python dll注入监听_DLL注入和API拦截

最新推荐文章于 2024-07-01 11:22:54 发布
最新推荐文章于 2024-07-01 11:22:54 发布
阅读量548 收藏 3
点赞数
文章标签: python dll注入监听

读《Windows核心编程》笔记一 DLL注入和API拦截

在Windows中,每个进程相互独立,都有自己的私有的地址空间,程序中使用的指针都是进程自己地址空间的一个内存地址,无法创建也没法使用其他进程的指针。这种机制使得各个进程之间不会相互影响,万一自己出现了问题,也不会影响到其他的进程。对用户来说,系统更加的稳定了,但是对于开发人员来说,会使我们很难编写能够与其他进程通信的应用程序或对其他进程进行操控的引用程序。

程序运行是由dll/exe等文件加载并执行的,运行过程中也可以动态的加载其他的DLL。假如,我们可以使应用程序在加载dll时加载我们自己写的DLL,那么我们就可以在我们的DLL中做任何我们想做的事情,可以访问进程的任何私有地址空间。下面就来介绍如何让程序加载我们自己的DLL:

1.使用注册表

2.使用Windows挂钩

3.使用远程线程

4.使用木马DLL,即让程序加载我们伪装的DLL

5.通过修改线程内存地址的机器指令

1.使用注册表

这是最简单的方法,通过系统注册表来达到注入DLL的目的,系统注册表中有个AppInit_DLLs键值,在如下路径:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

AppInit_DLLs有可能包含一个或多个DLL的文件名(通过空格或逗号分隔),第一个DLL的文件名可以包含路径,但其他DLL包含的路径将被忽略。所以我们最好是将自己的DLL放在系统目录,然后在注册表中直接指定文件名即可。添加好DLL后,把键值LoadAppInit_DLLs也改为1.这样就大功告成了,每当新的进程启动的时候,会去加载系统的User32.dll,User32.dll在处理DLL_PROCESS_DETACH通知时,就会调用LoadLibrary来载入我们之前填写在AppInit_DLLs中的所有DLL,并调用每一个DLL的DllMain函数。

不过这样的注入方式只适用于那些GUI程序,因为需要依赖程序是否映射User32.dll,对于那些终端CUI应用程序则没法使用。

2.使用Windows挂钩

Windows提供的一种机制可以让我们的一个DLL注入到另一个进程的地址空间,那就是安装WH_GETMESSAGE挂钩,例如:

HHOOK hHook = SetWindowsHookEx(WH_GETMESSAGE, MyMsgProc, hInstDll, 0);

MyMsgProc是我们自己的消息处理过程,hInstDll的值是进程地址空间中DLL被映射后的虚拟内存地址,最后一个参数0表示给所有的GUI线程安装挂钩。假设有一个线程给某个窗口发一条消息,系统会先检查你有没有安装WH_GETMESSAGE挂钩,然后把MyMsgProc所在的DLL映射至进程空间,并调用MyMsyProc函数。由于系统将挂钩函数所在DLL映射到进程地址空间时,会映射整个DLL,而不仅仅只是MyMsgProc,这就意味着DLL内的所有函数都存在于进程B中。这时我们可以用SetWindowLongPtr去派生一个子类窗口,这样就可以截获窗口的处理过程。

3.使用远程线程来注入DLL

DLL注入技术唯一的目标就是让别的程序加载我们的DLL,这样我们就可以在我们自己的DLL中做任何我们想做的事情。但是我们无法轻易的控制别人进程的线程,因此就要求我们在目标进程中创建一个新的线程。幸运的是,微软直接给我们提供了这样的API,那就是CreateRemoteThread函数,它使得我们可以在别的程序中创建一个新的线程,函数原型如下:

HANDLE WINAPI CreateRemoteThread(

__in HANDLE hProcess,

__in LPSECURITY_ATTRIBUTES lpThreadAttributes,

__in SIZE_T dwStackSize,

__in LPVOID lpParameter,

__in DWORD dwCreationFlags,

__out LPDWORD lpThreadId

);

其实这个函数与CreateThread函数是一样的,只不过多了一个hProcess参数。lpStartAddress这个函数的内存地址应该存在于远程进程空间中,因为线程函数不可能在别的进程的地址空间中。

好了,现在我们实现了在别的进程中创建一个线程,那么怎么让线程去执行LoadLibrary函数,又怎么加载我们自己的DLL呢?实际上我们可以让lpStartAddress参数直接就是LoadLibrary函数的地址,这样就不用担心线程怎么去执行了。

由于每一个进程在加载Kernel32.dll时,基本上都被映射到了同一个地址。这样我们可以使用GetProcAddress来获取LoadLibrary在Kernel32中的偏移地址,再加上kernel32在自己进程的base地址:

PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle(_T("Kernel32")), "LoadLibraryW");

HANDLE hThread = CreateRemoteThread(hProcessRemote, NULL, 0, pfnThreadRtn, "MyLib.Dll", 0, NULL);

"MyLib.Dll"这串字符串需要通过VirtualAlloEx在远程进程中分配一块内存,然后通过WriteProcessMemory写入那块新申请的内存,然后把参数"MyLib.Dll"替换掉,这样就可以了,现在我们的DLL就已经进入到了远程的进程中,可以随心所欲了。

4.使用木马DLL,即让程序加载我们伪装的DLL

5.通过修改线程内存地址的机器指令

这两种方式下回分解

weixin_39576336
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
API Monitor简易使用教程 监控Windows dll调用 监控Windows API调用 查看函数名,参数类型,参数,返回值
chenhao0568的专栏
01-13 1814
1、API Filter窗口:选定要监听dll函数或windows API,可以打断点 选中并右键勾上Breakpoint 选 Before Call。1.改参数,最好新建memorry,在memorry里填上新值, 把参数名对应的Value地址改为新的memorry地址。3、Summary窗口:会列出所有调用的函数。点函数,查看函数名,参数类型,参数,返回值等。2、Monitor New Process 窗口 :选择要运行的exe。当调用到断点的函数调用时,会弹出对话框,可以修改参数。
python注入_Python——dll注入
weixin_39719732的博客
12-04 966
dll攻击原理分析什么是dll动态链接库,是在微软Windows操作系统中实现共享函数库概念的一种方式。这些库函数的扩展名是 ”.dll"、".ocx"(包含ActiveX控制的库)或者 ".drv"(旧式的系统驱动程序)。为何有dll由于进程的地址空间是独立的(保护模式),当多个进程共享相同的库时,每个库都在硬盘和进程彼此的内存存放一份的话,对于早期的计算机来说,无疑是一种极大的浪费,于是win...
【自定义抓包发包工具(上)——通信函数及带窗口的动态库】DetourHook进阶,实现自定义抓包发包工具编写;实现你的第一个带窗口的dll
最新发布
luoqiaoliang的博客
07-01 613
本期内容为通讯函数原理简介和带窗口dll编写套路,让你的dll控制变得简单起来。
python-dll-injection, 在 Windows 上,用于将DLL文件注入运行进程的python 工具包.zip
09-18
python-dll-injection, 在 Windows 上,用于将DLL文件注入运行进程的python 工具包 python-dll-injectionpython 工具箱,用于在 Windows 上的运行进程中插入DLL文件这个工具包一直在扩大,因为我bother为它增加额外的部分。 在阅读灰色帽子 python 之后,我们会感觉到这一点,以
Python dll注入
weixin_42583683的博客
02-11 626
"DLL injection" 是指将一个DLL文件加载到一个运行中的进程,从而使该进程能够使用这个DLL文件中的函数和数据。 在Python中,可以使用ctypes库进行DLL注入,但这通常是不推荐的,因为它可能存在安全风险。如果您需要访问一个第三方DLL,更好的方法是通过接口或其他方式与其进行交互,而不是直接注入到进程中。 ...
python dll注入监听_检测反射DLL注入
weixin_39777464的博客
12-09 147
In the past few years, malware (and some pen-test tools like Metasploit's meterpreter payload) have begun to use reflective DLL injection (PDF) to load a DLL into the memory of a process. The benefit ...
python语言编写的DLL注入工具
storm_spirit的博客
05-02 7241
一、流程 1、第一步,获取要注入进程快照; 2、第二步,在快照中比对进程名,得到进程PID; 3、第三步,用pid去打开进程获取到句柄; 4、第四步,在要注入的进程内申请一块内存; 5、第五步,把要注入dll路径写入进程内存中; 6、第六步,得到“LoadLibraryA”函数的句柄 7、第七步,通过远程线程运行注入dll注入成功 二、代码 #-*- coding: ut...
python实现微信hook_详解Python开发中如何使用Hook技巧
weixin_39929595的博客
11-28 848
什么是Hook,就是在一个已有的方法上加入一些钩子,使得在该方法执行前或执行后另在做一些额外的处理,那么Hook技巧有什么作用以及我们为什么需要使用它呢,事实上如果一个项目在设计架构时考虑的足够充分,模块抽象的足够合理,设计之初为以后的扩展预留了足够的接口,那么我们完全可以不需要Hook技巧。但恰恰架构人员在项目设计之初往往没办法想的足够的深远,使得后续在扩展时深圳面临重构的痛苦,这时Hook技巧...
python keyboard hook_键盘监控的实现Ⅰ——Keyboard Hook API函数
weixin_39648492的博客
12-15 1222
在实际应用中,键盘监控是一种很常见的技术,它包括按键的记录、按键的过滤、按键的修改(映射)等。比方说,我们想统计用户的击键情况,这个就是按键的记录;我们想屏蔽某些系统键(例如Alt键、Win键),这个是按键的过滤;我们想改变按键的值,例如按下A,出来的是Z,在例如按下A,出来按键的组合SDFG等(貌似这个在游戏中比较多,有些游戏的大绝招都比较难按,用这个一劳永逸),这个是按键的修改。键盘监控的具体...
windows下如何用python控制打印机打印_Python使用win32print模块设置打印机
weixin_39961369的博客
12-09 2578
Python通过调用win32print模块,可以实现对已安装的打印机进行一系列管理。首先,你需要安装好Python 2.4 - 3.x和PyWin32包。然后就可以查看当前电脑上安装了哪些打印机:import win32printprinters = win32print.EnumPrinters(5)print printers这样通过EnumPrinters方法就可以获取,数字大小可以调整,...
python版公众号爬虫
爬虫进击之路
12-29 550
一、公众号抓取来源 通过DLL注入PC微信监听微信公众号推送,实时抓取。优点是可以多开,且封号率几乎为0!项目采用gayhub上开源的DLL注入python进行交互。目前支持的微信PC版本是2.8.0.121。WeChatSetup_2.8.0.121.exe 提取码:fg8b,源代码可在关注博主后留言获得。 二、DLL注入原理 所谓DLL注入就是将一个DLL放进某个进程的地址空间里,让它成为那个进程的一部分。要实现DLL注入。 三、具体功能 可以来实现: 监控或收集微信消息 自动消息推送 聊天机器人
Python-DLL-Injector:用Python编写的没有依赖项的DLL注入
03-17
DLL注入器 一个简单的Python DLL注入器,它利用ctypes和WIN32 API。 当前仅使用LoadLibraryA和CreateRemoteThread支持最基本的DLL注入样式。 根据您使用64位还是32位运行此命令,Python会更改您可能注入的进程。 怎么跑 只需克隆存储库并使用python main.py运行,因为没有其他依赖项。
Python调用DLL实例
06-21
非MFC规则DLL,MFC规则DLL,MFC扩展DLL实例,及Python调用DLL实例
如何使用ShellCode进行DLL注入
# 1. 简介 ## 1.1 介绍ShellCode的基本概念和作用 ShellCode是一种用于利用软件漏洞的机器代码。...## 1.2 解释DLL注入的定义和用途 DLL(Dynamic Link Library,动态链接库)是一种可执行文件格式,包含一组可
python内存注入代码,python语言编写的DLL注入工具
weixin_29009881的博客
03-26 1691
一、流程1、第一步,获取要注入进程快照;2、第二步,在快照中比对进程名,得到进程PID;3、第三步,用pid去打开进程获取到句柄;4、第四步,在要注入的进程内申请一块内存;5、第五步,把要注入dll路径写入进程内存中;6、第六步,得到“LoadLibraryA”函数的句柄7、第七步,通过远程线程运行注入dll注入成功二、代码#-*- coding: utf-8 -*-from ctypes ...
python dll注入 网络_DLL注入---任务管理器之进程保护--Python
weixin_39673293的博客
12-05 384
Python 实现DLL注入dll文件 dll.c#include #include unsigned char code[12];unsigned char oldcode[12];FARPROC addr;DWORD pid;//获取注册表需要保护的程序pidint getpid(){char buffer[255];DWORD get = 255;//判断环境是否为WOW64BOOL is...
python dll注入监听_HOOK -- DLL的远程注入技术详解(1)
weixin_30894765的博客
02-19 1192
DLL的远程注入技术是目前Win32病毒广泛使用的一种技术。使用这种技术的病毒体通常位于一个DLL中,在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)中运行。这样一来,普通的进程管理器就很难发现这种病毒了,而且即使发现了也很难清除,因为只要病毒寄生的进程不终止运行,那么这个DLL就不会在内存中卸载,用户也就无法在资源管理器中删除这个DLL文件,真可谓一...
python dll注入 网络_Python——dll注入
weixin_39534978的博客
12-05 412
import sysfrom ctypes import *FAGE_READWRITE = 0x04PROCESS_ALL_ACCESS = 0x001F0FFFVIRTUAL_MEN = (0x1000 | 0x2000)kernel32 = windll.kernel32user32 = windll.user32pid = sys.argv[1]dll_path = sys.argv[2]...
python dll注入监听_注入方式,劫持dll注入的实现
weixin_39814393的博客
12-09 771
基础的东西不想多讲,简单的提一句,具体请问度娘。Windows的PE加载器会从执行文件目录下寻找DLL,如果找不到再去其他地方找。把我们特定的DLL伪装成系统DLL,然后放在执行文件目录下,就能实现DLL劫持。劫持来干嘛?肯定是要在被干程序体内有一席之地,然后想干什么就干什么。比如劫持ws2_32.dll可以实现抓包,改包,转向等。如何伪造?当然是伪造导出表啦,导出表是一个DLL最总要的部分。L...
python dll注入
09-03
Python中进行DLL注入的方法有多种。一种常见的方法是使用ctypes库来实现。ctypes库提供了一种与C语言兼容的数据类型和函数调用方式,可以方便地与动态链接库进行交互。通过ctypes库,我们可以加载DLL文件并调用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值