【逆向工程核心原理:DLL注入】

最新推荐文章于 2023-11-08 18:05:53 发布
最新推荐文章于 2023-11-08 18:05:53 发布
阅读量665 收藏 4
点赞数 1
分类专栏: # 逆向工程核心原理 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42363151/article/details/129813610
版权

CreateRomteThread 实现DLL注入

注入功能的代码
#include "windows.h"
#include "tchar.h"

BOOL SetPrivilege(LPCTSTR lpszPrivilege, BOOL bEnablePrivilege) 
{
    TOKEN_PRIVILEGES tp;
    HANDLE hToken;
    LUID luid;

    if( !OpenProcessToken(GetCurrentProcess(),
                          TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, 
			              &hToken) )
    {
        _tprintf(L"OpenProcessToken error: %u\n", GetLastError());
        return FALSE;
    }

    if( !LookupPrivilegeValue(NULL,           // lookup privilege on local system
                              lpszPrivilege,  // privilege to lookup 
                              &luid) )        // receives LUID of privilege
    {
        _tprintf(L"LookupPrivilegeValue error: %u\n", GetLastError() ); 
        return FALSE; 
    }

    tp.PrivilegeCount = 1;
    tp.Privileges[0].Luid = luid;
    if( bEnablePrivilege )
        tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    else
        tp.Privileges[0].Attributes = 0;

    // Enable the privilege or disable all privileges.
    if( !AdjustTokenPrivileges(hToken, 
                               FALSE, 
                               &tp, 
                               sizeof(TOKEN_PRIVILEGES), 
                               (PTOKEN_PRIVILEGES) NULL, 
                               (PDWORD) NULL) )
    { 
        _tprintf(L"AdjustTokenPrivileges error: %u\n", GetLastError() ); 
        return FALSE; 
    } 

    if( GetLastError() == ERROR_NOT_ALL_ASSIGNED )
    {
        _tprintf(L"The token does not have the specified privilege. \n");
        return FALSE;
    } 

    return TRUE;
}

BOOL InjectDll(DWORD dwPID, LPCTSTR szDllPath)
{
    HANDLE hProcess = NULL, hThread = NULL;
    HMODULE hMod = NULL;
    LPVOID pRemoteBuf = NULL;
    DWORD dwBufSize = (DWORD)(_tcslen(szDllPath) + 1) * sizeof(TCHAR);
    LPTHREAD_START_ROUTINE pThreadProc;

    // #1. 使用dwPID获取目标进程(notepad.exe)的HANDLE
    if ( !(hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID)) )
    {
        _tprintf(L"OpenProcess(%d) failed!!! [%d]\n", dwPID, GetLastError());
        return FALSE;
    }

    // #2. 将szDllName大小的内存分配给目标进程(notepad.exe)内存。
    pRemoteBuf = VirtualAllocEx(hProcess, NULL, dwBufSize, MEM_COMMIT, PAGE_READWRITE);

    // #3. 在分配的内存中写入myhack.dll路径("c:\\myhack.dll")。
    WriteProcessMemory(hProcess, pRemoteBuf, (LPVOID)szDllPath, dwBufSize, NULL);

    // #4. 获取LoadLibraryA() API地址。
    hMod = GetModuleHandle(L"kernel32.dll");
    pThreadProc = (LPTHREAD_START_ROUTINE)GetProcAddress(hMod, "LoadLibraryW");
	
    // #5. 在notepad.exe进程中运行线程
    hThread = CreateRemoteThread(hProcess, NULL, 0, pThreadProc, pRemoteBuf, 0, NULL);
    WaitForSingleObject(hThread, INFINITE);	

    CloseHandle(hThread);
    CloseHandle(hProcess);

    return TRUE;
}

int _tmain(int argc, TCHAR *argv[])
{
    if( argc != 3)
    {
        _tprintf(L"USAGE : %s <pid> <dll_path>\n", argv[0]);
        return 1;
    }

    // change privilege
    if( !SetPrivilege(SE_DEBUG_NAME, TRUE) )
        return 1;

    // inject dll
    if( InjectDll((DWORD)_tstol(argv[1]), argv[2]) )
        _tprintf(L"InjectDll(\"%s\") success!!!\n", argv[2]);
    else
        _tprintf(L"InjectDll(\"%s\") failed!!!\n", argv[2]);

    return 0;
}
被注入DLL的代码
#include "windows.h"
#include "tchar.h"

#pragma comment(lib, "urlmon.lib")

#define DEF_URL     	(L"http://www.naver.com/index.html")
#define DEF_FILE_NAME   (L"index.html")

HMODULE g_hMod = NULL;

DWORD WINAPI ThreadProc(LPVOID lParam)
{
    TCHAR szPath[_MAX_PATH] = {0,};

    if( !GetModuleFileName( g_hMod, szPath, MAX_PATH ) )
        return FALSE;
	
    TCHAR *p = _tcsrchr( szPath, '\\' );
    if( !p )
        return FALSE;

    _tcscpy_s(p+1, _MAX_PATH, DEF_FILE_NAME);

    URLDownloadToFile(NULL, DEF_URL, szPath, 0, NULL);

    return 0;
}

BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved)
{
    HANDLE hThread = NULL;

    g_hMod = (HMODULE)hinstDLL;

    switch( fdwReason )
    {
    case DLL_PROCESS_ATTACH : 
        OutputDebugString(L"<myhack.dll> Injection!!!");
        hThread = CreateThread(NULL, 0, ThreadProc, NULL, 0, NULL);
        CloseHandle(hThread);
        break;
    }

    return TRUE;
}

被注入的DLL就干了两件事,一个是输出了一串字符串,二是下载了一个网页

注入成功

windows10
32bit/64bit
Debug/Release
注入成功
exe和dll都是Debug版本注入成功会报错
成功后报错

:
实验成功前提:notepad的kernel32.dll和InjectDll的地址一样

解释使用的API
// 打开进程
HANDLE WINAPI OpenProcess(
  __in  DWORD dwDesiredAccess,	// 要获得该进程的权限
  __in  BOOL bInheritHandle,	// 表示所得到的进程句柄是否可以被继承
  __in  DWORD dwProcessId	// 要打开进程的PID
);
/*
PROCESS_ALL_ACCESS  //所有能获得的权限
PROCESS_CREATE_PROCESS  //需要创建一个进程
PROCESS_CREATE_THREAD   //需要创建一个线程
PROCESS_DUP_HANDLE      //重复使用DuplicateHandle句柄
PROCESS_QUERY_INFORMATION   //获得进程信息的权限,如它的退出代码、优先级
PROCESS_QUERY_LIMITED_INFORMATION  /*获得某些信息的权限,如果获得了PROCESS_QUERY_INFORMATION,也拥有PROCESS_QUERY_LIMITED_INFORMATION权限
PROCESS_SET_INFORMATION    //设置某些信息的权限,如进程优先级
PROCESS_SET_QUOTA          //设置内存限制的权限,使用SetProcessWorkingSetSize
PROCESS_SUSPEND_RESUME     //暂停或恢复进程的权限
PROCESS_TERMINATE          //终止一个进程的权限,使用TerminateProcess
PROCESS_VM_OPERATION       //操作进程内存空间的权限(可用VirtualProtectEx和WriteProcessMemory)
PROCESS_VM_READ            //读取进程内存空间的权限,可使用ReadProcessMemory
PROCESS_VM_WRITE           //读取进程内存空间的权限,可使用WriteProcessMemory
SYNCHRONIZE                //等待进程终止
*/
LPVOID WINAPI VirtualAllocEx(
  __in      HANDLE hProcess,	// 要开辟空间的进程句柄
  __in_opt  LPVOID lpAddress,	// 想要获取的地址区域
  __in      SIZE_T dwSize,	// 要分配的内存区域的大小(以字节为单位)
  __in      DWORD flAllocationType,	// 内存分配的类型
  __in      DWORD flProtect	//	内存页保护
);

BOOL WINAPI WriteProcessMemory(
  __in   HANDLE hProcess,	// 写入进程的句柄
  __in   LPVOID lpBaseAddress,	// 	要写入的地址
  __in   LPCVOID lpBuffer,	// 指向写入的内容
  __in   SIZE_T nSize,	// 写入大小
  __out  SIZE_T* lpNumberOfBytesWritten	// 返回实际写入的字节
);

HANDLE WINAPI CreateRemoteThread(
  __in   HANDLE hProcess,	// 要在指定进程创建远程线程
  __in   LPSECURITY_ATTRIBUTES lpThreadAttributes,	// 线程安全描述字,指向SECURITY_ATTRIBUTES结构的指针
  __in   SIZE_T dwStackSize,	// 线程栈大小,以字节表示。如果此参数为 0 ,则新线程将使用可执行文件的默认大小
  __in   LPTHREAD_START_ROUTINE lpStartAddress,	// 一个LPTHREAD_START_ROUTINE类型的指针,指向在远程进程中执行的函数地址
  __in   LPVOID lpParameter,	// 传入函数需要的参数
  __in   DWORD dwCreationFlags,	// 创建线程的其它标志,为0,创建后,线程会立即运行
  __out  LPDWORD lpThreadId	// 返回线程ID
);

// 在进程中新创建线程时,系统会通过DLL_THREAD_ATTCH调用所有已存在DLL的DLLMain
DLL_THREAD_ATTACH

// DLL第一次被加载
DLL_PROCESS_ATTACH

AppInit_DLLs

原理

在注册表编辑器中,将要注人的DLL的路径字符串写人AppInit DLLs项目,然后把LoadAppInit DLLs的项目值设置为1。重启后,指定DLL会注人所有运行进程。该方法操作非常简单,但功能相当强大。

上述方法的工作原理是,User32.dll 被加载到进程时,会读取AppInit_ DLLs注册表项,若有值,则调用LoadLibrary( API加载用户DLL。所以,严格地说,相应DLL并不会被加载到所有进程,而只是加载至加载user32.dll的进程。请注意,Windows XP会忽略LoadAppInit_ DLLs 注册表项。

注入的dll
// myhack2.cpp

#include "windows.h"
#include "tchar.h"

#define DEF_CMD  L"c:\\Program Files\\Internet Explorer\\iexplore.exe" 
#define DEF_ADDR L"http://www.naver.com"
#define DEF_DST_PROC L"notepad.exe"

BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved)
{
    TCHAR szCmd[MAX_PATH]  = {0,};
    TCHAR szPath[MAX_PATH] = {0,};
    TCHAR *p = NULL;
    STARTUPINFO si = {0,};
    PROCESS_INFORMATION pi = {0,};

    si.cb = sizeof(STARTUPINFO);
    si.dwFlags = STARTF_USESHOWWINDOW;
    si.wShowWindow = SW_HIDE;

    switch( fdwReason )
    {
    case DLL_PROCESS_ATTACH : 
        if( !GetModuleFileName( NULL, szPath, MAX_PATH ) )
            break;
   
        if( !(p = _tcsrchr(szPath, '\\')) )
            break;

        if( _tcsicmp(p+1, DEF_DST_PROC) )
            break;

        wsprintf(szCmd, L"%s %s", DEF_CMD, DEF_ADDR);
        if( !CreateProcess(NULL, (LPTSTR)(LPCTSTR)szCmd, 
                            NULL, NULL, FALSE, 
                            NORMAL_PRIORITY_CLASS, 
                            NULL, NULL, &si, &pi) )
            break;

        if( pi.hProcess != NULL )
            CloseHandle(pi.hProcess);

        break;
    }
   
    return TRUE;
}

如果注入的是notepad就执行 IE

步骤

1、运行注册表编辑器regedit.exe,进人如下路径。
HKEY_ LOCAL_ MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
编辑修改AppInit_ DLLs表项的值,输人myhack2.dII的完整路径
2、然后修改LoadAppInit_ DLLs注册表项的值为1

3、重启系统会发现所有加载user32.dll的进程都注入了myhack2.dll,如果打开notepad还会启动 IE

SetWindowsHookEx

钩子图解

钩子DLL
#include "stdio.h"
#include "windows.h"

#define DEF_PROCESS_NAME		"notepad.exe"

HINSTANCE g_hInstance = NULL;
HHOOK g_hHook = NULL;
HWND g_hWnd = NULL;

BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD dwReason, LPVOID lpvReserved)
{
	switch( dwReason )
	{
        case DLL_PROCESS_ATTACH:
			g_hInstance = hinstDLL;
			break;

        case DLL_PROCESS_DETACH:
			break;	
	}

	return TRUE;
}

LRESULT CALLBACK KeyboardProc(int nCode, WPARAM wParam, LPARAM lParam)
{
	char szPath[MAX_PATH] = {0,};
	char *p = NULL;

	if( nCode >= 0 )
	{
		// bit 31 : 0 => press, 1 => release
		if( !(lParam & 0x80000000) )
		{
			GetModuleFileNameA(NULL, szPath, MAX_PATH);
			p = strrchr(szPath, '\\');

            // 比较当前进程名,如果notepad.exe返回非0值
            // => 如果返回非0值,则不会将消息发送到钩子
			if( !_stricmp(p + 1, DEF_PROCESS_NAME) )
				return 1;
		}
	}

    // 一般情况下,请调用CallNextHookEx()
    //   向应用程序(或下一钩子)发送消息
	return CallNextHookEx(g_hHook, nCode, wParam, lParam);
}
//如果这个宏存在,就是c++代码,下面的函数就要以c语言的方式导出
//为什么以c语言的方式导出?
//因为以后要用这个dll的这两个函数,以c语言导出的话,函数还是原名,c++函数名字会变化
#ifdef __cplusplus
extern "C" {
#endif
	__declspec(dllexport) void HookStart()
	{
		g_hHook = SetWindowsHookEx(WH_KEYBOARD, KeyboardProc, g_hInstance, 0);
	}

	__declspec(dllexport) void HookStop()
	{
		if( g_hHook )
		{
			UnhookWindowsHookEx(g_hHook);
			g_hHook = NULL;
		}
	}
#ifdef __cplusplus
}
#endif
执行注入的程序
#include "stdio.h"
#include "conio.h"
#include "windows.h"

#define	DEF_DLL_NAME		"KeyHook.dll"
#define	DEF_HOOKSTART		"HookStart"
#define	DEF_HOOKSTOP		"HookStop"

typedef void (*PFN_HOOKSTART)();
typedef void (*PFN_HOOKSTOP)();

void main()
{
	HMODULE			hDll = NULL;
	PFN_HOOKSTART	HookStart = NULL;
	PFN_HOOKSTOP	HookStop = NULL;
	char			ch = 0;

    // 加载KeyHook.dll
	hDll = LoadLibraryA(DEF_DLL_NAME);
    if( hDll == NULL )
    {
        printf("LoadLibrary(%s) failed!!! [%d]", DEF_DLL_NAME, GetLastError());
        return;
    }

    // 获取export函数地址
	HookStart = (PFN_HOOKSTART)GetProcAddress(hDll, DEF_HOOKSTART);
	HookStop = (PFN_HOOKSTOP)GetProcAddress(hDll, DEF_HOOKSTOP);

    // 开始挂接
	HookStart();

    // 等待用户输入“q”
	printf("press 'q' to quit!\n");
	while( _getch() != 'q' )	;

    // 结束挂接
	HookStop();
	
    // KeyHook.dll卸载
	FreeLibrary(hDll);
}
结果

结果

用到的API
DWORD WINAPI GetModuleFileName(
//被请求路径的加载模块的句柄。如果该参数为NULL, GetModuleFileName将检索当前进程的可执行文件的路径
  __in_opt  HMODULE hModule,
  __out     LPTSTR lpFilename,
  __in      DWORD nSize
);

HHOOK SetWindowsHookEx(
	int idHook,// 钩子类型,比如键盘消息钩子
    HOOKPROC lpfn,// 钩子执行的程序
    HINSTANCE hMod,// 钩子程序所在Dll
    DWORD dwThreadId//要挂钩子的线程ID,如果为 0 就是全局钩子,所有进程都要影响
);
-Sw0rd-
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
转一篇DLL逆向的文章,适用于一般的dll逆向
weixin_30435261的博客
11-18 2188
转一篇DLL逆向的文章,适用于一般的dll逆向,我使用的库是一组DLL,都有强签名,如下方法不适合,编译会提示强签名错误。 C# 带签名dll破解 Mar 9, 2016|C#|84Hits 转自http://blog.fwhyy.com/2016/03/csharp-with-signature-dll-crack/?utm_source=tuicool&utm_...
逆向破解之破解补丁与劫持Dll
xf555er的博客
08-22 5388
有些加了壳的程序会导致其在未完全解密完成的情况下出现如下汇编代码当软件运行后,其真正的汇编代码才会呈现出来,也就是我们常说的“吐壳”在程序没有把壳完全吐出来前,我们需要通过代码来判断这个程序是否吐完壳了,最好的方法就是判断某个内存地址的值是否是解密完成后的值这里我就选4010F0内存地址的值53来判断程序是否吐完壳了简单来说劫持dll就是劫持系统的dll,弄一个包含恶意代码的dll来伪装成系统dll,然后把这个dll和程序放在同一目录,程序会优先调用含有恶意代码的dll本次实例演示劫持系统的。
DLL隐藏和逆向
最新发布
m0_75243362的博客
11-08 1519
DLL注入新手详解示例
逆向工程核心原理》学习笔记(三):DLL注入
闵行小鱼塘
05-18 2922
继续学习《逆向工程核心原理》,本篇笔记是第三部分:DLL注入,主要包括三种DLL注入DLL卸载、修改PE、代码注入等内容
创建傀儡进程svchost.exe并注入DLL文件(Shellcode)
【Rainbow Network Technology co., LTD】
08-13 664
本文主要利用 SetThreadContext 修改进程中的线程上下文来实现Dll注入(ShellCode)。
DLL远线程注入
06-22
逆向工程核心原理》的第23章可能会详细解释这一过程,让我们深入探讨一下这个主题。 首先,DLL是Windows操作系统中的一种共享库机制,它包含了一系列可重用的函数和资源。当多个程序需要使用相同的函数时,DLL...
dll注入到资源管理器explorer.exe中
01-02
标题“将dll注入到资源管理器explorer.exe中”所涉及的核心知识点是: 1. DLL(动态链接库):DLL是Windows操作系统中的一种共享代码库,它包含了一组可由多个程序同时使用的函数和其他资源。通过使用DLL,开发者...
多功能DLL注入器源码 附带注释
03-26
总之,这个压缩包提供了一个实用的DLL注入器的源码,对于学习系统编程、进程间通信以及逆向工程的开发者来说,是一份宝贵的学习资料。通过研究和实践,我们可以深入理解Windows操作系统的工作机制,提高自身在系统级...
dll-injection.rar_dll injection_dll注入_injection
09-21
DLL(Dynamic Link Library)注入是一种常见的技术,常用于软件调试、功能增强、恶意软件操作等场景。...在实际操作中,理解并熟练掌握DLL注入的过程和原理,对于提升软件开发和逆向工程能力有着重要的作用。
DLL注入器源码-易语言
06-12
通过学习这个源码,你可以深入了解Windows系统内部工作原理,提升程序设计和逆向工程的能力。同时,你还能掌握易语言的高级应用,如调用API、处理内存和文件等。这是一个很好的实践项目,可以帮助你在IT行业中提升...
DLL反编译工具ILSpy.rar
05-28
非常简单的一个中文反编译DLL的工具,能够看到外部应用库的方法和代码等,操作简单,功能强大,文件占用内存小,绿色版无需安装.
远程dii注入
03-05
挺不错的我自己用易语言改进的游戏输入法注入器,如果有不行的地方请自行改进,自我感觉挺好的
Unity单机手游逆向破解思路(仅供学习参考,禁止用于非法行为)
热门推荐
qq_41595148的博客
10-29 1万+
本文简述了一种适用于Unity单机手游的破解思路,并以“生活模拟器”为例,演示了实际逆向破解的过程,首先利用ILSpy反编译游戏主逻辑的.dll文件为C#等价源码,分析修改的位置,然后使用ILDasm插件查看C#修改位置对应的IL指令的位置,生成.IL文件后,将确定的指令位置找到并修改需要的参数。再使用ILasm插件将编辑后的.IL文件重新编译为.dll文件。最后将生成的Assembly-CSharp.dll文件替换掉原apk中的Assembly-CSharp.dll文件,重新打包apk,完成破解。
DLL注入
weixin_51313054的博客
10-20 6629
DLL注入DLL注入原理dll注入实现过程功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 DLL注入原理 在Windows操作系统中,运行的每一个进程都生活在自己的程序空间中(保护模式),每一个进程都认为自己拥有整个机器的控制权,
墨者学院-逆向分析实训-dll(第1题)
qq_41453632的博客
01-11 959
1.下载文件,解压得到ClassLibrary1.dll 2.利用dnSpy对ClassLibrary1.dll逆向分析。 3.在vs 2010 中创建新项目dll,语言选择C#,代码如下: using System; using System.Collections.Generic; using System.Linq; using System.Text; using Syste...
Windows提权---DLL注入/不带引号的服务路径/注册表
qq_40012781的博客
07-03 1024
DLL注入提权、不带引号的服务路径提权、注册表提权
进程注入的三种方法
benny5609的专栏
09-13 3212
一般来说,这个问题有三种可能的解决方案:  1. 把你的代码放到一个DLL中;然后用 windows 钩子把它映射到远程进程。  2. 把你的代码放到一个DLL中;然后用 CreateRemoteThread 和 LoadLibrary 把它映射到远程进程。  3. 不用DLL,直接复制你的代码到远程进程(使用WriteProcessMemory)并且用CreateRemoteThread执行之。
DLL注入程序的一般步骤
学习,思考,记录
12-14 960
(1)取得宿主进程(即要注入木马的进程)的进程ID dwRemoteProcessId; (2)取得DLL的完全路径,并将其转换为宽字符模式pszLibFileName; (3)利用Windows API OpenProcess打开宿主进程,应该开启下列选项: a.PROCESS_CREATE_THREAD:允许在宿主进程中创建线程; b.PROCESS_VM_OPERAT
SetDllDll文件注入到.exe应用程序中
weixin_34183910的博客
04-30 593
setdll.exe 下载地址:http://download.csdn.net/detail/u013147600/8649009点击打开链接 1.将下载好的setdll.exe 和.exe应用程序以及.dll文件放在同一个文件夹下 如图: 在同一文件夹下新建一个批处理文件:Setdll.bat 内容如下: @echo off setdll /d:messageD...
boost::dll::shared_library
06-03
boost::dll::shared_library是一个开源C++库Boost中的一个模块,用于在运行时加载和使用共享库。它提供了一个简单的接口,让开发者可以方便地使用动态链接库,还可以在不同的操作系统和编译器上实现跨平台的共享库加载。使用boost::dll::shared_library,开发者可以动态地加载共享库,访问库中的函数和数据,并在使用完毕后卸载共享库。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值