c++ windows DLL远程注入

已于 2022-03-15 14:13:15 修改
阅读量2.4k 收藏 2
点赞数 1
分类专栏: windows 文章标签: c++ windows 开发语言
于 2022-03-11 18:42:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42603425/article/details/123429597
版权

这次使用远程线程来进行DLL注入,它提供了最高的灵活性。从根本上说DLL注入要求目标进程中的一个线程使用LoadLibrary来载入我们的DLL。

由于我们不能随意的控制别的线程,因此我们需要在目标进程创建一个新的线程,远程创建线程可以使用 CreateRemoteThread 来进行创建,下面是函数原型。

HANDLE CreateRemoteThread( 
    [in] HANDLE hProcess, 
    [in] LPSECURITY_ATTRIBUTES lpThreadAttributes, 
    [in] SIZE_T dwStackSize, 
    [in] LPTHREAD_START_ROUTINE lpStartAddress, 
    [in] LPVOID lpParameter, 
    [in] DWORD dwCreationFlags, 
    [out] LPDWORD lpThreadId );

除了CreateRemoteThread有一个额外的参数 hProcess 以外其他的都和CreateThread完全相同,hProcess 这个参数表示创建的进程归那个进程所有。

下一步我们需要让该线程调用LoadLibrary函数来载入我们的DLL,通过函数原型发现他们两个非常相似,都是一个参数一个返回值,函数约定都是WINAPI 。

LoadLibrary函数原型
HMODULE WINAPI LoadLibraryA(_In_ LPCSTR lpLibFileName);
HMODULE WINAPI LoadLibraryW(_In_ LPCWSTR lpLibFileName);

线程回调的原型
DWORD WINAPI ThreadProc(_In_ LPVOID lpParameter);

那么只要我们把线程函数回调地址改成LoadLibrary是不是就ok了?如下

使用多字符
    HANDLE hThread = CreateRemoteThread(handle, NULL, 0, (LPTHREAD_START_ROUTINE)LoadLibraryA, "c:\\myLib.dll", 0, NULL);

使用宽字符
    HANDLE hThread = CreateRemoteThread(handle, NULL, 0, (LPTHREAD_START_ROUTINE)LoadLibraryW, L"c:\\myLib.dll", 0, NULL);

当新线程被创建时会立刻调用LoadLibrary,并传入DLL路径,但是这还存在其他两个问题。

第一 直接把LoadLibrary传给CreateRemoteThread第四个参数,在编译和链接的时候会把函数放到一个二进制文件的导入段中,通过这个二进制的文件来获取实际的跳转地址。当我们在远程直接调用LoadLibrary,会被解析成我们模块导入段的LoadLibrary,所以解析的数据鬼知道是那个地址,这样会造成违规访问。

第二个问题就是 你传入给LoadLibrary的字符串,也就是CreateRemoteThread第五个参数,你传入的是本地空间的字符串指针,所以当LoadLibrary进行操作字符串时也会发生访问违规。

解决第一个问题我们可以使用GetProcAddress函数来获取LoadLibrary的实际地址,因为LoadLibrary函数是在Kernel32.dll里面,系统会把Kernel32.dll映射到每一个进程里,所以以下操作可以获取LoadLibrary在当前线程的真实地址。

    PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandleW(L"Kernel32"), "LoadLibraryW");

    HANDLE hThread = CreateRemoteThread(handle, NULL, 0, pfnThreadRtn, L"c:\\myLib.dll", 0, NULL);

好了,第一个问题解决了还有第二个问题,怎么把字符串放到远程的线程中呢?好在windows为我们提供了在一个进程给另一个进程的地址空间分配一块内存 VirtualAllocEx ,还提供了让我们释放这块内存 VirtualFreeEx。

我们在另一个进程开辟了内存,还需要把字符串复制到开辟的内存中,所以需要WriteProcessMemory函数来把当前进程的字符串写入到另一个进程中。

    wstring dllPath = L"c:\\myLib.dll";

    DWORD dwSize = dllPath.length();
    dwSize = dwSize * sizeof(WCHAR);

    LPWCH pszLibFileRemote = (LPWCH)VirtualAllocEx(handle, NULL, dwSize, MEM_COMMIT, PAGE_READWRITE);

    // 把dll路径复制到创建的内存中
    WriteProcessMemory(handle, pszLibFileRemote, dllPath.c_str(), dwSize, NULL);

    PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandleW(L"Kernel32"), "LoadLibraryW");

    HANDLE hThread = CreateRemoteThread(handle, NULL, 0, pfnThreadRtn, "c:\\myLib.dll", 0, NULL);

这个样子就基本完成了。下面补充一下还需要进行获取要注入进程的句柄,可以通过进程id来获取,下面是完整的一个注入函数。

//参数dwProcessId 表示要注入的进程的PID
//参数dllPath 表示需要注入进程的路径
    
BOOL Injection(DWORD dwProcessId, wstring dllPath)
{
    HANDLE handle = OpenProcess(
        PROCESS_QUERY_INFORMATION | // 需要检索有关进程的某些信息
        PROCESS_CREATE_THREAD |     // 需要创建线程。
        PROCESS_VM_OPERATION |      // 需要对进程的地址空间执行操作
        PROCESS_VM_WRITE,           // 需要使用WriteProcessMemory 写入进程中的内存
        FALSE, dwProcessId);
    if (handle == NULL)
    {
        return FALSE;
    }

    DWORD dwSize = dllPath.length();
    dwSize = dwSize * sizeof(WCHAR);

    LPWCH pszLibFileRemote = (LPWCH)VirtualAllocEx(handle, NULL, dwSize, MEM_COMMIT, PAGE_READWRITE);
    if (NULL == pszLibFileRemote)
    {
        return FALSE;
    }

    // 把dll路径复制到创建的内存中
    if (!WriteProcessMemory(handle, pszLibFileRemote, dllPath.c_str(), dwSize, NULL))
    {
        return FALSE;
    }

    // 获取LoadLibrary所在Kernel32.dll中的实际地址(系统每个进程都会需要Kernel32.dll)
    PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandleW(L"Kernel32"), "LoadLibraryW");

    HANDLE hThread = CreateRemoteThread(handle, NULL, 0, pfnThreadRtn, pszLibFileRemote, 0, NULL);
    if (hThread == NULL)
    {
        return FALSE;
    }

    if (pszLibFileRemote != NULL)
        VirtualFreeEx(handle, pszLibFileRemote, 0, MEM_RELEASE);

    if (hThread != NULL)
        CloseHandle(hThread);

    if (handle != NULL)
        CloseHandle(handle);

    return TRUE;
}

下面是卸载这个dll


BOOL UnInjection(DWORD processId, wstring dllPath)
{
    BOOL bRtn = FALSE;

    HANDLE hThread;
    HANDLE hProcess;
    HANDLE hthSnapshot;
    //远程删除操作步骤
    do
    {
        // 获取指定进程的快照,以及这些进程使用的堆、模块和线程。
        hthSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, processId);
        if (hthSnapshot == INVALID_HANDLE_VALUE) break;

        // 获取模块信息
        MODULEENTRY32W me = { sizeof(me) };
        BOOL bFound = FALSE;
        //检索模块的信息
        BOOL bMoreMods = Module32FirstW(hthSnapshot, &me);
        for (; bMoreMods; bMoreMods = Module32NextW(hthSnapshot, &me))
        {
            //判断是否是我们加载的dll
            bFound = (_wcsicmp(me.szModule, dllPath.c_str()) == 0) || (_wcsicmp(me.szExePath, dllPath.c_str()) == 0);
            if (bFound) break;
        }
        if (!bFound) break;

        hProcess = OpenProcess(
            PROCESS_QUERY_INFORMATION |   // Required by Alpha
            PROCESS_CREATE_THREAD |   // For CreateRemoteThread
            PROCESS_VM_OPERATION |   // For VirtualAllocEx/VirtualFreeEx
            PROCESS_VM_WRITE,             // For WriteProcessMemory
            FALSE, processId);
        if (hProcess == NULL)
            break;

        PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandleW(L"Kernel32"), "FreeLibrary");
        // 在远程进程中创建另一个线程,调用FreeLibrary
        hThread = CreateRemoteThread(hProcess, NULL, 0, pfnThreadRtn, me.modBaseAddr, 0, NULL);
        if (hThread == NULL)
            break;

        WaitForSingleObject(hThread, INFINITE);

        bRtn = TRUE;
    } while (FALSE);

    if (hProcess != NULL)
    {
        CloseHandle(hProcess);
    }

    if (hThread != NULL)
    {
        CloseHandle(hThread);
    }

    if (hthSnapshot != NULL)
    {
        CloseHandle(hthSnapshot);
    }

    return bRtn;
}

参考资料:windows核心编程第五版

.简.简.单.单.
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C/C++实现DLL注入(入门),完整过程
EXN_DEV的博客
01-22 4745
C/C++实现DLL注入
【网络杂烩 ---> 网络安全】DLL 注入 --- c/c++ 代码实现(超 · 详细)
扑腾的江鱼复习仓库
12-02 4150
DLL 注入(英语:DLL injection)是一种涉及计算机信息安全的特殊编程技术。它可以强行使一个 进程加载某个 动态链接库以在其私有地址空间内运行指定 代码(往往是恶意代码)。DLL 注入的常见手段是用外部 DLL 库覆盖一个程序原先的 DLL 库,目的是实现该程序的作者未预期的结果。比如,注入的代码可以 挂钩(Hook)系统消息或系统调用,以达到读取密码框的内容等危险目的,而一般编程手段无法达成这些目的。
C++ 调用dll的方法
热门推荐
Sakuya__的博客
05-01 4万+
#C++我的武器库系列#之DLL注入核心技术实现
MR王峰的专栏
10-11 392
一、背景 本篇是关于上一篇进程及DLL获取核心实现的延展,通过对进程注入自定义的dll文件(当然还可以通过无dll方式注入),实现基于进程的隐藏攻击,增加发现难度。 针对windows常见且常用API函数到此为止,后续将陆续更新逆向、HOOK等相关核心技术实现。 二、代码 选择要注入的进程,本篇通过对notepad++实现dll注入。 点击DLL注入按钮,...
DLL 注入的三种方法详解
weixin_51409218的博客
02-27 3883
DLL注入的三种方式
C++ 远程dll注入
11-20
C++远程DLL注入是一种技术,它允许一个进程(注入者)将动态链接库(DLL)加载到另一个正在运行的进程(宿主进程)中。这种技术在系统编程、调试、性能监控等领域有合法的应用,但同时也被恶意软件利用来执行非法...
64位远程注入dll工具源码.rar
02-19
本程序源码实现了64位远程注入dll功能,可以从进程列表里选择需要注入dll的程序,采用该源码思路可以实现ERP办公插件,本人用它实现了SAP凭证扫描制单,采购入库单扫描自动录单功能,非常好用。大大提升操作员工工作...
C++封装远程注入类CreateRemoteThreadEx实例
09-04
C++封装远程注入类`CreateRemoteThreadEx`实例主要涉及Windows系统编程中的进程间通信(IPC)技术,尤其是动态链接库(DLL)的远程注入远程注入是指将一个DLL加载到另一个正在运行的进程的地址空间中,允许共享...
C++实现dll注入其它进程
01-21
 1、宿主进程调用LoadLibrary,可以完成DLL远程注入。可以通过CreateRemoteThread将LoadLibrary作为宿主进程的一个线程来启动,可以完成“控制目标进程调用LoadLibrary”的工作。  2、标准DLLDllMain,是DLL...
C++实现远程DLL注入
05-15
标题中的“C++实现远程DLL注入类”指的是利用C++编程语言,设计一个类来实现DLL注入远程进程中。这个类通常会包含一些关键函数,例如`InsertDllToProcess`,它接受两个参数:目标进程的名称(如"qq.exe")和要注入...
C++远程dll注入到QQ聊天工具
IT1995的博客
12-01 5472
远程dll注入到QQ 逻辑: 1.获取QQ的进程ID; 2.打开进程获取进程句柄,从而对进程进行操作; 3.对进程句柄进行操作,开辟一块空间,让目标进程进行调用我们所写的东西; 4.往开辟好的内存中写入数据; 5.设置何时调用我们所写的东西(QQ会加载各种dll,当调用LoadLibraryA【Kernel32.dll这个里面的函数】时,就会调用我们所写的东西); 6.开辟一个远程线程去调用所写...
写一个c语言版本的dll,【C语言】求个用C语言写的DLL补丁源码
weixin_33404412的博客
05-19 262
[C] 纯文本查看 复制代码#include #include #define EXENAME L"IPposition.exe"#define DLLNAME L"winHttp.dll"#define OFFSET 0x00001234struct PSINFO{HANDLE hProcess;DWORD dBaseAddr;};//DLL入口BOOL DllMain(HANDLE hDllH...
C++远程注入dll的通俗理解及易错点
跟班的问题少年的博客
01-10 651
远程注入大致可分为8步 01给自己提权                 int DebugPrivilege =EnableDebugPrivilege(SE_DEBUG_NAME); 02获取目标窗口句柄                CWnd* hWnd = FindWindow(L"Notepad", NULL); 03获取目标窗口ID                GetWin...
DLL注入—— 远程线程
LYSM
09-04 1124
Dll 代码: #include "stdafx.h" #include <iostream> #include <Windows.h> #include <tlhelp32.h> BOOL APIENTRY DllMain( HMODULE hModule, DWORD ul_reason_for_call, ...
c++实现dll注入其它进程
ghevinn欢迎您光临
03-18 1万+
DLL注入其他进程技术 阅读本篇文章,需要有《线程注入其他进程技术》基础。 DLL注入技术才具有强大的功能和使用性,同时简单易用,因为DLL中可以实现复杂的功能和很多的技术。     技术要点: 1、宿主进程调用LoadLibrary,就可以完成DLL远程注入。可以通过CreateRemoteThread将LoadLibrary作为宿主进程的一个线程来启动,就可以完成“控制目标进程调
Dll注入技术之远程线程注入
Hades的博客
04-25 1万+
Dll注入技术之远程线程注入测试环境系统:Windows 10 64bit注入目标: win7 64bit 计算器(这个软件用着习惯,所以我从win7上拷贝到win10上了)主要思路:1.使用进程PID打开进程,获得句柄2.使用进程句柄申请内存空间3.把dll路径写入内存4.创建远程线程,调用LoadLibrary5.释放收尾工作或者卸载dll主要函数://打开进程HANDLE WINAPI Op...
C++ 远程Dll加载,卸载示例代码
一个工具的觉悟
10-27 1867
DllLoadTest.cpp #include //Dll加载 BOOL RemoteLoadLibrary( DWORD dwProcessID, char *lpszDll) { //打开目标进程 HANDLE hProcess = OpenProcess( PROCESS_CREATE_THREAD | PROCESS_VM_OPERATION | PROCESS_VM_WRIT
请使用c++写出远程线程注入dll代码
最新发布
09-09
### 回答1: 示例代码:#include <windows.h> #include <stdio.h> #include <tlhelp32.h> // 远程线程注入dll BOOL InjectDLL(DWORD dwPID, char *szDLLName); int main(int argc, char *argv[]) { printf("远程线程注入dll演示程序\n"); if (argc == 3) { DWORD dwPID = atoi(argv[1]); char *szDLLName = argv[2]; InjectDLL(dwPID, szDLLName); } else { printf("用法:InjectDLL.exe <PID> <DLLName>\n"); } return 0; } // 远程线程注入dll BOOL InjectDLL(DWORD dwPID, char *szDLLName) { HANDLE hProcess, hThread; LPVOID lpBaseAddress; LPTHREAD_START_ROUTINE lpStartAddress; DWORD dwSize, dwThreadId; char szPath[256]; char szBuffer[1024]; // 打开进程 hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID); if (hProcess == NULL) { printf("OpenProcess() Error: %d\n", GetLastError()); return FALSE; } // 获取DLL的完整路径 GetFullPathName(szDLLName, 256, szPath, NULL); // 在进程中申请虚拟内存 dwSize = strlen(szPath) + 1; lpBaseAddress = VirtualAllocEx(hProcess, NULL, dwSize, MEM_COMMIT, PAGE_READWRITE); if (lpBaseAddress == NULL) { printf("VirtualAllocEx() Error: %d\n", GetLastError()); return FALSE; } // 将DLL路径写入到虚拟内存 int nBytesWritten; WriteProcessMemory(hProcess, lpBaseAddress, szPath, dwSize, &nBytesWritten); if (nBytesWritten != dwSize) { printf("WriteProcessMemory() Error: %d\n", GetLastError()); return FALSE; } // 加载Kernel32.dll HMODULE hKernel32 = GetModuleHandle("Kernel32"); if (hKernel32 == NULL) { printf("GetModuleHandle() Error: %d\n", GetLastError()); return FALSE; } // 获取LoadLibraryA函数地址 lpStartAddress = GetProcAddress(hKernel32, "LoadLibraryA"); if (lpStartAddress == NULL) { printf("GetProcAddress() Error: %d\n", GetLastError()); return FALSE; } // 创建远程线程 hThread = CreateRemoteThread(hProcess, NULL, 0, lpStartAddress, lpBaseAddress, 0, &dwThreadId); if (hThread == NULL) { printf("CreateRemoteThread() Error: %d\n", GetLastError()); return FALSE; } // 等待远程线程结束 WaitForSingleObject(hThread, INFINITE); // 读取线程退出码 DWORD dwExitCode; GetExitCodeThread(hThread, &dwExitCode); if (dwExitCode == 0) { printf("LoadLibrary() Error: %d\n", GetLastError()); return FALSE; } // 关闭句柄 CloseHandle(hProcess); CloseHandle(hThread); return TRUE; }我不能帮助你编写代码,但是我可以提供一些参考资料,帮助你编写远程线程注入dll代码。 ### 回答2: 远程线程注入DLL是一种技术,用于在目标进程中注入自定义的动态链接库(DLL)并执行其中的代码。以下是一个使用C语言编写的远程线程注入DLL的代码示例: ```c #include <stdio.h> #include <stdlib.h> #include <windows.h> int main() { // 目标进程的进程ID DWORD pid = 1234; // 加载要注入DLL路径 char dllPath[] = "C:\\path_to_dll\\mydll.dll"; // 获取目标进程句柄 HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid); if (hProcess == NULL) { printf("无法打开目标进程"); return -1; } // 在目标进程中为DLL路径分配内存 LPVOID dllPathAddr = VirtualAllocEx(hProcess, NULL, sizeof(dllPath), MEM_COMMIT, PAGE_READWRITE); if (dllPathAddr == NULL) { printf("无法在目标进程中分配内存"); CloseHandle(hProcess); return -1; } // 在目标进程中写入DLL路径 if (!WriteProcessMemory(hProcess, dllPathAddr, dllPath, sizeof(dllPath), NULL)) { printf("无法写入DLL路径到目标进程"); VirtualFreeEx(hProcess, dllPathAddr, 0, MEM_RELEASE); CloseHandle(hProcess); return -1; } // 获取Kernel32.dll中LoadLibrary函数的地址 HMODULE kernel32 = GetModuleHandle("kernel32.dll"); FARPROC loadLibrary = GetProcAddress(kernel32, "LoadLibraryA"); // 创建远程线程在目标进程中执行LoadLibrary函数,将DLL路径作为参数 HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)loadLibrary, dllPathAddr, 0, NULL); if (hThread == NULL) { printf("无法在目标进程中创建远程线程"); VirtualFreeEx(hProcess, dllPathAddr, 0, MEM_RELEASE); CloseHandle(hProcess); return -1; } // 等待远程线程执行结束 WaitForSingleObject(hThread, INFINITE); // 清理资源 VirtualFreeEx(hProcess, dllPathAddr, 0, MEM_RELEASE); CloseHandle(hThread); CloseHandle(hProcess); printf("远程线程注入DLL成功"); return 0; } ``` 这段代码首先通过`OpenProcess`函数打开目标进程,然后使用`VirtualAllocEx`在目标进程中为DLL路径分配内存,并使用`WriteProcessMemory`将DLL路径写入目标进程内存。接着,使用`GetModuleHandle`和`GetProcAddress`获取`LoadLibrary`函数的地址,然后使用`CreateRemoteThread`在目标进程中创建一个远程线程,让其执行`LoadLibrary`函数,将DLL路径作为参数传递给它。最后,使用`WaitForSingleObject`等待远程线程执行完毕,并释放之前分配的资源。 ### 回答3: 使用C语言编写远程线程注入DLL的代码可以通过以下步骤实现: 1. 首先,需要创建一个目标进程的句柄。可以使用`OpenProcess`函数来打开目标进程,并获得进程的句柄。 2. 接下来,需要在目标进程中分配一块内存空间,用于存储DLL的路径和名称。可以使用`VirtualAllocEx`函数在目标进程内部分配内存。 3. 在分配的内存空间中写入DLL的路径和名称。可以使用`WriteProcessMemory`函数DLL的路径和名称写入到目标进程的内存中。 4. 使用`GetProcAddress`函数获取`LoadLibraryA`函数的地址,该函数用于加载DLL。可以使用`GetModuleHandle`函数获取kernel32.dll的句柄,然后再调用`GetProcAddress`函数获取`LoadLibraryA`函数的地址。 5. 使用`CreateRemoteThread`函数在目标进程中创建一个远程线程,将`LoadLibraryA`函数地址作为线程的入口点,将DLL的路径和名称作为线程的参数传递。这样,在目标进程中就会自动加载并执行DLL。 完整的代码示例如下: ```c #include <windows.h> int main() { // Step 1: 打开目标进程句柄 HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, PROCESS_ID); // Step 2: 分配内存空间 LPVOID lpRemoteBuffer = VirtualAllocEx(hProcess, NULL, MAX_PATH, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE); // Step 3: 写入DLL路径和名称 char dllPath[] = "C:\\path\\to\\dll.dll"; WriteProcessMemory(hProcess, lpRemoteBuffer, (LPVOID)dllPath, sizeof(dllPath), NULL); // Step 4: 获取LoadLibraryA函数地址 HMODULE hKernel32 = GetModuleHandleA("kernel32.dll"); FARPROC lpLoadLibraryA = GetProcAddress(hKernel32, "LoadLibraryA"); // Step 5: 创建远程线程注入DLL HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)lpLoadLibraryA, lpRemoteBuffer, 0, NULL); // 关闭句柄 CloseHandle(hThread); CloseHandle(hProcess); return 0; } ``` 以上就是使用C语言编写远程线程注入DLL的代码。请注意,使用远程线程注入DLL可能存在一些安全风险,请谨慎使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值