关于DLL注入的理解

最新推荐文章于 2023-05-17 16:48:12 发布
最新推荐文章于 2023-05-17 16:48:12 发布
阅读量553 收藏 3
点赞数 1
文章标签: 注入 dll注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fuhanghang/article/details/118389946
版权

DLL注入方式较多,包括API拦截与替换、消息钩子、远程进程注入。通常这些注入都是针对第三方程序(下面简称目标程序)的操作。

目标程序主要分为两种,解释型和编译型

解析型可以在解释权解释之前做很多事情,解释之前的代码不是二进制代码,而是解释器可以看懂的代码,比较简单,也比较可行。

编译型则无法在编译前做任何事情,因为目标程序一般是第三方编译完成之后发布出来的。编译完成后就是二进制代码(即使能反汇编),就不存在变量名、函数名等标识符,因为这些标识符已经转换成相应的地址。这种情况下,如果拿不到真正的地址,则即使注入到主线程(UI线程)中,依然没有任何作用。除非程序调用的dll包含导出函数,我们可以实现函数地址的替换。

即使采用MFC框架提供的方式,也是对编译后的程序无能为力的,因为MFC框架也只是一段普通代码,并不是WIN API,无法获取OS执行过程中的任何消息或者改变OS执行过程中的任何操作。

Windows API中使用的是句柄,C/C++中使用的是指针。两者并没有什么关系。MFC中的对象既有指针,又有句柄,是因为这个对象留出了一个成员变量来存放WIndows窗体句柄(注意:windows窗体对象本身的指针是无法获取的,因为windows api只能获取窗体句柄)。

顺其自然~
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
cpp-单个VisualStudio项目实现多种DLL注入技术
08-16
单个Visual Studio项目实现多种DLL注入技术(实际上是7种不同的技术),可以兼容32位和64位。 每种技术都有自己的源代码文件,使其易于阅读和理解
JavaScript仿Office颜色选择器
上善若水
02-03 217
     摘要:   <HTML> <HEAD> <TITLE> Office 风格颜色选择器</TITLE> <META NAME="Generator" CONTENT="EditPlus"> <META NAME="Author" CONTENT=""> &
基于visual c++之windows核心编程代码分析(63)无模块dll进程注射
我的编程之旅
01-01 1917
我们在信息安全编程的时候经常需要进行dll进程注入, 我们在编程中如何实现呢。 需要引用 Psapi.Lib,具体可以百度下载之。 其头文件如下, [cpp] view plaincopyprint? odule Name:        psapi.h    Abstract:        Include file for APIs provided by PS
user32.dll
weixin_30613433的博客
06-26 139
1 user32.dll中的所有函数 2 3 4 5 6 using System; 7 using System.Collections.Generic; 8 using System.Linq; 9 using System.Text; 10 using System.Runtim...
Code First常用命令
u014427923的博客
01-13 1249
Code First常用命令 Enable-Migrations (创建迁移目录:Migrations,如果有多个数据上下文可以用 -ContextTypeName 命令迁移对应的数据上下文 ) Add-Migration (创建一个迁移文件) update-database(启动迁移,生成数据库) install-package entityframework(初始化配置包) *Update...
DLL 注入技术的 N 种姿势
cplus2009的专栏
08-22 1418
  DLL 注入技术的 N 种姿势 本文中我将介绍DLL注入的相关知识。不算太糟的是,DLL注入技术可以被正常软件用来添加/扩展其他程序,调试或逆向工程的功能性;该技术也常被恶意软件以多种方式利用。这意味着从安全角度来说,了解DLL注入的工作原理是十分必要的。   不久前在为攻击方测试(目的是为了模拟不同类型的攻击行为)开发定制工具的时候,我编写了这个名为“injectAllTheTh...
进程中dll模块的隐藏
xjh_Love_paopao的专栏
07-21 1485
 http://netroc682.spaces.live.com/        为了避免自己的某个dll模块被别人检测出来,有时候希望在自己加载一个dll之后,或者将dll注入到他人进程之后避免被检查出来。这就需要想办法抹掉这个dll的模块信息,使得Toolhelp、psapi等枚举模块的API无法枚举它。        我们可以先简单看看Windows枚举进程内模块的办法吧:  
恶意代码--dll动态链接库注入目标进程隐藏自身(亲测win7x86和x64有效)
关注互联网安全的小虾米一枚
10-25 9267
0x01 dll 注入简介 所谓DLL注入就是将一个DLL放进某个进程的地址空间里,让它成为那个进程的一部分。 很多恶意代码,游戏外挂,盗号木马,顽固类病毒等程序均采用此寄生,隐藏在目标计算机之内。 0x02 dll 注入关键API VirtualAllocEx function VirtualAllocEx函数在远程进程的地址空间中分配一块内存
隐藏模块(无模块注入
hambaga的博客
08-12 3052
模块隐藏那节课要求完成两个作业,都是隐藏模块,第一种方式是这样的: 这个题目的意思是将程序的基址设置成高地址,将0x400000空出来,然后将游戏主模块拉伸,修复IAT之后,注入进去。这样做的好处主要是简单,因为不需要修复重定位表了。缺点也很明显,很多时候根本没办法在0x400000处申请足够大的内存容纳游戏程序。,还有就是有些程序跳转到OEP之后会卡住,具体原因我也不知道。我这里用dbgview.exe测试,能够正常启动,这足够说明我的代码没有大的错误。 任务管理器中只会看到控制台的进程,看不到dbg
Dll无模块加载(二)
qq_22423659的博客
01-10 1490
以 gh0st源码为例,我将服务端代码迁移了出来,因为在网上的gh0st代码基本上都是release版本的,将服务端代码取出来方便调试。 在服务端生成的dll,显示加载的话在OD中明显可以看到相关模块,所以为了达到模块隐藏的目的,需要从内存中加载相关模块,从而在OD 中看不到这个dll。 在百度上面搜索MemLoadDll找到了相关的源码,但是大部分源码调用MemLoadLi
dll远程注入技术
09-04
dll远程注入技术,深入理解病毒和木马的注入技术
swmmh50022_engine
01-22
dll的编译也分为两种不同方式,一种是采用swmm规定的中间文件(.inp、.out、.rpt)调用dll,这样不需要花费时间理解swmmEngine的流程和代码。另一种是解析其核心代码,仅使用核心计算模型,编写对外调用函数API,...
PyBox:Python 中的虚拟沙箱
06-06
一个模块(PyBox.dll),它被注入到目标进程和 API 提供各种工具,用于记录和分析活动以及对流程进行全面操作。 这种类似 Rootkit 的方法允许密切监视行为,从而有助于了解程序的功能。 什么是 PyBox PyBox(...
PDD工作台 Hook消息回调+发送消息SDK
06-06
本源码无论是inlinehook还是call,都采用跨进程远程操作,从头到尾不会释放或注入dll到pdd进程。核心功能全部是纯源码带注释,有利于学习和理解功能是如何实现的。在此基础上开发可实现诸如:。1、用户发来申请修改...
简单常用的一些函数,个人的函数库
热门推荐
雾隐雾现的至渝博客
07-30 2万+
1、把一个整数倒序 int reverseInt( int num ){ int r = 0; while (num > 0) { r = r*10 + num % 10; num = num / 10; } return r; } 用处:可以判断是否是回文数(且要求不能把数字...
<MySQL系列> 3.DDL模块,实现对库和表的操作
尚墨1111的博客
09-24 110
三、DDL database define language 数据定义语言,操作库、表 首先是对库的管理 创建 删除 修改 其次便是对表的管理 创建 删除 修改 再往下对表的结构的操作 增加 删除 修改 1.库的管理 |-- 创建库 CREATE DATABASE IF NOT EXISTS Thinking; |-- 删除库 DROP DATABASE IF EXISTS student; |-- 修改库,低版本不支持 REN
跨平台的高性能的C++通讯库
weixin_30938149的博客
04-27 239
想找个C++的跨平台的,高性能的,易于使用的通讯库,在考虑过libevent、boost::aio、libapr、libev、libuv之后,又看到了gnome的gnio为什么这个库这么难找呢,这是由于linux下必须用epoll性能才高,在windows下必须用iocp性能才高。而这两个机制差异太大,不容易整合到一起。退而求其次,只要这个库能支持一万个并发连接的时候性能还过得去就好了。跨平台...
Windows如何进行冷注入?如何冷注入后不被内存检测?如何混淆加密DLL?【已亲测】
Mz
03-04 790
混淆 DLL:可以使用混淆技术来隐藏 DLL 的真实内容,从而避免被检测到。在 Windows 中,冷注入本身并不会被内存检测所发现,因为它是一种将 DLL 注入到目标进程中的方法,而不需要启动目标进程。避免使用常见的注入函数:一些杀毒软件和安全软件会监测常见的注入函数,如 CreateRemoteThread、SetWindowsHookEx 等,因此可以尝试使用其他未被广泛使用的注入函数。加密和混淆 DLL:可以使用加密和混淆技术来隐藏 DLL 的真实内容,从而避免被检测到。
dll注入技术
Tandy12356_的博客
05-17 3506
通过dll注入技术实现限制网瘾少年的目的!
dll注入和汇编注入器 64
最新发布
09-28
DLL注入是一种常见的技术,在运行时将一个外部的动态链接库文件(DLL)加载到一个进程的地址空间中。通过DLL注入,我们可以实现对目标进程的操作,例如修改其内存内容、调用其函数等。 DLL注入的过程大致分为以下几...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

顺其自然~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值