VC++进程注入

最新推荐文章于 2018-07-08 17:50:52 发布
最新推荐文章于 2018-07-08 17:50:52 发布
阅读量459 收藏
点赞数 1
文章标签: VS2012 Qt 进程注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sky_calls/article/details/79410074
版权
概述:按照个人理解的来概述就是,将我们自己的一个dll注入到目标进程中去。这样目标进程就运行了我们的dll,在我们的dll中劫持目标函数的跳转指令----也就是目标进程在执行某一个函数时被我们拦截了,改成执行我们的函数。
详细:

本教程边写代码边解释,运行环境VS2012+Qt

源码链接http://download.csdn.net/download/sky_calls/10264654

第一步、创建一个目标进程TargetProcess

其实就是一个很简单的写串口操作
创建过程省略,代码如下

关键函数解释

void TargetProcess::writeCom()
{
HANDLE hCom; //串口句柄
hCom=CreateFile(L"COM1",//COM口
GENERIC_READ|GENERIC_WRITE, //允许读和写
0, //独占方式
NULL,
OPEN_EXISTING, //打开而不是创建
0, //同步方式
NULL);
if(hCom==(HANDLE)-1)
return;

SetupComm(hCom,1024,1024); //输出缓冲区的大小是1024
COMMTIMEOUTS TimeOuts; //设定读超时
TimeOuts.ReadIntervalTimeout=1000;
TimeOuts.ReadTotalTimeoutMultiplier=500;
TimeOuts.ReadTotalTimeoutConstant=5000; //设定写超时
TimeOuts.WriteTotalTimeoutMultiplier=500;
TimeOuts.WriteTotalTimeoutConstant=2000;
SetCommTimeouts(hCom,&TimeOuts); //设置超时
DCB dcb;
GetCommState(hCom,&dcb);
dcb.BaudRate=9600; //波特率为9600
dcb.ByteSize=8; //每个字节有8位
dcb.Parity='\0'; //无奇偶校验位
dcb.StopBits='\0'; //两个停止位
SetCommState(hCom,&dcb);
PurgeComm(hCom,PURGE_TXCLEAR|PURGE_RXCLEAR);

//同步写串口
char lpOutBuffer[100];
QString tmpContent = "hello com1";
memcpy_s(lpOutBuffer, 100, tmpContent.toStdString().c_str(), tmpContent.length());
lpOutBuffer[tmpContent.length()] = 0;
DWORD dwBytesWrite=100;
COMSTAT ComStat;
DWORD dwErrorFlags;
BOOL bWriteStat;
ClearCommError(hCom,&dwErrorFlags,&ComStat);
bWriteStat=WriteFile(hCom,lpOutBuffer,dwBytesWrite,& dwBytesWrite,NULL);

PurgeComm(hCom, PURGE_TXABORT| PURGE_RXABORT|PURGE_TXCLEAR|PURGE_RXCLEAR);

CloseHandle(hCom);
}

第二步、创建要注入的dll工程 ApiHook

要注入的这个dll库必须有DllMain函数作为入口,否则dll里面的劫持操作无法完成
关键代码如下
typedef struct 
{
LPCSTR lpFunctionName; // name of api 要拦截的函数名字
LPCTSTR lpDllName; // name of dll that has the api要拦截函数所属dll
LPVOID lpRecallfn; // recall function address 自定义的替换函数
LPVOID lpApiAddr; // api address 原始函数地址
PBYTE pOrgfnMem; // memory to save first few bytes of api and execute jmp code 原始函数跳转指令
int nOrgfnMemSize; // size of pOrgfnMem 跳转指令的大小
} RECALL_API_INFO, *PRECALL_API_INFO;

// hook apis infomation
RECALL_API_INFO g_arHookAPIs[] = 
{
"CreateFileA", "Kernel32.dll", 
MyCreateFileA, CreateFileA,        NULL, 0,

"CreateFileW", "Kernel32.dll", 
MyCreateFileW, CreateFileW, NULL, 0,

"WriteFile", "Kernel32.dll", 
MyWriteFile, WriteFile, NULL, 0,

"WriteFileEx", "Kernel32.dll", 
MyWriteFileEx, WriteFileEx, NULL, 0
};
bool hookApi(PRECALL_API_INFO pApiRecall) // 参数为所劫持的函数信息

{
if (pApiRecall == NULL)
return false;
// 得到目标函数锁在的库名称
HMODULE hModule = LoadLibrary(pApiRecall->lpDllName);
if (!hModule)
return false;
// 得到目标函数在库里面的位置
FARPROC pfnStartAddr = (FARPROC)GetProcAddress(hModule, pApiRecall->lpFunctionName);
pApiRecall->lpApiAddr = pfnStartAddr; // 将目标函数保存起来,这一步可能不需要,没试下
if (!pfnStartAddr)
return false;


int nSize = 0; 
int nDisassemblerLen = 0;
while(nSize < 5) 

// GetOpCodeSize can get the assembly code size 得到跳转指令的大小 详见GetOpCodeSize的源文件解释
nDisassemblerLen = GetOpCodeSize((BYTE*)(pfnStartAddr) + nSize);
PrintMsg("nDisassemblerLen val %d\r\n", nDisassemblerLen);
nSize = nDisassemblerLen + nSize; 
}
PrintMsg("nSize val %d\r\n", nSize);


DWORD dwProtect = 0;
if (!VirtualProtect(pfnStartAddr, nSize, PAGE_EXECUTE_READWRITE, &dwProtect)) // 修改内存地址的属性,将原目标函数地址跳转指令改为可读写模式
return false;


// be sure that we must change pOrgfnMem's protect, because the code in pOrgfnMem 
// also need to execute 
pApiRecall->pOrgfnMem = new BYTE[5 + nSize]; // 这个内存区域将保存原内存的跳转指令
DWORD dwMemProtect = 0;


if (!VirtualProtect(pApiRecall->pOrgfnMem, 5 + nSize, PAGE_EXECUTE_READWRITE, &dwMemProtect))
{
delete [] pApiRecall->pOrgfnMem;
pApiRecall->pOrgfnMem = NULL;
return false;
}
pApiRecall->nOrgfnMemSize = 5 + nSize;


// 下面这几行就是将原函数的跳转指令储存在pOrgfnMem里面,因为在调用了自定义函数后还要调用原函数,以免影响目标进程的功能
memcpy(pApiRecall->pOrgfnMem, pfnStartAddr, nSize);
*(BYTE*)(pApiRecall->pOrgfnMem + nSize) = 0xE9;
*(DWORD*)(pApiRecall->pOrgfnMem + nSize + 1) = (DWORD)pfnStartAddr + nSize - (DWORD)(pApiRecall->pOrgfnMem + 5 + nSize);
*(BYTE*)(pfnStartAddr) = 0xE9;
*(DWORD*)((BYTE*)pfnStartAddr + 1) = (DWORD)pApiRecall->lpRecallfn - ((DWORD)pfnStartAddr + 5); // lpRecallfn,这是我们自定义的函数,这段语句的作业是用我们自定义的函数覆盖原函数,例如MyWriteFile将会覆盖WriteFile
memset((BYTE*)pfnStartAddr + 5, 0x90, nSize - 5);
// be sure that we must set the rest to 0x90(assembly code for nop, do nothing, 
// and occupy one byte), because we should't change the assembly code


VirtualProtect(pfnStartAddr, nSize, dwProtect, &dwProtect); // 将新函数的跳转指令的内存属性修改为原来的样子,可查看VirtualProtect的作用
return true;
}

第三步、创建注入工程 TestBqDll

执行进程注入操作

操作如下

// 提升进程的权限,不过好像不是必须的

bool promotePrivilege()
{
HANDLE  hToken;
LUID    sedebugnameValue;
TOKEN_PRIVILEGES tkp;
if  ( !OpenProcessToken(  GetCurrentProcess(),
TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken)
)
{
return false;
}
if( !LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &sedebugnameValue) )
{
CloseHandle(hToken);
return false;
}
tkp.PrivilegeCount = 1;
tkp.Privileges[0].Luid = sedebugnameValue;
tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
if( !AdjustTokenPrivileges(hToken, FALSE, &tkp, sizeof(tkp), NULL, NULL) )
{
CloseHandle(hToken);
return false;
}
return true;
}


// 根据进程的名称获得进程ID,因为进程注入需要进程的ID号
void GetTargetProcessIds(std::string inTarget, std::vector<int > &outIds)
{
PROCESSENTRY32 pe32;
pe32.dwSize = sizeof(pe32);
HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
if(hProcessSnap == INVALID_HANDLE_VALUE)
return;
BOOL bProcess = Process32First(hProcessSnap, &pe32);
int targetNameLen = inTarget.length();
while(bProcess)
{
int searchLen = wcslen(pe32.szExeFile);
if (targetNameLen == searchLen)
{
bool isEqualName = true;
for (int i = 0; i < targetNameLen; ++i)
{
if (inTarget[i] != pe32.szExeFile[i])
{
isEqualName = false;
break;
}
}
if (isEqualName)
outIds.push_back(pe32.th32ProcessID);
}


// 继续查找
bProcess = Process32Next(hProcessSnap,&pe32);
}
CloseHandle(hProcessSnap);
}


// 进程注入
bool InjectDllByProcessID(const std::wstring dllPath, unsigned long inProcessID)
{
wchar_t* DirPath = new wchar_t[MAX_PATH];
wchar_t* FullPath = new wchar_t[MAX_PATH];
GetCurrentDirectory(MAX_PATH, DirPath);
swprintf_s(FullPath, MAX_PATH, dllPath.c_str(), DirPath);


HANDLE hProcess = OpenProcess(PROCESS_CREATE_THREAD | PROCESS_VM_OPERATION |
PROCESS_VM_WRITE, FALSE, inProcessID);
if (hProcess == NULL)
{
delete[] DirPath;
delete[] FullPath;
return false;
}


LPVOID LoadLibraryAddr = (LPVOID)GetProcAddress(GetModuleHandle(L"kernel32.dll"),
"LoadLibraryW");
if (LoadLibraryAddr == NULL)
{
CloseHandle(hProcess);
delete[] DirPath;
delete[] FullPath;
return false;
}


LPVOID LLParam = (LPVOID)VirtualAllocEx(hProcess, NULL, (wcslen(FullPath) + 1) * sizeof(wchar_t),
MEM_RESERVE | MEM_COMMIT, PAGE_READWRITE);
WriteProcessMemory(hProcess, LLParam, FullPath, (wcslen(FullPath) + 1)* sizeof(wchar_t), NULL);


HANDLE hRemoteThread = CreateRemoteThread(hProcess, NULL, NULL, (LPTHREAD_START_ROUTINE)LoadLibraryAddr,
LLParam, NULL, NULL);


// 等待远程线程结束    
::WaitForSingleObject(hRemoteThread, INFINITE);    
// 清理    
::VirtualFreeEx(hProcess, LLParam, (wcslen(FullPath) + 1), MEM_DECOMMIT);    
::CloseHandle(hRemoteThread);    
::CloseHandle(hProcess);


delete[] DirPath;
delete[] FullPath;
return true;

}

void TestBqDll::inject()
{
promotePrivilege();
std::vector<int > processIds;
//GetTargetProcessIds("PosTouch.exe", processIds);
GetTargetProcessIds("TargetProcess.exe", processIds);
QString _workPath = QCoreApplication::applicationDirPath();
QString dllPath = _workPath + "/ApiHook.dll";
if (processIds.size() > 0)
InjectDllByProcessID(dllPath.toStdWString(), processIds[0]);

}


源码链接http://download.csdn.net/download/sky_calls/10264654

sky_calls00
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
VC++进程注入源码
03-01
C++进程注入源码及源码解释,在前人的基础上按照自己的理解重新写的
vc++ 向其他进程注入代码的三种方法
weixin_34368949的博客
05-30 202
 导言:   我们在Code project(www.codeproject.com)上可以找到许多密码间谍程序(译者注:那些可以看到别的程序中密码框内容的软件),他们都依赖于Windows钩子技术。要实现这个还有其他的方法吗?有!但是,首先,让我们简单回顾一下我们要实现的目标,以便你能弄清楚我在说什么。要读取一个控件的内容,不管它是否属于你自己的程序,一般来说需要发送 WM_GETTEXT ...
VC++远程注入动态库的实现(6-3)
hou09tian的博客
08-10 517
当点击了图3-1中的“注入”按键,注入程序会将指定的动态库注入到指定的远程进程中。在VS2015的“资源编辑器”中双击“注入”按键,为该按键添加消息响应函数OnBnClickedButtonInject()。当在程序中点击了“注入”按键,则会调用该函数。
vc++ 向其他进程注入代码的三种方法(转)
fdb524se
01-17 199
vc++ 向其他进程注入代码的三种方法(转) 2010年06月29日   vc++ 向其他进程注入代码的三种方法   导言:   我们在Code project上可以找到许多密码间谍程序(那些可以看到别的程序中密码框内容的软件),他们都依赖于Windows钩子技术。要实现这个还有其他的方法吗?有!但是,首先,让我们简单回顾一下我们要实现的目标,以便你能弄清楚我在说什么。   要读取...
VC++进程注入程序
10-12
【VC++进程注入程序】 进程注入是Windows操作系统中一种高级技术,主要用于在其他进程中执行代码。这个技术在软件开发、调试、系统监控等方面有广泛应用,但也可能被恶意软件利用。在VC++环境中,开发者可以利用API...
vc++ dll注入api hook.zip
02-28
在“vc++ dll注入api hook.zip”这个压缩包中,包含了实现这两种技术的相关源代码,如`apihijack.cpp`、`apihijack.h`以及测试程序`TestLauncher`和`TestDLL`。 首先,我们来理解DLL注入。DLL(动态链接库)注入是...
VC++6.0进程注入器源码.zip
06-03
【VC++6.0进程注入器源码】是一个利用C++编程语言编写的工具,它允许开发者将一段代码注入到另一个正在运行的进程中。在Windows操作系统环境下,这种技术通常用于调试、监控、性能分析或者恶意软件操作。尽管该源码...
VC向进程注入的三种方法
10-23
VC向进程注入的三种方法,介绍的很详细。每种方法都有例子。
几种dll注入VC++源码
09-27
各种时期的注入技术 hook lib .......远线程等等
DLL注入、输入法与键盘HOOK
09-21
DLL注入、输入法与键盘HOOK.rar
进程注入自己的代码
07-17
进程注入自己的dll 带有测试dll 路径和要注入的程序可以自己改 hRemoteProcess=OpenProcess(PROCESS_CREATE_THREAD| //允许远程创建线程 PROCESS_VM_OPERATION | //VM操作 PROCESS_VM_WRITE , //允许写 FALSE,dwProcessID); if(!hRemoteProcess) AfxMessageBox(L"无法打开目标进程"); // KillTimer(m_ntime); //计算DLL路径需要多大内存 int cb=(1+lstrlenW(pszLibFile))*sizeof(WCHAR); //使用VirtualAllocEx函数在远程进程的内存地址空间分配DLL文件名缓冲区 pszLibFileRemote=(PWSTR)VirtualAllocEx(hRemoteProcess,NULL,cb,MEM_COMMIT,PAGE_READWRITE); if(pszLibFileRemote==NULL) { AfxMessageBox(L"建立内存失败"); CloseHandle(hRemoteProcess); return; } //使用WriteProcessMemory函数将DLL的路径名复制到远程进程的内存空间 BOOL iReturnCode=WriteProcessMemory (hRemoteProcess,pszLibFileRemote,(PVOID)pszLibFile,cb,NULL); if(!iReturnCode) { AfxMessageBox(L"写入错误"); VirtualFreeEx(hRemoteProcess,NULL,0,MEM_RELEASE); CloseHandle(hRemoteThread); CloseHandle(hRemoteProcess); return; } //计算loadlibraryW入口地址 HMODULE hModule=LoadLibrary(L"C:\\WINDOWS\\system32\\kernel32"); PTHREAD_START_ROUTINE pfnStartAddr=( PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle(TEXT("Kernel32")),"LoadLibraryW"); hRemoteThread=CreateRemoteThread(hRemoteProcess,NULL,0,pfnStartAddr,pszLibFileRemote,0,NULL); if(hRemoteThread==NULL) { //等待线程结束 WaitForSingleObject(hRemoteThread,INFINITE); DWORD RetV; if(GetExitCodeThread(hRemoteThread,&RetV)) CloseHandle(hRemoteThread);
VC++ DLL注入目标程序
jiyanglin的博客
07-08 1062
向其他程序注入DLL的原理比较简单就是调用几个windowsAPI,在目标程序中开启一个线程,在这个线程中加载动态库,动态库被加载时会执行初始化的函数,我们就可以在这个初始化函数中对目标程序做任何想做的事情。。。或者让目标程序代替你的程序做一些事情。。当目标程序注入DLL后,这个负责注入的程序就可以关闭了。下面是一个简单的函数,传入目标程序的句柄和要注入的动态库的全路径。void InjectDL...
VC++代码注入,实现对Tutorial的外挂控制
ldxicare的专栏
04-09 1216
代码注入3种方式: Ⅰ. Windows 钩子 Ⅱ. CreateRemoteThread 和 LoadLibrary 技术 Ⅲ.CreateRemoteThread和WriteProcessMemory技术 这里我我们使用第二种方式,通过动态加载dll实现代码注入。 第一步:创建Dll工程 HMODULE g_hModule = NULL; WCHAR srClassN
【VC++积累】之五、进程注入技术
weixin_30485379的博客
10-08 95
注入:就是把我的代码,添加到已经远行的远程进程的方法; 在WinNT以后的系列操作系统中,每个进程都有自己的4GB私有进程地址空间,彼此互不相关。 如 : 进程A中的一个地址,比如:0x12345678,到了进程B中的相同地方,存的东西完全不一样,或者说不可预料。 所以说如果进程A想要看看或者修改进程B地址空间中的内容,就必须深入到其地址空间中,因为DLL是可以被加...
DLL注入
dukeboy954的专栏
05-28 564
<br />所谓DLL注入就是将一个DLL放进某个进程的地址空间里,让它成为那个进程的一部分。要实现DLL注入,首先需要打开目标进程。<br /> <br />hRemoteProcess = OpenProcess( PROCESS_CREATE_THREAD | //允许远程创建线程 <br />  PROCESS_VM_OPERATION | //允许远程VM操作 <br />  PROCESS_VM_WRITE, //允许远程VM写 <br />  FALSE, dwRemoteProcessId
VC++远程注入动态库的实现(6-6)
hou09tian的博客
08-10 676
通过Module32First()和Module32Next()函数遍历“快照”中的所有模块。这两个函数的使用方法与“3.2.2 遍历进程并显示”中介绍的Process32First()与Process32Next()函数的用法类似。
VC++远程注入动态库的实现(6-1)
hou09tian的博客
08-10 820
远程注入动态库,指的是在另外一个进程(远程进程)中创建导入动态库的线程(远程线程)。要完成的功能都在被导入的动态库中实现。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值