远程DLL注入、卸载

最新推荐文章于 2024-07-06 12:49:35 发布
最新推荐文章于 2024-07-06 12:49:35 发布
阅读量2k 收藏 1
点赞数
分类专栏: hack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012319493/article/details/50456685
版权

Dll注入

//dwPid 为目标进程PID
//szDllName 为要注入的DLL文件
void CDllManageDlg::InjectDll(DWORD dwPid, CString szDllName)
{
    if(dwPid == 0 || strlen(szDllName) == 0)
        return;

    HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPid);
    if(hProcess == NULL)
        return;

    //将CString转换为char *
    char *DllName = szDllName.GetBuffer(szDllName.GetLength());
    szDllName.ReleaseBuffer();
    int nDllLen = strlen(DllName) + sizeof(char);

    //在目标进程申请内存,返回目标进程申请到的内存块的起始地址
    LPVOID pDllAddr = VirtualAllocEx(hProcess, NULL, nDllLen, MEM_COMMIT, PAGE_READWRITE);
    if(pDllAddr == NULL)
    {
        CloseHandle(hProcess);
        AfxMessageBox("注入失败!");
        return;
    }

    //将要注入的Dll文件写入目标进程
    DWORD dwWriteNum = 0;
    WriteProcessMemory(hProcess, pDllAddr, DllName, nDllLen, &dwWriteNum);

    //检索指定的动态链接库(DLL)中的输出库函数地址
    LPVOID pFunAddr = LoadLibraryA;

    //创建一个远程线程
    HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pFunAddr,
                                         pDllAddr, 0, NULL);

    // 等待LoadLibrary加载完毕
    WaitForSingleObject(hThread, INFINITE);

    // 释放目标进程中申请的空间  
    VirtualFreeEx( hProcess, NULL, nDllLen, MEM_DECOMMIT ); 

    CloseHandle(hThread);
    CloseHandle(hProcess);

}

Dll卸载

void CDllManageDlg::UnInjectDll(DWORD dwPid, char *szDllName)
{
    // 使目标进程调用GetModuleHandle,获得DLL在目标进程中的句柄  
    DWORD dwHandle;
    HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPid);
    LPVOID pFunc = GetModuleHandleA;  
    char lpBuf[MAXBYTE];
    HANDLE hThread = CreateRemoteThread( hProcess, NULL, 0, 
        (LPTHREAD_START_ROUTINE)pFunc, lpBuf, 0, &dwPid );

    // 等待GetModuleHandle运行完毕  
    WaitForSingleObject( hThread, INFINITE );  

    // 获得GetModuleHandle的返回值  
    GetExitCodeThread( hThread, &dwHandle );

    // 释放目标进程中申请的空间  
    int dwSize = strlen(szDllName) + sizeof(char);
    VirtualFreeEx( hProcess, lpBuf, dwSize, MEM_DECOMMIT );  
    CloseHandle( hThread );  

    // 使目标进程调用FreeLibrary,卸载DLL  
    pFunc = FreeLibrary;  
    hThread = CreateRemoteThread( hProcess, NULL, 0,  
    (LPTHREAD_START_ROUTINE)pFunc,  (LPVOID)dwHandle, 0, &dwPid ); 

    // 等待FreeLibrary卸载完毕  
    WaitForSingleObject( hThread, INFINITE );  
    CloseHandle( hThread );  
    CloseHandle( hProcess );  
}

得到进程ID

DWORD CDllManageDlg::GetSelectPid(CString PName)
{
    //获取当前进程快照
    HANDLE  snapShot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0 );

    //查询进程
    PROCESSENTRY32  processInfo;
    CString strProcessName = "";
    DWORD nProcessID = 0;
    int nProcessTerminate = 0;

    //这句很重要,否则就无法获取到进程信息
    processInfo.dwSize = sizeof( PROCESSENTRY32 );

    //获取第一个进程
    BOOL status = Process32First( snapShot, &processInfo );
    while( status )
    {
       //获取进程名字
       strProcessName = processInfo.szExeFile;

       //查询比较是否选中的进程
       if( strProcessName.CompareNoCase( PName ) == 0 )
       {
            //获取进程ID
           nProcessID = processInfo.th32ProcessID;
           break;
       }
       //获取下一个进程
       status = Process32Next( snapShot, &processInfo );    
    }
    return nProcessID;
}

Dll注入按钮

void CDllManageDlg::OnButtonInject() 
{
    // TODO: Add your control notification handler code here

    UpdateData(TRUE);
    ProcessName = m_PName;  //进程名
    dwPid = GetSelectPid(ProcessName);  //进程ID
    szDllName = m_DLL;  //Dll路径及名字
    InjectDll(dwPid, m_DLL);
}

Dll卸载按钮

void CDllManageDlg::OnButtonUninject() 
{
    // TODO: Add your control notification handler code here

    //将CString转换为char *
    char *DllName = szDllName.GetBuffer(szDllName.GetLength());
    szDllName.ReleaseBuffer();
    UnInjectDll(dwPid, DllName);
}

这里写图片描述

谛听-
关注
专栏目录
一文带你实现远程线程注入卸载
m0_58554082的博客
07-14 698
1. 原理 主要通过API:CreateRemoteThread 来进行远程线程注入 2.远程线程注入Dll的步骤 1.通过进程Id打开指定的进程 2.在指定的进程,分配一段大小为要导入的dll文件名长度的一段内存空间,将dll的文件名写入到分配的内存中。 3.获取目的进程中的loadLibrary的函数地址。 4.创建远程线程,通过上一步获得的loadlibrary函数进行dll导入。 5.释放内存,卸载dll。 3.代码远程注入注意点 1.不能调用除kernel32和user32之外动态库中的
DLL远程注入技术
马说@CSDN
09-12 3701
DLL远程注入技术是目前Win32病毒广泛使用的一种技术。使用这种技术的病毒体通常位于一个DLL中,在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)中运行。这样一来,普通的进程管理器就很难发现这种病毒了,而且即使发现了也很难清除,因为只要病毒寄生的进程不终止运行,那么这个DLL就不会在内存中卸载,用户也就无法在资源管理器中删除这个DLL文件,真可谓一
免杀笔记 ----> DLL注入
最新发布
huohaowen的博客
07-06 1963
这段时间我们暂时没什么事情干的话我们就继续更新我们的免杀笔记力!!!:今天我们讲DLL注入
一个完整的DLL远程注入函数
冷风
07-11 2911
函数名称: CreateRemoteDll()返加类型:BOOL接受参数: DLL路径,注入进程ID 其完整代码如下: BOOL CreateRemoteDll(const char *DllFullPath, const DWORD dwRemoteProcessId)...{    HANDLE hToken;    if ( OpenProcessToken(GetC
DLL远程注入远程卸载卸载
qq_40535097的博客
05-19 2071
DLL远程注入远程卸载卸载 涉及Windows API FindWindow GetWindowThreadProcessId OpenProcess VirtualAlloc WriteProcessMemory CreateRemoteThread WaitForSingleObject 有时候修改目标程序,如制作插件,补丁,外挂等,需要使用到DLL注入的操作,注入的方式主要有远程注入、劫持注入、HOOK方式、内存注入等,这里主要说一下远程注入以及远程卸载 远程注入 什么是远程注入远程注入
VB远程注入DLL卸载DLL的源程序
05-12
内容索引:VB源码,系统相关,DLL注入,卸载DLL 很多人说VB不能远程注入DLL,其实是错误的。VB其实也能象C++等其他语言一样轻松搞定,不信就看看这个代码。这个代码经过充分测试,包括系统进程都可以正常注入卸载,就...
Qt:Windows编程—DLL注入卸载 示例demo
01-27
下面将详细介绍DLL注入卸载的基本原理,以及如何在Qt环境中实现这些操作。 首先,理解DLL注入的原理。DLL注入通常是通过将DLL加载到另一个进程的地址空间来实现的。这可以通过几种方法完成,包括SetWindowsHookEx...
VB远程DLL注入卸载及自我删除
05-07
标题中的“VB远程DLL注入卸载及自我删除”涉及到的是Windows编程中的一些高级技术,主要涵盖以下几个核心知识点: 1. **DLL(动态链接库)**:DLL是Windows操作系统中的一个重要组成部分,它允许多个程序共享同一...
dll注入卸载工具
03-15
完美实现dll远程注入卸载功能,可对被注入的进程进行选择
DLL注入卸载
05-22
DLL注入卸载是两种常见的系统级操作,通常用于调试、性能优化以及恶意软件活动。下面将详细介绍DLL注入卸载的基本概念、原理及其实现方法。 ### DLL注入 DLL注入是指将一个动态链接库的实例加载到另一个正在...
远程DLL注入
04-15
远程DLL注入远程DLL注入远程DLL注入远程DLL注入远程DLL注入远程DLL注入
dll远程线程注入(支持64bit win7)
07-20
dll注入远程线程。使用的时候创建一个空的工程,然后把代码当做主文件放到工程中,自己写个mian函数调用injectDLL函数就能注入了。菜鸟级友情提醒:64位别忘了编译成x64的可执行文件
Dll远程注入
AlickXc的专栏
04-23 606
// Inject.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include #include BOOL EnableDebugPriv(LPCTSTR name)  {      HANDLE h;     TOKEN_PRIVILEGES tp;     LUID id;    
远程注入卸载DLL
`小明湖畔.。のBlog
02-18 543
//提升本进程权限 BOOL GetPrivilege() { HANDLE tokenHandle; BOOL bRet = OpenProcessToken(GetCurrentProcess(), TOKEN_ALL_ACCESS, &tokenHandle); if (bRet){ TOKEN_PRIVILEGES tokenPri; tokenPri.PrivilegeCo
DLL 远程线程注入
Quartz's Blog
10-31 760
远程线程注入首先 , 这里讲和为注入 , 通俗讲 , 就是把自己的东西强加给别人 也就是在 其他程序的运行的内存空间里面 插入自己的代码 这里提到的远程线程注入 这个算是很常用,也算是用的比较多的一种注入方式了实用代码解析打开进程 // 打开远程线程 if ((hRemoteProcess = OpenProcess(PROCESS_CREATE_THREAD |
病毒编程奥秘:DLL远程注入技术详解
12-25 966
DLL远程注入技术是目前Win32病毒广泛使用的一种技术。使用这种技术的病毒体通常位于一个DLL中,在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)中运行。   这样一来,普通的进程管理器就很难发现这种病毒了,而且即使发现了也很难清除,因为只要病毒寄生的进程不终止运行,那么这个DLL就不会在内存中卸载,用户也就无法在资源管理器中删除这个DLL文件,真
DLL注入_远程线程注入
VI___
08-23 3453
什么是线程注入? 线程注入,是通过开启远程线程的方式,将DLL加载到目标宿主进程中的常用方式。 什么是动态链接库? 首先Windows中链接库分为两种:动态链接库DLL、静态链接库LIB。 ① 静态链接库:在运行的时候就直接把代码全部加载到程序中,调用方式比如: #prama comment (lib,"Psapi.lib") ② 动态链接库:在需要的时候加载,加载方式为...
卸载远程线程中的DLL
星空陨的专栏
10-20 1975
如何卸载其他进程中的DLL。要卸载其他进程中的DLL一般都要首先提升本进程的权限。相关的操作也很简单,我已经将其封装为一个函数/*********************************************************************/BOOL BDebugProcess2(HANDLE hProcess, LPCTSTR PrivilegeName){HANDLE
Windows系统下远程线程注入DLL的检测与卸载策略
"远程线程注入DLL的检测与卸载方法的研究" 远程线程注入(Remote Thread Injection)是一种常见的恶意软件技术,攻击者通过这种方式在目标进程中注入代码,通常是动态链接库(DLL),以实现隐蔽的监控、控制或破坏...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值