恶意代码--dll动态链接库注入目标进程隐藏自身(亲测win7x86和x64有效)

最新推荐文章于 2025-05-29 09:08:19 发布
置顶 最新推荐文章于 2025-05-29 09:08:19 发布
阅读量9.6k 收藏 14
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 技术文章 恶意代码 源码分享 学习笔记 安全测试 文章标签: 安全 测试 恶意 逆向 注入 隐藏 恶意代码 dll注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/microzone/article/details/52925058

0x01 dll 注入
所谓DLL注入就是将一个DLL放进某个进程的地址空间里,让它成为那个进程的一部分。

很多恶意代码,游戏外挂,盗号木马,顽固类病毒等程序均采用此寄生,隐藏在目标计算机之内。

0x02 关键API


VirtualAllocEx function

VirtualAllocEx函数在远程进程的地址空间中分配一块内存 


C++

LPVOID WINAPI VirtualAllocEx(
  _In_     HANDLE hProcess,
  _In_opt_ LPVOID lpAddress,
  _In_     SIZE_T dwSize,
  _In_     DWORD  flAllocationType,
  _In_     DWORD  flProtect
);


WriteProcessMemory function

WriteProcessMemory函数把DLL的路径名复制到第1步分配的内存中
 

C++

BOOL WINAPI WriteProcessMemory(
  _In_  HANDLE  hProcess,
  _In_  LPVOID  lpBaseAddress,
  _In_  LPCVOID lpBuffer,
  _In_  SIZE_T  nSize,
  _Out_ SIZE_T  *lpNumberOfBytesWritten
);


GetProcAddress function

GetProcAddress函数来得到LoadLibraryW或LoadLibraryA函数(在Kernel32.dll中)的实际地址 

C++

FARPROC WINAPI GetProcAddress(
  _In_ HMODULE hModule,
  _In_ LPCSTR  lpProcName
);


CreateRemoteThread function

CreateRemoteThread函数在远程进程中创建一个线程,让新线程调用正确的LoadLibrary函数并在参数中传入第1步分配的内存地址。这时,DLL已经被注入到远程进程的地址空间中,DLL的DllMain函数会收到DLL_PROCESS_ATTACH通知并且可以执行我们想要执行的代码。
 

C++

HANDLE WINAPI CreateRemoteThread(
  _In_  HANDLE                 hProcess,
  _In_  LPSECURITY_ATTRIBUTES  lpThreadAttributes,
  _In_  SIZE_T                 dwStackSize,
  _In_  LPTHREAD_START_ROUTINE lpStartAddress,
  _In_  LPVOID                 lpParameter,
  _In_  DWORD                  dwCreationFlags,
  _Out_ LPDWORD                lpThreadId
);


VirtualFreeEx function

用VirtualFreeEx来释放第1步分配的内存。
 

C++

BOOL WINAPI VirtualFreeEx(
  _In_ HANDLE hProcess,
  _In_ LPVOID lpAddress,
  _In_ SIZE_T dwSize,
  _In_ DWORD  dwFreeType
);

0x03 辅助工具


测试使用如下工具,也可以使用其它工具或者命令行也可以。

debugview 微软自家工具


pchunter 手动检测工具(神器)



0x04 注入代码
实现大家可以结合代码理解。

大家可以随便自己先编写一个demo.dll 这个不是重点。为了测试,编写的关键代码如下。 


HANDLE ghServerThread=NULL;

BOOL CreateLukeMutex()
{
	HANDLE hExist = ::CreateMutex( NULL, FALSE, L"5t4rk");
	if( GetLastError() == ERROR_ALREADY_EXISTS )
	{
		OutputDebugString(L"[ 5t4rk ] application is exists ");
		Close
最低0.47元/天 解锁文章

200万优质内容无限畅学
Inject集合----DLL隐藏
qq_42021840的博客
05-14 352
有时候我们在对目标进程注入后,并不像让对方发现我们的DLL,也就是为了避免被检查出来,所以我们需要将DLL信息抹去,也就是从PEB中的三根链表中断开存储DLL信息的节点即可。 介绍: 先看一下PEB结构 kd> dt nt!_PEB +0x000 InheritedAddressSpace : UChar +0x001 ReadImageFileExecOptions : UChar +0x002 BeingDebugged : UChar +0x00...
隐藏注入dll
08-12
隐藏注入进程dll,让我们的模块来无影去无踪
内核中劫持线程注入DLL隐藏
人生苦短,我用python
04-18 1815
在驱动程序中,您可以通过调用PsSetCreateThreadNotifyRoutine或PsSetLoadImageNotifyRoutine等API来获取进程线程的通知。这时,您可以暂停线程并修改其上下文,以便在恢复时执行您的代码。为了实现这些功能,您需要学习Windows内核编程驱动开发。在此过程中,您可能需要使用Windows Driver Kit(WDK)Visual Studio。编写好驱动程序后,您需要在目标系统上加载卸载它。在劫持线程后,您需要将目标DLL加载到目标进程的内存中。
易语言实现DLL注入隐藏:项目的核心功能/场景
最新发布
gitblog_06720的博客
05-29 322
易语言实现DLL注入隐藏:项目的核心功能/场景 【下载地址】易语言-易语言实现DLL注入隐藏 该项目专注于易语言环境下实现DLL注入隐藏的技术,旨在帮助开发者掌握如何在不被进程的情况下完成DLL注入。通过本教程,您可以学习到如何利用反编译功能模块,成功隐藏注入DLL文件,使其在XT工具中显示为红色,表明隐藏...
推荐文章:DriverInjectDll - 隐藏DLL注入技术的革新
gitblog_00001的博客
05-22 675
推荐文章:DriverInjectDll - 隐藏DLL注入技术的革新 去发现同类优质开源项目:https://gitcode.com/ 项目介绍 在软件工程领域,DLL注入技术常用于调试、监控或性能优化。而DriverInjectDll是一个创新的开源项目,它将DLL注入提升到了一个新的层次。借助驱动级全局注入,该工具能够巧妙地隐藏DLL模块,使得注入过程更为隐秘。只需指定目标进程名,在Dll...
DLL注入隐藏
12-26
易语言的dll注入隐藏,是易语言源代码~~有兴趣的朋友可以去看看
DLL注入隐藏的学习
weixin_43781139的博客
05-18 6564
本篇要讲什么?小白看了要问,DLL是啥?为啥要注入?又干嘛隐藏?而大佬直接 我当然是菜鸡,所以我们一起来学习一下这dll到底是神魔东西,他有什么神奇之处。 一、DLL简介 定义:动态链接库英文为DLL,是Dynamic Link Library的缩写。DLL是一个包含可由多个程序,同时使用的代码数据的库。在Windows中,这种文件被称为应用程序拓展。例如,在 Windows 操作系统中,Comdlg32.dll 执行与对话框有关的常见函数。因此,每个程序都可以使用该 DLL 中包含的功能来实现“打开
稳定注入系统进程DLL注入工具x86介绍
DLL注入是一种常见的编程技术,它允许开发者将一个动态链接库(Dynamic Link Library,简称DLL注入到另一个正在运行的进程地址空间中。这通常用在以下场景: 1. **模块扩展:** 通过注入一个DLL,可以向一个进程...
c++DLL进程注入
01-29
5. **兼容性**:你提到该方法在Win732位64位系统上都有效,这意味着你需要考虑x86x64架构之间的差异。在64位系统上,你可能需要使用`Wow64DisableWow64FsRedirection` API来正确处理32位DLL的路径。 6. **...
实现内核注入技术:动态链接库注入详解
IAT(Import Address Table,导入地址表)内核注入是一种高级的系统编程技术,用于将恶意或功能增强的动态链接库DLL注入到运行中的进程空间内。此技术主要通过修改目标进程的内存中的IAT来实现,IAT是存储在可...
64位Win7远程DLL注入技术详解
1. **DLL注入**:DLL注入是一种程序设计技术,它允许开发者将一个DLL动态链接库注入到另一个进程的地址空间中。被注入DLL可以改变远程进程的行为,比如修改程序功能、监视程序活动、安装后门等。 2. **远程线程**...
DLLHiding:使用 PEB 隐藏 x32x64 ModulesDLL
05-31
DLL隐藏 使用 PEB 隐藏 x32/x64 模块 ##Summary 一个简单的命令行应用程序,用于在任何 Windows 进程隐藏 DLL。 适用于 x32 x64 进程。 它应该适用于从 Windows XP 到 Windows 8 的所有平台。目前仅在 Windows 7测试。 每个进程在 PE 块内以三个链接列表的形式维护内部加载的模块/DLL 集。 加载订单列表 内存顺序表 初始化顺序列表 ##Commands 在控制台中运行: DLLHiding32.exe "进程名称" "DLL 名称" DLLHiding64.exe "进程名称" "DLL 名称" ##Limitations 应该有效地对所有用户模式应用程序隐藏模块。 具有内核模式访问权限的应用程序可以枚举隐藏模块,这些应用程序包括进程资源管理器,因为内核对象保持不变。 此外,用户模式应用程序可
驱动级进程保护 隐藏 注入
08-04
驱动级进程保护 隐藏 注入 W7 W8 W10 32 64位都支持 不蓝屏
DLL注入隐藏.zip
03-11
很多被Tx保护的进程注入DLL后可以在进程里检到,我们要做的就是注入完成把DLL文件给隐藏掉 从而实现躲避检的效果,具体可以自己实践一下, 模块功能由 某论坛VIP模块中反编译的一部分功能,非常实用。。 如图:在XT工具当中可以看到被隐藏DLL显示为红色 就代表成功了!
16-memLoadDll 内存加载DLL 隐藏dll 代码.zip_DLL加载内存_Dll隐藏_MemLoadDll_内存加载
07-15
memLoadDll 内存加载DLL 隐藏dll 代码
WINDOWS中恶意DLL
aijevol的网上小窝
04-18 1728
 O2 - BH IEHandle Class - {31EBA2E2-58B2-4980-9C41-F12F5F1422C5} - C:/WINDOWS/system32/TPHANDLE.dll(不知道是什么咚咚,好像也比较常见.)         O2 - BH BrowserHAP Class - {AEF6F648-78D8-4456-BEE7-5ADE23D209FD} - C:/Pr
dll注入的方式隐藏进程
Fido
06-07 1148
上次那个改变键盘布局的程序,被同学很容易的就在任务管理器里找出来杀掉了,不爽!想个办法把它藏起来。  google了一下,发现隐藏进程的方法有很多。可以用rundll,但那样任务管理器里还是会多出个进程,引起怀疑。还可以写注册表里AppInit_Dlls一项,但我试了一下,结果一改就开不了机,可能是我的dll没写好吧。再有就是注入了,代码注入很隐蔽,但还要遇到代码定位,API定位等问题,麻烦,还是
恶意代码分析实战-启动一个恶意DLL
weixin_30662109的博客
01-11 400
如果不能把恶意代码运行起来,那么动态分析基础技术没有什么用。 Windows版本中包含rundll32.exe程序,提供了一个运行DLL的平台。 rundll32.exe Dllname,Export arguments Export值必须是一个DLL文件导出函数表中的函数名或者序号。 PEID可以看导出函数表。 图1 Install就像是启动rip.dll的一个入口,所以可以用run...
c语言隐藏自身dll,有木有大佬帮我看看,我自己写的注入DLL程序怎么达不到效果。。...
weixin_39601743的博客
05-19 142
该楼层疑似违规已被系统折叠隐藏此楼查看此楼/*-----------------------------这个是注入程序源代码----------------*/#includeusing namespace std;BOOL CreateRemoteThreadInjectDll(DWORD dwProcessId,LPCWSTR lpwLibFile);DWORD dwError = NOER...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值