驱动无模块注入dll学习记录

最新推荐文章于 2025-10-29 23:58:23 发布
原创 最新推荐文章于 2025-10-29 23:58:23 发布 · 242 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#1024程序员节 #驱动开发

最近找到大佬的文章学习了下0环无模块注入记录一下关键的信息点:

无模块注入流程:

        1、将要注入的dll提取成硬编码存放到char数组里
        2、附加目标进程,申请一块不可执行的内存,用来存放硬编码的dll
        3、用隐藏可执行内存的方式,申请一块可执行的内存,用来存放dllLoader
        4、修改dllLoader内的dll入口函数地址
        5、附加到目标进程,并创建线程执行dllLoder
        6、等待线程执行完成,释放内存

第一步将注入的dll提取成硬编码:

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

int convertDllToHeader(const char* dllPath, const char* headerPath, const char* arrayName) {
    // 打开DLL文件
    FILE* dllFile = nullptr;
    errno_t err = fopen_s(&dllFile, dllPath, "rb");
    if (err != 0 || dllFile == NULL) {
        printf("无法打开DLL文件: %s\n", dllPath);
        return 0;
    }

    // 获取文件大小
    fseek(dllFile, 0, SEEK_END);
    long fileSize = ftell(dllFile);
    fseek(dllFile, 0, SEEK_SET);

    if (fileSize <= 0) {
        printf("DLL文件为空或读取失败\n");
        fclose(dllFile);
        return 0;
    }

    // 分配内存并读取文件内容
    unsigned char* buffer = (unsigned char*)malloc(fileSize);
    if (buffer == NULL) {
        printf("内存分配失败\n");
        fclose(dllFile);
        return 0;
    }

    size_t bytesRead = fread(buffer, 1, fileSize, dllFile);
    fclose(dllFile);

    if (bytesRead != fileSize) {
        printf("读取文件出错\n");
        free(buffer);
        return 0;
    }

    // 创建头文件
    FILE* headerFile = nullptr;
    err = fopen_s(&headerFile, headerPath, "w");
    if (err != 0 || headerFile == NULL) {
        printf("无法创建头文件: %s\n", headerPath);
        free(buffer);
        return 0;
    }

    // 写入头文件内容
    fprintf(headerFile, "#pragma once\n");
    fprintf(headerFile, "unsigned char %s[%lu] = {\n", arrayName, (unsigned long)bytesRead);

    // 写入数据,每行30个字节
    size_t i;
    for (i = 0; i < bytesRead; ++i) {
        if (i % 30 == 0) {
            fprintf(headerFile, "    ");
        }

        fprintf(headerFile, "0x%02X", buffer[i]^ 0xc8 ^ 0xd7); //对字节进行异或加密

        if (i != bytesRead - 1) {
            fprintf(headerFile, ",");
        }

        if ((i + 1) % 30 == 0 || i == bytesRead - 1) {
            fprintf(headerFile, "\n");
        }
        else {
            fprintf(headerFile, " ");
        }
    }

    fprintf(headerFile, "};\n\n");

    fclose(headerFile);
    free(buffer);

    printf("成功输出文件: %s\n", headerPath);
    printf("文件大小: %lu 字节\n", (unsigned long)bytesRead);

    return 1;
}

int main(int argc, char* argv[]) {
    // 检查命令行参数数量
    if (argc < 2) {
        printf("使用方法: %s <DLL文件路径> [输出头文件路径] [数组名称]\n", argv[0]);
        printf("示例: %s Test.dll dll.h dllData\n", argv[0]);
        printf("默认输出文件: dll.h, 默认数组名称: dllData\n");
        return 1;
    }

    // 获取DLL文件路径(必须提供)
    const char* dllPath = argv[1];

    // 设置默认值
    const char* headerPath = "dll.h";         // 默认输出头文件路径
    const char* arrayName = "dllData";        // 默认数组名称

    // 如果提供了第3个参数,使用它作为输出头文件路径
    if (argc >= 3) {
        headerPath = argv[2];
    }

    // 如果提供了第4个参数,使用它作为数组名称
    if (argc >= 4) {
        arrayName = argv[3];
    }

    printf("输入DLL文件: %s\n", dllPath);
    printf("输出头文件: %s\n", headerPath);
    printf("数组名称: %s\n", arrayName);

    if (convertDllToHeader(dllPath, headerPath, arrayName)) {
        printf("转换成功!\n");
    }
    else {
        printf("转换失败!\n");
        return 1;
    }

    return 0;
}

上面代码就是将dll转成shellcode编码,注意的是对每个字节进行异或进行简单的加密,因为在驱动加载的时候会调用这个生成的exe去将dll转成shellcode编码存放到dll.h的一个文件,在驱动加载时会取这个编码:

取出后会对字节进行异或解密拿到正常的字节,然后调用InjectX64方法进行注入,方法的核心代码:

NTSTATUS InjectX64(HANDLE pid, char * shellcode, SIZE_T shellcodeSize)
{

	DbgPrintEx(DPFLTR_IHVDRIVER_ID, 0, "=== InjectX64 Start ===\n");
	DbgPrintEx(DPFLTR_IHVDRIVER_ID, 0, "PID: %d, Shellcode Size: %zu\n", pid, shellcodeSize);
	//__debugbreak();
	PEPROCESS Process = NULL;
	NTSTATUS status = PsLookupProcessByProcessId(pid, &Process);
	KAPC_STATE kApcState = {0};

	if (!NT_SUCCESS(status))
	{
		return status;
	}

	if (PsGetProcessExitStatus(Process) != STATUS_PENDING)
	{
		ObDereferenceObject(Process);
		return NULL;
	}

	PUCHAR kfileDll = ExAllocatePool(PagedPool, shellcodeSize);
	memcpy(kfileDll, shellcode, shellcodeSize);

	BOOLEAN isuFileAllocatedll = FALSE;
	BOOLEAN isuShellcode = FALSE;
	BOOLEAN isuimageDll = FALSE;

	PUCHAR ufileDll = NULL;
	PUCHAR uShellcode = NULL;
	SIZE_T uShellcodeSize = 0;
	PUCHAR uImage = NULL;
	SIZE_T uImageSize = 0;

	KeStackAttachProcess(Process, &kApcState);
	do 
	{
		//这里填充的是dll
		ufileDll = AllocateMemoryNotExecute(pid, shellcodeSize);

		if (!ufileDll)
		{
			DbgPrintEx(DPFLTR_IHVDRIVER_ID, 0, "申请不可执行内存失败\n");
			break;
		}
		
		
		memcpy(ufileDll, kfileDll, shellcodeSize);

		isuFileAllocatedll = TRUE;


		//这里填充的是dllLoader
		uShellcode = AllocateMemory(pid, sizeof(MemLoadShellcode_x64));

		if (!uShellcode)
		{
			DbgPrintEx(DPFLTR_IHVDRIVER_ID, 0, "申请存储shellcode内存失败\n");
			break;
		}

		isuShellcode = TRUE;

		memcpy(uShellcode, MemLoadShellcode_x64, sizeof(MemLoadShellcode_x64));
		
		PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)ufileDll;
		PIMAGE_NT_HEADERS pNts = (PIMAGE_NT_HEADERS)(ufileDll + pDos->e_lfanew);
		uImageSize = pNts->OptionalHeader.SizeOfImage;

		//申请内存 存放展开后的dll
		uImage = AllocateMemory(pid, uImageSize);


		DbgPrintEx(DPFLTR_IHVDRIVER_ID, 0, "Base:%llx\n", uImage);

		if (!uImage)
		{
			break;
		}

		//替换shellcode里面的dll地址 mov rax,uImage
		uShellcode[0x50f] = 0x90;
		uShellcode[0x510] = 0x48;
		uShellcode[0x511] = 0xb8;
		*(PULONG64)&uShellcode[0x512] = (ULONG64)uImage;

		
		//附加到目标进程 然后创建线程去跑dllLoader
		PETHREAD thread = NULL;
		if (CreateRemoteThreadByProcess(pid, uShellcode, ufileDll, &thread))
		{
			DbgPrintEx(DPFLTR_IHVDRIVER_ID, 0, "uShellcode:%llx\n", uShellcode);
			KeWaitForSingleObject(thread, Executive, KernelMode, FALSE, NULL);
			DbgPrintEx(DPFLTR_IHVDRIVER_ID, 0, "DLL执行完成\n");
			memset(uImage, 0, PAGE_SIZE);
		}
		else 
		{
			isuimageDll = TRUE;
		}
	} while (0);


	//释放内存
	if (isuFileAllocatedll)
	{
		FreeMemory(pid, ufileDll, shellcodeSize);
	}

	if (isuShellcode)
	{
		FreeMemory(pid, uShellcode, sizeof(MemLoadShellcode_x64));
	}

	if (isuimageDll)
	{
		FreeMemory(pid, uImage, uImageSize);
	}

	KeUnstackDetachProcess(&kApcState);

	if (kfileDll != NULL) {
		ExFreePool(kfileDll);
		kfileDll = NULL;  // 防止重复释放
	}

	return status;
}

这里用的大佬的方法没改啥东西,这里Test.dll动态链接库是这样的:

驱动执行一下看看:


可以看到注入Test.dll成功了,枚举模块的地方也找不到这个dll,整体来说了解了原理及参考大佬的代码,感觉没有想象的那么高深莫测。嗯, 就这样吧!

无痕注入dll_R0级驱动注入与隐藏注入dll
weixin_39856803的博客
12-19 2529
' ,sX95r:.' s&@@@@@@@@@@@@@G;' i@@@@@@@@@@@@@@@@@@@&,' r@@@@@@@@@@...
驱动无模块注入dll
鬼手的博客
12-10 1万+
Windows驱动无模块注入姿势全解 包含三环和零环的多种注入方式
【亲测免费】 C++驱动无模块注入代码
gitblog_09775的博客
09-06 394
C++驱动无模块注入代码 【下载地址】C驱动无模块注入代码 本仓库提供了一个C++编写的驱动无模块注入代码示例。该代码展示了如何在Windows操作系统中实现无模块注入技术,适用于安全研究、逆向工程等领域。 项目地址: https...
无痕注入dll_[LAB]一种无痕Dll模块注入方式
weixin_42499100的博客
01-12 2889
#include "stdafx.h"#include "MFC.h"#include "MFCDlg.h"#include "afxdialogex.h"#include #ifdef _DEBUG#define new DEBUG_NEW#endif//1.获取进程句柄HANDLE GetThePidOfTargetProcess(HWND hwnd){DWORD pid;GetWindowT...
源码解析DLL自卸载无模块注入
燕十二的BLOG
11-14 6304
对windows安全比较熟悉的同学对模块注入应该都比较了解,很多病毒、木马、外挂都会用到,无模块注入应用得则比较少。      无模块注入的好处是DLL注入进去后,确实已经不以模块的形式存在了,用任何进程模块查看工具,都找不到注入进去的DLL。因为它已经变为一块纯堆内存,跟EXE主模块里申请的堆没有任何差别。      这里讲的一种无模块注入的方法,能够让DLL自身实现这样的功能,无需外部
驱动开发:内核LoadLibrary实现DLL注入
热门推荐
CSDN
06-13 2万+
远程线程注入是最常用的一种注入技术,在应用层注入是通过`CreateRemoteThread`这个函数实现的,该函数通过创建线程并调用 `LoadLibrary` 动态载入指定的DLL来实现注入,而在内核层同样存在一个类似的内核函数`RtlCreateUserThread`,但需要注意的是此函数未被公开,`RtlCreateUserThread`其实是对`NtCreateThreadEx`的包装,但最终会调用`ZwCreateThread`来实现注入,`RtlCreateUserThread`是`Creat
绕开驱动层检测的无痕注入
陈子青的博客
07-18 1728
搜了标题相关的文章既然没有?想要源码可私信~~~
Dll注入技术之驱动注入
Hades的博客
01-04 1万+
Dll注入技术之驱动注入 0x0 技术简介 实现环境 系统:Windows 7 64bit 工具:VS+WDK 驱动注入 我这里驱动注入的技术是:采用驱动向目标进程插入APC执行LdrLoadDll函数加载Dll模块。 可以注入64位Dll到64位进程或注入32位Dll到32位进程。暂时没有实现跨位数。 APC(异步过程调用)是一种内核机制,它提供了一种在特定线程上下文中执行定制例...
驱动无模块注入1.zip
06-23
驱动无模块注入中,驱动程序不直接将新的模块(如DLL)加载到目标进程中,而是利用内核级别的API和系统调用来实现代码执行。这可能包括使用 ZwCreateThreadEx 或者 NtQueueApc 这样的函数来创建或注入线程,或者...
驱动无模块注入.zip
06-23
驱动无模块注入是一种高级的系统编程技术,主要应用于Windows操作系统中。它涉及到内核驱动程序的开发和系统安全,主要用于避免被反病毒软件检测到,从而实现隐蔽的系统操作。在传统的驱动注入技术中,通常会将用户...
C/C++ 进程无模块内存注入[x86/x64]
05-30
本文将深入探讨“C/C++ 进程无模块内存注入[x86/x64]”这一主题,涵盖Windows下的R3无模块注入技术,以及如何实现对x86和x64架构的通用支持。 首先,我们要理解什么是“进程无模块内存注入”。通常,内存注入涉及到...
【ROS2】驱动开发入门
Qing的专栏
10-23 794
摘要:本文介绍了如何为硬件驱动创建ROS Wrapper,实现与ROS系统的对接。文章首先解释了ROS Wrapper的概念,即通过封装非ROS代码创建ROS接口的节点,并分析了使用Wrapper的优势。接着详细说明了驱动开发应保持独立于ROS的重要性,并展示了基础Wrapper的实现方法:初始化节点、管理驱动生命周期。最后,文章提供了具体示例(虚拟电机控制),演示如何通过ROS参数、话题、服务等扩展驱动功能,包括速度控制、状态监测等。该教程将帮助开发者规范地将硬件驱动集成到ROS生态中。
嵌入式需要掌握哪些核心技能?
teach2004的博客
10-21 314
若想通过学习嵌入式技术提升就业竞争力,需重点掌握C语言、嵌入式硬件架构、RTOS/Linux开发、通信协议四大核心技能,并结合行业需求积累项目经验。主流平台:ARM Cortex-M/A系列、RISC-V内核,需掌握寄存器配置、时钟系统、外设驱动(如GPIO、PWM、ADC)。基础协议:UART、SPI、I2C、CAN总线,需理解数据传输流程、速率设定、引脚分配。在AI、大数据席卷的当下,嵌入式技术依然稳居制造业、物联网、汽车电子等领域的核心地位。3)RTOS与Linux开发。1)C语言与底层编程。
CVPR2025 | OPS | 通过假设空间增强提升对抗迁移性
四口鲸鱼爱吃盐的博客
10-22 998
该论文提出 OPS(Operator-Perturbation-based Stochastic Optimization,基于算子扰动的随机优化)方法,核心灵感源于模型泛化能力与对抗样本迁移性的镜像关系,通过在假设空间中对代理模型进行 “模型增强”(输入变换算子组合与随机扰动采样)构建随机优化问题,生成迁移性更强的对抗样本;在图像和 3D 点云 两种模态上验证,OPS 在迁移攻击成功率和计算开销上显著优于现有 SOTA 方法,同时构建了首个 3D 点云迁移攻击基准 3DTAB,为相关研究提供统一评估框架。
【android驱动开发十三】SPI子系统-回环测试
weixin_40970718的博客
10-29 27
本文档介绍了在高通平台上配置SPI功能的详细步骤。首先需要在TrustZone中修改QUPV3_0_SE6的协议类型为SPI并设置相关权限参数,然后在设备树中分别配置qupv3_se6_spi节点的硬件属性和系统别名,最后通过编译环境验证配置结果。文档还提供了基于SA525平台的测试环境搭建说明,包括交叉编译工具链配置、Makefile编写等内容,最终可在/dev目录下看到成功创建的spidev6.0设备节点。
嵌入式Linux驱动开发之I2C子系统(3)--I2C子系统框架
mmmm123CC的博客
10-23 874
I2C子系统首先可以划分为三个层次用户空间:运行应用程序。内核空间:处理驱动逻辑,又细分为 I2C 设备驱动层、I2C 核心层、I2C 适配器驱动层。硬件层:具体的I2C外设和I2C控制器。每层具体做什么事在用户空间中,需要学会如何使用I2C编写应用程序在内核空间中,需要学会如何使用I2C编写驱动程序在硬件层中,对应的是具体的外设,需要能够找到这个外设连接到了哪个I2C上、所使用的I2C接口是哪一个I2C子系统中一共有两处对硬件的抽象。
Spring Boot3零基础教程,事件驱动开发,设计登录成功后增加积分记录信息功能,笔记61
Rockandrollman的博客
10-26 143
Spring Boot3零基础教程,事件驱动开发,设计登录成功后增加积分记录信息功能,笔记61
复盘|嵌入式Linux驱动开发之I2C子系统
mmmm123CC的博客
10-26 903
Platform 总线负责匹配DTS 节点) 和适配器驱动匹配成功后,执行。作为“接力”的中间人,它通过解析DTS 子节点at24@50) 来创建 i2c_client。i2c_client被注册到I2C 总线。I2C 总线负责匹配 i2c_clientat24@50) 和设备驱动匹配成功后,执行at24_probe。
当 AI Agent 遇上 MCP:微软 Agent Framework 的“瑞士军刀“式扩展之道
最新发布
许泽宇的技术分享
10-29 803
: null[RequiresApproval] // 需要人工审批});
C++实现驱动程序无模块注入技术
在某些情况下,需要在没有现成的模块(如DLL或EXE文件)的情况下进行注入,这时就需要用到所谓的“无模块注入”技术。无模块注入通常指直接在目标进程中注入代码,而不依赖任何外部模块或文件,这往往使得注入更加...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值