反射式dll注入(ReflectiveDLLInjection)

最新推荐文章于 2024-08-09 07:06:34 发布
最新推荐文章于 2024-08-09 07:06:34 发布
阅读量4k 收藏 9
点赞数 4
文章标签: dll windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43956962/article/details/105843803
版权

学习基于stephenfewer大佬的项目:ReflectiveDLLInjection
有兴趣的同学可以下载研究

文章目录

常规的dll注入姿势:

  1. VirtualAllocEx 在目标进程内存空间申请内存,WriteProcessMemory 写入dll路径,CreateRemoteThread 创建远程线程调用 LoadLibrary 加载dll;
    CreateRemoteThread 可被 替换为其他创建线程的API(例如:RtlCreateUserThread,或者挂起线程修改线程上下文再还原等等),减少被拦截的风险
  2. 替换程序运行时会加载的dll;
  3. 修改注册表键值AppInit_dll,程序启动时如果加载了USER32.dll,就会自动加载该键值下的有效dll;
  4. SetWindowsHookEx挂钩,IAT_HOOK,InLine_HOOK等(本质也是让目标进程执行自己的代码)(x86与x64下InLine_HOOK略有不同);
  5. dll加载顺序挟持(Dll Search Order Hijacking);

反射式注入相比常规注入有何不同:

  1. 内存中直接展开,无需.dll文件存在;
  2. 没有通过LoadLibrary等API加载,ProcessExplorer、procexp64等工具无法检测到这个dll;
  3. 更容易免杀;

反射式注入思路:

  1. 根据需要注入的进程,向服务器申请dll下发;
  2. 将下发的数据解密后,直接写入申请的堆中;
  3. 打开进程(OpenProcess)、分配内存(VirtualAllocEx)、将堆中的数据写入内存(WriteProcessMemory);
  4. 获取 RtlCreateUserThread 函数指针
  5. RtlCreateUserThread = (PRTL_CREATE_USER_THREAD)(GetProcAddress(GetModuleHandle(TEXT(“ntdll”)), “RtlCreateUserThread”));
  6. 通过 RtlCreateUserThread 创建线程,调用 目标进程 内存中的 ReflectiveLoader;
  7. ReflectiveLoader 将dll在内存中展开,修复重定位、导入表(类似ShellCode);
  8. ReflectiveLoader 调用dll入口点

ReflectiveLoader 实现:

以下,需要对PE文件格式 及 ShellCode有了解;

  1. 线程在调用ReflectiveLoader时,dll还没有被加载,就有很多限制,例如:无法使用全局变量等;
  2. ReflectiveLoader 必须是地址无关的;
  3. 获取自身位置
    __declspec(noinline) ULONG_PTR caller( VOID ) { return (ULONG_PTR)_ReturnAddress(); }
    返回 caller 的下一条指令的地址;
  4. 获取所需的一些API地址,通过PEB PEB_LDR_DATA结构体 LIST_ENTRY链表,找到其他模块基址,再根据导出表找到函数地址,这里我们需要用的API有 VirtualAlloc、LoadLibrary 等;
  5. VirtualAlloc 分配内存,大小为扩展头中的 SizeOfImage,
  6. 根据内存对齐,拷贝DOS头、NT头、文件头、扩展头、区段头,再根据区段头拷贝各个区段;
  7. 修复导入表与重定位;
  8. 调用dll入口点,地址在扩展头的AddressOfEntryPoint,它会完成C运行库的初始化,执行安全检查,调用dllmain;

参考

https://bbs.pediy.com/thread-227075.htm
https://www.freebuf.com/articles/system/151161.html
随心动,随风行
关注
Reflective DLL Injection(字面翻译:反射dll注入)
GaA.Ra的自留地 in Csdn
06-06 8926
      这两天把印度佬的metasploit视频看完了.带着印度口音的英语伤不起啊(请自己想象生活大爆炸里Rajesh),但是这个印度佬的口音特别重,-___-,脑海里久久回荡着印度腔英语......     为什么会提到Reflective DLL Injection,看Metasploit Unleashed,里面提到神器meterpreter和vnc injection都是利用这
reflective dll injection 反射注入
hambaga的博客
02-20 1519
一、reflective dll injection 反射注入介绍 网上对反射注入的定义是只通过内存把DLL注入到特定进程中,也就是说整个过程都不涉及文件操作。 优点 规避杀软基于文件系统的检测 不会在进程的DLL链表里留下记录 通过特殊处理,可以使用正常的方式编写DLL,实现shellcode的效果 缺点 DLL体积较大,相比于shellcode注入,更容易被检测 二、修改dos头,填入精心构造的 bootstrap shellcode metasploit 实现的bootstrap
ReflectDllInjection】 反射型DLL注入
dr0op's blog
04-06 3315
常规dll注入 这里引用一张图来表示: 反射型DLL注入思路: 读入原始DLL文件至内存缓冲区 解析DLL标头并获取SizeOfImage 将DLL标头和PE节复制到步骤3中分配的内存空间 执行重定位 加载DLL导入的库 解析导入地址表(IAT) 调用DLLDLL_PROCESS_ATTACH 反射型dll注入与其他dll注入不同的是,其不需要使用LoadLibrary这一函数,而是自己来实现整个装载过程。我们可以为待注入DLL添加一个导出函数,ReflectiveLoader,这个函数的功能就是
ReflectiveDLLInjection 项目教程
最新发布
gitblog_00664的博客
08-09 820
ReflectiveDLLInjection 项目教程 ReflectiveDLLInjectionReflective DLL injection is a library injection technique in which the concept of reflective programming is employed to perform the loading of a libr...
反射Dll注入
dre4merp
05-17 877
上一篇我们介绍了CreateRemoteThread+LoadLibrary进行注入的技巧。但是这种方法实在是太过格式化,所以几乎所有的安全软件都会监控这种方法。所以HarmanySecurity的Stephen Fewer提出了ReflectiveDLL Injection,也就是反射DLL注入。 其和CreateRemoteThread一样也是分为两部分,注入器和注入DLL。但是注入DLL的装载由我们自主实现,由于反射式注入方式并没有通过LoadLibrary等API来完成DLL的装载,DLL并没有
反射式dll注入
摔不死的笨鸟的博客
08-27 6562
前不久实现了经典dll注入exe,实现注入到用户层面进程,比如notepad.exe和wps.exe。(像金山毒霸kxetray.exe有自我保护机制也注入不进去)。由于对会话隔离注入不太了解,怕搞坏主机,没有再去实现注入到系统进程中。最近在网上看到dll反射注入,想把学习总结的笔记给大家分享一下。 首先什么是反射式注入?它和传统经典注入有什么区别呢?我这里作个比喻。 经典式: 在别人的内存里调用...
Reflective DLL Injection
04-02
stage2 shellcode生成程序,可以把不同的shellcode,转换成stage2 shellcode。
深入理解反射式dll注入技术
m0_67698950的博客
06-22 1464
前言dll 注入技术是让某个进程主动加载指定的 dll 的技术。恶意软件为了提高隐蔽性,通常会使用 dll 注入技术将自身的恶意代码以 dll 的形式注入高可信进程。常规的 dll 注入技术使用 LoadLibraryA() 函数来使被注入进程加载指定的 dll。常规dll注入的方式一个致命的缺陷是需要恶意的 dll 以文件的形式存储在受害者主机上。这样使得常规 dll 注入技术在受害者主机上留下痕迹较大,很容易被 edr 等安全产品检测到。为了弥补这个缺陷,stephen fewer 提出了反射式 dll
[web安全]深入理解反射式dll注入技术
HBohan的博客
03-23 2099
一、前言 dll注入技术是让某个进程主动加载指定的dll的技术。恶意软件为了提高隐蔽性,通常会使用dll注入技术将自身的恶意代码以dll的形式注入高可信进程。 常规的dll注入技术使用LoadLibraryA()函数来使被注入进程加载指定的dll。常规dll注入的方式一个致命的缺陷是需要恶意的dll以文件的形式存储在受害者主机上。这样使得常规dll注入技术在受害者主机上留下痕迹较大,很容易被edr等安全产品检测到。为了弥补这个缺陷,stephen fewer提出了反射式dll注入技术并在github开源,反
WEB安全:深入反射式dll注入技术
2301_76694151的博客
05-16 989
通过调用CreateRemoteThread()/NtCreateThread()/RtlCreateUserThread()函数在被注入进程创建线程进行dll注入。通过调用QueueUserAPC()/SetThreadContext()函数来劫持被注入进程已存在的线程加载dll。通过调用SetWindowsHookEx()函数来设置拦截事件,在发生对应的事件时,被注入进程执行拦截事件函数加载dll。获取被注入进程PID。在注入进程的访问令牌中开启SE_DEBUG_NAME权限。
使用c语言编写一个反射式 dll 注入的程序,并附带一个dll的模板
07-09
当涉及到 DLL 注入反射式注入方法时可以使用 C 语言编写一个程序来实现。下是一个示例程序,它演示了如何使用反射式注入DLL 注入到目标进程中: ```c #include #include // 反射注入 DLL 的函数 BOOL ...
利用反射动态加载dll
11-03
C#,利用反射动态加载dlldll需要在sql server数据库里面进行维护,加载的时候先去读取数据库里面的信息,查到dll的名称。并根据名称去程序里面直接去抓取,并显示在界面上
Reflective DLL Injection paper+src
06-06
经典paper:Reflective DLL Injection以及其代码实现,具体可以参考下面两个链接: 1.http://blog.csdn.net/GaA_Ra/archive/2011/06/06/6528359.aspx 2.http://www.harmonysecurity.com/ReflectiveDllInjection.html
Doge-sRDI:Golang的反射式DLL注入的Shellcode实现。 将DLL转换为与位置无关的Shellcode
04-01
:frog: 青蛙自动扫描 :dog_face: 总督为国防规避和进攻安全 总督 Golang的反射式DLL注入的Shellcode实现。 将DLL转换为与位置无关的Shellcode 非常感谢Sliver项目和leoloobeek 用法 srdi.exe [dllName] [Args(不必要)] [entryPoint(不必要)] PS D:\> .\srdi.exe .\Outflank-PsC.dll Outflank-PsC.bin PS D:\> .\loader.exe .\Outflank-PsC.bin 1 Mess with the banana, die like the... banana? -------------------------------------------------------------------- [+] ProcessName: svchost.exe
VB.NET插件开发模式(反射加载DLL
04-11
VB.NET插件开发模式,完整的DEMO,已经很完善,反射加载DLL
反射型DLL注入
weixin_51409218的博客
11-02 233
反射型DLL注入技术
反射式DLL注入--方法
weixin_30859423的博客
11-10 265
使用RWX权限打开目标进程,并为该DLL分配足够大的内存。 将DLL复制到分配的内存空间。 计算DLL中用于执行反射加载的导出的内存偏移量。 调用CreateRemoteThread(或类似的未公开的API函数RtlCreateUserThread)在远程进程中开始执行,使用反射加载函数的偏移地址作为入口点。 反射加载函数使用适当的CPU寄存器查找目标进程的进程环境块(PEB),并使用...
Dll反射式注入法-代码学习
yshshx的博客
11-24 1056
原理 --------------------------------------------------------------------------------有任何错误,请留言指正。 主要功能:将需要注入dll写入进程内存,用注射器实现LoadLibrary的功能,使用CreateRemoteThread函数将注射器启动。 将待注入DLL读入自身内存,Dll的导出注射器Reflecti...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值