远程线程注入DLL-读取指定进程中的模块

最新推荐文章于 2023-10-16 10:21:52 发布
最新推荐文章于 2023-10-16 10:21:52 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: C++ Windows 文章标签: 远程注入DLL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lk_HIT/article/details/104221442
版权
C++ 同时被 2 个专栏收录
18 篇文章 0 订阅
订阅专栏
Windows
5 篇文章 0 订阅
订阅专栏

步骤:

(1)用VirtualAllocEx函数在远程进程的地址空间中分配一块内存

(2)用WriteProcessMemory把函数DLL的路径名字复制到第一步分配的内存中

(3)用GetProcAddress函数来得到LoadLibraryW或LoadLibraryA函数在Kernel32.dll中的实际地址

解释下为什么可以这么做:

*为什么可以直接用GetProcAddress获取LoadLibraryW在Kernel32.dll的地址然后传给CreateRemoteThread中,因为Kernel32.dll在所有进程中的基地址都是一样的。

*既然如此那为什么不直接传递LoadLibrary给CreateRemoteThread还需要通过GetProcAddress获取地址呢?因为我们自己的模块会包含一个导入段,改段由一系列转换函数组成,这些转换函数用来跳转到导入函数。因此代码调用LoadLibrary时链接器会生成一个调用,来调用我们模块中的导入段中的一个转换函数,这个转换函数会跳转到实际的函数中。

(4)用CreateRemoteThread在远程进程中创建一个线程,让新线程调用正确的LoadLibrary函数并在参数中传入第一步分配的内存地址,这个时候,DLL以及被注入到远程进程的地址空间中,DLL的DllMain函数会受到DLL_PROCESS_ATTACH通知并且可以执行我们想要执行的代码,当DllMain返回的时候,远程线程会从LoadLibraryW/A调用返回到BaseThreadStart函数,然后该函数调用ExitThread离开线程

(5)用VirtualFreeEx来释放第一步申请的内存

(6)用GetProcAddress获取FreeLibrary函数在Kernel32.dll中的实际地址

(7)用CreateRemoteThread函数在远程线程中创建一个线程,该线程调用FreeLibrary函数并传入远程DLL的HMODULE

给出的例子有两部分:一个是要注入的DLL,成为InjLKDLL,一个是我们自己的程序用于注入该DLL,为InjDll.

先给出InjLKDLL的代码:

#define WIN32_LEAN_AND_MEAN             // 从 Windows 头文件中排除极少使用的内容
// Windows 头文件
#include <windows.h>
#include <string>
#include <sstream>
#include <fstream>
#include <Windows.h>
#include <TlHelp32.h>

BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
    {

        MessageBoxA(NULL, "DLL Attached!\n", "Game Hacking", MB_OK | MB_TOPMOST);
        //我们要处理的逻辑
        DWORD dwCurProcessId = GetCurrentProcessId();
        char szProcessName[MAX_PATH];
        GetModuleFileNameA(NULL, szProcessName, MAX_PATH);

        std::string strProcessName = szProcessName;
        SIZE_T index = strProcessName.find_last_of('\\');
        std::string strExeName = strProcessName.substr(index + 1);

        char outFileName[MAX_PATH] = { 0 };
        sprintf_s(outFileName, "D:\\%s-%lu.txt", strExeName.c_str(), dwCurProcessId);

        std::wofstream outFile;
        outFile.open(outFileName, std::ios::out);
        if (outFile.good())
        {
            outFile.imbue(std::locale("chs"));

            outFile << L"注入成功:" << dwCurProcessId<< std::endl;

            HANDLE hthSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwCurProcessId);
            if (hthSnapshot == INVALID_HANDLE_VALUE) 
            {
                outFile << L"读取模块失败" << std::endl;
                break;
            }

            MODULEENTRY32 me = { sizeof(me) };
            BOOL bFound = FALSE;
            BOOL bMoreMods = Module32FirstW(hthSnapshot, &me);

            WCHAR szContext[MAX_PATH * 2] = { 0 };

            for (; bMoreMods; bMoreMods = Module32NextW(hthSnapshot, &me))
            {
                wsprintf(szContext, L"0x%016x\t%s", me.modBaseAddr, me.szExePath);
                outFile << szContext << std::endl;
            }

            CloseHandle(hthSnapshot);

            outFile.close();
        }

        break;
    }
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

InjDll代码实现如下:

#include <iostream>
#include <fstream>
#include <Windows.h>
#include <TlHelp32.h>

BOOL InjectDLL(DWORD dwProcessId, PCWSTR pszDllFile);
BOOL EjectDLL(DWORD dwProcessId, PCWSTR pszDllFile);

int main()
{
    WCHAR szDllFile[MAX_PATH] = L"D:\\VSWorkSpace\\InjDll\\x64\\Release\\InjLKDLL.dll";
    DWORD dwProcessId = 0;

    do
    {
        std::cout << "输入要注入的进程号:" << std::endl;
        std::cin >> dwProcessId;

        if (dwProcessId > 0)
        {
            if (InjectDLL(dwProcessId, szDllFile))
            {
                std::cout << "注入成功" << std::endl;
                if (EjectDLL(dwProcessId, szDllFile))
                    std::cout << "卸载成功" << std::endl;
                else
                    std::cout << "卸载失败" << std::endl;
            }
            else
            {
                std::cout << "注入失败" << std::endl;
            }
        }
        else
            break;

    } while (1);

    std::cout << "Hello World!\n";
    system("pause");
    return 1;
}


BOOL InjectDLL(DWORD dwProcessId, PCWSTR pszDllFile)
{
    BOOL bOk = FALSE;
    HANDLE hProcess = NULL, hThread = NULL;

    PWSTR pszDllFileRemote = NULL;
    HANDLE hthSnapshot = NULL;
    do
    {
        hProcess = OpenProcess(
            PROCESS_ALL_ACCESS,
            FALSE,
            dwProcessId);
        if (hProcess == NULL) break;

        //计算DLL路径需要的大小
        int cch = 1 + lstrlenW(pszDllFile);
        int cb = cch * sizeof(wchar_t);

        pszDllFileRemote = (PWSTR)VirtualAllocEx(
            hProcess,
            NULL,
            cb,
            MEM_COMMIT,
            PAGE_READWRITE);

        if (pszDllFileRemote == NULL) break;

        if (!WriteProcessMemory(
            hProcess,
            pszDllFileRemote,
            (PVOID)pszDllFile,
            cb,
            NULL)) break;

        PTHREAD_START_ROUTINE pfnThreadRtn =
            (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryW");

        if (pfnThreadRtn == NULL) break;

        char pfnThreadRtnAddre[100];
        sprintf_s(pfnThreadRtnAddre, "0x%016x", pfnThreadRtn, 100);
        std::cout << pfnThreadRtnAddre << std::endl;

        hThread = CreateRemoteThread(
            hProcess,
            NULL,
            0,
            pfnThreadRtn,
            pszDllFileRemote,
            0,
            NULL);

        std::cout << "GetLastErr:" << GetLastError() << std::endl;

        if (hThread == NULL) break;

        WaitForSingleObject(hThread, INFINITE);

        bOk = TRUE;
    } while (0);

    if (hthSnapshot != NULL) CloseHandle(hthSnapshot);

    if (pszDllFileRemote != NULL)
        VirtualFreeEx(hProcess, pszDllFileRemote, 0, MEM_RELEASE);

    if (hThread != NULL)
        CloseHandle(hThread);

    if (hProcess != NULL)
        CloseHandle(hProcess);

    return (bOk);
}

BOOL EjectDLL(DWORD dwProcessId, PCWSTR pszDllFile)
{
    BOOL bOk = FALSE;
    HANDLE hthSnapshot = NULL;
    HANDLE hProcess = NULL, hThread = NULL;

    do
    {
        //查找我们注入的模块
        hthSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwProcessId);
        if (hthSnapshot == INVALID_HANDLE_VALUE) return FALSE;

        MODULEENTRY32 me = { sizeof(me) };
        BOOL bFound = FALSE;
        BOOL bMoreMods = Module32FirstW(hthSnapshot, &me);

        for (; bMoreMods; bMoreMods = Module32NextW(hthSnapshot, &me))
        {
            bFound = (_wcsicmp(me.szModule, pszDllFile) == 0) ||
                (_wcsicmp(me.szExePath, pszDllFile) == 0);

            //std::wcout.imbue(std::locale("chs"));
            //std::wcout << me.szExePath << std::endl;

            if (bFound) break;
        }

        if (!bFound) break;

        hProcess = OpenProcess(
            PROCESS_ALL_ACCESS,
            FALSE,
            dwProcessId);

        if (hProcess == NULL) break;

        PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE)
            GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "FreeLibrary");

        if (pfnThreadRtn == NULL) break;

        hThread = CreateRemoteThread(
            hProcess,
            NULL,
            0,
            pfnThreadRtn,
            me.modBaseAddr,
            0,
            NULL);

        if (hThread == NULL) break;

        WaitForSingleObject(hThread, INFINITE);

        bOk = TRUE;

    } while (0);

    if (hthSnapshot != NULL) CloseHandle(hthSnapshot);
    if (hThread != NULL) CloseHandle(hThread);
    if (hProcess != NULL) CloseHandle(hProcess);

    return (bOk);
}

几个疑问:

(1)有些进程会注入失败,不知道什么原因

答:可能是权限不够

(2)有些进程注入成功,但是不加载DLL,我在win10上个微信注入就会遇到这种情况

答:因为微信是32位的,注入的进程也需要时32位的,设置为x86即可

(3)CreateToolhelp32Snapshot好像并不能枚举进程中所有的模块,对微信进程枚举只有四五个作用,很诡异。

答案:因为调用该函数的进程与目标进程的位数不一样,目标进程可能是32位,但是调用进程是64位就出现这个问题

lk_HIT
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
远程线程注入
hambaga的博客
08-07 494
本文记录了最普通的一种dll注入方式——远程线程注入,以便日后复习用。 首先准备一个要注入dll(步骤略),准备一个32位程序,本文使用扫雷。将扫雷和dll放在同一目录,运行扫雷。 然后编写程序,将dll加载到扫雷的内存。 // 多字节字符集 #include <Windows.h> #include <stdio.h> BOOL EnableDebugPrivilege(); int main() { // 提权(win10) EnableDebugPrivileg
魔鬼作坊VIP模块例子:多进程远程注入dll
06-12
标题"魔鬼作坊VIP模块例子:多进程远程注入dll"表明这可能是一个教程或示例,演示如何在多个进程实现远程DLL注入。魔鬼作坊可能是一个在线学习平台或技术讨论社区,而VIP模块通常代表其提供的高级或专业内容。 多...
易语言远程线程注入模块
07-18
易语言远程线程注入模块源码,远程线程注入模块,设置超时时间,私_创建远程线程,打开进程号,取内部句柄,取进程ID,关闭打开句柄,远程申请内存,远程申请内存_文本,远程释放内存,远程执行代码,生成调用代码_数组,执行远程函数,生成调用代码,辅_调用DLL函数1,辅
远程进程Dll注入[黑防]
数据库天地
03-12 112
#include "stdafx.h" #include &lt;stdio.h&gt; #include &lt;windows.h&gt; #include &lt;tlhelp32.h&gt; /* 一、OpenProcessToken函数 打开进程令牌环 二、LookupPrivilegeValue函数 获得进程本地唯一ID 三、AdjustTokenPrivileges...
获取进程加载的dll模块
weixin_33971130的博客
04-24 790
//提升为SE_DEBUG_NAMEboolEnableDebugPriv(){HANDLEhToken;TOKEN_PRIVILEGEStp;LUIDluid;if(!OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY,&a...
获取模块基址
最新发布
weixin_50217210的博客
10-16 483
在 Windows ,使用动态链接库(DLL)的函数通常通过在运行时获取函数地址调用。这个过程被称为 "API 动态解析"。
易语言-检测自身是否有DLL注入易语言模块
06-29
DLL(动态链接库)注入是一种常见的系统级调试和攻击技术,黑客或恶意软件常通过将DLL注入到目标进程来实现远程控制、监控或者篡改程序行为。对于易语言开发的应用程序来说,了解并防止DLL注入是保护程序安全的重要...
远程注入查看被注入程序使用的dll
07-23
4. **注入过程**:RemoteAcessOp作为控制台注入程序,它负责找到目标进程读取DLL的内容,并使用WriteProcessMemory将DLL的数据写入目标进程的内存,然后使用CreateRemoteThread在目标进程创建一个新的线程,该...
易语言源码DLL注入修改输入表模块.rar
07-13
在易语言,实现DLL注入需要理解进程间通信(IPC)原理,如创建远程线程、写入内存等操作。 首先,我们要理解DLL的基本概念。DLL是Windows操作系统的一个重要组成部分,它是一种可共享的代码库,多个程序可以...
易语言内存注入源码-易语言
06-13
这涉及到`创建远程线程`函数,使其在目标进程执行DLL的导出函数。 8. 实践与调试:实际操作是提升技能的最佳途径。利用易语言的源码,可以逐步学习并实践内存注入的全过程,同时使用调试工具(如OllyDbg、WinDbg...
窗口置顶
CAir2的专栏
08-12 1586
如果我们想改变窗口z-order,是窗口置顶. BringWindowToTop SetWindowPos SetForegroundWindow BringWindowToTop:调用这个函数类似于调用SetWindowPos函数来改变窗口在Z序的位置,但是 BringWindowToTop函数并不能使一个窗口成为前台窗口。 SetWindowPos:TOPMOST 会使该窗口...
windows平台在dll获取dll所在路径
u012505629的博客
10-16 2063
windows平台在dll获取dll所在路径 最近使用UE4,调试的时候,调用动态库,动态库的相对路径是从引擎目录出来的,调试很麻烦,于是想了几个方案解决这个相对目录的依赖问题。 1.使用绝对路径。在自己电脑上好调试,其他人就不好用了。 2.新增接口,在exe传入dll的路径。要新开一个接口,还要确定什么时候传进去,很麻烦 3.在dll获取dll自己的绝对路径。要用的时候就能获取到,使用方便,文件的依赖关系小,不管有几层库嵌套都不增加使用成本 怎么看都觉得第3个更好用,下面是第3个方案的实现: 使
获取kernel32.dll基址
bcbobo21cn的专栏
01-03 5615
获取kernel32.dll基址 一 原理和概述 找kernel32基地址的方法一般有三种:暴力搜索法、异常处理链表搜索法、PEB法。 暴力搜索法是最早的动态查找kernel32基地址的方法。它的原理是: 几乎所有的win32可执行文件(pe格 式文件)运行的时候都加载kernel32.dll,可执行文件进入入口点执行后esp存放的一般是 Ker
C++DLL调用
zhanglianzhu_91的博客
05-19 1906
首先包一个C++的DLL #pragma once //求和 extern "C" __declspec(dllexport) int Add(int &a,int &b); //求和1 extern "C" __declspec(dllexport) int Add1(int a, int b); #include "MyDLL.h" using namespace std; //求和 int Add(int &a,int &b) { return a
获取指定进程的加载基址
m0_46135508的博客
07-13 3855
背景之前,自己写过一个进程内存分析的小程序,其,就有一个功能是获取进程在内存的加载基址。由于现在Windows系统引入了ASLR (Address Space Layout Randomization)机制,加载程序时候不再使用固定的基址加载。VS默认是开启基址随机化的,我们也可以设置它使用固定加载基址。至于什么是ASLR?或者ASLR有什么作用?本文就不深入探讨了,感兴趣的,可以自己私下了解了解。 本文就是开发这样的一个小程序,使用两种方法来获取获取指定进程的加载基址...
C++远程线程注入Dll模块代码,全系统通用,超简单。
WorryFree
12-09 763
C++远程线程注入Dll模块代码,全系统通用,超简单
驱动开发:内核操作进线程模块
CSDN
10-21 5571
进程就是活动起来的程序,每一个进程在内核里,都有一个名为EPROCESS的结构记录它的详细信息,其就包括进程名,PID,PPID,进程路径等,通常在应用层枚举进程只列出所有进程的编号即可,不过在内核层需要把它的 EPROCESS 地址给列举出来。
调试远程注入下的DLL并解决namke生成的问题
osummertime的博客
11-18 943
事情的起因是这样的最近在研究x64下的inline Hook不会调试,一直用MessageBox加Cheat Engine,很郁闷想着有简单的办法没有,于是百度了下,原作者连接然后我知道了远程调试的话要Detours库,好吧那就整这个库翻墙下载后,Detours打开发现居然是Makefile什么乱七八糟的我的内心是崩溃的,只能继续百度,原作者连接我用的是VS2017啊大哥,崩溃之余只能推理之搜索VC
请使用c++写出远程线程注入dll代码
09-09
远程线程注入DLL是一种技术,用于在目标进程注入自定义的动态链接库(DLL)并执行其的代码。以下是一个使用C语言编写的远程线程注入DLL的代码示例: ```c #include #include #include int main() { // ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值