DLL注入

最新推荐文章于 2024-06-07 23:39:00 发布
最新推荐文章于 2024-06-07 23:39:00 发布
阅读量266 收藏
点赞数
分类专栏: 逆向工程核心原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wk19951125/article/details/104329311
版权

DLL注入

DLL注入

DLL注入:向运行中的其他进程强制插入特定的DLL文件。

DLL被加载到进程后会自动运行DllMain()函数。

BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD dwReason, LPVOID lpvReserved){
	switch(dwReason){
		case DLL_PROCESS_ATTACH:
		//添加想执行的代码
		break;
		
		case DLL_THREAD_ATTACH:
		break;
		
		case DLL_THREAD_DETACH:
		break;
		
		case DLL_PROCRSS_DETACH:
		break;
	}
	return TRUE;
}

DLL注入的作用

  • 改善功能与修复Bug
  • 消息钩取
  • API钩取
  • 监视、管理PC用户的应用程序
  • 恶意代码

DLL注入的实现方法

  • 创建远程线程(CreatRemoteThread() API)
  • 使用注册表(AppInit_DLLs值)
  • 消息钩取(SetWindowsHookEx() API)

CreatRemoteThread()

将myhack.dll注入notepad.exe:

  • myhack.dll:被注入的DLL,http://www.naver.com/index.html
  • InjectDll.exe:向目标注入DLL文件的实用小程序

流程

  • 运行notepad.exe程序,查看其PID
  • 运行InjectDll.exe对程序进行注入
  • 运行DebugView,查看注入是否成功

源码分析

  • myhack.dll
#include "windows.h"
#include "tchar.h"

#pragma comment(lib, "urlmon.lob")

#define DEF_URL (L"http://www.naver.com/index.html")
#define DEF_FILE_NAME (L"index.html")

HMODULE g_hMod=NULL;

DWORD WINAPI ThreadProc(LPVOID lParam){
	TCHAR szPath[_MAX_PATH]={0,};

	if(!GetModuleFileName(g_hMod, szPath, MAX_PATH))
		return FALSE;

	TCHAR *p=_tcsrchr(szPath, '\\');
	if(!p)
		return FALSE;
	
	_tcscpy_s(p+1, _MAX_PATH, DEF_FILE_NME);

	URLDownloadToFile(NULL, DEF_URL, szPath, 0, NULL);   //从指定网站下载index.html文件

	return 0;
}

BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved){
	HANDLE hThread=NULL;

	g_hMod=(HMODULE)hinstDLL;

	switch(fdwReason){
		case DLL_PROCESS_ATTACH:
			OutputDebugString(L"myhack.dll Injection!!!");      //输出调试字符串
			hThread=CreateThread(NULL, 0, ThreadProc, NULL, 0, NULL);    //创建线程调用函数
			CloseHandle(hThread);
			break;
	}
	return TRUE;
}
  • InjectDll.exe
#include "windows.h"
#include "tchar.h"

BOOL InjectDll(DWORD dwPID, LPCTSTR szDllPath){
	HANDLE hProcess=NULL, hThread=NULL;
	HMODULE hMod=NULL;
	LPVOID pRemoteBuf=NULL;
	DWORD dwBufSize=(DWORD)(_tcslen(szDllPath)+1)* sizeof(TCHAR);
	LPTHREAD_START_ROUTINE pThreadProc;

	//使用dwPID获取目标进程(notepad.exe)句柄
	if(!(hProcess=OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID))){
		_tprintf(L"OpenProcess(%d) failed!!! [%d]\n", dwPID, GetLastError());
		return FALSE;
	}

	//在目标进程内存中分配szDllName大小的内存
	pRemoteBuf=VirtualAllocEx(hProcess, NULL, dwBufSize, MEM_COMMIT, PAGE_READWRITE);

	//将myhack.dll路径写入分配的内存
	WriteProcessMemory(hProcess, pRemoteBuf, (LPVOID)szDllPath, dwBufSize, NULL);

	//获取LoadLibraryW() API的地址【此处获取的是InjectDll.exe的LoadLibraryW的地址,因为在Windows下,kernel32.dll在每个进程中的加载地址相同】
	hMod=GetModuleHandle(L"kernel32.dll");
	pThreadPrc=(LPTHREAD_START_ROUTINE)GetProcAddress(hMod, "LoadLibraryW");

	//在notepad.exe进程中运行线程
	hThread=CreateRemoteThread(hProcess,      //hProcess,目标进程句柄
	                           NULL,          //lpThreadAttributes
	                           0,             //dwStackSize
	                           pThreadProc,   //lpStartAddress,线程函数地址
	                           pRemoteBuf,    //lpParameter,线程参数地址
	                           0,             //dwCreationFlags
	                           NULL);         //lpThreadId
	WaitForSingleObject(hThread, INFINITE);
	CloseHandle(hThread);
	CloseHandle(hProcess);

	return TURE;
}

int _tmain(int argc, TCHAR * argv[]){
	if(argc!=3){
		_tprintf(L"USAGE: %s pid dll_path\n", argv[0]);
		return 1;
	}

	//inject dll
	if(InjectDll((DWORD)_tstol(argv[1]),argv[2]))
		_tprintf(L"InjectDll(\"%s\") success!!!\n",argv[2]);
	else
		_tprintf(L"InjectDll(\"%s\") failed!!!\n",argv[2]);
	
	return 0;
}

在Windows下,kernel32.dll在每个进程中的加载地址相同

AppInit_DLLs

Windows操作系统的注册表中默认提供了AppInt_DLLs与LoadAppInit_DLLs两个注册表项:

  • AppInit_DLLs:注入的DLL的路径字符串
  • LoadAppInit_DLLs:设置为1
    重启后,指定DLL就会注入所有运行的进程。

示例代码

#include "windows.h"
#include "tchar.h"

#define DEF_CMD L"c:\\Program Files\\Internet Explorer\\iexplore.exe"
#define DEF_ADDR L"http://www.naver.com"
#define DEF_DST_PROC L"notepad.exe"

BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved){
	TCHAR szCmd[MAX_PATH]={0,};
	TCHAR szPath[MAX_PATH]={0,};
	TCHAR *p=NULL;
	STARTUPINFO si={0,};
	PROCESS_INFORMATION pi={0,};

	si.cb=sizeof(STARTUPINFO);
	si.dwFlags=START_USESHOWWINDPW;
	si.wShowWindow=SA_HIDE;

	switch(fdwReason){
		case DLL_PEOCESS_ATTACH:
			if(!GetModuleFileName(NULL, szPath, MAX_PATH))
				break;

			if(!(p=_tcsrchr(szPath,'\\')))
				break;

			if(_tcsicmp(p+1, DEF_DST_PROC))
				break;

			wsprintf(szCmd, L"%s %s", DEF_CMD, DEF_ADDR);
			if(!CreateProcess(NULL, (LPTSTR)(LPCTSTR)szCmd,
							  NULL, NULL, FALSE,
							  NORMAL_PRIORITY_CLASS,
							  NULL, NULL, &si, &pi"
							  ))
				break;
			
			if(pi.hProcess!=NULL)
				CloseHandle(pi.hProcess);
			
			break;
	}
	return TRUE;
}

SetWindowsHookEx()

参考文献

《逆向工程核心原理》

你的名字5686
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C# HOOK / DLL Inject(注入)
06-07 8218
满屏幕都是“你好,你已被注入”是不是感到很好玩呢? HOOK注入不是一个新技术 但是呢 有时候你还真 需要求助它 虽然我一般注入不使用HOOK方式但它却是最简便的一个方式 下面我就来介绍一下代码吧 首先我们使用一个可以编写标准Win32 DLL的语言(C++/E/Delphi)等。 下面为C++的一个示例代码:        这里只是娱乐的说说它还没有真正的注入 但是你可以在这里编写自
dll注入实例注入代码
11-03
DLL注入是一种技术,它允许一个进程(通常是恶意软件或黑客工具)将动态链接库(DLL)加载到另一个正在运行的进程中,从而实现对目标进程的控制或监视。这个过程涉及到了Windows操作系统的核心机制,包括进程内存...
C#版DLL远程线程注入源代码
01-21
C#没有自动调用WIN32的一些API函数,我们可以手动添加内核库到我们自己的代码中,从而实现调用win32API函数。 此方法不仅仅用于远程线程注入,还可以用于从MFC转C#过程中不知道如何用C#实现功能,但有知道如何用MFC实现功能的方法。
C# 提升性能效率-C#中实现DLL注入的详解与示例
最新发布
东城十三
06-07 458
本文详细介绍了DLL(动态链接库)注入的原理和在C#中的实现方法。通过远程线程创建的方法,我们演示了如何在目标进程中插入和执行恶意代码。文章包含具体的步骤解析及完整的示例代码,旨在帮助读者深入理解DLL注入技术并掌握其实际应用。通过这篇文章,读者可以了解DLL注入的基本原理和在C#中的实现方法。提供的示例代码展示了如何使用远程线程创建的方法,将一个动态链接库注入到目标进程中。希望这篇文章能帮助读者更好地理解和掌握DLL注入技术。
C# DLL 注入 (转)
jiangxinyu的专栏
03-02 5937
C#中的DLL注入
DLL 注入的三种方法详解
weixin_51409218的博客
02-27 3874
DLL注入的三种方式
AppInit_Dlls键值
crystal0011的专栏
10-21 1921
如果你对计算机安全有所了解,那么各种各样的注册表启动项应该会有所了解,今天我会细述一个很著名的启动项:AppInit_Dlls键值。     AppInit_Dlls键值位于注册表 HKLM\Microsoft\Windows NT\CurrentVersion\Windows下面,相对于其他的注册表启动项来说,这个键值的特殊之处在于任何使用到User32.dll 的EXE、DLL、OCX等类型
阿哲CSGO最新dll注入
03-10
【标题】"阿哲CSGO最新dll注入器"是一个针对知名第一人称射击游戏Counter-Strike: Global Offensive(CS:GO)的动态链接库(DLL注入工具。DLL注入是编程技术中的一种,通常用于在游戏环境中实现作弊、修改游戏行为...
DLL注入器.rar
04-04
DLL注入器是实现这一技术的工具,它允许用户将自定义的DLL文件加载到目标进程中,从而在目标进程中执行自定义的功能。 DLL注入的主要步骤包括: 1. **创建DLL**:首先,你需要编写一个动态链接库(DLL),其中包含...
驱动注入DLL指定进程.rar_dll注入_驱动 dll注入_驱动注入_驱动级注入dll_驱动进程
07-15
驱动程序的主要任务是获取目标进程的信息,创建线程并执行DLL注入。 2. **获取目标进程信息**:驱动程序通过系统API函数,如 ZwQuerySystemInformation 或 NtQuerySystemInformation,获取目标进程的句柄、基地址等...
dll注入例子
07-05
DLL注入是一种常见的逆向工程和系统调试技术,它允许一个进程将动态链接库(DLL)加载到另一个进程中,使得DLL中的代码可以在目标进程中执行。在本例中,“dll注入例子”是一个演示如何使用`CreateRemoteThread` API...
DLL注入实例+教程
10-17
远程注入DLL方法有很多种,也是很多木马病毒所使用的隐藏进程的方法,因为通过程序加载的DLL在进程管理器是没有显示的.这里介绍一种用 CreateRemoteThread 远程建立线程的方式注入DLL. 首先,我们要提升自己的权限,因为远程注入必不可免的要访问到目标进程的内存空间,如果没有足够的系统权限,将无法作任何事.下面是这个函数是用来提升我们想要的权限用的. function EnableDebugPriv: Boolean; var hToken: THandle; tp: TTokenPrivileges; rl: Cardinal; begin Result := false; //打开进程令牌环 OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES or TOKEN_QUERY, hToken); //获得进程本地唯一ID if LookupPrivilegeValue(nil, 'SeDebugPrivilege', tp.Privileges[0].Luid) then begin tp.PrivilegeCount := 1; tp.Privileges[0].Attributes := SE_PRIVILEGE_ENABLED; //调整权限 Result := AdjustTokenPrivileges(hToken, false, tp, SizeOf(tp), nil, rl); end; end; 关于 OpenProcessToken() 和 AdjustTokenPrivileges() 两个 API 的简单介绍: OpenProcessToken():获得进程访问令牌的句柄. function OpenProcessToken( ProcessHandle: THandle; //要修改访问权限的进程句柄 DesiredAccess: DWORD; //指定你要进行的操作类型 var TokenHandle: THandle//返回的访问令牌指针 ): BOOL; AdjustTokenPrivileges() :调整进程的权限. function AdjustTokenPrivileges( TokenHandle: THandle; // 访问令牌的句柄 DisableAllPrivileges: BOOL; // 决定是进行权限修改还是除能(Disable)所有权限 const NewState: TTokenPrivileges; { 指明要修改的权限,是一个指向TOKEN_PRIVILEGES结构的指针,该结构包含一个数组, 数据组的每个项指明了权限的类型和要进行的操作; } BufferLength: DWORD; //结构PreviousState的长度,如果PreviousState为空,该参数应为 0 var PreviousState: TTokenPrivileges; // 指向TOKEN_PRIVILEGES结构的指针,存放修改前的访问权限的信息 var ReturnLength: DWORD //实际PreviousState结构返回的大小 ) : BOOL; 远程注入DLL其实是通过 CreateRemoteThread 建立一个远程线程调用 LoadLibrary 函数来加载我们指定的DLL,可是如何能让远程线程知道我要加载DLL呢,要知道在Win32系统下,每个进程都拥有自己的4G虚拟地址空间,各个进程之间都是相互独立的。所我们需要在远程进程的内存空间里申请一块内存空间,写入我们的需要注入DLL 的路径. 需要用到的 API 函数有: OpenProcess():打开目标进程,得到目标进程的操作权限,详细参看MSDN function OpenProcess( dwDesiredAccess: DWORD; // 希望获得的访问权限 bInheritHandle: BOOL; // 指明是否希望所获得的句柄可以继承 dwProcessId: DWORD // 要访问的进程ID ): THandle; VirtualAllocEx():用于在目标进程内存空间中申请内存空间以写入DLL的文件名 function VirtualAllocEx( hProcess: THandle; // 申请内存所在的进程句柄 lpAddress: Pointer; // 保留页面的内存地址;一般用nil自动分配 dwSize, // 欲分配的内存大小,字节单位;注意实际分 配的内存大小是页内存大小的整数倍 flAllocationType: DWORD; flProtect: DWORD ): Pointer; WriteProcessMemory():往申请到的空间中写入DLL的文件名 function WriteProcessMemory( hProcess: THandle; //要写入内存数据的目标进程句柄 const lpBaseAddress: Pointer; //要写入的目标进程的内存指针, 需以 VirtualAllocEx() 来申请 lpBuffer: Pointer; //要写入的数据 nSize: DWORD; //写入数据的大小 var lpNumberOfBytesWritten: DWORD //实际写入的大小 ): BOOL; 然后就可以调用 CreateRemoteThread 建立远程线程调用 LoadLibrary 函数来加载我们指定的DLL. CreateRemoteThread() //在一个远程进程中建立线程 function CreateRemoteThread( hProcess: THandle; //远程进程的句柄 lpThreadAttributes: Pointer; //线程安全描述字,指向SECURITY_ATTRIBUTES结构的指针 dwStackSize: DWORD; //线程栈大小,以字节表示 lpStartAddress: TFNThreadStartRoutine; // 一个TFNThreadStartRoutine类型的指针,指向在远程进程中执行的函数地址 lpParameter: Pointer; //传入参数的指针 dwCreationFlags: DWORD; //创建线程的其它标志 var lpThreadId: DWORD //线程身份标志,如果为0, 则不返回 ): THandle; 整个远程注入DLL的具体实现代码如下: function InjectDll(const DllFullPath: string; const dwRemoteProcessId: Cardinal): Boolean; var hRemoteProcess, hRemoteThread: THandle; pszLibFileRemote: Pointer; pszLibAFilename: PwideChar; pfnStartAddr: TFNThreadStartRoutine; memSize, WriteSize, lpThreadId: Cardinal; begin Result := false; // 调整权限,使程序可以访问其他进程的内存空间 if EnableDebugPriv then begin //打开远程线程 PROCESS_ALL_ACCESS 参数表示打开所有的权限 hRemoteProcess := OpenProcess(PROCESS_ALL_ACCESS, false, dwRemoteProcessId); try // 为注入dll文件路径分配内存大小,由于为WideChar,故要乘2 GetMem(pszLibAFilename, Length(DllFullPath) * 2 + 1); // 之所以要转换成 WideChar, 是因为当DLL位于有中文字符的路径下时不会出错 StringToWideChar(DllFullPath, pszLibAFilename, Length(DllFullPath) * 2 + 1); // 计算 pszLibAFilename 的长度,注意,是以字节为单元的长度 memSize := (1 + lstrlenW(pszLibAFilename)) * SizeOf(WCHAR); //使用VirtualAllocEx函数在远程进程的内存地址空间分配DLL文件名空间 pszLibFileRemote := VirtualAllocEx(hRemoteProcess, nil, memSize, MEM_COMMIT, PAGE_READWRITE); if Assigned(pszLibFileRemote) then begin //使用WriteProcessMemory函数将DLL的路径名写入到远程进程的内存空间 if WriteProcessMemory(hRemoteProcess, pszLibFileRemote, pszLibAFilename, memSize, WriteSize) and (WriteSize = memSize) then begin lpThreadId := 0; // 计算LoadLibraryW的入口地址 pfnStartAddr := GetProcAddress(LoadLibrary('Kernel32.dll'), 'LoadLibraryW'); // 启动远程线程LoadLbraryW,通过远程线程调用创建新的线程 hRemoteThread := CreateRemoteThread(hRemoteProcess, nil, 0, pfnStartAddr, pszLibFileRemote, 0, lpThreadId); // 如果执行成功返回 True; if (hRemoteThread 0) then Result := true; // 释放句柄 CloseHandle(hRemoteThread); end; end; finally // 释放句柄 CloseHandle(hRemoteProcess); end; end; end; 接下来要说的是如何卸载注入目标进程中的DLL,其实原理和注入DLL是完全相同的,只是远程调用调用的函数不同而已,这里要调用的是FreeLibrary,代码如下: function UnInjectDll(const DllFullPath: string; const dwRemoteProcessId: Cardinal): Boolean; // 进程注入和取消注入其实都差不多,只是运行的函数不同而已 var hRemoteProcess, hRemoteThread: THandle; pszLibFileRemote: PChar; pszLibAFilename: PwideChar; pfnStartAddr: TFNThreadStartRoutine; memSize, WriteSize, lpThreadId, dwHandle: Cardinal; begin Result := false; // 调整权限,使程序可以访问其他进程的内存空间 if EnableDebugPriv then begin //打开远程线程 PROCESS_ALL_ACCESS 参数表示打开所有的权限 hRemoteProcess := OpenProcess(PROCESS_ALL_ACCESS, false, dwRemoteProcessId); try // 为注入dll文件路径分配内存大小,由于为WideChar,故要乘2 GetMem(pszLibAFilename, Length(DllFullPath) * 2 + 1); // 之所以要转换成 WideChar, 是因为当DLL位于有中文字符的路径下时不会出错 StringToWideChar(DllFullPath, pszLibAFilename, Length(DllFullPath) * 2 + 1); // 计算 pszLibAFilename 的长度,注意,是以字节为单元的长度 memSize := (1 + lstrlenW(pszLibAFilename)) * SizeOf(WCHAR); //使用VirtualAllocEx函数在远程进程的内存地址空间分配DLL文件名空间 pszLibFileRemote := VirtualAllocEx(hRemoteProcess, nil, memSize, MEM_COMMIT, PAGE_READWRITE); if Assigned(pszLibFileRemote) then begin //使用WriteProcessMemory函数将DLL的路径名写入到远程进程的内存空间 if WriteProcessMemory(hRemoteProcess, pszLibFileRemote, pszLibAFilename, memSize, WriteSize) and (WriteSize = memSize) then begin // 计算GetModuleHandleW的入口地址 pfnStartAddr := GetProcAddress(LoadLibrary('Kernel32.dll'), 'GetModuleHandleW'); //使目标进程调用GetModuleHandleW,获得DLL在目标进程中的句柄 hRemoteThread := CreateRemoteThread(hRemoteProcess, nil, 0, pfnStartAddr, pszLibFileRemote, 0, lpThreadId); // 等待GetModuleHandle运行完毕 WaitForSingleObject(hRemoteThread, INFINITE); // 获得GetModuleHandle的返回值,存在dwHandle变量中 GetExitCodeThread(hRemoteThread, dwHandle); // 计算FreeLibrary的入口地址 pfnStartAddr := GetProcAddress(LoadLibrary('Kernel32.dll'), 'FreeLibrary'); // 使目标进程调用FreeLibrary,卸载DLL hRemoteThread := CreateRemoteThread(hRemoteProcess, nil, 0, pfnStartAddr, Pointer(dwHandle), 0, lpThreadId); // 等待FreeLibrary卸载完毕 WaitForSingleObject(hRemoteThread, INFINITE); // 如果执行成功返回 True; if hRemoteProcess 0 then Result := true; // 释放目标进程中申请的空间 VirtualFreeEx(hRemoteProcess, pszLibFileRemote, Length(DllFullPath) + 1, MEM_DECOMMIT); // 释放句柄 CloseHandle(hRemoteThread); end; end; finally // 释放句柄 CloseHandle(hRemoteProcess); end; end; end;
Dll注入经典方法完整版
01-18
Dll注入经典方法完整版
DLL各种注入方法收集
11-08
DLL各种注入方法收集
易语言DLL注入工具
07-21
易语言DLL注入工具源码,DLL注入工具,释放进程内存,注入DLL,卸载DLL,取DLL函数地址,执行DLL函数,是否已注入,重载变量,申请内存_,释放内存_,写到内存_,读取内存_,写入内存数据_,调用子程序_,提升进程权限_,打开进程_,...
DLL注入工具
11-20
DLL注入工具是一种高级的系统调试和程序控制技术,主要用于在目标进程中执行自定义代码。它在IT领域,尤其是软件开发、逆向工程和系统调试中占有重要地位。本篇文章将详细探讨DLL注入工具的功能、原理以及相关的编程...
原来自动启动程序可以这样做?
FISH 的专栏
12-13 1420
原来自动启动程序可以这样做?(1) 映像劫持:机子中了病毒 MsSvcHost64.exe , 该病毒利用了映像劫持. 后来装了杀毒软件把 MsSvcHost64.exe 删除后出现了 ctfcom.exe 不能启动的情况,检查后才发现中招了. 这里的 ctfmon.exe 是自动启动,从而病毒自动运行。作用是: 当运行 ctfmon.exe 时,  MsSvcHost64.exe 总
DLL注入技术
Karka_的博客
08-11 380
DLL是windows平台提供的一种模块共享和重用机制,它本身不能直接独立运行,但可以被加载到其他进程中间接执行。DLL注入,是将代码插入/注入到正在运行的进程中的过程。本来是软件用于向其他程序添加/扩展功能、调试或逆向工程的一种合法技术。不过,后来恶意软件也常用这种方式来干坏事。是一种广泛应用于恶意软件和无文件攻击中的逃避技术。
delphi dlldll注入
08-07
DLL注入是一种技术,它允许将DLL文件加载到正在运行的进程中,并使得该进程能够调用DLL中的函数和使用其中的数据。 在Delphi中实现DLL注入的方法有很多种。一种常见的方法是使用Windows API函数LoadLibrary和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值