Windows:DLL远程线程注入

最新推荐文章于 2024-07-06 12:49:35 发布
最新推荐文章于 2024-07-06 12:49:35 发布
阅读量1k 收藏 3
点赞数
分类专栏: Windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43249758/article/details/113805740
版权

文章目录

所谓远程线程,并非指跨主机,而是指跨进程。也即一个进程对另一个进程的注入。

被注入进程

最好还是自己手写一个,不然很多软件的进程应该是有防护机制,注进去的线程会被杀掉,dll也会被卸载,不方便观察。

delete.exe源码

#include <stdio.h>
#include <windows.h>

int main(void){
    while(1){
        Sleep(100);
    }

    return 0;
}

很简单,就是一段死循环

编写DLL

Windows开发:CLion下编写及动/ 静态调用DLL

library.h

#ifndef DLL_GENERATE_LIBRARY_H
#define DLL_GENERATE_LIBRARY_H

// extern "C":以C方式导出
// __declspec(dllexport) 声明一个导出函数
extern "C" __declspec(dllexport) void MyAdd(int a, int b);


#endif //DLL_GENERATE_LIBRARY_H

library.cpp

#include "library.h"
#include <windows.h>
#include <iostream>


// 实现
void MyAdd(int a, int b) {
    std::cout << a + b << std::endl;
}


extern "C" BOOL APIENTRY DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved){
    switch(fdwReason) {
        case DLL_PROCESS_ATTACH:
            MessageBox(NULL, "It works!", "Status", MB_OK);
        case DLL_PROCESS_DETACH:
        case DLL_THREAD_ATTACH:
        case DLL_THREAD_DETACH:
        default:
            break;
    }
    return TRUE;
}

主函数DllMain的作用是首次被load时,弹窗提示。

注入流程

首先使用OpenProcess打开指定PID的进程,权限要足够,不然可能出现无法创建线程的情况。

第二,获得dll文件的绝对路径的字符串长度,并使用VirtualAllocEx在被注入进程中申请相应大小的内存。

第三,使用WriteProcessMemory将dll文件的绝对路径字符串写入被注入进程。

第四,以dll文件的句柄、要查找的函数名作为GetProcAddress的参数,查找本进程中加载的Kernel32.dll中LoadLibrary函数的始址,根据是否采用UNICODE有不同的函数W/ A。因为这个dll在所有进程中加载的位置都相同,所以本进程中的函数位置就是被注入进程中函数的位置。

第五,在被注入进程中使用CreateRemoteThread创建线程,参数为线程函数(LoadLibrary)地址,线程函数参数(dll文件的绝对路径)

第六,若成功注入,因为dll是首次被load,所以调用其DllMain时,fdwReason参数的值为DLL_PROCESS_ATTACH,判断一下,会弹窗提示成功。

枚举流程

注入完成后,枚举一下被注入进程加载了哪些DLL
Windows开发:进程、线程及DLL的枚举

注入及枚举源码

#include <iostream>
#include <windows.h>
#include <tchar.h>
#include <tlhelp32.h>


// 参数:dll路径,被注入进程的PID
bool ModuleInject(LPCTSTR szModule, DWORD dwPid){
    // 参数:权限、是否有子进程继承权限、PID
    HANDLE hProcess = OpenProcess(
            PROCESS_QUERY_INFORMATION | PROCESS_CREATE_THREAD | PROCESS_VM_OPERATION | PROCESS_VM_WRITE,
            FALSE,
            dwPid
            );
    if (hProcess){
        // 成功获取到进程句柄
        // dll路径字符串的大小
        int cByte = (_tcslen(szModule) + 1) * sizeof(TCHAR);
        // 在被注入进程中申请分配内存,返回首地址
        // 参数:进程句柄、要开始分配内存的位置、分配大小、分配内存类型、内存管理方式
        LPVOID pAddr = VirtualAllocEx(hProcess, NULL, cByte, MEM_COMMIT, PAGE_READWRITE);
        if (pAddr){
            // 分配成功则尝试在被注入进程中写入dll路径
            // 参数:进程句柄、分配好的内存首址、数据内容指针、数据长度、传出(写入了多少字节)
            if (WriteProcessMemory(hProcess, pAddr, szModule, cByte, NULL)){
// 如果定义了UNICODE
#ifdef _UNICODE
    // 使用GMH获得Kernel32.dll的句柄,用GPA在其中找到宽字节的LoadLibraryW函数的地址,此地址在所有进程中相同
    // 强转为PSR类型指针,作为CreateRemoteThread的参数
    PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle(_T("Kernel32")), "LoadLibraryW");
#else
    PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle(_T("Kernel32")), "LoadLibraryA");
#endif
                if (pfnStartAddr){
                    // 远程线程ID
                    DWORD dwThreadID = 0;
                    // 远程线程句柄
                    // 参数:进程句柄、安全属性指针、堆栈大小(0默认)、线程函数(LoadLibrary)地址、线程函数参数(dll路径)、创建标志、传出远程线程ID
                    HANDLE hRemoteThread = CreateRemoteThread(hProcess, NULL, 0, pfnStartAddr, pAddr, 0, &dwThreadID);
                    if (hRemoteThread){
                        // 若成功注入,则dll被load到进程中,其DllMain被执行
                        std::cout << "inject success." << std::endl;
                        // 等待远程线程退出再退出
                        WaitForSingleObject(hRemoteThread, INFINITE);

                        CloseHandle(hRemoteThread);
                        CloseHandle(hProcess);
                    }
                    else{
                        std::cout << "create remote thread failed." << std::endl;
                    }
                }
                else{
                    std::cout << "cannot find func LoadLibrary" << std::endl;
                }
            }
            else{
                std::cout << "write mem failed." << std::endl;
            }
        }
        else{
            std::cout << "alloc mem failed." << std::endl;

            return FALSE;
        }

    }
    else{
        std::cout << "failed to open process." << std::endl;

        return FALSE;
    }
}

VOID EnumProcessModule(int myPid) {
    MODULEENTRY32 me32 = {0};
    me32.dwSize = sizeof(MODULEENTRY32);

    // 创建DLL型快照,参数为进程ID
    HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, myPid);
    if (hSnap == INVALID_HANDLE_VALUE){
        std::cout << "failed to create module snapshot." << std::endl;
    }
    else{
        BOOL enumStatus = Module32First(hSnap, &me32);
        int i = 0;
        while (enumStatus){
            std::cout << me32.szModule << ", " << me32.szExePath << std::endl;
            i++;
            enumStatus = Module32Next(hSnap, &me32);
        }
    }

    CloseHandle(hSnap);
}


int main() {
    
    int myPid = 0;
    std::cin >> myPid;
    ModuleInject(_T("D:\\CLion_workspace\\win32_programing\\dll_programing\\dll_inject\\lib\\libdll_generate.dll"), myPid);
    Sleep(5000);
    EnumProcessModule(myPid);

    return 0;
}

演示

首先打开delete.exe,使用IDE运行或直接运行编译出的exe都可以,查看其PID

在这里插入图片描述

确认dll位置正确,运行注入程序,输入PID,杀软放行

在这里插入图片描述
弹窗提示
在这里插入图片描述

查看被注入进程加载的dll,注入成功。
在这里插入图片描述

无名J0kзr
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WIN32 Inline HOOK
hambaga的博客
08-14 516
Inline hook 和CE里面的代码注入很像(应该是一个东西),这个技术的原理是,修改汇编指令,让某个指令跳转到我们定义的函数,然后在函数内完成被替换的指令,然后再跳转回去。在我们定义的函数内,我们可以实时获取寄存器的值,从而可以完成对函数行为的监视和修改。 在我们定义的函数内,需要注意,寄存器的值和堆栈状态,执行前后必须完全一致,否则程序会出错。为了实现这个目的,我们需要用到裸函数。 下面是代码,要注意代码中使用的地址仅在我的机器上有效,如果你要编译这个程序,第一次运行会失败,请根据生成的汇编代码,找
Win32 InlineHook
lygl35的博客
03-15 119
内联HOOK函数内部 VirtualProtectEx内存地址改为可写属性 卸载HOOK函数 执行的汇编代码
Windows:32位Inline Hook
无名J0kзr的博客
03-13 687
文章目录什么是Inline Hook使用DLL实现对其他进程的Inline Hook 什么是Inline Hook Inline Hook,即内联钩子。 系统提供的API都保存在DLL文件中,当程序运行需要调用某个API时,它会隐式地将此API所在的DLL文件加载到其进程中。那么,如果我们使用一种方法,直接修改DLL中的API函数在内存中的映像,使API函数的首条代码为jmp MyFuncAddress这样就可以执行自己的函数了。 由于这种方法是直接在程序中嵌入jmp指令来实现Hook的,所以把它称为内联钩
免杀笔记 ----> DLL注入
最新发布
huohaowen的博客
07-06 1901
这段时间我们暂时没什么事情干的话我们就继续更新我们的免杀笔记力!!!:今天我们讲DLL注入
完美支持64&32位InlineHook,C语言,C++类 都有
09-17
Windows 64位和32位Inline Hook的例子。包括C语言代码,和封装好的C++类,绝对超值,超简单实用的例子,可以直接运行,用了绝对说好!
inlinehook 看这一篇
01-09 3949
inlinehook 代码实战
远程线程注入_远程_远程线程_dll注入_注入_
10-01
在这个场景中,我们关注的是"远程线程注入"和"DLL注入"这两个概念。 远程线程注入是通过在目标进程中创建一个新的线程,并在该线程上下文中执行指定的代码。这允许一个进程(注入者)在另一个进程(被注入者)中...
DLL远程线程注入源码
01-20
综上所述,DLL远程线程注入Windows系统编程中的一个重要概念,涉及进程间通信和系统级别的操作。掌握这项技术,可以帮助开发者实现复杂的功能,但同时也需要谨慎对待,确保其合规和安全。在VC++和VB中实现DLL远程...
笔记:ShellCode 远程线程注入
喜欢唱,rap,篮球的程序员
09-19 530
什么是进程,什么是线程进程就是4GB的空间,线程就是EIP。
C#版DLL远程线程注入源代码
01-21
C#没有自动调用WIN32的一些API函数,我们可以手动添加内核库到我们自己的代码中,从而实现调用...此方法不仅仅用于远程线程注入,还可以用于从MFC转C#过程中不知道如何用C#实现功能,但有知道如何用MFC实现功能的方法。
32位_C++_MFC_远程超级HOOK_vs2022_进程名获取进程句柄_字符串转字节集
03-18
远程HOOK目标程序,回调到自己窗口显示数据,可及时获得数据,非注入模式. 函数实现:进程名获取进程句柄,地址反写,字符串转字节集,类的封装.
向其他进程注入代码的三种方法_不用编写独立的DLL,而是直接复制你的代码到远程进程.zip
04-04
dllinject向其他进程注入代码的三种方法_进程注入的三种方法_不用编写一个独立的DLL而是直接复制你的代码到远程进程
024-1跨进程调用CALL+跨进程注入代码.flv
06-13
//官方网站:www.feiyuol.com //郁金香灬老师 //QQ 150330575 //个人网站:www.yjxsoft.com 跨进程调用CALL 跨进程调用带多个的参数CALL // myInject_dll.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include"RWA.h" //PVOID 跨进程分配内存(WORD nSize ); //1、获取进程句柄 //2、读写 分配内存 创建线程 //3、跨进程分配内存 void mycall() { PVOID p1=跨进程分配内存(1000); printf("分配的内存地址=%p\n",p1); printf("按回车键 释放内存\n"); getchar(); 跨进程释放内存(p1,1000); printf("已经 释放内存\n"); } LPTHREAD_START_ROUTINE a; BOOL 跨进程调用CALL(PVOID pcall地址,PVOID plst参数 ); //LoadLibraryA(dll名字指针) //MessageBeep(1) void Test远程调用MessageBeep() { 跨进程调用CALL(MessageBeep,(PVOID)0x12768); } //注入my022MFC.dll到目标进程 void Test3() { char szDllName[]="my022MFC.dll"; //全路径 // char szDllName[]="C:\\Users\\yjxsoft\\Documents\\visual studio 2010\\Projects\\my022\\Debug\\my022MFC.dll"; PVOID p1=跨进程分配内存(1000); printf("分配的内存地址=%p\n",p1); WN((DWORD)p1,szDllName,sizeof(szDllName));//WriteProcessMemory /*跨进程调用CALL(LoadLibraryA,(PVOID)szDllName);*/ 跨进程调用CALL(LoadLibraryA,(PVOID)p1); } void Test4() { // char szDllName[]="my022MFC.dll"; //全路径 char szDllName[]="E:\\1905\\代码\\my022-24\\Debug\\my022MFC.dll"; PVOID p1=跨进程分配内存(1000); printf("分配的内存地址=%p\n",p1); WN((DWORD)p1,szDllName,sizeof(szDllName));//WriteProcessMemory /*跨进程调用CALL(LoadLibraryA,(PVOID)szDllName);*/ 跨进程调用CALL(LoadLibraryA,(PVOID)p1); } int _tmain(int argc, _TCHAR* argv[]) { //mycall(); Test3(); Test4(); return 0; } //作业 //1、练习跨进程注入DLL //2、跨进程分配的内存内存 使用完后 用VirtualFreeEx释放掉 //3、进程句柄使用完后用CloseHandle释放句柄资源
32位hook还原
陈刚编程心得与知识集
01-10 873
很早之前写的一份代码,放在硬盘上都忘记了,整理的时候发现了。这些东西,看雪大牛很早前应该发过了。 inline hook恢复是直接读取硬盘上的文件对比进行恢复的,代码包括inline hook、IAT hook恢复。 代码似乎有点不是很稳定(主要是IAT恢复部分不稳定,单独测试恢复Inline hook没发现问题) 在我的win x64 sp1上恢复32位QQ程序莫名的会多出一个wshtcp
32位下如何HOOK高并发函数
SharenFish的博客
11-30 274
#include<NTDDK.H> /********************************************************************* ****** “多核环境下,如何保证对一个高并发的内核函数进行HOOK而不会出错?” ****** **********************************************************************/ LONG AddressOfSwapContext = 0x8
windows dll inject
reaL's Blog
04-26 1590
windows 下的 dll 注入
远程注入加载dll无反应
07-06 1648
最近脑残的严重,不是做过的事想不起来,就是写的代码东漏西漏,今天折腾那个远程注入的也是处理了半死,都快崩溃了. 远程注入dll,一直没有反应,后来发现原来是dll依赖的问题.注入需要注意是根据目标进程的目录来loadlibrary dll所以依赖的文件,要放在目标进程的相应目录,或system32
安全之路 —— 利用APC队列实现跨进程注入
dengdao1372的博客
03-23 262
简介 在之前的文章中笔者曾经为大家介绍过使用CreateRemoteThread函数来实现远程线程注入(链接),毫无疑问最经典的注入方式,但也因为如此,这种方式到今天已经几乎被所有安全软件所防御。所以今天笔者要介绍的是一种相对比较“另类”的方式,被称作“APC注入”。APC(Asynchronous Procedure Call),全称为异步过程调用,指的是函数在特定线程中被异步执行。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值