的,但是,我们可以利用一些方法进入这个空间并进行操作,将自己的代码写入正在运行的进程中,于是就有了远程注入了。对dll后门的编写就不作过多的讨论了,现在来看实现注入功能的可执行文件的编写:用到的函数有: OpenProcessToken();LookupPriv...
DLL注入
dukeboy954的专栏
05-28 568
<br />所谓DLL注入就是将一个DLL放进某个进程的地址空间里,让它成为那个进程的一部分。要实现DLL注入,首先需要打开目标进程。<br /> <br />hRemoteProcess = OpenProcess( PROCESS_CREATE_THREAD | //允许远程创建线程 <br />  PROCESS_VM_OPERATION | //允许远程VM操作 <br />  PROCESS_VM_WRITE, //允许远程VM写 <br />  FALSE, dwRemoteProcessId
C++dll远程注入
weixin_33897722的博客
12-19 95
2019独角兽企业重金招聘Python工程师标准>>> ...
C++封装远程注入类CreateRemoteThreadEx实例
09-04
C++封装远程注入类`CreateRemoteThreadEx`实例主要涉及Windows系统编程中的进程间通信(IPC)技术,尤其是动态链接库(DLL)的远程注入远程注入是指将一个DLL加载到另一个正在运行的进程的地址空间中,允许共享...
dll注入列子 32.64可用 使用远程线程
01-02
标题“dll注入例子 32.64可用 使用远程线程”表明这是一个示例项目,演示了如何在32位和64位操作系统上进行DLL注入,同时利用了远程线程的技术。这涉及到Windows API的深入理解,特别是与进程和线程操作相关的部分。...
远程注入查看被注入程序使用的dll
07-23
1. **远程注入**:远程注入是指将代码或数据注入到另一个运行中的进程空间中,通常通过DLL来实现。这种方式可以让我们的代码在目标进程中执行,而无需修改原程序。在Windows操作系统中,常用的方法包括...
c++down远程线程注入.rar_下载者_文件映射_线程注入_远程线程注入
最新发布
09-21
C++实现远程线程注入与文件映射通信详解》 在计算机编程中,远程线程注入和文件映射通信是两种重要的技术,常用于进程间通信和系统级操作。本篇文章将深入探讨C++中如何实现这两种技术,并结合一个下载者程序的...
c++ windows DLL远程注入
weixin_42603425的博客
03-11 2476
这次使用远程线程来进行DLL注入,它提供了最高的灵活性。从根本上说DLL注入要求目标进程中的一个线程使用LoadLibrary来载入我们的DLL。 由于我们不能随意的控制别的线程,因此我们需要在目标进程创建一个新的线程远程创建线程可以使用 CreateRemoteThread 来进行创建,下面是函数原型。 HANDLE CreateRemoteThread( [in] HANDLE hProcess, [in] LPSECURITY_ATTRIBUTES lpThreadAttr
DLL注入实例+教程
10-17
远程注入DLL方法有很多种,也是很多木马病毒所使用的隐藏进程的方法,因为通过程序加载的DLL在进程管理器是没有显示的.这里介绍一种用 CreateRemoteThread 远程建立线程的方式注入DLL. 首先,我们要提升自己的权限,因为远程注入必不可免的要访问到目标进程的内存空间,如果没有足够的系统权限,将无法作任何事.下面是这个函数是用来提升我们想要的权限用的. function EnableDebugPriv: Boolean; var hToken: THandle; tp: TTokenPrivileges; rl: Cardinal; begin Result := false; //打开进程令牌环 OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES or TOKEN_QUERY, hToken); //获得进程本地唯一ID if LookupPrivilegeValue(nil, 'SeDebugPrivilege', tp.Privileges[0].Luid) then begin tp.PrivilegeCount := 1; tp.Privileges[0].Attributes := SE_PRIVILEGE_ENABLED; //调整权限 Result := AdjustTokenPrivileges(hToken, false, tp, SizeOf(tp), nil, rl); end; end; 关于 OpenProcessToken() 和 AdjustTokenPrivileges() 两个 API 的简单介绍: OpenProcessToken():获得进程访问令牌的句柄. function OpenProcessToken( ProcessHandle: THandle; //要修改访问权限的进程句柄 DesiredAccess: DWORD; //指定你要进行的操作类型 var TokenHandle: THandle//返回的访问令牌指针 ): BOOL; AdjustTokenPrivileges() :调整进程的权限. function AdjustTokenPrivileges( TokenHandle: THandle; // 访问令牌的句柄 DisableAllPrivileges: BOOL; // 决定是进行权限修改还是除能(Disable)所有权限 const NewState: TTokenPrivileges; { 指明要修改的权限,是一个指向TOKEN_PRIVILEGES结构的指针,该结构包含一个数组, 数据组的每个项指明了权限的类型和要进行的操作; } BufferLength: DWORD; //结构PreviousState的长度,如果PreviousState为空,该参数应为 0 var PreviousState: TTokenPrivileges; // 指向TOKEN_PRIVILEGES结构的指针,存放修改前的访问权限的信息 var ReturnLength: DWORD //实际PreviousState结构返回的大小 ) : BOOL; 远程注入DLL其实是通过 CreateRemoteThread 建立一个远程线程调用 LoadLibrary 函数来加载我们指定的DLL,可是如何能让远程线程知道我要加载DLL呢,要知道在Win32系统下,每个进程都拥有自己的4G虚拟地址空间,各个进程之间都是相互独立的。所我们需要在远程进程的内存空间里申请一块内存空间,写入我们的需要注入DLL 的路径. 需要用到的 API 函数有: OpenProcess():打开目标进程,得到目标进程的操作权限,详细参看MSDN function OpenProcess( dwDesiredAccess: DWORD; // 希望获得的访问权限 bInheritHandle: BOOL; // 指明是否希望所获得的句柄可以继承 dwProcessId: DWORD // 要访问的进程ID ): THandle; VirtualAllocEx():用于在目标进程内存空间中申请内存空间以写入DLL的文件名 function VirtualAllocEx( hProcess: THandle; // 申请内存所在的进程句柄 lpAddress: Pointer; // 保留页面的内存地址;一般用nil自动分配 dwSize, // 欲分配的内存大小,字节单位;注意实际分 配的内存大小是页内存大小的整数倍 flAllocationType: DWORD; flProtect: DWORD ): Pointer; WriteProcessMemory():往申请到的空间中写入DLL的文件名 function WriteProcessMemory( hProcess: THandle; //要写入内存数据的目标进程句柄 const lpBaseAddress: Pointer; //要写入的目标进程的内存指针, 需以 VirtualAllocEx() 来申请 lpBuffer: Pointer; //要写入的数据 nSize: DWORD; //写入数据的大小 var lpNumberOfBytesWritten: DWORD //实际写入的大小 ): BOOL; 然后就可以调用 CreateRemoteThread 建立远程线程调用 LoadLibrary 函数来加载我们指定的DLL. CreateRemoteThread() //在一个远程进程中建立线程 function CreateRemoteThread( hProcess: THandle; //远程进程的句柄 lpThreadAttributes: Pointer; //线程安全描述字,指向SECURITY_ATTRIBUTES结构的指针 dwStackSize: DWORD; //线程栈大小,以字节表示 lpStartAddress: TFNThreadStartRoutine; // 一个TFNThreadStartRoutine类型的指针,指向在远程进程中执行的函数地址 lpParameter: Pointer; //传入参数的指针 dwCreationFlags: DWORD; //创建线程的其它标志 var lpThreadId: DWORD //线程身份标志,如果为0, 则不返回 ): THandle; 整个远程注入DLL的具体实现代码如下: function InjectDll(const DllFullPath: string; const dwRemoteProcessId: Cardinal): Boolean; var hRemoteProcess, hRemoteThread: THandle; pszLibFileRemote: Pointer; pszLibAFilename: PwideChar; pfnStartAddr: TFNThreadStartRoutine; memSize, WriteSize, lpThreadId: Cardinal; begin Result := false; // 调整权限,使程序可以访问其他进程的内存空间 if EnableDebugPriv then begin //打开远程线程 PROCESS_ALL_ACCESS 参数表示打开所有的权限 hRemoteProcess := OpenProcess(PROCESS_ALL_ACCESS, false, dwRemoteProcessId); try // 为注入dll文件路径分配内存大小,由于为WideChar,故要乘2 GetMem(pszLibAFilename, Length(DllFullPath) * 2 + 1); // 之所以要转换成 WideChar, 是因为当DLL位于有中文字符的路径下时不会出错 StringToWideChar(DllFullPath, pszLibAFilename, Length(DllFullPath) * 2 + 1); // 计算 pszLibAFilename 的长度,注意,是以字节为单元的长度 memSize := (1 + lstrlenW(pszLibAFilename)) * SizeOf(WCHAR); //使用VirtualAllocEx函数在远程进程的内存地址空间分配DLL文件名空间 pszLibFileRemote := VirtualAllocEx(hRemoteProcess, nil, memSize, MEM_COMMIT, PAGE_READWRITE); if Assigned(pszLibFileRemote) then begin //使用WriteProcessMemory函数将DLL的路径名写入到远程进程的内存空间 if WriteProcessMemory(hRemoteProcess, pszLibFileRemote, pszLibAFilename, memSize, WriteSize) and (WriteSize = memSize) then begin lpThreadId := 0; // 计算LoadLibraryW的入口地址 pfnStartAddr := GetProcAddress(LoadLibrary('Kernel32.dll'), 'LoadLibraryW'); // 启动远程线程LoadLbraryW,通过远程线程调用创建新的线程 hRemoteThread := CreateRemoteThread(hRemoteProcess, nil, 0, pfnStartAddr, pszLibFileRemote, 0, lpThreadId); // 如果执行成功返回 True; if (hRemoteThread 0) then Result := true; // 释放句柄 CloseHandle(hRemoteThread); end; end; finally // 释放句柄 CloseHandle(hRemoteProcess); end; end; end; 接下来要说的是如何卸载注入目标进程中的DLL,其实原理和注入DLL是完全相同的,只是远程调用调用的函数不同而已,这里要调用的是FreeLibrary,代码如下: function UnInjectDll(const DllFullPath: string; const dwRemoteProcessId: Cardinal): Boolean; // 进程注入和取消注入其实都差不多,只是运行的函数不同而已 var hRemoteProcess, hRemoteThread: THandle; pszLibFileRemote: PChar; pszLibAFilename: PwideChar; pfnStartAddr: TFNThreadStartRoutine; memSize, WriteSize, lpThreadId, dwHandle: Cardinal; begin Result := false; // 调整权限,使程序可以访问其他进程的内存空间 if EnableDebugPriv then begin //打开远程线程 PROCESS_ALL_ACCESS 参数表示打开所有的权限 hRemoteProcess := OpenProcess(PROCESS_ALL_ACCESS, false, dwRemoteProcessId); try // 为注入dll文件路径分配内存大小,由于为WideChar,故要乘2 GetMem(pszLibAFilename, Length(DllFullPath) * 2 + 1); // 之所以要转换成 WideChar, 是因为当DLL位于有中文字符的路径下时不会出错 StringToWideChar(DllFullPath, pszLibAFilename, Length(DllFullPath) * 2 + 1); // 计算 pszLibAFilename 的长度,注意,是以字节为单元的长度 memSize := (1 + lstrlenW(pszLibAFilename)) * SizeOf(WCHAR); //使用VirtualAllocEx函数在远程进程的内存地址空间分配DLL文件名空间 pszLibFileRemote := VirtualAllocEx(hRemoteProcess, nil, memSize, MEM_COMMIT, PAGE_READWRITE); if Assigned(pszLibFileRemote) then begin //使用WriteProcessMemory函数将DLL的路径名写入到远程进程的内存空间 if WriteProcessMemory(hRemoteProcess, pszLibFileRemote, pszLibAFilename, memSize, WriteSize) and (WriteSize = memSize) then begin // 计算GetModuleHandleW的入口地址 pfnStartAddr := GetProcAddress(LoadLibrary('Kernel32.dll'), 'GetModuleHandleW'); //使目标进程调用GetModuleHandleW,获得DLL在目标进程中的句柄 hRemoteThread := CreateRemoteThread(hRemoteProcess, nil, 0, pfnStartAddr, pszLibFileRemote, 0, lpThreadId); // 等待GetModuleHandle运行完毕 WaitForSingleObject(hRemoteThread, INFINITE); // 获得GetModuleHandle的返回值,存在dwHandle变量中 GetExitCodeThread(hRemoteThread, dwHandle); // 计算FreeLibrary的入口地址 pfnStartAddr := GetProcAddress(LoadLibrary('Kernel32.dll'), 'FreeLibrary'); // 使目标进程调用FreeLibrary,卸载DLL hRemoteThread := CreateRemoteThread(hRemoteProcess, nil, 0, pfnStartAddr, Pointer(dwHandle), 0, lpThreadId); // 等待FreeLibrary卸载完毕 WaitForSingleObject(hRemoteThread, INFINITE); // 如果执行成功返回 True; if hRemoteProcess 0 then Result := true; // 释放目标进程中申请的空间 VirtualFreeEx(hRemoteProcess, pszLibFileRemote, Length(DllFullPath) + 1, MEM_DECOMMIT); // 释放句柄 CloseHandle(hRemoteThread); end; end; finally // 释放句柄 CloseHandle(hRemoteProcess); end; end; end;
C++远程注入
04-13
C++实现的远程注入的主要代码实现和注视,非常好用
Windows DLL注入示例
04-02
Windows DLL注入系统文章的配套代码。详见“说明.txt”文档。
dll注入例子
07-05
例子是利用CreateRemoteThread 实行远程代码注入的一个demo.
注入DLL实例
11-16
传入dll路径字符串。 传入注入对象字符串。 注入
病毒编程奥秘:DLL远程注入技术详解
12-25 960
DLL远程注入技术是目前Win32病毒广泛使用的一种技术。使用这种技术的病毒体通常位于一个DLL中,在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)中运行。   这样一来,普通的进程管理器就很难发现这种病毒了,而且即使发现了也很难清除,因为只要病毒寄生的进程不终止运行,那么这个DLL就不会在内存中卸载,用户也就无法在资源管理器中删除这个DLL文件,真
DLL远程注入技术
马说@CSDN
09-12 3662
DLL远程注入技术是目前Win32病毒广泛使用的一种技术。使用这种技术的病毒体通常位于一个DLL中,在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)中运行。这样一来,普通的进程管理器就很难发现这种病毒了,而且即使发现了也很难清除,因为只要病毒寄生的进程不终止运行,那么这个DLL就不会在内存中卸载,用户也就无法在资源管理器中删除这个DLL文件,真可谓一
DLL注入C++远程DLL注入
Fzuim的博客
06-28 1772
这是个很古老的DLL注入技术,采用的是创建远程线程的方式。将LdadLibraryA的函数地址当做线程的回调地址,线程参数采用待注入DLL的绝对路径值。这个参数我们得采用VirtualAllocEx和WriteProcessMemory的方式在目标进程进行内存空间的申请和写入。废话不多说,贴上自己写的代码: DLL注入函数:   bool Dll_Inject(DWORD&amp; v_d...
一个完整的DLL远程注入函数
冷风
07-11 2899
函数名称: CreateRemoteDll()返加类型:BOOL接受参数: DLL路径,注入进程ID 其完整代码如下: BOOL CreateRemoteDll(const char *DllFullPath, const DWORD dwRemoteProcessId)...{    HANDLE hToken;    if ( OpenProcessToken(GetC
Windows远程注入DLL技术详解
实现远程注入DLL通常涉及编写C/C++代码,包括以上步骤的实现。完成源码编写后,进行测试以确保DLL能够正确注入并执行预期的代码。 需要注意的是,远程注入DLL可能涉及安全风险,滥用此技术可能会被视为恶意行为,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值