win7和win10下的dll远程注入代码和inline hook 进程隐藏

最新推荐文章于 2024-01-25 11:00:00 发布
最新推荐文章于 2024-01-25 11:00:00 发布
阅读量3k 收藏 13
点赞数 1
分类专栏: C++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiangyingfeng/article/details/100580947
版权

win7和win10远程注入dll的代码不通用,归纳代码如下

判断当前系统类型:

DWORD checkOS()
{
	OSVERSIONINFO os_version;

	os_version.dwOSVersionInfoSize = sizeof(os_version);

	if (GetVersionEx(&os_version))
	{
		if (os_version.dwMajorVersion == 5)
		{

			//wprintf(TEXT("[+] OS version: Windows XP\n"));
			return(1);
		}
		if (os_version.dwMajorVersion == 6 && os_version.dwMinorVersion == 0)
		{
			//wprintf(TEXT("[+] OS version: Windows Vista\n"));
			return(2);
		}
		if (os_version.dwMajorVersion == 6 && os_version.dwMinorVersion == 1)
		{
			//wprintf(TEXT("[+] OS version: Windows 7\n"));
			return(3);
		}
		if (os_version.dwMajorVersion == 6 && os_version.dwMinorVersion == 2)
		{
			//wprintf(TEXT("[+] OS version: Windows 10\n"));
			return(4);
		}
	}
	//else
		//printf("[-] OS version detect failed.\n");

	return(0);
}

根据具体的系统类型来判断使用的注入代码

如果是vista或者win7操作系统,使用如下代码:

DWORD demoNtCreateThreadEx(PCWSTR pszLibFile, DWORD dwProcessId)
{
	HANDLE hRemoteThread = NULL;
	NtCreateThreadExBuffer ntbuffer;
	LARGE_INTEGER dwTmp1 = { 0 };
	LARGE_INTEGER dwTmp2 = { 0 };
	char cTmp[100] = { 0x00 };
	memset(&ntbuffer, 0, sizeof(NtCreateThreadExBuffer));

	DWORD dwSize = (lstrlenW(pszLibFile) + 1) * sizeof(wchar_t);

	HANDLE hProcess = OpenProcess(
		PROCESS_QUERY_INFORMATION |
		PROCESS_CREATE_THREAD |
		PROCESS_VM_OPERATION |
		PROCESS_VM_WRITE,
		FALSE, dwProcessId);

	if (hProcess == NULL)
	{
		sprintf_s(cTmp, "%s  OpenProcess errcode[%d]", GetCurTime().c_str(), GetLastError());
		fprintf(g_plog, "%s\n", cTmp);
		return(1);
	}

	LPVOID pszLibFileRemote = (PWSTR)VirtualAllocEx(hProcess, NULL, dwSize, MEM_COMMIT, PAGE_READWRITE);
	if (pszLibFileRemote == NULL)
	{
		sprintf_s(cTmp, "%s  VirtualAllocEx errcode[%d]", GetCurTime().c_str(), GetLastError());
		fprintf(g_plog, "%s\n", cTmp);
		return(1);
	}

	int n = WriteProcessMemory(hProcess, pszLibFileRemote, (LPVOID)pszLibFile, dwSize, NULL);
	if (n == 0)
	{
		sprintf_s(cTmp, "%s  WriteProcessMemory errcode[%d]", GetCurTime().c_str(), GetLastError());
		fprintf(g_plog, "%s\n", cTmp);
		return(1);
	}

	PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryW");
	if (pfnThreadRtn == NULL)
	{
		sprintf_s(cTmp, "%s  GetProcAddress errcode[%d]", GetCurTime().c_str(), GetLastError());
		fprintf(g_plog, "%s\n", cTmp);
		return(1);
	}

	PTHREAD_START_ROUTINE ntCreateThreadExAddr = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle(TEXT("ntdll.dll")), "NtCreateThreadEx");
	if (pfnThreadRtn == NULL)
	{
		sprintf_s(cTmp, "%s  ntCreateThreadExAddr errcode[%d]", GetCurTime().c_str(), GetLastError());
		fprintf(g_plog, "%s\n", cTmp);
		return(1);
	}

	if (ntCreateThreadExAddr)
	{
		ntbuffer.Size = sizeof(struct NtCreateThreadExBuffer);
		ntbuffer.Unknown1 = 0x10003;
		ntbuffer.Unknown2 = 0x8;
		ntbuffer.Unknown3 = (DWORD*)&dwTmp2;
		ntbuffer.Unknown4 = 0;
		ntbuffer.Unknown5 = 0x10004;
		ntbuffer.Unknown6 = 4;
		ntbuffer.Unknown7 = (DWORD*)&dwTmp1;
		ntbuffer.Unknown8 = 0;

		LPFUN_NtCreateThreadEx funNtCreateThreadEx = (LPFUN_NtCreateThreadEx)ntCreateThreadExAddr;

		NTSTATUS status = funNtCreateThreadEx(
			&hRemoteThread,
			0x1FFFFF,
			NULL,
			hProcess,
			pfnThreadRtn,
			(LPVOID)pszLibFileRemote,
			FALSE,
			NULL,
			NULL,
			NULL,
			NULL
		);

#ifdef _DEBUG
		//wprintf(TEXT("[+] Status: %s\n"), status);
#endif
		if (status != NULL)		// FIXME: always returns NULL even when it suceeds. Go figure.
		{
			sprintf_s(cTmp, "%s  funNtCreateThreadEx errcode[%d]", GetCurTime().c_str(), GetLastError());
			fprintf(g_plog, "%s\n", cTmp);
			return(1);
		}
		else
		{
			sprintf_s(cTmp, "%s  funNtCreateThreadEx errcode[%d]", GetCurTime().c_str(), GetLastError());
			fprintf(g_plog, "%s\n", cTmp);
			WaitForSingleObject(hRemoteThread, INFINITE);
		}
	}

	if (pszLibFileRemote != NULL)
		VirtualFreeEx(hProcess, pszLibFileRemote, 0, MEM_RELEASE);

	if (hRemoteThread != NULL)
		CloseHandle(hRemoteThread);

	if (hProcess != NULL)
		CloseHandle(hProcess);

	return(0);
}

如果是win10系统,则使用如下dll注入代码?

BOOL InjectDll(DWORD dwPID, LPCTSTR szDllPath) {
	HANDLE hProcess = NULL;
	HANDLE hThread = NULL;
	HMODULE hMod = NULL;
	LPVOID pRemoteBuf = NULL;  // 存储在目标进程申请的内存地址  
	DWORD dwBufSize = (DWORD)(_tcslen(szDllPath) + 1) * sizeof(TCHAR);  // 存储DLL文件路径所需的内存空间大小  
	LPTHREAD_START_ROUTINE pThreadProc;
	char cTmp[100] = { 0x00 };

	if (!(hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID))) {
		//sprintf_s(cTmp, "%s  OpenProcess errcode[%d]", GetCurTime().c_str(), GetLastError());
		//fprintf(g_plog, "%s\n", cTmp);
		return FALSE;
	}

	pRemoteBuf = VirtualAllocEx(hProcess, NULL, dwBufSize, MEM_COMMIT, PAGE_READWRITE);  // 在目标进程空间中申请内存  
	if (pRemoteBuf == NULL)
	{
		return FALSE;
		//sprintf_s(cTmp, "%s  VirtualAllocEx errcode[%d]", GetCurTime().c_str(), GetLastError());
		//fprintf(g_plog, "%s\n", cTmp);
	}
	if (!WriteProcessMemory(hProcess, pRemoteBuf, (LPVOID)szDllPath, dwBufSize, NULL))  // 向在目标进程申请的内存空间中写入DLL文件的路径  
	{
		//sprintf_s(cTmp, "%s  WriteProcessMemory errcode[%d]", GetCurTime().c_str(), GetLastError());
		//fprintf(g_plog, "%s\n", cTmp);
		return FALSE;
	}
	
	hMod = GetModuleHandle(L"kernel32.dll");
	pThreadProc = (LPTHREAD_START_ROUTINE)GetProcAddress(hMod, "LoadLibraryW");  // 获得LoadLibraryW()函数的地址  
	if (pThreadProc == NULL)
	{
		//sprintf_s(cTmp, "%s  GetProcAddress errcode[%d]", GetCurTime().c_str(), GetLastError());
		//fprintf(g_plog, "%s\n", cTmp);
		return FALSE;
	}

	hThread = CreateRemoteThread(hProcess, NULL, 0, pThreadProc, pRemoteBuf, 0, NULL);
	if (hThread == NULL)
	{
		//sprintf_s(cTmp, "%s  CreateRemoteThread errcode[%d]", GetCurTime().c_str(), GetLastError());
		//fprintf(g_plog, "%s\n", cTmp);
		return FALSE;
	}
	WaitForSingleObject(hThread, INFINITE);
	
	//if (pRemoteBuf != NULL)
	//	VirtualFreeEx(hProcess, pRemoteBuf, 0, MEM_RELEASE);
	CloseHandle(hThread);
	CloseHandle(hProcess);

	return TRUE;
}

以上代码在win7 win10 32位和64位测试通过

进程隐藏相关内容可以参考如下链接,有现成的代码套用:

https://www.codeproject.com/Articles/49319/Easy-way-to-set-up-global-API-hooks

feng_blog6688
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
Win10 Hook 进程创建的研究
myjisgreat的专栏
11-21 8145
Win7甚至在它之前开始,想要hook进程创建已经不能简单的HookCreateProcessInternalW这一个函数了,因为Vista开始引入了UAC机制。如果一个进程想要通过UAC弹窗创建管理员进程hook这个进程的CreateProcessInternalW已经不起作用,我在几年前的博文《Win7/VistaHook CreateProcess 的特别之处》(http://blog
win32汇编——dll远程注入
10-05
win32汇编实现dll远程注入。所谓DLL远程注入,就是强迫DLL程序运行在其他进程中,这样做的目的无非有两种:第一是伪装自身,第二是控制宿主。前者常见于病毒或木马,后者则一般用于正规之场合,比如常见的输入法、...
【旧文章搬运】再谈隐藏进程中的DLL模块
weixin_30407099的博客
12-26 194
原文发表于百度空间,2009-09-17========================================================================== 相当老的话题,大约一年前就写过这个东西了,不过那时候知识比较有限,也不了解内核,因此实现得很粗浅,现在再写一下,权当是对这个老问题的总结吧。先谈谈正规DLL隐藏方法,这里说的正规DLL,是指用LoadLib...
DLL隐藏和逆向
m0_75243362的博客
11-08 1553
DLL注入新手详解示例
易语言编程-驱动隐藏x64位dll模块(防DLL注入检测)
hzw320的博客
04-21 3132
这个功能呢可以让易语言隐藏64位进程里任何dll模块,包括自己注入dll也可以隐藏,而且是驱动级别隐藏。所以很大写DLL方式辅助的一注入DLL到游戏就被发现检测,提示第三方DLL程序,关闭后再进行游戏。任何驱动工具(包括CE工具)都无法查看枚举被隐藏DLL文件以及找不到DLL内存区域,.子程序 强制隐藏模块, 长整数型, 公开, 成功返回4,失败返回8。,用这个功能也一样可以隐藏进程中任意DLL模块不被发现。, 长整数型, , 要隐藏dll或exe模块句柄。第三方DLL检测,是很多游戏都会做的,
用户层注入:(3)DLL劫持注入
weixin_43972499的博客
03-13 1161
目录基本概念注入原理函数转发函数调用局限性 基本概念   Windows的应用程序在加载进程所需的动态库时,会根据导入表一一加载。但是,我们的导入表中只保存有动态库的名称,系统如何知道这个动态库的完整路径并将其加载呢?   其实,在加载动态库时,系统会按照一定的顺序搜索各个目录来寻找指定的Dll文件。一般搜索顺序为: 应用程序所在目录-->系统目录-->16位系统目录-->Windows目录-->运行程序的当前目录-->PATH环境变量。   这还与注册表项HKLM\Syst
windows下DLL动态库注入和拦截
06-08
当`DLLinject`成功将`inlinehook`注入`Test`程序后,`inlinehook`动态库中的代码开始生效,可以拦截`Test`程序对某些特定Win32 API函数的调用。例如,如果`Test`试图打开一个被保护的exe文件,`inlinehook`可以拦截...
内存注入(IAT HookInline Hook)
06-02
本压缩包有我自己写的内存注入程序与测试程序,并附有相应的源码..会用MessageBox 去Hook 指定的函数
WIN64位驱动 InLine_HOOK框架
12-28
在计算机编程领域,驱动程序是操作系统与硬件设备之间的桥梁,而InLine_HOOK框架则是一种常见的驱动技术,它允许开发者在不修改目标代码的情况下,对特定函数进行拦截和替换,以此实现对系统行为的控制或监控。...
使用全局和线程钩子注入DLL.rar
08-04
3. **利用进程注入库**:如`EasyHook`或`Detours`等库,提供了更方便的API来实现DLL注入。 在“使用全局和线程钩子注入DLL”的主题中,你将学习如何结合这些技术来创建和管理钩子,以及如何将包含钩子函数的DLL注入...
隐藏进程 win10测试可用
04-23
可以完美隐藏进程,保护进程,保护文件,删除文件等功能,非常好用!
DLL注入隐藏
12-26
易语言的dll注入隐藏,是易语言源代码~~有兴趣的朋友可以去看看
隐藏注入dll
08-12
隐藏注入进程dll,让我们的模块来无影去无踪
莫防破解模块2.0,支持全系统隐藏进程,保护进程隐藏模块,支持win7 64位隐藏进程,,支持win8 64位隐藏进程,支持win10 64位隐藏进程
07-07
莫防破解模块2.0,支持全系统隐藏进程,保护进程隐藏模块,支持win7 64位隐藏进程隐藏模块,支持win8 64位隐藏进程隐藏模块支持win10 64位隐藏进程隐藏模块 如发现个别机子隐藏时 蓝屏,请记住 开始蓝屏的时长,可写个循环,例如20分钟蓝屏,便20分钟取消隐藏进程,然后重新加载隐藏进程
win10 X64 可用的钩子函数库
07-26
The Minimalistic API Hooking Library for x64/x86,win10 X64 可用
Windows HOOK
cfz751740465的博客
01-12 237
一、进程HOOK HHOOK g_hKeyboard=NULL; BOOL CInnerHookDlg::OnInitDialog() { ... // 安装HOOK g_hKeyboard=SetWindowsHookEx(WH_KEYBOARD,KeyboardProc,NULL,GetCurrentThreadId()); ... } void CInnerHookDlg::OnClose() { // 卸载HOOK UnhookWindowsHookEx(g_hKeyboard)
『网络安全科普』Windows安全之HOOK技术机制
最新发布
xnxqwzy的博客
01-25 1038
如你所知,Windows系统是建立在事件驱动的机制上的,而每一个事件就是一个消息,每个运行中的程序,也就是所谓的进程,都维护着一个或多个消息队列(消息队列的个数取决于进程内包含的线程的个数)。[网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!HWND hwnd;//接受消息的窗口句柄//消息常量标识符(消息号)//32位消息特定附加信息//32位消息特定附加信息DWORD time;//消息创建时的时间POINT pt;//消息创建时的光标位置。
Windows中的Hook机制
Albert_weiku的博客
06-27 4132
windows中的Hook技术被广泛应用于安全的多个领域,比如杀毒软件的主动防御功能,涉及到对一些敏感API的监控,就需要对这些API进行Hook;窃取密码的木马病毒,为了接收键盘的输入,需要Hook键盘消息;甚至是Windows系统及一些应用程序,在打补丁时也需要用到Hook技术。接下来,我们就来学习Hook技术的原理。...
Ring3下Dll注入方法整理汇总
weixin_33834628的博客
12-16 290
1.dll劫持,粗略整理了下,可以劫持的dll有(持续更新): lpk.dll、usp10.dll、msimg32.dll、midimap.dll、ksuser.dll、comres.dll、ddraw.dll 以lpk为例,在win7下由于lpk被加入KnownDLLs且该注册表值不可修改,使得lpk强制从系统目录加载, 不过可以将lpk.dll加入ExcludeFromKnown...
c++ 代码 inline hook 如何拦截自己进程的api函数
06-12
以下是一个使用 C++ 实现的 inline hook 拦截自己进程的 API 函数的示例代码: ```cpp #include <Windows.h> #include <iostream> // 原始的 API 函数指针 typedef int(__stdcall* OriginalFunction)(int); // 要拦截的 API 函数的名称 const char* FunctionName = "MessageBoxA"; // hook 函数,用于拦截 API 函数 int __stdcall HookFunction(int param) { std::cout << "API function is hooked!" << std::endl; // 调用原始的 API 函数 OriginalFunction originalFunction = (OriginalFunction)GetProcAddress(GetModuleHandleA("user32.dll"), FunctionName); return originalFunction(param); } int main() { // 获取要拦截的 API 函数的地址 OriginalFunction originalFunction = (OriginalFunction)GetProcAddress(GetModuleHandleA("user32.dll"), FunctionName); // 构造跳转指令,跳转到 hook 函数 unsigned char* pTarget = (unsigned char*)originalFunction; unsigned char jumpCode[] = { 0xE9, 0x00, 0x00, 0x00, 0x00 }; DWORD dwOldProtect; VirtualProtect(pTarget, sizeof(jumpCode), PAGE_EXECUTE_READWRITE, &dwOldProtect); DWORD dwOffset = ((DWORD)HookFunction - (DWORD)pTarget - 5); memcpy(&jumpCode[1], &dwOffset, sizeof(DWORD)); memcpy(pTarget, jumpCode, sizeof(jumpCode)); VirtualProtect(pTarget, sizeof(jumpCode), dwOldProtect, &dwOldProtect); // 调用被拦截的 API 函数 MessageBoxA(NULL, "Hello, world!", "Test", MB_OK); // 卸载 hook memcpy(pTarget, originalFunction, sizeof(jumpCode)); VirtualProtect(pTarget, sizeof(jumpCode), dwOldProtect, &dwOldProtect); return 0; } ``` 在上面的代码中,我们使用了 `GetProcAddress` 函数获取了要拦截的 API 函数的地址,并构造了一个跳转指令,跳转到我们自己编写的 hook 函数中。在 hook 函数中,我们保存了原始的 API 函数地址,并执行了自己的代码逻辑,最后调用了原始的 API 函数。在卸载 hook 时,我们将跳转指令还原为原始的 API 函数地址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

feng_blog6688

只需一个赞,谢谢你的鼓励

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值