利用远程线程注入DLL

已于 2022-11-27 18:06:16 修改
阅读量1.7k 收藏 13
点赞数 1
分类专栏: windows编程 文章标签: windows 系统安全 安全
于 2022-11-26 14:11:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43799752/article/details/128050511
版权

今天接着上次说的远程线程注入来说下利用远程线程进行dll注入。
远程线程注入需要目标进程地址空间的某个函数作为线程的thread_func, 这样我们只能用目标进程中自定义的函数,那我们怎么样使用自定义的函数呢,这就需要使用DLL注入技术。

DLL注入原理很简单:exe文件都会链接kernel32.dll,利用kernel32.dll中的LoadLibrary可以把自己写的dll加载到目标进程(Windows核心编程原话: 对CreateRomoteThread的调用假定在本地进程和远程进程中,kernel32.dll被映射到地址空间中的同一内存地址)。DLL中有一系列的“”钩子“”, 可以在DLL被加载/卸载执行,这样我们自己写的代码就会被目标进程执行。

先自己写一个简单的DLL:

// base/external_dll.cc
#include <windows.h>

#ifndef BASE_EXTERNAL_API
#define BASE_EXTERNAL_API extern "C" __declspec(dllimport)

BOOL WINAPI DllMain(HINSTANCE hinstDLL, // handle to DLL module
                    DWORD fdwReason,    // reason for calling function
                    LPVOID lpvReserved) // reserved
{
  // Perform actions based on the reason for calling.
  switch (fdwReason) {
  case DLL_PROCESS_ATTACH:
    // Initialize once for each new process.
    // Return FALSE to fail DLL load.
    MessageBoxA(NULL, "Dll Main Notice", "Notice", MB_OK);
    break;

  case DLL_THREAD_ATTACH:
    // Do thread-specific initialization.
    break;

  case DLL_THREAD_DETACH:
    // Do thread-specific cleanup.
    break;

  case DLL_PROCESS_DETACH:

    if (lpvReserved != nullptr) {
      break; // do not do cleanup if process termination scenario
    }

    // Perform any necessary cleanup.
    break;
  }
  return TRUE; // Successful DLL_PROCESS_ATTACH.
}

#endif // BASE_EXTERNAL_API

DLL_PROCESS_ATTACH 会在进程通过LoadLibrary将DLL加载到进程空间的时候触发,这里我们简单弹出一个MessageBox提示DLL代码被执行。

使用控制台编译成DLL
g++ .\base\external_dll.cc -fPIC -shared -o external.dll

这里我们写一个client先在本进程加载下这个DLL验证下:

#include <windows.h>

constexpr char kDllFilePath[] =
    "C:\\Users\\chuzhang\\Desktop\\DummyProgram\\external.dll";
int main() {
  LoadLibraryA((LPCSTR)kDllFilePath);
  return 0;
}

在这里插入图片描述
本地编译执行下,发现message box弹出来了,说明咱们自己写在DLL里面的代码执行了,下面咱们把这个DLL执行到其他进程去。

我们还是使用我们之前用的dummy_process.exe 作为注入目标:

// dummy_process.cc
#include <iostream>
#include <string>
#include <windows.h>

int main() {
  int varInt = 123456;
  std::string varString = "DefaultString";
  char arrChar[] = "Long char array right there";
  int *ptr2int = &varInt;
  int **ptr2ptr = &ptr2int;
  int ***ptr2ptr2 = &ptr2ptr;

  while (true) {
    std::cout << "Process ID: " << GetCurrentProcessId() << std::endl;
    std::cout << std::endl;
    std::cout << "varInt          "
              << "(" << &varInt << ") = " << varInt << std::endl;
    std::cout << "varString       "
              << "(" << &varString << ") = " << varString << std::endl;
    std::cout << "arrChar         "
              << "(" << &arrChar << ") = " << arrChar << std::endl;
    std::cout << std::endl;
    std::cout << "ptr2int         "
              << "(" << &ptr2int << ") = " << ptr2int << std::endl;
    std::cout << "ptr2ptr         "
              << "(" << &ptr2ptr << ") = " << ptr2ptr << std::endl;
    std::cout << "ptr2ptr2        "
              << "(" << &ptr2ptr2 << ") = " << ptr2ptr2 << std::endl;
    std::cout << std::endl;
    std::cout << "Press ENTER to print again" << std::endl;
    std::cout << std::endl;
    std::cout << std::endl;
    std::cout << "----------------------------" << std::endl;

    getchar();
  }
}

在这里插入图片描述
注入DLL的代码:

// inject_dll.cc
#include <windows.h>

constexpr char kDllFilePath[] =
    "C:\\Users\\chuzhang\\Desktop\\DummyProgram\\external.dll";
constexpr int kProcessId = 20600;
int main() {
  HANDLE process = OpenProcess(PROCESS_ALL_ACCESS, false, kProcessId);
  FARPROC func = GetProcAddress(GetModuleHandleA("kernel32"), "LoadLibraryA");
  LPVOID remote_string = VirtualAllocEx(process, NULL, strlen(kDllFilePath) + 1,
                                        MEM_COMMIT, PAGE_EXECUTE_READWRITE);
  WriteProcessMemory(process, remote_string, kDllFilePath,
                     strlen(kDllFilePath) + 1, NULL);
  HANDLE thread = CreateRemoteThread(
      process, NULL, 0, LPTHREAD_START_ROUTINE(func), remote_string, 0, NULL);
  WaitForSingleObject(thread, INFINITE);
  CloseHandle(thread);
  VirtualFreeEx(process, remote_string, strlen(kDllFilePath) + 1, MEM_DECOMMIT);
  return 0;
}

我们要注意,CreateRemoteThread不能直接写成:

HANDLE thread = CreateRemoteThread(
      process, NULL, 0, LPTHREAD_START_ROUTINE(func), "C:\\Users\\chuzhang\\Desktop\\DummyProgram\\external.dll"", 0, NULL);

"C:\\Users\\chuzhang\\Desktop\\DummyProgram\\external.dll"在当前进程的地址会被传入到CreateRemoteThread,远程进程使用这个地址作为参数调用LoadLibraryA, 目标进程可能会发生内存访问违规。

解决方案是:在目标进程通过VirtualAllocEx在目标进程分配一块内存,这块内存大小为字符串大小加一(字符串末尾结束符),然后使用WriteProcessMemory把DLL路径写入到新分配的内存里,这样我们可以得到目标进程内指向DLL路径字符串的指针,使用这个指针调用CreateRemoteThread

运行注入程序,可以在目标cmd看到messagebox:

在这里插入图片描述
其实最好不要在DLL_PROCESS_ATTACH里面直接写代码因为DllMain和其他代码share了同步锁,在这里进行资源访问请求可能引发死锁,最好是创建一个线程,然后干自己想干的事情:

#include <iostream>
#include <windows.h>

#ifndef BASE_EXTERNAL_API
#define BASE_EXTERNAL_API extern "C" __declspec(dllimport)

DWORD DoWork() {
  std::cout << "hijack from dll";
  return 0;
}

BOOL WINAPI DllMain(HINSTANCE hinstDLL, // handle to DLL module
                    DWORD fdwReason,    // reason for calling function
                    LPVOID lpvReserved) // reserved
{
  // Perform actions based on the reason for calling.
  switch (fdwReason) {
  case DLL_PROCESS_ATTACH: {
    // Initialize once for each new process.
    // Return FALSE to fail DLL load.
    HANDLE thread =
        CreateThread(NULL, 0, (LPTHREAD_START_ROUTINE)&DoWork, NULL, 0, NULL);
    CloseHandle(thread);
    break;
  }

  case DLL_THREAD_ATTACH:
    // Do thread-specific initialization.
    break;

  case DLL_THREAD_DETACH:
    // Do thread-specific cleanup.
    break;

  case DLL_PROCESS_DETACH:

    if (lpvReserved != nullptr) {
      break; // do not do cleanup if process termination scenario
    }

    // Perform any necessary cleanup.
    break;
  }
  return TRUE; // Successful DLL_PROCESS_ATTACH.
}

#endif // BASE_EXTERNAL_API
远程线程注入--DLL注入(C++)
啊渊的专栏
08-26 488
远程线程注入(Remote Thread Injection)是指通过创建远程线程的方式将代码注入到另一个进程的地址空间中。下面是一个简单的 C++ 示例,展示如何通过远程线程注入一个 DLL 到目标进程中。
Win10远程线程注入DLL源码.zip
11-30
原理跟32位进程注入没太大区别,首先获取ntdll下的RtlInitUnicodeString,LdrLoadDll,NtCreateThreadEx地址,最后分配内存写入Code数据创建远程线程跑起来!
DLL远程注入技术
马说@CSDN
09-12 3761
DLL远程注入技术是目前Win32病毒广泛使用的一种技术。使用这种技术的病毒体通常位于一个DLL中,在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)中运行。这样一来,普通的进程管理器就很难发现这种病毒了,而且即使发现了也很难清除,因为只要病毒寄生的进程不终止运行,那么这个DLL就不会在内存中卸载,用户也就无法在资源管理器中删除这个DLL文件,真可谓一
windows核心编程系列》十九谈谈使用远程线程注入DLL
系统运维
12-05 316
windows内的各个进程有各自的地址空间。它们相互独立互不干扰保证了系统的安全性。但是windows也为调试器或是其他工具设计了一些函数,这些函数可以让一个进程对另一个进程进行操作。虽然他们是为调试器设计的,但是任何应用程序都可以调用它们 。接下来我们来谈谈使用远程线程注入DLL。 从根本上说,DLL注入就是将某一DLL注入到某一进程的地址空间。该进程中的一个线程调用LoadLibr...
Dll注入技术之远程线程注入
ProgrammingRing的专栏
02-06 3236
转自:黑客反病毒 DLL注入技术之远线程注入     DLL注入技术指的是将一个DLL文件强行加载到EXE文件中,并成为EXE文件中的一部分,这样做的目的在于方便我们通过这个DLL读写EXE文件内存数据,(例如 HOOK EXE文件中的API),或以被注入EXE的身份去执行一些操作等等。     远线程注入原理是利用Windows 系统中CreateRemoteThread()这
远程线程注入
我是传奇
04-27 215
// 远程插入线程 // char szDllFullPath[] DLL文件完整路径. // DWORD dwRemoteProcessID 要插入的进程ID号 // 返回: TRUE 插入进程成功 // FALSE 失败 BOOL InjectDll(char szDllFullPath[],DWORD dwRemoteProcessID) { HAND...
远程线程注入_远程_远程线程_dll注入_注入_
10-01
在这个场景中,我们关注的是"远程线程注入"和"DLL注入"这两个概念。 远程线程注入是通过在目标进程中创建一个新的线程,并在该线程上下文中执行指定的代码。这允许一个进程(注入者)在另一个进程(被注入者)中...
使用远程线程注入DLL
08-04
在提供的“远程线程注入DLL.pdf”文档中,你将找到更深入的理论解释和具体的代码示例。这些代码可能包括C++或C#等编程语言,展示了如何实施上述步骤。测试代码文件将帮助你理解实际的编程实践,通过运行和调试这些...
易语言 远程线程注入DLL呼出窗口 源码(无模块)
11-24
在给定的资源中,我们主要关注的是“远程线程注入DLL”这一技术,以及与之相关的源码和执行文件。 远程线程注入Windows系统中一种常见的进程间通信技术。它允许一个进程将代码(通常是一个动态链接库DLL注入到...
创建远程线程注入DLL
ytfrdfiw的专栏
02-03 4403
  偶尔在 http://bbs.77169.com/read-htm-tid-240420.html 上看到此文,甚好,现分享如下。       大家都知道,在 Win32 中每个进程都拥有一个独立的 40 亿字节的内存空间,也就是 4 GB ,这个 4 GB 的内存空间相对于进程来说是独立的,也就是说,你不能在你的进程空间内直接操作别的进程的空间,因为内存相对于进程来说独立的,这样做的
远程DLL注入
04-15
远程DLL注入远程DLL注入远程DLL注入远程DLL注入远程DLL注入远程DLL注入
远程线程DLL注入
ndl1302732的专栏
10-10 1357
老手请飘过,写给新手看的低级东西 一、步骤 1、CreateThread     要搞懂远程线程注入技术,首先应该用过CreateThread创建多线程。     如果对这个函数怎么使用没搞懂下面的内容就不用看了,如果对这个函数理解了那么继续走 2、如何加载一个DLL     要在目标进程注入一个DLL,也就是要将DLL加载到目标进程,我们平时在使用DLL时,是怎么加载的?     通过Lo...
DLL加载器-远程线程注入(常规dll注入
bring_coco的博客
08-30 2023
注入思路 先获取到LoadLibrary的函数地址,之后使用CreateRemoteThread加载这段地址即可 简单例子: D:\VS项目\Dll3\x64\Debug\Dll3.dll kernel.dll加载的地址在所有进程都是一样的 https://zhuanlan.zhihu.com/p/599915628?utm_id=0 DLL进程注入 dll注入器 生成dll-2-1.exe 这里注入的exe是notepad++,找到其进程,注入dll是我cs生成的beacon.dll 主要思路是:
Windows核心编程学习笔记】远程注入DLL
我是guyue,guyue就是我O(∩_∩)O
05-08 966
远程注入DLL 一、概述 为了隐藏自身的进程信息,我们希望将进程作为一个合法进程的线程运行。由于系统进程间不允许直接操作资源,因而我们需要在合法进程内部创建一个线程,为其指定要执行的代码。一种简单的方式是令远程线程载入一个我们编写的DLL,通过DllMain()函数执行我们需要的代码。基本思路是将LoadLibrary()函数作为一个线程函数来调用: CreateRemoteThread()
一个完整的DLL远程注入函数
冷风
07-11 2958
函数名称: CreateRemoteDll()返加类型:BOOL接受参数: DLL路径,注入进程ID 其完整代码如下: BOOL CreateRemoteDll(const char *DllFullPath, const DWORD dwRemoteProcessId)...{    HANDLE hToken;    if ( OpenProcessToken(GetC
DLL注入—— 远程线程
LYSM
09-04 1201
Dll 代码: #include "stdafx.h" #include <iostream> #include <Windows.h> #include <tlhelp32.h> BOOL APIENTRY DllMain( HMODULE hModule, DWORD ul_reason_for_call, ...
dll注入——远程线程注入
最新发布
qq_37073764的博客
09-20 346
生成完毕后,把dll文件放到指定位置(也就是远程注入程序中,被注入的程序要从哪里找的那个路径)。然后打开要被注入的进程,填上进程ID,运行远程注入程序,即可完成注入。然后,再创建一个项目,用于生成注入DLL
远程线程注入DLL
aigo10000的博客
05-06 187
0x00 原理介绍: 上一篇文章介绍了在Windows下如何在其他进程创建一个远程线程:https://www.cnblogs.com/DarkBright/p/10820582.html 调用 CreateRemoteThread 创建远程线程所需要的过程函数的标准形式为: DWORD WINAPI ThreadProc( _In_ LPVOID lpParameter...
DLL注入——使用远程线程
希望能帮助大家,希望大家多多支持,你们的支持是我前进的动力。
08-30 2159
从根本上来说,DLL注入技术要求目标进程中的一个线程调用LoadLibrary来载入我们想要的DLL。由于我们不能轻易地控制别人进程中的线程,因此这种方法要求我们在目标进程中创建一个新的线程Windows提供了创建远程线程的函数。);hProcess:用于创建线程的进程的句柄。lpThreadAttributes:指向SECURITY_ATTRIBUTES结构的指针,该结构确定返回的句柄是否可以被子进程继承。dwStackSize:堆栈的初始大小,以字节为单位。......
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值