DLL远程线程劫持注入技术解析

最新推荐文章于 2024-05-22 23:35:42 发布
最新推荐文章于 2024-05-22 23:35:42 发布
阅读量1k 收藏 3
点赞数
分类专栏: 美创安全实验室 文章标签: 美创安全实验室
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_38103658/article/details/101197045
版权
本文介绍了DLL远程线程劫持注入技术,这是一种常用于恶意软件的进程注入方法,具有隐蔽性。文章详细讲解了注入原理,包括如何传递DLL路径和获取LoadLibrary函数地址,并阐述了注入过程和防御策略。
摘要由CSDN通过智能技术生成

十大进程注入(一)

DLL远程线程劫持注入技术解析

进程注入是一种广泛应用于恶意软件或无文件攻击中的躲避检测的技术。其需要在另一个进程的地址空间内运行特制代码,进程注入改善了不可见性、同时一些技术也实现了持久化。

而所谓的DLL注入是诸多进程注入方法中最常用的技术。恶意软件将恶意的动态链接库的路径写入另一个进程的虚拟地址空间内,通过在目标进程中创建远程线程来确保远程进程加载它。而因为DLL本身是由感染后的进程加载的同时PE文件也并没有对系统进行过多的敏感操作,所以这种技术具有相当强的一种隐蔽性。
在这里插入图片描述

0x01注入原理

关键函数:CreateRemoteThread()
在这里插入图片描述
利用Windows远程线程机制,需要在本地进程中通过CreateRemoteThread函数在其他进程中开启并运行一个线程。因此,把LoadLibrary 函数作为 CreateRemoteThread开启的线程函数,把要加载的DLL路径作为线程函数的参数即可。

为了使远程进程执行LoadLibrary函数加载DLL文件,却面临着两个棘手的问题:
如何向远程进程传递需要加载的DLL路径? -----------①
如何获得远程进程中LoadLibrary函数的地址? -----------②</

最低0.47元/天 解锁文章
美创安全实验室
关注
专栏目录
[网络安全自学篇] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局钩子、远线程钩子、突破Session 0注入、APC注入
杨秀璋的专栏
06-25 1万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点,希望对您有所帮助。第二篇文章主要介绍4种常见的注入技术,包括全局钩子、远线程钩子、突破SESSION 0隔离的远线程注入、APC注入,案例包括键盘钩子、计算器远线程注入实现、APC注入等,希望对您有所帮助。
DLL注入线程劫持
FISH的专栏
04-03 2827
  大家好,我是FISH ,以下代码只是属于思路,都是我自己KEY进去的,有错误很抱歉,我尽量注意,  内容来自Greg hoglund 的> .    给应用程序注入新的代码,最常用的技巧是DLL注入,使用这个方法,可以让远线程加载到你自己设计的DLL. DLL本身的功能可以是挂钩函数,修改目标程序的内存空间,DLL注入是很隐藏,很方便的注入手段,(实际上,该方法很容易被发现,有
Dll注入技术劫持注入
热门推荐
Hades的博客
06-28 1万+
Dll注入技术劫持注入测试环境系统:Windows 7 32bit工具:FileCleaner2.0 和 lpk.dll主要思路利用Window可以先加载当前目录下的dll特性,仿造系统的LPK.DLL,让应用程序先加载我们的伪LPK.DLL,然后在我们的dll中去调用原来系统的原函数.引用网络中的原理讲解●背景知识●首先我们要了解Windows为什么可以DLL劫持呢?主要是因为Windows的...
DLL劫持注入技术分析、过各种游戏保护!让你做你爱做的事情!
靠别人不如靠自已。
09-04 1万+
劫持DLL就是要制作一个“假”的DLL,但是功能又不能失真。 可执行文件在调用某函数时,要加载该函数所在的DLL。如果我们伪造一个DLL,让它包含所有被劫持DLL的导出函数。可执行文件会运行加载伪造的DLL,在伪造DLL里面做我们自己想做的事情。     DLL注入DLL劫持的比较: DLL劫持相当于一个定时的炸弹,只等待可执行文件双击运行,拔出导火线,而DLL注入
DLL劫持注入DLL的一种方法
zhangmiaoping23的专栏
04-13 7040
先转一篇文章:http://hi.baidu.com/e1mer/item/eae9381377ada2f3756a84b8 1.dll劫持,粗略整理了下,可以劫持dll有(持续更新): lpk.dll、usp10.dll、msimg32.dll、midimap.dll、ksuser.dll、comres.dll、ddraw.dll 以lpk为例,在win7下由于lpk被加入K
DLL注入技术劫持进程创建注入
潜心学习
06-28 2224
正规主题 作者: xusir98 日期: 2013-06-03 来源: 黑客反病毒 (http://bbs.hackav.com) 出处: 黑客反病毒 (http://bbs.hackav.com) 注意: 转载请务必附带本组信息,否则侵权必究! DLL注入技术劫持进程创建注
内核中劫持线程注入DLL并隐藏
人生苦短,我用python
04-18 1402
在驱动程序中,您可以通过调用PsSetCreateThreadNotifyRoutine或PsSetLoadImageNotifyRoutine等API来获取进程线程的通知。这时,您可以暂停线程并修改其上下文,以便在恢复时执行您的代码。为了实现这些功能,您需要学习Windows内核编程和驱动开发。在此过程中,您可能需要使用Windows Driver Kit(WDK)和Visual Studio。编写好驱动程序后,您需要在目标系统上加载和卸载它。在劫持线程后,您需要将目标DLL加载到目标进程的内存中。
深入理解反射式dll注入技术
m0_67698950的博客
06-22 1454
前言dll 注入技术是让某个进程主动加载指定的 dll技术。恶意软件为了提高隐蔽性,通常会使用 dll 注入技术将自身的恶意代码以 dll 的形式注入高可信进程。常规的 dll 注入技术使用 LoadLibraryA() 函数来使被注入进程加载指定的 dll。常规dll注入的方式一个致命的缺陷是需要恶意的 dll 以文件的形式存储在受害者主机上。这样使得常规 dll 注入技术在受害者主机上留下痕迹较大,很容易被 edr 等安全产品检测到。为了弥补这个缺陷,stephen fewer 提出了反射式 dll
深入分析DLL注入中的Hook技术
# 第一章:DLL注入和Hook技术概述 ## 1.1 DLL注入的基本概念 ...4. 在目标进程中创建远程线程,并设置线程入口为注入DLL的入口函数。 5. 等待远程线程执行完毕,并清理注入DLL。 ## 1.2 Hook技术的原理
ThreadBoat:程序使用线程执行劫持将本地Shell代码注入到标准Win32应用程序中
05-04
线程船 程序使用线程劫持将本机Shellcode注入到标准Win32应用程序中。 关于 我开发了这个小项目,以继续我对不同代码注入方法的经验,并允许RedTeam安全专业人员将这种方法用作执行软件渗透测试的独特方法。 使用线程劫持,它允许hijacker.exe程序在target.exe程序中暂停一个线程,从而使我们可以将Shellcode写入该目标线程,然后再执行(通过; WriteProcessMemory(),SetThreadContext(),ResumeThread(), CreateThread())。 GIF示例(存入残局) 用法 int main () { System sys; Interceptor incp; Exception exp ; sys. returnVersionState (); if (sys. returnPrivilegeEscala
013-【直播】劫持注入(郁金香).c
05-14
d3d9劫持dll 示例代码 //保持原来d3d9.dll的功能 UINT_PTR g_Call14[15]={0}; void InitCall14() { LoadLibraryA("MyGame"); HMODULE hdll=LoadLibraryA("c:\\windows\\syswow64\\d3d9.dll"); //DWORD 地址=GetProcAddress(LoadLibraryA("d3d9.dll"),2); //PSGPError for(int i=1;i<=14;i++) { g_Call14[i]=(UINT_PTR)GetProcAddress(hdll,(char*)i); } return; } //1 __declspec(naked) void Direct3DShaderValidatorCreate9() { //跳转到 原来d3d9.dll Direct3DShaderValidatorCreate9 _asm jmp dword ptr [g_Call14+1*4] ; } //2 __declspec(naked) void PSGPError() { _asm jmp dword ptr [g_Call14+2*4] }
[web安全]深入理解反射式dll注入技术
HBohan的博客
03-23 2097
一、前言 dll注入技术是让某个进程主动加载指定的dll技术。恶意软件为了提高隐蔽性,通常会使用dll注入技术将自身的恶意代码以dll的形式注入高可信进程。 常规的dll注入技术使用LoadLibraryA()函数来使被注入进程加载指定的dll。常规dll注入的方式一个致命的缺陷是需要恶意的dll以文件的形式存储在受害者主机上。这样使得常规dll注入技术在受害者主机上留下痕迹较大,很容易被edr等安全产品检测到。为了弥补这个缺陷,stephen fewer提出了反射式dll注入技术并在github开源,反
黑客编程之线程劫持
weixin_42071117的博客
04-25 692
#include <Windows.h> #include <stdio.h> #pragma pack(1) typedef struct _STCode { BYTE PushCode; // push指令码 DWORD DllAddress; // 注入dll字符串地址 USHORT CallCode; // call指令码 DWORD FuncAddress; // LoadLibrary函数地址 BYTE LoopCode[7]; // 循环指令 }ST
关于进程劫持注入的一点分析与思考
輚至消亡
04-03 2550
1. 劫持进程实现注入 今天我尝试对win10 x64上的计算器进程进行进程劫持注入劫持进程实现注入要执行如下步骤: 以挂起方式启动目标进程 采用其他注入方式将DLL注入目标进程 继续目标进程的主线程使目标进程继续运行 这种注入方式的优点: 被注入的进程来不及做任何防御就会被注入。 因为以挂起方式启动进程,该进程的地址空间内除了目标进程的exe模块和ntdll.dll模块外 还来不及解析导入表将所需dll全部导入,也就是说作为防护的dll模块或者线程可能也来不及导入和执行,这大大提高了注入
线程劫持技术
weixin_43799752的博客
11-27 982
windows 线程劫持
用户层注入:(3)DLL劫持注入
weixin_43972499的博客
03-13 1177
目录基本概念注入原理函数转发函数调用局限性 基本概念   Windows的应用程序在加载进程所需的动态库时,会根据导入表一一加载。但是,我们的导入表中只保存有动态库的名称,系统如何知道这个动态库的完整路径并将其加载呢?   其实,在加载动态库时,系统会按照一定的顺序搜索各个目录来寻找指定的Dll文件。一般搜索顺序为: 应用程序所在目录-->系统目录-->16位系统目录-->Windows目录-->运行程序的当前目录-->PATH环境变量。   这还与注册表项HKLM\Syst
DLL劫持注入
weixin_30745641的博客
07-21 163
#include <Windows.h> #define HIJCAKDLLNAME "hijack.dll"HMODULE g_hModule = NULL; // 原始模块句柄 // 获取EXE的名称void GetExePath(char* pExePath) { int pathlen = GetModuleFileName(NULL, pExePath, M...
劫持DLL自动注入(delphi)
最新发布
weixin_65409651的博客
05-22 447
用代码解析劫持dll自动注入的原理.可hook,编写外挂,木马,游戏MOD,破解补丁等用处.
VB远程线程注入与卸载技术解析
在VB编程中,远程线程注入是一种高级技术,常用于软件开发、调试以及某些特殊应用,如外挂的制作。该技术允许一个进程(注入者)在另一个进程中创建一个新的线程,并执行由注入者提供的代码。这篇内容介绍了一种利用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值