Windows核心编程(二十一)远程线程注入DLL

最新推荐文章于 2024-02-28 11:30:00 发布
最新推荐文章于 2024-02-28 11:30:00 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: Windows核心编程 Windows核心编程 文章标签: DLL 注册表 多线程 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/woshibendangao/article/details/23086205
版权

1、windows内的各个进程有各自的地址空间。当我们用指针来引用内存时,指针的值表示的是进程自己的地址空间中的一个内存地址。进程不能创建一个指针来引用属于其他进程的内存。它们相互独立互不干扰保证了系统的安全性。


2、应用程序需要跨越进程边界来访问另一个进程的地址空间的情况如下:

1)我们想要从另一个进程创建的窗口派生子类窗口。

2)我们需要一些手段来辅助调试。比如我们需要确定另一个进程正在使用哪些DLL。

3)我们想要给另一个进程安装挂钩。


3、windows也为调试器或是其他工具设计了一些函数,这些函数可以让一个进程对另一个进程进行操作。虽然他们是为调试器设计的,但是任何应用程序都可以调用它们 。


4、使用远程线程来注入DLL。

从根本上说,DLL注入就是将某一DLL注入到某一进程的地址空间。该进程中的一个线程调用LoadLibrary来载入想要注入的DLL。由于我们不能直接控制其他进程内的线程,因此我们必须在其他进程内创建一个我们自己的线程。我们可以对新创建的线程加以控制,让他调用LoadLibrary来载入DLL。

在其他进程内创建的线程被称为:远程线程,该进程被称为远程进程。

windows提供了一个函数,可以让我们在其他进程内创建一个线程:     

[cpp]  view plain copy
  1.  HANDLE WINAPI CreateRemoteThread(  
  2.            HANDLE hProcess,  
  3.            LPSECURITY_ATTRIBUTES lpThreadAttributes,  
  4.            SIZE_T dwStackSize,  
  5.            LPTHREAD_START_ROUTINE lpStartAddress,  
  6.            LPVOID lpParameter,  
  7.            DWORD dwCreationFlags,  
  8.            LPDWORD lpThreadId  
  9.            );  

该函数除了第一个参数hProcess,标识要创建的线程所属的进程外,其他参数与CreateThread的参数完全相同。

---lpstartAddress是线程函数的内存地址。由于是在远程进程创建的,所以该函数一定必须在远程进程的地址空间内。


5、如何让该线程载入我们的DLL?让线程调用LoadLibrary函数即可。

HMODULE  LoadLibrary( PCTSTR  pszLibFile);


6、如何让线程运行起来,即为线程选择线程函数。

因为线程是在其他进程内运行的,所以该线程函数必须符合以下条件:

1)该函数符合线程函数的原型,

2)存在于远程线程地址空间内。

线程函数的函数原型:

DWORD WINAPI ThreadFunc( PVOID pvParam);

即远程线程的任务只有一个,就是调用LoadLibray加载DLL。


7、查看MSDN可以发现LoadLibrary并不是一个API,它其实是一个宏。

在WinBase.h中有:

#ifdef UNICODE

#define LoadLibrary LoadLibraryW

#else

#define LoadLibrary LoadLibraryA

#endif

实际上有两个Load*函数,唯一区别就是参数类型不同。如果DLL文件名是以ANSI形式保存的,我们就必须调用LoadLibraryA,如果是UNICODE形式保存的我们就必须调用LoadLibraryW。


8、接下来只需调用CreateThread函数,传给标识线程函数的参数LoadLibraryA或是LoadLibraryW。然后将我们要远程进程加载的DLL的路径名的地址作为参数传给它。

注意:传给线程函数的参数是DLL路径名的地址。但是该地址是在我们进程内的。如果远程进程引用此地址的数据,很可能会导致访问违规,远程进程被终止。

为了解决这个问题,我们应该将该字符串放到远程地址的地址空间去。首先应该在远程进程的地址空间分配一块儿内存。VirtualAllocEx可以解决这个问题。

[cpp]  view plain copy
  1.  LPVOID WINAPI VirtualAllocEx(  
  2.       __in      HANDLE hProcess,  
  3.       __in_opt  LPVOID lpAddress,  
  4.       __in      SIZE_T dwSize,  
  5.       __in      DWORD flAllocationType,  
  6.       __in      DWORD flProtect  
  7.     );  

---hProcess标识想在那个进程的地址空间申请内存的进程句柄。

---其他参数跟VirtualAlloc完全相同。此处不再介绍。

释放申请的内存:VirtualFreeEx

[cpp]  view plain copy
  1. BOOL WINAPI VirtualFreeEx(  
  2.       __in  HANDLE hProcess,  
  3.       __in  LPVOID lpAddress,  
  4.       __in  SIZE_T dwSize,  
  5.       __in  DWORD dwFreeType  
  6.     );    

与VirtualFree的区别只是多了一个进程句柄。


9、现在申请空间的任务完成了,要怎么样将本进程的数据复制到另外一个进程呢?

可以使用ReadProcessMemory和WriteProcessMemory。

[cpp]  view plain copy
  1.  BOOL WINAPI ReadProcessMemory(  
  2.       __in   HANDLE hProcess,  
  3.       __in   LPCVOID lpBaseAddress,  
  4.       __out  LPVOID lpBuffer,  
  5.       __in   SIZE_T nSize,  
  6.      __out  SIZE_T *lpNumberOfBytesRead  
  7.     );  

[cpp]  view plain copy
  1.   BOOL WINAPI WriteProcessMemory(  
  2.       __in   HANDLE hProcess,  
  3.       __in   LPVOID lpBaseAddress,  
  4.       __in   LPCVOID lpBuffer,  
  5.       __in   SIZE_T nSize,  
  6.       __out  SIZE_T *lpNumberOfBytesWritten  
  7.     );  

由于他们签名类似,此处放在一块介绍。

---hProcess是用来标识远程进程的。

---lpBaseAddress是在远程进程地址空间的地址,是VirtualAllocEx的返回值。

---lpBuffer是在本进程的内存地址。此处也就是DLL路径名的地址。

---nSize为要传输的字符串。

---lpNumberOfByteRead和lpNumberOfByteWrite为实际传输的字节数。

注意:当调用WriteProcessMemory时有时会导致失败。此时可以尝试调用VirtualProtect来修改写入页面的属性,写入之后再改回来。


10、我们知道导入函数的真实地址是在DLL加载的时候获得的。

加载程序从导入表取得每一个导入函数的函数名(字符串),然后在被加载到进程地址空间的DLL中查询之后,填到导入表的相应位置(IAT)的。也就是说在运行之前我们并不知道导入函数的地址(当然模块绑定过得除外)。

1)那么程序代码中是如何表示对导入函数的调用呢?

或许我们觉得应该是:CALL DWORD PTR[004020108]  ( [ ]内仅表示导入函数地址,无实际意义)。

由于程序的代码在经过编译连接之后就已经确定,而导入表的地址如00402010是在程序运行的时候获得的。所以程序在调用导入函数的时候并不能这样实现。那到底是如何实现的呢?

2)[ ]内有一个确定的地址这是毋庸置疑的,但是他的值并不是导入函数的地址,而是一个子程序的地址。该子程序被称为转换函数(thunk)。这些转换函数用来跳转到导入函数。当程序调用导入函数时,先会调用转换函数,转换函数从导入表的IAT获得导入函数的真实地址时在调用相应地址。

3)导入函数的调用形式:   

[cpp]  view plain copy
  1.          CALL  00401164 ; 转换函数的地址。  
  2.   
  3.             ...... 
  4.   
  5.          :00401164  
  6.   
  7.             ......
  8.   
  9.          CALL DWORD PTR [00402010];  调用导入函数。  

4)至此我们会明白为什么在声明一个导出函数的时候要加上_decllpec(dllimport)前缀。

原因是:编译器无法区分应用程序是对一般函数的调用还是对导入函数的调用。当我们在一个函数前加上此前缀就是告诉编译器此函数来自导入函数,编译器就会产生如上的指令。而不是CALL XXXXXXXX的形式。

所以在写一个输出函数的时候一定要在函数声明前加上修饰符:_decllpec(dllimport)。

 

11、我们传给CreateRemoteThread的线程函数LoadLibrary*,会被解析成我们进程内的转换函数的地址。如果把这个转换函数的地址作为线程函数的起始地址很可能导致访问违规。

解决方法是:强制代码略过转换函数而直接调用LoadLibrary*。这可以通过GetProAddress来实现。

[cpp]  view plain copy
  1.  FARPROC WINAPI GetProcAddress(  
  2.       __in  HMODULE hModule,  
  3.       __in  LPCSTR lpProcName  
  4.      );  

---hModule是模块句柄。标志某一模块。

---lpProcName是该模块内某一函数的函数名。

它返回该函数在模块所属进程地址空间的地址。

如GetProcAddress(GetModuleHandle("Kernel.dll","LoadLibraryW"));

此语句取得LoadLibrary在Kernel.dll所在进程空间的真实地址。

注意此时仅仅是取得在本进程Kernel.dll的地址和LoadLibraryW的地址。


12、例子:通过远程线程向explorer.exe进程注入DLL。

explorer.exe:资源管理器进程。随系统启动而启动,且一直运行。因此它经常被用来被当做远程线程的寄主。

步骤:1)获得explorer进程的句柄。

通过调用CreatehlpSnapshot获得此时系统的一个快照。然后遍历该快照。找到进程名称为explorer.exe的进程。并得到起进程对象句柄。

[cpp]  view plain copy
  1.     PROCESSENTRY32 pe32;  
  2.     pe32.dwSize=sizeof(pe32);  
  3.     HANDLE hSnapshot=CreateToolhelp32Snapshot(TH32CS_SNAPALL,0);  
  4.     int ret=Process32First(hSnapshot,&pe32);  
  5.     CString a;  
  6.     UpdateData();  
  7.     if(-1==m_processToFind.Find(".exe",0))  
  8.       m_processToFind+=".exe";  
  9.     while(ret)  
  10.     {  
  11.     if(pe32.szExeFile==m_processToFind)  
  12.         {  
  13.               
  14.         a.Format("进程:%s找到,它的进程ID为:%d",m_processToFind,pe32.th32ProcessID);  
  15.             MessageBox(a);  
  16.             break ;  
  17.         }  
  18.         ret=Process32Next(hSnapshot,&pe32);  
  19.     }

[cpp]  view plain copy
  1. HANDLE WINAPI CreateToolhelp32Snapshot(  
  2.   __in  DWORD dwFlags,  
  3.   __in  DWORD th32ProcessID  
  4. );    

该函数用于获取指定进程的快照,以及该进程使用的堆,线程等。

---dwFlags用来表示此快照中包含的项目。具体参考MSDN。

此处传入TH32CS_SNAPALL,表示此快照包括系统中所有的进程和线程,以及在th32ProcessID中指定的进程的各模块和线程的信息。

---th32ProessID指定要包括到此快照的进程ID,当传入0时表示当前进程。

函数执行成功返回快照句柄。否则返回INVALID_HANDLE_VALUE。可以调用GetLastError查看更多错误信息。

[cpp]  view plain copy
  1. BOOL WINAPI Process32First(  
  2.   __in     HANDLE hSnapshot,  
  3.   __inout  LPPROCESSENTRY32 lppe  
  4. );   
BOOL WINAPI Process32Next(
  __in   HANDLE hSnapshot,
  __out  LPPROCESSENTRY32 lppe
);

以上两个函数,用于在CreateHlpSnapshot中遍历各项。用法参考上例。

步骤:2)获得explorer的进程ID之后,还要调用OpenProcess来获得该进程的句柄。函数执行成功返回进程句柄。

[cpp]  view plain copy
  1. HANDLE hProcess=OpenProcess(PROCESS_ALL_ACCESS,0,pe32.th32ProcessID);
  2.    

步骤:3)在explorer的地址空间中申请存储要注入的DLL的路径名的空间。

[cpp]  view plain copy
  1.  PVOID addr=VirtualAllocEx(hProcess,NULL,50,MEM_COMMIT,  PAGE_READWRITE);  
  2.       if(addr==NULL)  
  3.       {  
  4.         CString a;  
  5.         int ret=GetLastError();  
  6.         a.Format("在远程进程申请空间失败!错误码为:%d",ret);  
  7.   
  8.         MessageBox(a);  
  9.       }  
  10.        else  
  11.        {  
  12.          MessageBox("远程进程地址空间中申请空间成功!");  
  13.   
  14.        }                 

步骤:4)将路径名写入在explorer进程申请的空间。

[cpp]  view plain copy
  1. char path[50]="F:\\injectDll.dll";  
  2. int retval=WriteProcessMemory(hProcess,addr,(LPVOID)path,sizeof(path),NULL);  
  3.     if(retval)  
  4.     {  
  5.         MessageBox("写入成功!");  
  6.     }  
  7.     else  
  8.         MessageBox("写入失败!");  

步骤:5)创建远程线程。

//获得LoadLibraryA在远程进程中的地址。(与本进程的地址相同。)

[cpp]  view plain copy
  1. PTHREAD_START_ROUTINE pfnThread=(PTHREAD_START_ROUTINE)  
  2.      GetProcAddress(GetModuleHandle("kernel32.DLL"),"LoadLibraryA");
[cpp]  view plain copy
  1. HANDLE hRemoteThread=CreateRemoteThread(    
  2.       hProcess,//in   HANDLE hProcess,    
  3.       NULL,  
  4.       0,//__in   SIZE_T dwStackSize,    
  5.       pfnThread,  
  6.       addr,   
  7.       0,   
  8.       NULL); 
[cpp]  view plain copy
  1. if(hRemoteThread==INVALID_HANDLE_VALUE)  
  2.  {  
  3.   MessageBox("远程线程穿件失败!");  
  4.  }  
  5.  else  
  6.  {  
  7.   MessageBox("远程线程创建成功!");  
  8.  }  

步骤:6)创建要注入到远程进程的DLL。(可参考DLL基础篇)

如果在注入的DLL创建一个线程,就可以执行我们想让它做的工作。

比如监控某程序的运行,一旦程序运行,就将另一个DLL加载到此进程。此DLL会挂在全局钩子,获得用户键盘的动作。

以上部分参考自http://blog.csdn.net/ithzhang/article/details/7042613 

 

笨蛋糕
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
精通Windows.API-函数、接口、编程实例.pdf
01-27
仅收录该书籍以供学习和讨论 包含pdf书籍及经过验证的示例 执行demo中的示例方式 在编译环境下进入demo目录,执行nmake命令在bin目录下生成可执行文件 注:demo无注释,对应书本中部分示例。 目录 第1章 Windows应用程序开发入门 1 1.1 第一个实例程序 1 1.1.1 start.exe 1 1.1.2 Windows API 2 1.1.3 程序入口函数 2 1.1.4 start.c代码分析 2 1.2 编译代码 3 1.2.1 安装Visual Studio 3 1.2.2 安装Microsoft Platform SDK 4 1.2.3 集成Microsoft Platform SDK与Visual C++速成版 5 1.2.4 Vista SDK与Visual Studio 2008 6 1.2.5 Visual Studio专业版或团队系统版 7 1.2.6 使用图形化IDE建立工程、进行编译 7 1.2.7 “解决方案”与“工程” 8 1.2.8 使用命令行工具编译 8 第2章 Windows API概要 10 2.1 Windows数据类型 10 2.1.1 Windows数据类型示例 10 2.1.2 Windows数据类型与标准C数据类型的关系 14 2.1.3 Windows数据类型与Windows API 14 2.1.4 Windows中的数据结构 15 2.2 Windows API的功能分类 15 2.2.1 系统基本服务 15 2.2.2 系统管理 17 2.2.3 用户界面 17 2.2.4 图像和多媒体 20 2.2.5 网络 20 2.2.6 系统安全 20 2.2.7 其他功能 21 2.3 Windows API核心DLL 21 2.3.1 Kernel32.dll 21 2.3.2 User32.dll 21 2.3.3 Gdi32.dll 22 2.3.4 标准C函数 22 2.3.5 其他Dll 22 2.4 Unicode和多字节 22 2.4.1 W版本和A版本的API 24 2.4.2 Unicode与ASCII的转换 24 2.5 对Windows程序设计规范的建议 25 第3章 开发工具配置与使用 26 3.1 使用Visual C/C++编译链接工具 26 3.1.1 编译器cl.exe 27 3.1.2 资源编译器rc.exe 31 3.1.3 链接器link.exe 32 3.1.4 其他工具 38 3.1.5 编译链接工具依赖的环境变量 39 3.1.6 示例:使用/D选项进行条件编译 42 3.2 使用Platform SDK 43 3.2.1 Platform SDK的目录结构与功能 43 3.2.2 为编译链接工具设置环境变量 45 3.2.3 Platform SDK工具集 46 3.2.4 Windows Vista SDK 48 3.3 编写Makefile 48 3.3.1 使用nmake.exe构建工程 48 3.3.2 Makefile实例 50 3.3.3 注释 50 3.3.4  50 3.3.5 描述块:目标、依赖项和命令 53 3.3.6 makefile预处理 55 3.3.7 在Platform SDK的基础上使用nmake 56 3.4 使用WinDbg调试 57 3.4.1 安装WinDbg 57 3.4.2 编译可调试的程序 58 3.4.3 WinDbg命令 59 3.4.4 调试过程演示 59 3.5 集成开发环境 Visual Studio 62 3.5.1 工程类型选择与配置 62 3.5.2 Visual Studio快捷方式 64 3.5.3 生成项目 64 3.5.4 调试 65 3.5.5 选项与设置 65 3.6 开发环境配置总结 66 第4章 文件系统 67 4.1 概述 67 4.1.1 文件系统的基本概念 67 4.1.2 文件系统主要API 68 4.2 磁盘和驱动器管理 70 4.2.1 遍历卷并获取属性 70 4.2.2 操作驱动器挂载点 76 4.2.3 判断光驱中是否有光盘 81 4.2.4 获取磁盘分区的总容量、空闲容量、簇、扇区信息 83 4.3 文件和目录管理 86 4.3.1 删除、复制、重命名、移动文件 87 4.3.2 创建、打开、读写文件,获取文件大小 90 4.3.3 创建目录 96 4.3.4 获取程序所在的目录、程序模块路径,获取和设置当前目录 97 4.3.5 查找文件、遍历指定目录下的文件和子目录 100 4.3.6 递归遍历目录树 103 4.3.7 获取、设置文件属性和时间 105 4.4 内存映射文件 110 4.4.1 使用Mapping File提高文件读写的效率 110 4.4.2 通过Mapping File在进程间传递和共享数据 115 4.4.3 通过文件句柄获得文件路径 118 4.5 总结 121 第5章 内存管理 122 5.1 Windows内存管理原理 122 5.1.1 基本概念 122 5.1.2 分页与分段内存管理、内存映射与地址转换 123 5.1.3 进程的内存空间 125 5.1.4 虚拟内存布局、内存的分工、堆与栈 127 5.1.5 内存的保护属性和存取权限 127 5.1.6 本章API列表 127 5.2 堆管理 129 5.2.1 获取堆句柄、分配与再分配堆 129 5.2.2 获取堆中内存块的大小信息 133 5.2.3 释放内存、销毁堆 134 5.3 全局(Global)和局部(Local)内存管理 136 5.3.1 Global函数 136 5.3.2 Local函数 137 5.3.3 使用全局和局部函数分配和释放内存、改变内存块属性 137 5.4 虚拟内存管理 138 5.4.1 虚拟地址空间与内存分页 139 5.4.2 分配和释放可读可写的虚拟内存页面 139 5.4.3 修改内存页面状态和保护属性、将页面锁定在物理内存中 142 5.4.4 管理其他进程的虚拟内存 143 5.5 内存操作与内存信息管理 144 5.5.1 复制、填充、移动、清零内存块、防止缓冲区溢出 144 5.5.2 获得当前系统内存使用情况 146 5.5.3 判断内存指针的可用性 147 5.6 各种内存分配方式的关系与比较 148 5.6.1 标准C内存管理函数与Windows内存管理API的关系 149 5.6.2 功能性区别 149 5.6.3 效率的区别 149 第6章 进程、线程和模块 150 6.1 基本概念 150 6.1.1 应用程序与进程 150 6.1.2 控制台应用程序与图形用户界面应用程序 151 6.1.3 动态链接库、模块 151 6.1.4 线程、纤程与作业 152 6.1.5 权限与优先级 153 6.2 进程管理 153 6.2.1 创建进程、获取进程相关信息、获取启动参数 153 6.2.2 编写控制台程序和图形用户界面应用程序 158 6.2.3 获取和设置环境变量 158 6.3 线程、纤程 162 6.3.1 创建线程、退出线程、获取线程信息 162 6.3.2 挂起、恢复、切换、终止线程 164 6.3.3 创建远程线程、将代码注入其他进程中执行 167 6.3.4 创建纤程、删除纤程、调度纤程 170 6.3.5 纤程与线程的互相转换 171 6.4 进程状态信息 176 6.4.1 PS API与Tool help API 176 6.4.2 遍历系统中的进程 178 6.4.3 列举进程的模块、线程 182 6.4.4 进程的堆使用、内存占用、虚拟内存大小,页面错误情况 184 6.5 动态链接库 185 6.5.1 加载、释放DLL、通过句柄获取DLL相关信息 186 6.5.2 编写动态链接库、导出函数 186 6.5.3 创建动态链接库工程,配置DLL编译链接选项 188 6.5.4 运行时动态获取DLL导出函数地址并调用 189 6.5.5 声明导出函数、创建lib库,为其他模块提供导入表调用接口 190 6.5.6 通过构建导入表调用DLL导出函数 191 第7章 线程同步 192 7.1 基本原理 192 7.1.1 线程同步的过程 193 7.1.2 同步对象 193 7.1.3 等待函数 193 7.2 同步对象示例 194 7.2.1 使用事件对象(Event) 194 7.2.2 使用互斥对象(Mutex) 199 7.2.3 使用信号量控制访问共享数据的线程数量 202 7.2.4 使用可等待计时器(Timer) 206 7.3 等待进程和线程的执行完成 209 第8章 服务 210 8.1 基本概念 210 8.1.1 服务控制器(SCM) 211 8.1.2 服务程序 211 8.1.3 服务控制管理程序 211 8.1.4 系统服务管理工具 211 8.1.5 服务的属性 211 8.2 编写服务程序 212 8.2.1 入口函数 212 8.2.2 服务主函数 212 8.2.3 控制处理函数 213 8.3 实现对服务的控制和管理 216 8.3.1 创建、删除服务 216 8.3.2 启动、停止服务,向服务发送控制请求 219 8.3.3 管理服务状态、配置服务、服务的依赖关系 222 第9章 图形用户界面 229 9.1 字符界面程序 229 9.1.1 基本概念 230 9.1.2 控制台读写 231 9.1.3 控制台字体、颜色等属性,操作屏幕缓存 234 9.1.4 控制台事件 244 9.2 图形用户界面:基本概念 246 9.2.1 窗口 246 9.2.2 窗口类 246 9.2.3 消息和消息处理函数 247 9.2.4 控件 247 9.2.5 资源 248 9.2.6 对话框 248 9.3 图形用户界面:窗口 248 9.3.1 注册窗口类 249 9.3.2 创建窗口 251 9.3.3 窗口消息处理函数 253 9.3.4 窗口属性、位置和大小 256 9.3.5 窗口显示方式 257 9.3.6 线程消息队列和消息循环 258 9.4 图形用户界面:控件 258 9.4.1 Tree View控件 258 9.4.2 为Tree View控件增加节点 260 9.4.3 Tree View右键菜单 262 9.4.4 List View控件 263 9.4.5 为List View控件增加分栏 265 9.4.6 为List View控件增加项 266 9.4.7 文本框控件 267 9.4.8 为文本框控件设置文字 268 9.5 界面资源 269 9.5.1 资源脚本(.rc) 269 9.5.2 资源ID定义和头文件 272 9.5.3 在程序中使用资源 273 9.6 菜单 273 9.6.1 菜单资源和菜单句柄 273 9.6.2 动态增加、删除、设置菜单及菜单项 274 9.6.3 菜单消息处理 274 9.7 对话框 275 9.7.1 创建对话框 275 9.7.2 对话框消息处理函数 276 第10章 系统信息的管理 277 10.1 Windows系统信息 277 10.1.1 获取系统版本 277 10.1.2 获取计算机硬件信息 279 10.1.3 获取系统目录等信息 281 10.1.4 用户名、计算机名、域名 282 10.1.5 处理系统颜色信息、尺度信息等 284 10.1.6 鼠标、键盘等外设信息 285 10.2 时间信息 286 10.2.1 设置、获取系统时间 286 10.2.2 获取开机至现在持续的时间 287 10.2.3 文件时间与系统时间的转换 287 10.3 注册表 288 10.3.1 注册表的作用及组织形式 288 10.3.2 键、子键、键属性及键值的相关操作 289 10.3.3 列举注册表项及键值 292 10.3.4 通过注册表设置一个自启动的程序 293 10.3.5 设置随程序启动而启动的调试器(任何程序) 294 10.3.6 指定程序崩溃实时调试器 294 第11章 进程间通信 295 11.1 邮槽(MailSlot) 295 11.1.1 创建邮槽、从邮槽中读取消息 296 11.1.2 通过邮槽发送消息 299 11.2 管道(Pipe) 300 11.2.1 创建命名管道 300 11.2.2 管道监听 302 11.2.3 使用异步I/O进行读写 303 11.2.4 关闭管道实例 307 11.2.5 客户端 307 11.3 剪贴板 310 11.3.1 获取、设置剪贴板数据 310 11.3.2 监视剪贴板 317 11.3.3 剪贴板数据格式 325 11.4 数据复制消息(WM_COPYDATA) 327 11.4.1 数据发送端 327 11.4.2 数据接收端 330 11.5 其他进程间通信方式 332 11.5.1 动态数据交换(DDE)和网络动态数据交换(NDDE) 332 11.5.2 通过File Mapping在进程间共享数据 333 11.5.3 Windows Socket 333 第12章 Windows Shell程序设计 334 12.1 Windows Shell目录管理 335 12.1.1 Shell对目录和文件的管理形式 335 12.1.2 “我的文档”等特殊目录相关操作 335 12.1.3 绑定、遍历、属性获取 337 12.1.4 浏览文件对话框 339 12.2 文件协助(File Associations) 340 12.2.1 文件类型相关注册表键值 340 12.2.2 为文件指定默认打开程序 341 12.2.3 定制文件类型的图标 342 12.3 Shell扩展 343 12.3.1 对象及概念 343 12.3.2 CLSID,处理例程的GUID 344 12.3.3 注册Shell扩展 345 12.3.4 COM程序开发基础 346 12.3.5 编写Handler程序 346 12.3.6 Shell扩展程序的调试 362 12.3.7 总结 363 12.4 任务栏通知区域(Tray)图标 363 12.4.1 创建图标窗口 364 12.4.2 创建图标和图标菜单 367 12.4.3 最小化主窗口到通知区域 370 12.4.4 弹出气泡通知 372 12.4.5 动态图标 374 12.4.6 其他功能 376 第13章 Windows GDI 379 13.1 GDI编程接口概述 379 13.1.1 Windows GDI的功能 379 13.1.2 链接库与头文件 380 13.2 设备上下文(DC)、输出操作与图形对象 380 13.2.1 设备上下文类型与关联设备 380 13.2.2 图形对象的作用及与DC的关系 380 13.2.3 各类图形对象的具体属性与作用 383 13.2.4 绘制、填充、写入等图形输出操作 384 13.2.5 修剪与坐标变换 385 13.2.6 设备上下文的图形模式 385 13.3 一个最简单的GDI程序 386 13.3.1 示例 386 13.3.2 DC的操作 387 13.3.3 颜色的表示 388 13.3.4 图形对象:画刷和画笔 389 13.3.5 输出操作:绘制图形和线条 390 13.4 文字和字体 391 13.4.1 选择、设置字体 393 13.4.2 选择字体图形对象 394 13.4.3 文字的颜色 394 13.4.4 输出文字 395 13.4.5 DC图形模式设置 395 13.4.6 遍历字体 396 13.4.7 为系统安装、删除字体文件 398 13.5 绘制线条 398 13.5.1 选择画笔对象 399 13.5.2 直线 399 13.5.3 绘制任意曲线 399 13.5.4 跟踪鼠标轨迹 399 13.5.5 弧线 405 13.6 绘制图形 405 13.6.1 填充颜色与边缘勾勒 406 13.6.2 绘制矩形、椭圆、圆角矩形 406 13.6.3 椭圆弓形和椭圆扇形 411 13.6.4 多边形 411 13.6.5 RECT结构及对RECT的操作 412 13.7 位图操作 414 13.7.1 截取屏幕、保存位图文件 414 13.7.2 将位图显示在界面上 419 13.8 区域(Regions)、路径(Paths)与修剪(Clip)操作 422 13.8.1 区域的创建及形状、位置等属性 422 13.8.2 区域边沿、区域填充、反转与勾勒操作 423 13.8.3 组合、比较、移动等操作 426 13.8.4 点击测试(Hit Testing) 427 13.8.5 路径的创建与操作 431 13.8.6 路径转换为区域 432 13.8.7 使用区域和路径进行修剪操作,限制输出 432 13.9 坐标变换 438 13.9.1 缩放 439 13.9.2 旋转 440 13.10 调色板 440 第14章 网络通信与配置 443 14.1 Socket通信 444 14.1.1 客户端 444 14.1.2 服务端 449 14.1.3 处理并发的客户端连接 455 14.1.4 网络通信的异步I/O模式 456 14.2 IP Helper 456 第15章 程序安装与设置 463 15.1 创建cab文件 463 15.1.1 makecab.exe 463 15.1.2 压缩多个文件 464 15.1.3 Cabinet软件开发工具包(CABSDK) 466 15.2 编写INF文件 466 15.2.1 INF文件格式 466 15.2.2 Install节 468 15.2.3 CopyFiles和AddReg等安装过程 468 15.2.4 源路径和目的路径 469 15.2.5 字符串表 469 15.3 安装程序setup.exe的编号 469 15.4 使用msi文件进行安装 472 15.4.1 Windows Installer Service 472 15.4.2 msi文件的创建与修改工具orca.exe 474 15.4.3 准备工作 475 15.4.4 编辑表组 475 第16章 设备驱动管理与内核通信 476 16.1 设备管理 476 16.1.1 列举设备接口 477 16.1.2 监控设备的加载和卸载 483 16.2 I/O控制、内核通信 488 16.2.1 加载驱动程序 488 16.2.2 控制驱动程序、与驱动程序进行通信 495 16.3 编写设备驱动程序 498 16.3.1 驱动程序开发包:DDK 499 16.3.2 开发驱动程序 499 16.4 I/O模式,同步与异步 504 第17章 用户、认证和对象安全 506 17.1 基本概念 506 17.1.1 访问令牌、权限和用户标识 506 17.1.2 进程的系统操作权限 507 17.1.3 安全对象 508 17.1.4 访问控制列表(ACL) 508 17.2 安全机制程序示例 509 17.2.1 列举进程访问令牌内容和权限 509 17.2.2 修改进程的权限 514 17.2.3 列举安全对象的安全描述符 515 17.2.4 修改安全描述符 521 17.3 用户 522 17.3.1 创建用户 522 17.3.2 用户组 523 17.3.3 删除用户 525 17.3.4 列举用户和用户组、获取用户信息 525 第18章 Windows API的内部原理 532 18.1 关于API的补充说明 532 18.1.1 Windows API的版本演进和Vista新增API 532 18.1.2 64位操作系统的接口 533 18.2 Windows系统中的对象封装 533 18.2.1 什么是对象 534 18.2.2 面向对象的思想 534 18.2.3 Windows系统中的对象:内核对象、GDI对象等 534 18.3 Windows程序设计参考:文档资源与样例代码 534 18.3.1 SDK文档和MSDN 534 18.3.2 SDK示例代码 535 18.4 x86平台程序函数调用原理 535 18.4.1 函数调用的真实过程 535 18.4.2 函数调用约定 539 18.4.3 为什么通过参数返回数据时只能使用指针 540 18.4.4 缓冲区溢出 540 18.4.5 程序运行错误的调试技巧 540 18.5 可执行程序结构与API函数接口内部机理 541 18.5.1 Windows可执行程序结构 541 18.5.2 导入表、导出表、动态链接 543 18.5.3 NTDLL.DLL、NATIVE API和SSDT 544 18.5.4 API HOOK 546 18.6 发布程序 546 18.6.1 合理选择编译链接选项 546 18.6.2 构建到指定路径 546 18.7 模块化,向Windows API学习接口定义 547 18.7.1 lib文件 547 18.7.2 头文件 547 18.7.3 为第三方应用软件提供SDK 547
windows核心编程系列》十九谈谈使用远程线程注入DLL
系统运维
12-05 243
windows内的各个进程有各自的地址空间。它们相互独立互不干扰保证了系统的安全性。但是windows也为调试器或是其他工具设计了一些函数,这些函数可以让一个进程对另一个进程进行操作。虽然他们是为调试器设计的,但是任何应用程序都可以调用它们 。接下来我们来谈谈使用远程线程注入DLL。 从根本上说,DLL注入就是将某一DLL注入到某一进程的地址空间。该进程中的一个线程调用LoadLibr...
Windows 利用远程线程注入DLL
HelloKandy's Blog
01-14 506
Windows系统中,DLL注入方式大概有以下几种: 1、利用注册表注入 2、利用Windows Hooks注入 3、利用远程线程注入 4、利用特洛伊DLL注入 本文主要简述一下第三种(利用远程线程注入)的流程与注意事项,大概流程如下: 1、打开指定的进程(OpenProcess) 2、在指定进程空间申请虚拟内存空间,为了存放DLL名称(VirtualAllocEx) 3...
DLL注入_远程线程注入
VI___
08-23 3004
什么是线程注入线程注入,是通过开启远程线程的方式,将DLL加载到目标宿主进程中的常用方式。 什么是动态链接库? 首先Windows中链接库分为两种:动态链接库DLL、静态链接库LIB。 ① 静态链接库:在运行的时候就直接把代码全部加载到程序中,调用方式比如: #prama comment (lib,"Psapi.lib") ② 动态链接库:在需要的时候加载,加载方式为...
Win10_X64远线程注入dll(非CreateRemoteThread)
Anansi的博客
09-27 2984
谈到远线程注入,首先肯定会想到使用CreateRemoteThread,但这个API无法对系统进程进行注入,而且根据我个人的验证发现这个函数在win10下也无法正常将dll注入进记事本进程(淦!)。好在在我的不懈努力的百度、google下发现了另一种思路,那就是使用ZwCreateThread这个内核API,CreateRemoteThread在底层也调用了这个API,CreateRemoteThread底层会调用内核函数ZwCreateThreadEx,而系统调用此函数时,如果发现是系统进程,会把函数的第
系统权限远程线程注入到Explorer.exe
weixin_30879833的博客
05-02 442
目录 提升为系统权限,注入到explorer中 一丶简介 二丶注入效果图 提升为系统权限,注入到explorer中 一丶简介 我们上一面说了系统服务拥有系统权限.并且拥有system权限.还尝试启动了一个进程. 那么我们是不是可以做点坏事了. 我们有一个系统权限进程...
Windows核心编程_远线程方式实现Dll注入
17岁boy的博客
08-31 820
之前有介绍过HOOK的方式注入,这次介绍以其它方式注入,而无须HOOK,要知道在Windows这个浩荡的海洋里,API就是宝藏,找到足够多的宝藏那么你就是海贼王~! 实现思路如下: 首先打开一个进程的地址空间,然后开辟一块空间将动态库copy进去,然后找到动态库要调用的函数首地址,在调用此函数! 首先给大家介绍几个dll注入的方法: 1.通过调用Kernel32动态库里的Loa...
windows注入续讲
WeinKee的博客
04-19 235
本文内容引述至《windows核心编程DLL注入 Dll注入除了使用前文《windows注入》中所推荐的三种方法 修改注册表 Hook RemoteThread 还有其他的注入方式 木马注入DLL 木马注入常见的黑客手法,把预知常见的进程必然载入的DLL库同名替换。 Dll库除了名字要相同,还有原来DLL中导出的所有符号,而且随着替换的Dll版本发生变化,更改了导入表甚至是导入地址,那么这...
Windows Ring3层注入——注入相关知识(零)
qq_38493448的博客
01-16 906
Windows Ring3层注入——注入相关知识(零)定义需要注入的几种情况注入时机静态输入动态加载加载服务模块注入方法概括说明注入方式原理通过干预输入表处理过程加载目标DLL改变程序运行流程主动加载DLL利用系统机制加载DLL几种常见的注入方式静态注入:动态加载:加载服务模块: 定义 注入就是迫使第三方进程非自愿加载某个模块(DLL)。 需要注入的几种情况 1.想要从另一个进程创建窗口派生子类窗...
Windows系统的dll注入
m0_68937036的博客
03-03 1477
Windows系统的dll注入
Windows 动态注入远程线程、消息钩子、APC)
最新发布
wangluoanquan111的博客
02-28 945
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…一个比较关键的问题是创建的远程线程是在目标进程中执行,无法调用本地函数,因此要利用系统API实现加载dll文件的操作。
Windows线程注入——弹窗ShellCode
sandikast的专栏
01-16 2085
进行程序线程注入的代码,执行一个弹窗的ShellCode。在Win7 64位之前可以完美运行,但是Win7 64位下插入的代码因为安全机制的原因无法执行,会报错! #include #include #include typedef struct _THREAD_PARA { FARPROC pFunc[2]; }THREAD_PARAM, *PTHREAD_PARAM; BY
[木马]不释放资源到本地文件系统,直接运行其内嵌exe程序 卡巴竟然报毒,MSE正常
zz_strive_2012的专栏
11-12 294
可以运行,但是杀软报毒,源码主要收集于网络,非自创,加工组合而已: #include "stdafx.h" #include "resource.h" typedef IMAGE_SECTION_HEADER (*PIMAGE_SECTION_HEADERS)[1]; // 计算对齐后的大小 unsigned long GetAlignedSize(unsigned lo...
3.1 DLL注入:常规远程线程注入
CSDN
09-13 4675
动态链接库注入技术是一种特殊的技术,它允许在运行的进程中注入DLL动态链接库,从而改变目标进程的行为。DLL注入的实现方式有许多,典型的实现方式为远程线程注入,该注入方式的注入原理是利用了`Windows`系统中提供的`CreateRemoteThread()`这个API函数,该函数第四个参数是准备运行的线程,我们将`LoadLibrary()`函数填入其中,这样就可以执行远程进程中的`LoadLibrary()`函数,进而将我们自己准备的DLL加载到远程进程空间中执行,DLL在被装载后则会自动执行初始化部
Windows Dll注入与API HOOK
小黑话不多
04-11 2907
DLL注入: 1.      使用注册表注入dll HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs AppInit_Dlls中设置待注入dll绝对路径 LoadAppInit_Dlls值设为1 2.      使用Windows挂钩注入dll 需要使用SetWind
请使用c++写出远程线程注入dll代码
09-09
### 回答1: 示例代码:#include <windows.h> #include <stdio.h> #include <tlhelp32.h> // 远程线程注入dll BOOL InjectDLL(DWORD dwPID, char *szDLLName); int main(int argc, char *argv[]) { printf("远程线程注入dll演示程序\n"); if (argc == 3) { DWORD dwPID = atoi(argv[1]); char *szDLLName = argv[2]; InjectDLL(dwPID, szDLLName); } else { printf("用法:InjectDLL.exe <PID> <DLLName>\n"); } return 0; } // 远程线程注入dll BOOL InjectDLL(DWORD dwPID, char *szDLLName) { HANDLE hProcess, hThread; LPVOID lpBaseAddress; LPTHREAD_START_ROUTINE lpStartAddress; DWORD dwSize, dwThreadId; char szPath[256]; char szBuffer[1024]; // 打开进程 hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID); if (hProcess == NULL) { printf("OpenProcess() Error: %d\n", GetLastError()); return FALSE; } // 获取DLL的完整路径 GetFullPathName(szDLLName, 256, szPath, NULL); // 在进程中申请虚拟内存 dwSize = strlen(szPath) + 1; lpBaseAddress = VirtualAllocEx(hProcess, NULL, dwSize, MEM_COMMIT, PAGE_READWRITE); if (lpBaseAddress == NULL) { printf("VirtualAllocEx() Error: %d\n", GetLastError()); return FALSE; } // 将DLL路径写入到虚拟内存 int nBytesWritten; WriteProcessMemory(hProcess, lpBaseAddress, szPath, dwSize, &nBytesWritten); if (nBytesWritten != dwSize) { printf("WriteProcessMemory() Error: %d\n", GetLastError()); return FALSE; } // 加载Kernel32.dll HMODULE hKernel32 = GetModuleHandle("Kernel32"); if (hKernel32 == NULL) { printf("GetModuleHandle() Error: %d\n", GetLastError()); return FALSE; } // 获取LoadLibraryA函数地址 lpStartAddress = GetProcAddress(hKernel32, "LoadLibraryA"); if (lpStartAddress == NULL) { printf("GetProcAddress() Error: %d\n", GetLastError()); return FALSE; } // 创建远程线程 hThread = CreateRemoteThread(hProcess, NULL, 0, lpStartAddress, lpBaseAddress, 0, &dwThreadId); if (hThread == NULL) { printf("CreateRemoteThread() Error: %d\n", GetLastError()); return FALSE; } // 等待远程线程结束 WaitForSingleObject(hThread, INFINITE); // 读取线程退出码 DWORD dwExitCode; GetExitCodeThread(hThread, &dwExitCode); if (dwExitCode == 0) { printf("LoadLibrary() Error: %d\n", GetLastError()); return FALSE; } // 关闭句柄 CloseHandle(hProcess); CloseHandle(hThread); return TRUE; }我不能帮助你编写代码,但是我可以提供一些参考资料,帮助你编写远程线程注入dll代码。 ### 回答2: 远程线程注入DLL是一种技术,用于在目标进程中注入自定义的动态链接库(DLL)并执行其中的代码。以下是一个使用C语言编写的远程线程注入DLL的代码示例: ```c #include <stdio.h> #include <stdlib.h> #include <windows.h> int main() { // 目标进程的进程ID DWORD pid = 1234; // 加载要注入DLL路径 char dllPath[] = "C:\\path_to_dll\\mydll.dll"; // 获取目标进程句柄 HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid); if (hProcess == NULL) { printf("无法打开目标进程"); return -1; } // 在目标进程中为DLL路径分配内存 LPVOID dllPathAddr = VirtualAllocEx(hProcess, NULL, sizeof(dllPath), MEM_COMMIT, PAGE_READWRITE); if (dllPathAddr == NULL) { printf("无法在目标进程中分配内存"); CloseHandle(hProcess); return -1; } // 在目标进程中写入DLL路径 if (!WriteProcessMemory(hProcess, dllPathAddr, dllPath, sizeof(dllPath), NULL)) { printf("无法写入DLL路径到目标进程"); VirtualFreeEx(hProcess, dllPathAddr, 0, MEM_RELEASE); CloseHandle(hProcess); return -1; } // 获取Kernel32.dll中LoadLibrary函数的地址 HMODULE kernel32 = GetModuleHandle("kernel32.dll"); FARPROC loadLibrary = GetProcAddress(kernel32, "LoadLibraryA"); // 创建远程线程在目标进程中执行LoadLibrary函数,将DLL路径作为参数 HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)loadLibrary, dllPathAddr, 0, NULL); if (hThread == NULL) { printf("无法在目标进程中创建远程线程"); VirtualFreeEx(hProcess, dllPathAddr, 0, MEM_RELEASE); CloseHandle(hProcess); return -1; } // 等待远程线程执行结束 WaitForSingleObject(hThread, INFINITE); // 清理资源 VirtualFreeEx(hProcess, dllPathAddr, 0, MEM_RELEASE); CloseHandle(hThread); CloseHandle(hProcess); printf("远程线程注入DLL成功"); return 0; } ``` 这段代码首先通过`OpenProcess`函数打开目标进程,然后使用`VirtualAllocEx`在目标进程中为DLL路径分配内存,并使用`WriteProcessMemory`将DLL路径写入目标进程内存。接着,使用`GetModuleHandle`和`GetProcAddress`获取`LoadLibrary`函数的地址,然后使用`CreateRemoteThread`在目标进程中创建一个远程线程,让其执行`LoadLibrary`函数,将DLL路径作为参数传递给它。最后,使用`WaitForSingleObject`等待远程线程执行完毕,并释放之前分配的资源。 ### 回答3: 使用C语言编写远程线程注入DLL的代码可以通过以下步骤实现: 1. 首先,需要创建一个目标进程的句柄。可以使用`OpenProcess`函数来打开目标进程,并获得进程的句柄。 2. 接下来,需要在目标进程中分配一块内存空间,用于存储DLL的路径和名称。可以使用`VirtualAllocEx`函数在目标进程内部分配内存。 3. 在分配的内存空间中写入DLL的路径和名称。可以使用`WriteProcessMemory`函数将DLL的路径和名称写入到目标进程的内存中。 4. 使用`GetProcAddress`函数获取`LoadLibraryA`函数的地址,该函数用于加载DLL。可以使用`GetModuleHandle`函数获取kernel32.dll的句柄,然后再调用`GetProcAddress`函数来获取`LoadLibraryA`函数的地址。 5. 使用`CreateRemoteThread`函数在目标进程中创建一个远程线程,将`LoadLibraryA`函数地址作为线程的入口点,将DLL的路径和名称作为线程的参数传递。这样,在目标进程中就会自动加载并执行DLL。 完整的代码示例如下: ```c #include <windows.h> int main() { // Step 1: 打开目标进程句柄 HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, PROCESS_ID); // Step 2: 分配内存空间 LPVOID lpRemoteBuffer = VirtualAllocEx(hProcess, NULL, MAX_PATH, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE); // Step 3: 写入DLL路径和名称 char dllPath[] = "C:\\path\\to\\dll.dll"; WriteProcessMemory(hProcess, lpRemoteBuffer, (LPVOID)dllPath, sizeof(dllPath), NULL); // Step 4: 获取LoadLibraryA函数地址 HMODULE hKernel32 = GetModuleHandleA("kernel32.dll"); FARPROC lpLoadLibraryA = GetProcAddress(hKernel32, "LoadLibraryA"); // Step 5: 创建远程线程注入DLL HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)lpLoadLibraryA, lpRemoteBuffer, 0, NULL); // 关闭句柄 CloseHandle(hThread); CloseHandle(hProcess); return 0; } ``` 以上就是使用C语言编写远程线程注入DLL的代码。请注意,使用远程线程注入DLL可能存在一些安全风险,请谨慎使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值