关于进程劫持注入的一点分析与思考

最新推荐文章于 2025-02-25 15:16:45 发布
最新推荐文章于 2025-02-25 15:16:45 发布
阅读量2.9k 收藏 13
点赞数 2
分类专栏: 病毒技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37232329/article/details/115415441
版权

1. 劫持进程实现注入

今天我尝试对win10 x64上的计算器进程进行进程劫持注入。

劫持进程实现注入要执行如下步骤:

  1. 以挂起方式启动目标进程
  2. 采用其他注入方式将DLL注入目标进程
  3. 继续目标进程的主线程使目标进程继续运行

这种注入方式的优点: 被注入的进程来不及做任何防御就会被注入。

因为以挂起方式启动进程,该进程的地址空间内除了目标进程的exe模块和ntdll.dll模块外

还来不及解析导入表将所需dll全部导入,也就是说作为防护的dll模块或者线程可能也来不及导入和执行,这大大提高了注入成功率

直接来看代码:

#include <windows.h>
#include <iostream>
#include <cstdio>

using namespace std;

// 突破SESSION0进行远线程注入
BOOL PassSession0RemoteThreadInjection(DWORD dwProcessId, const char* pcszDllFileName)
{
	HANDLE hProcess = NULL;
	int iSize = 0;
	LPVOID lpDllAddr = NULL;
	FARPROC pFuncProcAddr = NULL;
	HANDLE hRemoteThread = NULL;
	DWORD dwStatus = 0;
	HMODULE hntdll = NULL, hKrnl32 = NULL;

	// 打开被注入进程
	hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessId);
	if (NULL == hProcess)
	{
		cout << "OpenProcess错误" << GetLastError() << endl;
		return(FALSE);
	}
	iSize = lstrlenA(pcszDllFileName) + 1;
	lpDllAddr = VirtualAllocEx(hProcess, NULL, iSize, MEM_COMMIT, PAGE_READWRITE);
	if (NULL == lpDllAddr)
	{
		return(FALSE);
	}
	if (FALSE == WriteProcessMemory(hProcess, lpDllAddr, pcszDllFileName, iSize, NULL))
	{
		return(FALSE);
	}
	// 加载ntdll.dll
	hntdll = LoadLibraryA("ntdll.dll");
	if (NULL == hntdll)
	{
		return(FALSE);
	}
	// 加载kernel32.dll
	hKrnl32 = LoadLibraryA("kernel32.dll");
	if (NULL == hKrnl32)
	{
		return(FALSE);
	}

	pFuncProcAddr = GetProcAddress(hKrnl32, "LoadLibraryA");
	if (NULL == pFuncProcAddr)
	{
		return(FALSE);
	}

#ifdef _WIN64
	typedef DWORD(WINAPI* ZWCREATETHREADEX)(
		PHANDLE ThreadHandle,
		ACCESS_MASK DesiredAccess,
		LPVOID ObjectAttributes,
		HANDLE ProcessHandle,
		LPTHREAD_START_ROUTINE lpStartAddress,
		LPVOID lpParameter,
		ULONG CreateThreadFlags,
		SIZE_T ZeroBits,
		SIZE_T StackSize,
		SIZE_T MaximumStackSize,
		LPVOID pUnkown);
#else 
	typedef DWORD(WINAPI* ZWCREATETHREADEX)(
		PHANDLE ThreadHandle,
		ACCESS_MASK DesiredAccess,
		LPVOID ObjectAttributes,
		HANDLE ProcessHandle,
		LPTHREAD_START_ROUTINE lpStartAddress,
		LPVOID lpParameter,
		BOOL CreateSuspended,
		DWORD dwStackSize,
		DWORD dw1,
		DWORD dw2,
		LPVOID pUnkown);
#endif 
	ZWCREATETHREADEX ZwCreateThreadEx = (ZWCREATETHREADEX)GetProcAddress(hntdll, "ZwCreateThreadEx");
	if (NULL == ZwCreateThreadEx)
	{
		return(FALSE);
	}
	dwStatus = ZwCreateThreadEx(&hRemoteThread,
		PROCESS_ALL_ACCESS,
		NULL,
		hProcess,
		(LPTHREAD_START_ROUTINE)pFuncProcAddr,
		lpDllAddr, 0, 0, 0, 0,
		NULL);
	if (NULL == hRemoteThread)
	{
		return(FALSE);
	}
	CloseHandle(hProcess);

	return(TRUE);
}

int main()
{
	char szCmdLine[MAX_PATH] = "calc.exe";
	STARTUPINFO stStartupInfo = { 0 };
	PROCESS_INFORMATION stPi = { 0 };
	BOOL fOk = FALSE;

	__try
	{
		// 1. 以挂起方式创建进程
		GetStartupInfo(&stStartupInfo);
		fOk = CreateProcess(
			NULL,
			szCmdLine,
			NULL,
			NULL,
			FALSE,
			CREATE_SUSPENDED,
			NULL,
			NULL,
			&stStartupInfo,
			&stPi
		);
		if (!fOk)
		{
			cout << "创建进程失败!" << endl;
			__leave;
		}

		// 2. 突破SESSION0进行远线程注入
		fOk = PassSession0RemoteThreadInjection(stPi.dwProcessId, "D:\\MsgBoxDll64.dll");
		if (!fOk)
		{
			cout << "远线程注入失败!" << endl;
			__leave;
		}

		// 3. 继续挂起进程的主线程
		ResumeThread(stPi.hThread);
	}
	__finally
	{
		if (!fOk && stPi.hProcess)
		{
			TerminateProcess(stPi.hProcess, 0);
		}
	}
	system("pause");

	return(0);
}

接下来看一下演示:

首先以挂起方式开启进程, 可以看到目标进程的地址空间内只有2个模块

接下里实现远线程注入, 可以看到DLL已经被注入并且显示了弹窗代表注入成功, 这里来观察一下,calc.exe的PID是20704

来看一下继续运行进程后,目标进程的PID是22384,这是怎么回事? 这代表这之前的进程消亡了,并创建出了一个新进程。那这也代表了之前的注入运行一次后就没有效果了。

2. 分析calc.exe,寻找注入只成功一次的原因

来分析一下calc.exe, 将其拖入OD内后第一个进程就被启动了, 可以看到其第一个进程的PID是18192

首先找到OEP并进入:

继续往里面走发现:

发现了运行时函数_initterm

发现了,calc.exe内部执行了ShellExecute来调用了Calculator进程

calc.exe之后便调用了exit()即ExitProcess自杀了, 留下了Calculator.exe这个孤儿进程。

我好奇的地方在于既然calc.exe有对应的可执行文件如下:

那Calculator.exe是否有自己的可执行文件,结果发现是没有的。来看一下ShellExecute中传递的参数:

再看看IDA:

可以发现lpOperation传入的值是NULL,代表使用默认的打开方式open。其中lpFile是"ms-calculator:"。所以这种方法对于诸如calc.exe进程只能执行一次。

3. inline hook住ShellExecute来执行自己代码的思路

有了之前的分析,下面尝试一下另外一种思路。

这边采用inline hook的方式hook住ShellExecute。然后让其调用我们自己的代码, 先看一下源码:

// inline hook的dll
#include <windows.h>

// 保存原来ShellExecuteW的代码
BYTE g_bOldData[12] = { 0 };

typedef HINSTANCE (WINAPI *SHELLEXECUTEW)(
	HWND    hwnd,
	LPCWSTR lpOperation,
	LPCWSTR lpFile,
	LPCWSTR lpParameters,
	LPCWSTR lpDirectory,
	INT     nShowCmd
);

HINSTANCE NewShellExecuteW(
	HWND    hwnd,
	LPCWSTR lpOperation,
	LPCWSTR lpFile,
	LPCWSTR lpParameters,
	LPCWSTR lpDirectory,
	INT     nShowCmd
)
{
	DWORD dwProtect = 0;

	// 首先Unhook
	VirtualProtect((PBYTE)ShellExecuteW, sizeof(g_bOldData), PAGE_EXECUTE_READWRITE, &dwProtect);
	RtlCopyMemory((PBYTE)ShellExecuteW, g_bOldData, sizeof(g_bOldData));
	VirtualProtect((PBYTE)ShellExecuteW, sizeof(g_bOldData), dwProtect, &dwProtect);

	MessageBox(NULL, "通过挂钩来启动的MSGBOX", "标题", MB_OK);

	// 执行原来的函数
	return(ShellExecuteW(hwnd, 
		lpOperation, 
		lpFile, 
		lpParameters, 
		lpDirectory, 
		nShowCmd));
}

BOOL InlineHook()
{
	HMODULE hMod = NULL;
	SHELLEXECUTEW ShellExecuteW = NULL;
	DWORD64 dwAddrOfFunc = 0;
	DWORD dwProtect = 0;
	BYTE bShellCode[12] = {0x48, 0xb8, 0, 0, 0, 0, 0, 0, 0, 0, 0xff, 0xe0};
	
	// 加载Shell32.dll库
	hMod = LoadLibrary("Shell32.dll");
	if (NULL == hMod)
	{
		return(FALSE);
	}
	// 获取hook的函数地址
	ShellExecuteW = (SHELLEXECUTEW)GetProcAddress(hMod, "ShellExecuteW");
	if (NULL == ShellExecuteW)
	{
		return(FALSE);
	}
	dwAddrOfFunc = (DWORD64)NewShellExecuteW;
	// 拷贝原本的内容到全局变量内保存
	RtlCopyMemory(g_bOldData, (PBYTE)ShellExecuteW, sizeof(bShellCode));
	// 把地址拷贝到jmp语句内
	RtlCopyMemory(&bShellCode[2], &dwAddrOfFunc, sizeof(DWORD64));
	// 修改页属性
	VirtualProtect((PBYTE)ShellExecuteW, 
		sizeof(bShellCode), 
		PAGE_EXECUTE_READWRITE, 
		&dwProtect);
	// 把jmp语句拷贝到ShellExecuteW的位置
	RtlCopyMemory((PBYTE)ShellExecuteW, bShellCode, sizeof(bShellCode));
	// 恢复页属性
	VirtualProtect((PBYTE)ShellExecuteW,
		sizeof(bShellCode),
		dwProtect,
		&dwProtect);

	return(TRUE);
}

BOOL APIENTRY DllMain(_In_ HINSTANCE hInstance, _In_ DWORD fdwReason, _In_ LPVOID lpvReserved)
{
	switch (fdwReason)
	{
		case DLL_PROCESS_ATTACH:
		{
			InlineHook();
			break;
		}
		case DLL_PROCESS_DETACH:
		case DLL_THREAD_ATTACH:
		case DLL_THREAD_DETACH:
		{
			break;
		}
	}


	return(TRUE);
}

这里是注入代码:

#include <windows.h>
#include <iostream>
#include <cstdio>

using namespace std;

// 突破SESSION0进行远线程注入
BOOL PassSession0RemoteThreadInjection(DWORD dwProcessId, const char* pcszDllFileName)
{
	HANDLE hProcess = NULL;
	int iSize = 0;
	LPVOID lpDllAddr = NULL;
	FARPROC pFuncProcAddr = NULL;
	HANDLE hRemoteThread = NULL;
	DWORD dwStatus = 0;
	HMODULE hntdll = NULL, hKrnl32 = NULL;

	// 打开被注入进程
	hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessId);
	if (NULL == hProcess)
	{
		cout << "OpenProcess错误" << GetLastError() << endl;
		return(FALSE);
	}
	iSize = lstrlenA(pcszDllFileName) + 1;
	lpDllAddr = VirtualAllocEx(hProcess, NULL, iSize, MEM_COMMIT, PAGE_READWRITE);
	if (NULL == lpDllAddr)
	{
		return(FALSE);
	}
	if (FALSE == WriteProcessMemory(hProcess, lpDllAddr, pcszDllFileName, iSize, NULL))
	{
		return(FALSE);
	}
	// 加载ntdll.dll
	hntdll = LoadLibraryA("ntdll.dll");
	if (NULL == hntdll)
	{
		return(FALSE);
	}
	// 加载kernel32.dll
	hKrnl32 = LoadLibraryA("kernel32.dll");
	if (NULL == hKrnl32)
	{
		return(FALSE);
	}

	pFuncProcAddr = GetProcAddress(hKrnl32, "LoadLibraryA");
	if (NULL == pFuncProcAddr)
	{
		return(FALSE);
	}

#ifdef _WIN64
	typedef DWORD(WINAPI* ZWCREATETHREADEX)(
		PHANDLE ThreadHandle,
		ACCESS_MASK DesiredAccess,
		LPVOID ObjectAttributes,
		HANDLE ProcessHandle,
		LPTHREAD_START_ROUTINE lpStartAddress,
		LPVOID lpParameter,
		ULONG CreateThreadFlags,
		SIZE_T ZeroBits,
		SIZE_T StackSize,
		SIZE_T MaximumStackSize,
		LPVOID pUnkown);
#else 
	typedef DWORD(WINAPI* ZWCREATETHREADEX)(
		PHANDLE ThreadHandle,
		ACCESS_MASK DesiredAccess,
		LPVOID ObjectAttributes,
		HANDLE ProcessHandle,
		LPTHREAD_START_ROUTINE lpStartAddress,
		LPVOID lpParameter,
		BOOL CreateSuspended,
		DWORD dwStackSize,
		DWORD dw1,
		DWORD dw2,
		LPVOID pUnkown);
#endif 
	ZWCREATETHREADEX ZwCreateThreadEx = (ZWCREATETHREADEX)GetProcAddress(hntdll, "ZwCreateThreadEx");
	if (NULL == ZwCreateThreadEx)
	{
		return(FALSE);
	}
	dwStatus = ZwCreateThreadEx(&hRemoteThread,
		PROCESS_ALL_ACCESS,
		NULL,
		hProcess,
		(LPTHREAD_START_ROUTINE)pFuncProcAddr,
		lpDllAddr, 0, 0, 0, 0,
		NULL);
	if (NULL == hRemoteThread)
	{
		return(FALSE);
	}
	CloseHandle(hProcess);

	return(TRUE);
}

int main()
{
	char szCmdLine[MAX_PATH] = "calc.exe";
	STARTUPINFO stStartupInfo = { 0 };
	PROCESS_INFORMATION stPi = { 0 };
	BOOL fOk = FALSE;

	__try
	{
		// 1. 以挂起方式创建进程
		GetStartupInfo(&stStartupInfo);
		fOk = CreateProcess(
			NULL,
			szCmdLine,
			NULL,
			NULL,
			FALSE,
			CREATE_SUSPENDED,
			NULL,
			NULL,
			&stStartupInfo,
			&stPi
		);
		if (!fOk)
		{
			cout << "创建进程失败!" << endl;
			__leave;
		}

		// 2. 突破SESSION0进行远线程注入
		fOk = PassSession0RemoteThreadInjection(stPi.dwProcessId, "C:\\Users\\Administrator\\Desktop\\作业\\APCInject\\x64\\Debug\\ShellHook.dll");
		if (!fOk)
		{
			cout << "远线程注入失败!" << endl;
			__leave;
		}
		// 3. 这里是为了防止来不及hook就已经执行了ShellExecute函数 
		Sleep(100);
		// 4. 继续挂起进程的主线程
		ResumeThread(stPi.hThread);
	}
	__finally
	{
		if (!fOk && stPi.hProcess)
		{
			TerminateProcess(stPi.hProcess, 0);
		}
	}
	system("pause");

	return(0);
}

来看一下效果:

这里实现了inline hook, 可以看到,calc.exe进程启动了但却跳出了弹框,现在拿OD附着到进程上看一下ShellExecuteW的代码:

再来看看这个jmp跳转的位置, 其跳转到的正是我们的NewShellExecuteW函数

来看看里面内容:

(完)

 

 

[网络安全自学篇] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局钩子、远线程钩子、突破Session 0注入、APC注入
杨秀璋的专栏
06-25 2万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点,希望对您有所帮助。第二篇文章主要介绍4种常见的注入技术,包括全局钩子、远线程钩子、突破SESSION 0隔离的远线程注入、APC注入,案例包括键盘钩子、计算器远线程注入实现、APC注入等,希望对您有所帮助。
[系统安全] 四十九.恶意软件分析 (5)Cape沙箱分析结果Report报告的API序列批量提取详解
杨秀璋的专栏
04-11 3468
系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍Cape沙箱批量分析,通过调用Python脚本文件submit.py来实施批量处理。这篇文章将讲解如何将Cape沙箱分析结果Report报告的API序列批量提取,主要是提取Json文件的内容并存储至指定位置。基础性文章,希望对您有帮助,如果存在错误或不足之处,还请海涵。且看且珍惜!
Windows Ring3层注入——CreateProcess劫持进程创建注入(三)
qq_38493448的博客
01-16 1692
Windows Ring3层注入——CreateProcess劫持进程创建注入(三)CreateProcess劫持进程创建注入原理劫持进程创建注入好处CreateProcess劫持进程创建注入函数原型**CreateProcess**函数原型CreateProcess劫持进程创建注入步骤CreateProcess劫持进程代码示例 CreateProcess劫持进程创建注入原理 劫持进程创建注入:利...
DLL注入技术之劫持进程创建注入
潜心学习
06-28 2311
正规主题 作者: xusir98 日期: 2013-06-03 来源: 黑客反病毒 (http://bbs.hackav.com) 出处: 黑客反病毒 (http://bbs.hackav.com) 注意: 转载请务必附带本组信息,否则侵权必究! DLL注入技术之劫持进程创建注
小白也能当黑客?无问AI手把手教你玩转进程注入!”
最新发布
无问社区的博客
02-25 517
小白也能当黑客?无问AI手把手教你玩转进程注入!”进程注入是挺复杂的一件事,但通过无问AI模型可以帮你快速学习并实操,之后我们会更多利用无问AI来学习网安知识。
进程劫持
weixin_34150830的博客
12-23 420
进程劫持: http://blog.chinaunix.net/space.php?uid=18757596&do=blog&id=1744672 unsigned long *getscTable(){ unsigned char idtr[6],*shell,*sort; struct _idt *idt; unsign...
深入理解反射式dll注入技术
m0_67698950的博客
06-22 1745
前言dll 注入技术是让某个进程主动加载指定的 dll 的技术。恶意软件为了提高隐蔽性,通常会使用 dll 注入技术将自身的恶意代码以 dll 的形式注入高可信进程。常规的 dll 注入技术使用 LoadLibraryA() 函数来使被注入进程加载指定的 dll。常规dll注入的方式一个致命的缺陷是需要恶意的 dll 以文件的形式存储在受害者主机上。这样使得常规 dll 注入技术在受害者主机上留下痕迹较大,很容易被 edr 等安全产品检测到。为了弥补这个缺陷,stephen fewer 提出了反射式 dll
[系统安全] 七.逆向分析之PE病毒原理、C++实现文件加解密及OllyDbg逆向
杨秀璋的专栏
12-26 6458
系统安全系列作者将深入研究恶意样本分析、逆向分析、攻防实战和Windows漏洞利用等,通过在线笔记和实践操作的形式分享博友们学习,希望能您一起进步。前文介绍了条件语句和循环语句源码还原及流程控制逆向。这篇文章将分享勒索病毒,通过编写程序实现获取Windows系统目录文件,并对其进行加密和解密的过程;第二部分详细讲解了OllyDbg和在线沙箱的逆向分析过程。希望对入门的同学有帮助。
[web安全]深入理解反射式dll注入技术
HBohan的博客
03-23 2211
一、前言 dll注入技术是让某个进程主动加载指定的dll的技术。恶意软件为了提高隐蔽性,通常会使用dll注入技术将自身的恶意代码以dll的形式注入高可信进程。 常规的dll注入技术使用LoadLibraryA()函数来使被注入进程加载指定的dll。常规dll注入的方式一个致命的缺陷是需要恶意的dll以文件的形式存储在受害者主机上。这样使得常规dll注入技术在受害者主机上留下痕迹较大,很容易被edr等安全产品检测到。为了弥补这个缺陷,stephen fewer提出了反射式dll注入技术并在github开源,反
进程注入实现
11-09
Android中的进程注入功能实现,
013-【直播】劫持注入(郁金香).c
05-14
d3d9劫持dll 示例代码 //保持原来d3d9.dll的功能 UINT_PTR g_Call14[15]={0}; void InitCall14() { LoadLibraryA("MyGame"); HMODULE hdll=LoadLibraryA("c:\\windows\\syswow64\\d3d9.dll"); //DWORD 地址=GetProcAddress(LoadLibraryA("d3d9.dll"),2); //PSGPError for(int i=1;i<=14;i++) { g_Call14[i]=(UINT_PTR)GetProcAddress(hdll,(char*)i); } return; } //1 __declspec(naked) void Direct3DShaderValidatorCreate9() { //跳转到 原来d3d9.dll Direct3DShaderValidatorCreate9 _asm jmp dword ptr [g_Call14+1*4] ; } //2 __declspec(naked) void PSGPError() { _asm jmp dword ptr [g_Call14+2*4] }
创建进程挂起进程注入
02-08
下载请管理员帮忙修改下5分太多了。不会修改这个。 创建进程。挂起进程注入。然后可以做你想做的事情,比如修改不了PE头和各种恶心自检的文件。源码纯API,函数命令不提供了。想使用的自己添加一下,保证可以使用,希望大家自己动手添加函数命令这样记的更深刻。
ThreadBoat:程序使用线程执行劫持将本地Shell代码注入到标准Win32应用程序中
05-04
线程船 程序使用线程劫持将本机Shellcode注入到标准Win32应用程序中。 关于 我开发了这个小项目,以继续我对不同代码注入方法的经验,并允许RedTeam安全专业人员将这种方法用作执行软件渗透测试的独特方法。 使用线程劫持,它允许hijacker.exe程序在target.exe程序中暂停一个线程,从而使我们可以将Shellcode写入该目标线程,然后再执行(通过; WriteProcessMemory(),SetThreadContext(),ResumeThread(), CreateThread())。 GIF示例(存入残局) 用法 int main () { System sys; Interceptor incp; Exception exp ; sys. returnVersionState (); if (sys. returnPrivilegeEscala
进程注入的研究实现(下)
旅途
06-30 1280
5. 无DLL注入   在第三中方法中,我们启动远程线程时,线程函数是我们从Kernel32.dll中取得的LoadLibrary函数的地址为线程函数的地址,其实我们可以直接将线程函数体和函数参数写入目标进程的地址空间,然后创建远程线程。   使用这个方法时,需要注意以下几个问题:   (1) 远程线程函数体不得使用kernel32.dll,user32.dll以外的函数。因为这个两个模块在各
内核中劫持线程注入DLL并隐藏
人生苦短,我用python
04-18 1739
在驱动程序中,您可以通过调用PsSetCreateThreadNotifyRoutine或PsSetLoadImageNotifyRoutine等API来获取进程线程的通知。这时,您可以暂停线程并修改其上下文,以便在恢复时执行您的代码。为了实现这些功能,您需要学习Windows内核编程和驱动开发。在此过程中,您可能需要使用Windows Driver Kit(WDK)和Visual Studio。编写好驱动程序后,您需要在目标系统上加载和卸载它。在劫持线程后,您需要将目标DLL加载到目标进程的内存中。
劫持系统进程禁止打开任何进程(5)
bad0126的博客
05-26 191
body { font-family: 微软雅黑,"Microsoft YaHei", Georgia,Helvetica,Arial,sans-serif,宋体, PMingLiU,serif; font-size: 10.5pt; line-height: 1.5; } html, body { } h1 { ...
DLL注入 之线程劫持
FISH的专栏
04-03 2892
  大家好,我是FISH ,以下代码只是属于思路,都是我自己KEY进去的,有错误很抱歉,我尽量注意,  内容来自Greg hoglund 的> .    给应用程序注入新的代码,最常用的技巧是DLL注入,使用这个方法,可以让远线程加载到你自己设计的DLL. DLL本身的功能可以是挂钩函数,修改目标程序的内存空间,DLL注入是很隐藏,很方便的注入手段,(实际上,该方法很容易被发现,有
进程启动时注入dll 劫持注入
10-11
进程启动时注入DLL,可以理解为在进程运行之前,将一个动态链接库(DLL)加载到进程的地址空间中。而劫持注入是指通过某种手段修改目标进程的执行流程,使其在执行过程中引用我们注入的DLL文件。 进程启动时注入DLL的目的有很多,其中常见的是为了实现一些特定功能或者修改进程的行为。比如,我们可以通过注入DLL来监控进程的行为,记录某些关键信息;也可以用它来实现一些自定义的功能扩展,比如改变进程的界面样式或者增加一些自定义的快捷键等。 至于劫持注入,它是向一个正在运行的进程注入DLL,并修改目标进程的执行流程,使其在执行过程中跳转到我们注入的DLL中执行特定的代码。这样做的目的通常是为了修改或者控制目标进程的行为,比如实现自定义的功能扩展、屏蔽某些功能或者增加一些额外的功能等。 然而,需要注意的是,进程启动时注入DLL和劫持注入都是一种高级的技术手段,它们可以为我们提供很多便利,但同时也存在一些潜在的风险。比如,恶意代码可以通过注入DLL来实现攻击目标进程的目的,从而造成计算机系统的安全问题。因此,在进行进程启动时注入DLL或劫持注入时,我们应该谨慎操作,并确保注入的DLL文件是受信任的,以保证计算机系统的安全性。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值