(开源) Ring3下的DLL注入工具 x86&x64(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)

最新推荐文章于 2024-05-14 21:39:10 发布
置顶 最新推荐文章于 2024-05-14 21:39:10 发布
阅读量2.1w 收藏 30
点赞数 6
文章标签: DLL注入工具开源 DLL注入工具 NtCreateThreadEx LdrLoadDll
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunflover454/article/details/50441146
版权

工具介绍及使用请移步:http://blog.csdn.net/sunflover454/article/details/50441014

本文首发在零日安全论坛:http://www.jmpoep.com/thread-833-1-1.html


使用NtCreateThreadEx + LdrLoadDll方式实现远程线程注入的特色在于比一般的远程线程注入稳定,可以注入系统进程,服务进程等。


核心源代码如下,完整源代码,请在文章末尾下载。

//OD跟踪,发现最后调用的是NtCreateThreadEx,所以这里手动调用
HANDLE Cx64Inject::MyCreateRemoteThread(HANDLE hProcess, LPTHREAD_START_ROUTINE pThreadProc, LPVOID pRemoteBuf)
{
        HANDLE hThread = NULL;
        FARPROC pFunc = NULL;
        if( IsVistaOrLater())// Vista, 7, Server2008
        {
                pFunc = GetProcAddress(GetModuleHandleW(L"ntdll.dll"), "NtCreateThreadEx");
                if( pFunc == NULL )
                {
                        MyOutputDebugStringA("MyCreateRemoteThread() : GetProcAddress(\"NtCreateThreadEx\") 调用失败!错误代码: [%d]", GetLastError());
                        return NULL;
                }
                ((_NtCreateThreadEx64)pFunc)(&hThread,0x1FFFFF,NULL,hProcess,pThreadProc,pRemoteBuf,FALSE,NULL,NULL,NULL,NULL);
                if( hThread == NULL )
                {
                        MyOutputDebugStringA("MyCreateRemoteThread() : NtCreateThreadEx() 调用失败!错误代码: [%d]", GetLastError());
                        return NULL;
                }
        }
        else// 2000, XP, Server2003
        {
                hThread = CreateRemoteThread(hProcess,NULL,0,pThreadProc,pRemoteBuf,0,NULL);
                if( hThread == NULL )
                {
                        MyOutputDebugStringA("MyCreateRemoteThread() : CreateRemoteThread() 调用失败!错误代码: [%d]", GetLastError());
                        return NULL;
                }
        }
        if( WAIT_FAILED == WaitForSingleObject(hThread, INFINITE) )
        {
                MyOutputDebugStringA("MyCreateRemoteThread() : WaitForSingleObject() 调用失败!错误代码: [%d]", GetLastError());
                return NULL;
        }
        return hThread;
}

//在目标进程中创建线程并注入dll
BOOL Cx64Inject::InjectDll(DWORD dwProcessId,LPCWSTR lpcwDllPath)
{
        BOOL bRet = FALSE;
        HANDLE hProcess = NULL, hThread = NULL;
        LPVOID pCode = NULL;
        LPVOID pThreadData = NULL;
        __try
        {
                if(!EnableDebugPrivilege())
                {
                        MyOutputDebugStringA("InjectDll() : EnableDebugPrivilege() 调用失败!错误代码: [%d]", GetLastError());
                        return -1;
                }
                //打开目标进程;
                hProcess = OpenProcess(PROCESS_ALL_ACCESS, TRUE, dwProcessId);
                DWORD dwError = GetLastError();
                if (hProcess == NULL)
                        __leave;
                //申请空间,把我们的代码和数据写入目标进程空间里;
                //写入数据;
                THREAD_DATA data;
                HMODULE hNtdll = GetModuleHandleW(L"ntdll.dll");
                data.fnRtlInitUnicodeString = (pRtlInitUnicodeString)GetProcAddress(hNtdll,"RtlInitUnicodeString");
                data.fnLdrLoadDll = (pLdrLoadDll)GetProcAddress(hNtdll,"LdrLoadDll");
                memcpy(data.DllName, lpcwDllPath, (wcslen(lpcwDllPath) + 1)*sizeof(WCHAR));
                data.DllPath = NULL;
                data.Flags = 0;
                data.ModuleHandle = INVALID_HANDLE_VALUE;
                pThreadData = VirtualAllocEx(hProcess, NULL, 4096, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
                if (pThreadData == NULL)
                        __leave;
                BOOL bWriteOK = WriteProcessMemory(hProcess, pThreadData,&data,sizeof(data), NULL);
                if (!bWriteOK)
                        __leave;
                MyOutputDebugStringA("pThreadData = 0x%p", pThreadData);
                //写入代码;
                DWORD SizeOfCode = (DWORD)ThreadProcEnd - (DWORD)ThreadProc;
                pCode = VirtualAllocEx(hProcess, NULL, SizeOfCode, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
                if (pCode == NULL)
                {
                        MyOutputDebugStringA("InjectDll() : pCode = VirtualAllocEx() 调用失败!错误代码: [%d]", GetLastError());
                        __leave;
                }                
                bWriteOK = WriteProcessMemory(hProcess, pCode, (PVOID)ThreadProc, SizeOfCode, NULL);
                if (!bWriteOK)
                        __leave;
                MyOutputDebugStringA("pCode = 0x%p", pCode);
                //创建远程线程,把ThreadProc作为线程起始函数,pThreadData作为参数;
                hThread = MyCreateRemoteThread(hProcess, (LPTHREAD_START_ROUTINE)pCode, pThreadData);
                if (hThread == NULL)
                        __leave;
                //等待完成;
                WaitForSingleObject(hThread, INFINITE);
                bRet = TRUE;
        }
        __finally
        {
                if (pThreadData != NULL)
                        VirtualFreeEx(hProcess, pThreadData, 0, MEM_RELEASE);
                if (pCode != NULL)
                        VirtualFreeEx(hProcess, pCode, 0, MEM_RELEASE);
                if (hThread != NULL)
                        CloseHandle(hThread);
                if (hProcess != NULL)
                        CloseHandle(hProcess);
        }
 
        return bRet;
}
以上是远程线程注入类的两个核心函数,下面是调用实例: 

Cx64Inject inject;
if (inject.InjectDll(g_dwPID,g_szDllPath))
{
        ::MessageBox(NULL,L"注入成功",L":)",MB_ICONINFORMATION);
}
else
{
        ::MessageBox(NULL,L"注入失败!",L"失败",MB_ICONERROR);
}

封装成类了,使用起来很简单的。
有一点需要注意的是x64注入的意思是只能将64位dll注入64位进程。
x86注入的意思是32位dll注入32位进程。


源代码下载:

DLL注入工具x86Inject_v1.2完整源代码(VS2010)下载地址:http://download.csdn.net/detail/sunflover454/9385421

DLL注入工具x64Inject_v1.1完整源代码(VS2010)下载地址:http://download.csdn.net/detail/sunflover454/9385408


相关下载:

DLL注入工具成品(x86)下载地址:http://download.csdn.net/detail/sunflover454/9385346

DLL注入工具成品(x64)下载地址:http://download.csdn.net/detail/sunflover454/9385355


转载请注明出处,谢谢!
原帖地址:http://blog.csdn.net/sunflover454/article/details/50441146




sunflover454
关注
  • 6
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 14
    评论
(开源) Ring3下的DLL注入工具 x86(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)|sunflover454-9385421-x86Inject_v1.2.zip
10-25
DLL注入工具有很多,但是也有很多无法注入系统进程如explorer.exe,notepad.exe等,特别是Win7以上平台。此注入工具核心注入部分使用NtCreateThreadEx + LdrLoadDlll方式实现,特色在于比一般的远程线程注入稳定,可以注入系统进程,服务进程等。 工具介绍:http://blog.csdn.net/sunflover454/article/details/50441014 开源介绍:http://blog.csdn.net/sunflover454/article/details/50441146
使用LdrLoadDll 注入DLL,支持注入64位dll
06-03
源码是c++代码翻译过来的, 所以, 那些指针读写的偏移我就不做过多的讲解.....那些偏移都是对应某个成员.... 众所周知, 易语言的数据类型是个坑, 所以, 申请一块空间当成一个结构使用了。愿意研究的话, 结构是这个。注入流程:。1. 创建远程线程。2. 注入一段代码到目标进程里执行。3. 这段代码调用 LdrLoadDll 加载dll。4. 调用 LdrGetProcedureAddress 获取函数地址, 然后调用, 返回。2021-12-17 更新。使用了eWOW64Ext http://www.sanye.cx/?id=12671。1. 注入32位进程只能使用32位的dll。2. 注入64位进程只能使用64位的dll。支持注入任务管理器。@福仔。
x64驱动级DLL注入DLL进有保护游戏
最新发布
hzw320的博客
05-14 114
只有同等级的对抗,才能解决,为了方便使用我们的新版 Game-EC USB模块的学员,面对有保护的游戏可以轻松注入自己的辅助DLL文件到游戏进程,现在很多游戏有保护,它们禁止第三方程序对游戏进程注入dll文件,主要目的就是防止写辅助的。当然游戏的保护,也只是防止普通的应用层的注入方式,比如: 普通的线程,内存,钩子注入等。因为游戏的保护是驱动内核级,所以想要把DLL注入到游戏进程里,必须注入方式也是驱动内核级。这个功能,它可以把dll文件注入到 有保护和无保护的游戏进程中去。
9.9 Windows驱动开发:内核远程线程实现DLL注入
热门推荐
CSDN
11-23 1万+
在笔者上一篇文章`《内核RIP劫持实现DLL注入》`介绍了通过劫持RIP指针控制程序执行流实现插入DLL的目的,本章将继续探索全新的注入方式,通过`NtCreateThreadEx`这个内核函数实现注入DLL的目的,需要注意的是该函数在微软系统中未被导出使用时需要首先得到该函数的入口地址,`NtCreateThreadEx`函数最终会调用`ZwCreateThread`,本章在寻找函数的方式上有所不同,前一章通过内存定位的方法得到所需地址,本章则是通过解析导出表实现
一个不错的Windows全平台DLL注入工具
xingyun86的专栏
05-22 5284
一个不错的Windows全平台DLL注入工具 支持WinXP-Win10 最高级权限注入,做想做和要做的事都无任何障碍 LdrLoadDll方式注入绝对稳定可靠 单文件,无任何依赖 支持32位和64位 支持拖拽文件 支持众多系统进程和顽固进程注入 界面简洁大方,支持模块查看 切勿用于非法,否则有权追究责任。且任何后果与本软件无关。 下载地址:https://pan.baidu.com/s/1eIThOWf4woRFHh45WZX5Rw 提取码: 备用地址 ...
【C++】D3D11 最新HOOK 源码支持X86_X64
05-21
【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64
x64位游戏call代码测试注入
hzw320的博客
06-25 4295
这个神器是专门用来开发分析64位游戏call代码是否可以正常调用的工具 由于有些call的参数是需要自己申请内存地址,所以增加了 内存 这个选项功能 可以在测试x64程序 或有些64位游戏call时候,参数需要分配内存地址,然后写入需要的值,用于x64汇编代码中 其他基本操作说明: 本工具由独立团论坛官方开发,用于测试x64程序执行汇编call功能测试,写x64内存辅助必备工具 可以调用64位网络端游,手游模拟器 工具作用类似于之前的32位的代码注入器,用于写call之前的分析call测试call参数
(开源) Ring3下的DLL注入工具 x64(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)
11-02
注入工具核心注入部分使用NtCreateThreadEx + LdrLoadDlll方式实现,特色在于比一般的远程线程注入稳定,可以注入系统进程,服务进程等。 工具介绍:http://blog.csdn.net/sunflover454/article/details/50441014...
C++ > (开源) Ring3下的DLL注入工具 x64(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)
04-28
注入工具核心注入部分使用NtCreateThreadEx + LdrLoadDlll方式实现,特色在于比一般的远程线程注入稳定,可以注入系统进程,服务进程等。 工具介绍:http://blog.csdn.net/sunflover454/article/details/50441014 ...
Wow64(32位进程注入DLL到64位进程
jiangqin115的专栏
07-04 5821
http://blog.poxiao.me/p/wow64-process-inject-dll-into-x64-process/#Wow64环境下32位进程注入64位进程 DLL注入 向其他进程注入DLL通常的做法是通过调用CreateRemoteThread这个API在目标进程内创建一个远程线程,用这个线程来调用LoadLibraryA或LoadLibraryW(下文统称Load
Dll注入X86/X64 远程线程CreateRemoteThread 注入
aijuzhou1959的博客
03-09 299
远线程注入原理是利用Windows 系统CreateRemoteThread()这个API,其中第4个参数是准备运行的线程,我们可以将LoadLibrary()填入其中,这样就可以执行远程进程中的LoadLibrary()函数,进而将我们自己准备的DLL加载到远程进程空间中执行。 函数原型: HANDLE WINAPI CreateRemoteThread( ...
易语言X64注入器.rar
05-11
易语言注入64位程序 转载的 勿喷
(开源) Ring3下的DLL注入工具 x86(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)
12-31
DLL注入工具有很多,但是也有很多无法注入系统进程如explorer.exe,notepad.exe等,特别是Win7以上平台。此注入工具核心注入部分使用NtCreateThreadEx + LdrLoadDlll方式实现,特色在于比一般的远程线程注入稳定,可以注入系统进程,服务进程等。 工具介绍:http://blog.csdn.net/sunflover454/article/details/50441014 开源介绍:http://blog.csdn.net/sunflover454/article/details/50441146
Kinject-x64:Kinject - 内核 dll 注入器,目前提供 x86 版本,即将更新到 x64
06-13
Kinject-x64 Kinject - 内核 dll 注入器,目前在 x86 版本中可用,很快将更新到 x64。 在这里你可能只找到驱动程序,应用程序本身将在我完成 x64 版本后发布。 驱动程序的基本结构: 找到一个线程来劫持。 打开目标进程。 打开目标线程。 附加到目标进程的地址空间。 在目标进程的地址空间中分配内存。 将 DLL 名称和 APC 例程复制到目标进程的地址空间。 将 ApcState.UserApcPending 设置为 TRUE 以强制目标线程执行 APC 例程。 从非分页池中分配一个 APC 对象。 初始化APC并插入到目标线程中。//KeInitializeApc,KeInsertQueueApc 目标线程在目标进程的地址空间中执行 APC 例程。 APC 例程调用 LdrLoadDll 来加载 DLL。 等待 APC 例程完成。 释放分
x64位call代码注入器1.0版
hzw320的博客
05-22 2577
工具由独立团官方开发,用于测试x64程序执行汇编call功能测试,写x64内存辅助必备工具 可以端游,手游模拟器 工具作用类似于之前的32位的代码注入器,用于写call之前的分析call测试call参数调用 链接: https://pan.baidu.com/s/1qhLCTo6EckBdu1mL7CNaVQ 提取码: dk76 ...
android 进程注入 x86,(开源) Ring3下的DLL注入工具 x86&x64(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)...
weixin_39673293的博客
05-27 207
使用NtCreateThreadEx + LdrLoadDll方式实现远程线程注入的特色在于比一般的远程线程注入稳定,可以注入系统进程,服务进程等。核心源代码如下,完整源代码,请在文章末尾下载。//OD跟踪,发现最后调用的是NtCreateThreadEx,所以这里手动调用HANDLE Cx64Inject::MyCreateRemoteThread(HANDLE hProcess, LPTHRE...
SetDll DLL自动注入工具,让EXE在启动的时候加载自己做的DLL
knight
11-04 2788
可以让EXE在启动的时候加载自己做的DLL,填写自己做的DLL名后选择EXE即可,这样目标程序在启动时就会加载刚才的DLL,已上传到了CSDN资源,免积分下载, 下载地址:http://download.csdn.net/detail/hats8888/9240091
c语言dll注入器,Module Injector-Module Injector(DLL动态库注入器)下载 v1.0--pc6下载站
weixin_42425334的博客
05-19 830
ModuleInjector是一款强大的DLL动态库注入器,可以注入到64位进程内,并且注入方式多种多样,可以在进程列表内右键来停止进程或查看进程内模块,在模块列表内可以隐藏模块!。相关软件软件大小版本说明下载地址Module Injector是一款强大的DLL动态库注入器,可以注入到64位进程内,并且注入方式多种多样,可以在进程列表内右键来停止进程或查看进程内模块,在模块列表内可以隐藏模块!功能...
〖教程〗Ladon 0day通用执行命令DLL生成器-MS17010演示
K8哥哥
09-20 1633
Ladon8.9更新功能 20210920 [+]CmdDll Windows 0day漏洞通用DLL注入生成器,生成的DLL仅5KB,非常适合0day加载 2021.9.15 [u]webscan CS保留 [u]CmdDll 去除黑框 2021.9.14 [+]CVE-2021-40444 Microsoft MSHTML远程代码执行漏洞,Office文档利用模块 影响版本: 包括Windows 7/8/8.1/10,Windows Server 2008/2008R2/2012/2012R2/2016
驱动级注入dll源码
10-01
驱动级注入DLL源码是一段用于实现在内核层次进行DLL注入的代码。通常情况下,DLL注入用于在目标进程的地址空间中运行指定的DLL文件,从而实现对目标进程的监控、修改或增强功能。 驱动级注入DLL源码需要使用Windows驱动开发工具包(WDK)来编写,以下是一种可能的实现方式: ```c #include <ntifs.h> // 目标进程ID #define TARGET_PROCESS_ID 1234 // 待注入DLL路径 #define DLL_PATH L"C:\\path\\to\\mydll.dll" // 在进程创建时触发的回调函数 VOID ProcessNotifyCallback(HANDLE hParentId, HANDLE hProcessId, BOOLEAN bCreate) { UNICODE_STRING usDllPath; PUNICODE_STRING pusDllPath; NTSTATUS status; HANDLE hTargetProcess; PEPROCESS pTargetProcess; PVOID pAllocatedMemory; SIZE_T ulDllPathSize; // 判断是否为目标进程创建 if (hParentId != NULL && hTargetProcess != NULL && (HANDLE)PsGetCurrentProcessId() == hParentId) { // 打开目标进程 status = PsLookupProcessByProcessId(hProcessId, &pTargetProcess); if (NT_SUCCESS(status)) { // 分配内存来保存DLL路径 ulDllPathSize = sizeof(DLL_PATH); pAllocatedMemory = ExAllocatePoolWithTag(NonPagedPool, ulDllPathSize, 'DLLI'); if (pAllocatedMemory != NULL) { RtlInitUnicodeString(&usDllPath, DLL_PATH); pusDllPath = (PUNICODE_STRING)pAllocatedMemory; RtlCopyUnicodeString(pusDllPath, &usDllPath); // 注入DLL status = ZwOpenProcess(&hTargetProcess, PROCESS_ALL_ACCESS, NULL, &hProcessId); if (NT_SUCCESS(status)) { status = LdrLoadDll(pTargetProcess, NULL, pusDllPath, &hModule); ZwClose(hTargetProcess); } // 释放内存 ExFreePoolWithTag(pAllocatedMemory, 'DLLI'); } } } } // 注册进程创建通知回调 NTSTATUS RegisterProcessNotifyCallback(VOID) { PVOID pCallbackRegistration; return PsSetCreateProcessNotifyRoutine(ProcessNotifyCallback, FALSE, &pCallbackRegistration); } // 取消注册进程创建通知回调 VOID UnregisterProcessNotifyCallback(VOID) { PsSetCreateProcessNotifyRoutine(ProcessNotifyCallback, TRUE, NULL); } // 驱动入口函数 NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING puniRegistryPath) { NTSTATUS status; // 注册进程创建通知回调 status = RegisterProcessNotifyCallback(); if (!NT_SUCCESS(status)) { DbgPrint("Failed to register process notify callback\n"); return status; } // 等待驱动被卸载 KeWaitForSingleObject(&(pDriverObject->DeviceObject->DeviceLock), Executive, KernelMode, FALSE, NULL); // 取消注册进程创建通知回调 UnregisterProcessNotifyCallback(); return STATUS_SUCCESS; } ``` 以上代码是一种简单的驱动级注入DLL实现方式。当目标进程创建时,会触发回调函数,该回调函数会打开目标进程注入指定的DLL文件。 需要注意的是,驱动级DLL注入在实际使用中需要谨慎使用,因为其对系统稳定性和安全性有较大的影响,一般情况下最好选择更安全可靠的用户级DLL注入方式。此外,驱动级开发需要高深的系统内核知识和经验,对于普通开发者而言较为复杂。使用驱动级DLL注入时务必遵守法律法规和道德规范,避免造成不良后果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 14
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值