c++ windows DLL远程注入

已于 2022-03-15 14:13:15 修改
阅读量2.4k 收藏 2
点赞数 1
分类专栏: windows 文章标签: c++ windows 开发语言
于 2022-03-11 18:42:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42603425/article/details/123429597
版权

这次使用远程线程来进行DLL注入,它提供了最高的灵活性。从根本上说DLL注入要求目标进程中的一个线程使用LoadLibrary来载入我们的DLL。

由于我们不能随意的控制别的线程,因此我们需要在目标进程创建一个新的线程,远程创建线程可以使用 CreateRemoteThread 来进行创建,下面是函数原型。

HANDLE CreateRemoteThread( 
    [in] HANDLE hProcess, 
    [in] LPSECURITY_ATTRIBUTES lpThreadAttributes, 
    [in] SIZE_T dwStackSize, 
    [in] LPTHREAD_START_ROUTINE lpStartAddress, 
    [in] LPVOID lpParameter, 
    [in] DWORD dwCreationFlags, 
    [out] LPDWORD lpThreadId );

除了CreateRemoteThread有一个额外的参数 hProcess 以外其他的都和CreateThread完全相同,hProcess 这个参数表示创建的进程归那个进程所有。

下一步我们需要让该线程调用LoadLibrary函数来载入我们的DLL,通过函数原型发现他们两个非常相似,都是一个参数一个返回值,函数约定都是WINAPI 。

LoadLibrary函数原型
HMODULE WINAPI LoadLibraryA(_In_ LPCSTR lpLibFileName);
HMODULE WINAPI LoadLibraryW(_In_ LPCWSTR lpLibFileName);

线程回调的原型
DWORD WINAPI ThreadProc(_In_ LPVOID lpParameter);

那么只要我们把线程函数回调地址改成LoadLibrary是不是就ok了?如下

使用多字符
    HANDLE hThread = CreateRemoteThread(handle, NULL, 0, (LPTHREAD_START_ROUTINE)LoadLibraryA, "c:\\myLib.dll", 0, NULL);

使用宽字符
    HANDLE hThread = CreateRemoteThread(handle, NULL, 0, (LPTHREAD_START_ROUTINE)LoadLibraryW, L"c:\\myLib.dll", 0, NULL);

当新线程被创建时会立刻调用LoadLibrary,并传入DLL路径,但是这还存在其他两个问题。

第一 直接把LoadLibrary传给CreateRemoteThread第四个参数,在编译和链接的时候会把函数放到一个二进制文件的导入段中,通过这个二进制的文件来获取实际的跳转地址。当我们在远程直接调用LoadLibrary,会被解析成我们模块导入段的LoadLibrary,所以解析的数据鬼知道是那个地址,这样会造成违规访问。

第二个问题就是 你传入给LoadLibrary的字符串,也就是CreateRemoteThread第五个参数,你传入的是本地空间的字符串指针,所以当LoadLibrary进行操作字符串时也会发生访问违规。

解决第一个问题我们可以使用GetProcAddress函数来获取LoadLibrary的实际地址,因为LoadLibrary函数是在Kernel32.dll里面,系统会把Kernel32.dll映射到每一个进程里,所以以下操作可以获取LoadLibrary在当前线程的真实地址。

    PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandleW(L"Kernel32"), "LoadLibraryW");

    HANDLE hThread = CreateRemoteThread(handle, NULL, 0, pfnThreadRtn, L"c:\\myLib.dll", 0, NULL);

好了,第一个问题解决了还有第二个问题,怎么把字符串放到远程的线程中呢?好在windows为我们提供了在一个进程给另一个进程的地址空间分配一块内存 VirtualAllocEx ,还提供了让我们释放这块内存 VirtualFreeEx。

我们在另一个进程开辟了内存,还需要把字符串复制到开辟的内存中,所以需要WriteProcessMemory函数来把当前进程的字符串写入到另一个进程中。

    wstring dllPath = L"c:\\myLib.dll";

    DWORD dwSize = dllPath.length();
    dwSize = dwSize * sizeof(WCHAR);

    LPWCH pszLibFileRemote = (LPWCH)VirtualAllocEx(handle, NULL, dwSize, MEM_COMMIT, PAGE_READWRITE);

    // 把dll路径复制到创建的内存中
    WriteProcessMemory(handle, pszLibFileRemote, dllPath.c_str(), dwSize, NULL);

    PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandleW(L"Kernel32"), "LoadLibraryW");

    HANDLE hThread = CreateRemoteThread(handle, NULL, 0, pfnThreadRtn, "c:\\myLib.dll", 0, NULL);

这个样子就基本完成了。下面补充一下还需要进行获取要注入进程的句柄,可以通过进程id来获取,下面是完整的一个注入函数。

//参数dwProcessId 表示要注入的进程的PID
//参数dllPath 表示需要注入进程的路径
    
BOOL Injection(DWORD dwProcessId, wstring dllPath)
{
    HANDLE handle = OpenProcess(
        PROCESS_QUERY_INFORMATION | // 需要检索有关进程的某些信息
        PROCESS_CREATE_THREAD |     // 需要创建线程。
        PROCESS_VM_OPERATION |      // 需要对进程的地址空间执行操作
        PROCESS_VM_WRITE,           // 需要使用WriteProcessMemory 写入进程中的内存
        FALSE, dwProcessId);
    if (handle == NULL)
    {
        return FALSE;
    }

    DWORD dwSize = dllPath.length();
    dwSize = dwSize * sizeof(WCHAR);

    LPWCH pszLibFileRemote = (LPWCH)VirtualAllocEx(handle, NULL, dwSize, MEM_COMMIT, PAGE_READWRITE);
    if (NULL == pszLibFileRemote)
    {
        return FALSE;
    }

    // 把dll路径复制到创建的内存中
    if (!WriteProcessMemory(handle, pszLibFileRemote, dllPath.c_str(), dwSize, NULL))
    {
        return FALSE;
    }

    // 获取LoadLibrary所在Kernel32.dll中的实际地址(系统每个进程都会需要Kernel32.dll)
    PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandleW(L"Kernel32"), "LoadLibraryW");

    HANDLE hThread = CreateRemoteThread(handle, NULL, 0, pfnThreadRtn, pszLibFileRemote, 0, NULL);
    if (hThread == NULL)
    {
        return FALSE;
    }

    if (pszLibFileRemote != NULL)
        VirtualFreeEx(handle, pszLibFileRemote, 0, MEM_RELEASE);

    if (hThread != NULL)
        CloseHandle(hThread);

    if (handle != NULL)
        CloseHandle(handle);

    return TRUE;
}

下面是卸载这个dll


BOOL UnInjection(DWORD processId, wstring dllPath)
{
    BOOL bRtn = FALSE;

    HANDLE hThread;
    HANDLE hProcess;
    HANDLE hthSnapshot;
    //远程删除操作步骤
    do
    {
        // 获取指定进程的快照,以及这些进程使用的堆、模块和线程。
        hthSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, processId);
        if (hthSnapshot == INVALID_HANDLE_VALUE) break;

        // 获取模块信息
        MODULEENTRY32W me = { sizeof(me) };
        BOOL bFound = FALSE;
        //检索模块的信息
        BOOL bMoreMods = Module32FirstW(hthSnapshot, &me);
        for (; bMoreMods; bMoreMods = Module32NextW(hthSnapshot, &me))
        {
            //判断是否是我们加载的dll
            bFound = (_wcsicmp(me.szModule, dllPath.c_str()) == 0) || (_wcsicmp(me.szExePath, dllPath.c_str()) == 0);
            if (bFound) break;
        }
        if (!bFound) break;

        hProcess = OpenProcess(
            PROCESS_QUERY_INFORMATION |   // Required by Alpha
            PROCESS_CREATE_THREAD |   // For CreateRemoteThread
            PROCESS_VM_OPERATION |   // For VirtualAllocEx/VirtualFreeEx
            PROCESS_VM_WRITE,             // For WriteProcessMemory
            FALSE, processId);
        if (hProcess == NULL)
            break;

        PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandleW(L"Kernel32"), "FreeLibrary");
        // 在远程进程中创建另一个线程,调用FreeLibrary
        hThread = CreateRemoteThread(hProcess, NULL, 0, pfnThreadRtn, me.modBaseAddr, 0, NULL);
        if (hThread == NULL)
            break;

        WaitForSingleObject(hThread, INFINITE);

        bRtn = TRUE;
    } while (FALSE);

    if (hProcess != NULL)
    {
        CloseHandle(hProcess);
    }

    if (hThread != NULL)
    {
        CloseHandle(hThread);
    }

    if (hthSnapshot != NULL)
    {
        CloseHandle(hthSnapshot);
    }

    return bRtn;
}

参考资料:windows核心编程第五版

.简.简.单.单.
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C/C++实现DLL注入(入门),完整过程
EXN_DEV的博客
01-22 4852
C/C++实现DLL注入
DLL远程注入与卸载(C++)
Ψ星泪(JPEXE)
09-16 5004
以下提供两个函数,分别用于向其它进程注入和卸载指定DLL模块。支持Unicode编码。 //----------------------------------------------------------------------------------------------------------- // 函数: InjectDll // 功能: 向目标进程中注入一个指定 Dll 模块文件
语言 远程线程注入DLL呼出窗口 源码(无模块)
11-24
这个可是非常好的源码 没有使用任何模块 放心下载 绝对不留后门,不修改IE,卸载dll一直有点小问题,希望大家多交流 QQ:22353017
windows调用c/c++ dll库操作
最新发布
qq_30531921的博客
06-05 113
2、打开powershell。1、安装mingw环境。3、编写java和so。
如何获知DLL函数的参数
谋事在人,成事在天
09-13 3401
如何获知DLL函数的参数   NowCan 这篇文章是转贴的,不要问我具体的实现方法。可以通过反汇编来知道接口函数的参数,建议使用W32DSM来分析,也可以直接使用VC来分析,就是麻烦一点。现在使用W32DSM来具体说明:1。先打开需要分析的DLL,然后通过菜单功能-》出口来找到需要分析的函数,双击就可以了。它可以直接定位到该函数。2。看准该函数的入口,一般函数是以以下代码作为入
C++远程线程注入Dll模块代码,全系统通用,超简单。
WorryFree
12-09 778
C++远程线程注入Dll模块代码,全系统通用,超简单
【网络杂烩 ---> 网络安全】DLL 注入 --- c/c++ 代码实现(超 · 详细)
扑腾的江鱼复习仓库
12-02 4294
DLL 注入(英语:DLL injection)是一种涉及计算机信息安全的特殊编程技术。它可以强行使一个 进程加载某个 动态链接库以在其私有地址空间内运行指定 代码(往往是恶意代码)。DLL 注入的常见手段是用外部 DLL 库覆盖一个程序原先的 DLL 库,目的是实现该程序的作者未预期的结果。比如,注入的代码可以 挂钩(Hook)系统消息或系统调用,以达到读取密码框的内容等危险目的,而一般编程手段无法达成这些目的。
c++ dll注入
qq_35349673的博客
06-03 772
c++ dll注入
C++ 远程dll注入
11-20
C++远程DLL注入是一种技术,它允许一个进程(注入者)将动态链接库(DLL)加载到另一个正在运行的进程(宿主进程)中。这种技术在系统编程、调试、性能监控等领域有合法的应用,但同时也被恶意软件利用来执行非法...
64位远程注入dll工具源码.rar
02-19
本程序源码实现了64位远程注入dll功能,可以从进程列表里选择需要注入dll的程序,采用该源码思路可以实现ERP办公插件,本人用它实现了SAP凭证扫描制单,采购入库单扫描自动录单功能,非常好用。大大提升操作员工工作...
C++封装远程注入类CreateRemoteThreadEx实例
09-04
C++封装远程注入类`CreateRemoteThreadEx`实例主要涉及Windows系统编程中的进程间通信(IPC)技术,尤其是动态链接库(DLL)的远程注入远程注入是指将一个DLL加载到另一个正在运行的进程的地址空间中,允许共享...
C++实现dll注入其它进程
01-21
 1、宿主进程调用LoadLibrary,可以完成DLL远程注入。可以通过CreateRemoteThread将LoadLibrary作为宿主进程的一个线程来启动,可以完成“控制目标进程调用LoadLibrary”的工作。  2、标准DLLDllMain,是DLL...
C++实现远程DLL注入
05-15
标题中的“C++实现远程DLL注入类”指的是利用C++编程语言,设计一个类来实现DLL注入远程进程中。这个类通常会包含一些关键函数,例如`InsertDllToProcess`,它接受两个参数:目标进程的名称(如"qq.exe")和要注入...
C++ + MFC 写一个程序参数修改器(六、dll注入
LyRics1996的博客
09-02 478
一、说明 DLL注入技术可以被正常软件用来添加/扩展其他程序,调试或逆向工程的功能性;该技术也常被恶意软件以多种方式利用。这意味着从安全角度来说,了解DLL注入的工作原理是十分必要的。 注入攻击相关例子 二、新建DLL程序 三、增加代码 增加钩子函数 响应键盘函数 四、配置 打开Def文件 增加新增的函数名称 五、调用 在界面中双击dll注入,在生成的函数中加入以下代码,运行点击dll注入按钮,即可加载dll程序 ...
关于用C#调用C++dll中的函数获取字符串返回值的一些细节
carlblack1987的专栏
12-06 2493
这里我们要先注意一个前提:C#与C++的根本区别在于,C#是托管类语言,而C++是非托管性质的。 简单来说就是C#有垃圾回收机制帮我们做很多事情而C++没有。 因此,涉及到C#与C++混用场景的时候这种机制上的区别让两个语言之间的数据交换有着一套比较麻烦的规则。 这也是为什么后来又提出了C++/CLR这个语言,它可以将C#与C++杂糅在一起进行代码编写。 但是有的时候,尤其是当我们做二次开...
【C/C++】让自己的程序可以支持DLL进行扩展——动态加载DLL及其参数
愿岁并谢,与长友兮
12-24 1556
前段时间使用steamVR,发现可以按它的标准写一个dll,然后放在它程序dirvers文件夹下,它就能自动加载并使用了。(https://github.com/ValveSoftware/openvr/wiki/Driver-Factory-Function) 最近正好写程序想支持扩展,就想到了它这个方法。 预期效果: 我程序大概想实现的效果就是,程序写好以后发布出去,别人可以按我提供的标准写一个dll,放在程序目录下。然后程序就可以加载并调用这个dll中某个函数,而不用改动程序的代码。 ..
Windows核心编程》之”DLL注入“(二)
Sagittarius_Warrior的博客
08-09 3559
本文接上一篇,开始介绍"DLL注入"的实现。 一、DLL注入的方法         DLL注入的方法有很多,《Windows核心编程》中介绍了如下几种: 1)使用注册表来注入DLL; 2)使用Windows挂钩来注入DLL; 3)使用远程线程来注入DLL; 4)使用木马DLL注入DLL; 5)把DLL作为调试器来注入DLL; 6)使用CreateProcess来注入DLL
C++调用现有DLL文件
浤济的专栏
02-01 987
HINSTANCE 调用DLL = LoadLibrary(L"luna.dll");//调用现有DLL if (调用DLL) { typedef int(*pGetMaxN)(time_t); //定义一个函数指针类型参数必须与DLL中的参数一样返回参数传递参数 pGetMaxN 函数别名 = (pGetMaxN)GetProcAddress(调用DLL, "GetMont...
DLL注入浅析(下)
aoebug的博客
09-08 892
DLL注入浅析(下) 这一篇文章主要讲基于CreateRemoteThread的DLL注入,最后会以一个游戏修改器来结束此文。 关于DLL注入有注册表注入远程线程注入两种方式。 此文主讲远程线程注入(即CreateRemoteThread)。 1.    LoadLibrary载入DLL 2.    CreateRemoteThread远程
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值