Dll注入技术之劫持注入

最新推荐文章于 2024-09-13 21:45:32 发布
最新推荐文章于 2024-09-13 21:45:32 发布
阅读量1.8w 收藏 68
点赞数 12
分类专栏: 软件安全 文章标签: dll劫持注入 游戏注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wrsharper/article/details/80846676
版权
本文介绍了DLL劫持注入技术,通过仿造系统LPK.DLL,使应用程序优先加载伪造的DLL,进而实现功能劫持。详细阐述了测试环境、主要思路、关键代码及实际效果,展示了DLL劫持的实现过程。
摘要由CSDN通过智能技术生成

Dll注入技术之劫持注入

测试环境

系统:Windows 7 32bit

工具:FileCleaner2.0 和 lpk.dll

主要思路

利用Window可以先加载当前目录下的dll特性,仿造系统的LPK.DLL,让应用程序先加载我们的伪LPK.DLL,然后在我们的dll中去调用原来系统的原函数.

引用网络中的原理讲解


●背景知识●

首先我们要了解Windows为什么可以DLL劫持呢?主要是因为Windows的资源共享机制。为了尽可能多得安排资源共享,微软建议多个应用程序共享的任何模块应该放在Windows的系统目录中,如kernel32.dll,这样能够方便找到。但是随着时间的推移,安装程序会用旧文件或者未向后兼容的新文件来替换系统目录下的文件,这样会使一些其他的应用程序无法正确执行,因此,微软改变了策略,建议应用程序将所有文件放到自己的目录中去,而不要去碰系统目录下的任何东西。
为了提供这样的功能,在Window2000开始,微软加了一个特性,强制操作系统的加载程序首先从应用程序目录中加载模块,只有当加载程序无法在应用程序目录中找到文件,才搜索其他目录。利用系统的这个特性,就可以使应用程序强制加载我们指定的DLL做一些特殊的工作。
举个例子来说吧,Windows的系统目录下有一个名为LPK.DLL的系统文件,程序运行时会在c:\Windows\system32文件夹下找到这个DLL文件并加载它。如打开记事本程序,用360的进程管理工具可以显示记事本进程加载的所有模块,如图1所示。

图1 记事本加载的所有模块
 

可以看到记事本加载了c:\Windows\system32\LPK.DLL。


●什么是DLL劫持●

根据前面说的Windows资源共享机制,操作系统加载程序首先从应用程序目录中加载模块。这一特性在注册表中也有体现:HKLM\System\CurrentControlSet\Control\Session Manager\SafeDllSearchMode,如果为1,搜索的顺序为:应用程序所在目录->系统目录(用GetSystemDirectory获取)->16位系统目录->Windows目录(用GetWindowsDirectory获取)->运行程序的当前目录->PATH环境变量,如果为0,搜索顺序为:应用程序所在目录->运行程序的当前目录->系统目录(用GetSystemDirectory获取)->16位系统目录->Windows目录(用GetWindowsDirectory获取&

最低0.47元/天 解锁文章
DLL远程线程劫持注入技术解析
m0_38103658的博客
09-23 1103
十大进程注入(一) DLL远程线程劫持注入技术解析 进程注入是一种广泛应用于恶意软件或无文件攻击中的躲避检测的技术。其需要在另一个进程的地址空间内运行特制代码,进程注入改善了不可见性、同时一些技术也实现了持久化。 而所谓的DLL注入是诸多进程注入方法中最常用的技术。恶意软件将恶意的动态链接库的路径写入另一个进程的虚拟地址空间内,通过在目标进程中创建远程线程来确保远程进程加载它。而因为DLL本身是由...
DLL劫持注入技术分析、过各种游戏保护!让你做你爱做的事情!
热门推荐
靠别人不如靠自已。
09-04 1万+
劫持DLL就是要制作一个“假”的DLL,但是功能又不能失真。 可执行文件在调用某函数时,要加载该函数所在的DLL。如果我们伪造一个DLL,让它包含所有被劫持DLL的导出函数。可执行文件会运行加载伪造的DLL,在伪造DLL里面做我们自己想做的事情。     DLL注入DLL劫持的比较: DLL劫持相当于一个定时的炸弹,只等待可执行文件双击运行,拔出导火线,而DLL注入
Xenos: 强大的Windows DLL注入工具
最新发布
gitblog_07281的博客
09-13 396
Xenos: 强大的Windows DLL注入工具 Xenos Windows dll injector 项目地址: https://gitcode.com/gh_mirrors/xe/Xenos ...
DLL劫持注入DLL的一种方法
zhangmiaoping23的专栏
04-13 7080
先转一篇文章:http://hi.baidu.com/e1mer/item/eae9381377ada2f3756a84b8 1.dll劫持,粗略整理了下,可以劫持dll有(持续更新): lpk.dll、usp10.dllmsimg32.dll、midimap.dll、ksuser.dll、comres.dll、ddraw.dll 以lpk为例,在win7下由于lpk被加入K
劫持DLL自动注入(delphi)
weixin_65409651的博客
05-22 511
用代码解析劫持dll自动注入的原理.可hook,编写外挂,木马,游戏MOD,破解补丁等用处.
DLL另類劫持注入
weixin_30420305的博客
01-08 178
1 // Win32Project2.cpp : 定义 DLL 应用程序的导出函数。 2 // 3 /////////////////////////////////////////////////////////////////////////////////////////////////////// 4 /* 5 6 ...
深入理解反射式dll注入技术
m0_67698950的博客
06-22 1559
前言dll 注入技术是让某个进程主动加载指定的 dll技术。恶意软件为了提高隐蔽性,通常会使用 dll 注入技术将自身的恶意代码以 dll 的形式注入高可信进程。常规的 dll 注入技术使用 LoadLibraryA() 函数来使被注入进程加载指定的 dll。常规dll注入的方式一个致命的缺陷是需要恶意的 dll 以文件的形式存储在受害者主机上。这样使得常规 dll 注入技术在受害者主机上留下痕迹较大,很容易被 edr 等安全产品检测到。为了弥补这个缺陷,stephen fewer 提出了反射式 dll
易语言源码易语言DLL注入工具源码.rar
02-17
易语言源码易语言DLL注入工具源码.rar 易语言源码易语言DLL注入工具源码.rar 易语言源码易语言DLL注入工具源码.rar 易语言源码易语言DLL注入工具源码.rar 易语言源码易语言DLL注入工具源码.rar 易语言源码...
教你如何卸载被注入到进程中的dll
04-04
标题中提到的"RemoteDLL dllinject"可能是某种工具或技术,用于远程进行DLL注入。在处理这种情况时,首要任务是识别哪些进程被注入DLL。可以使用Windows的任务管理器查看正在运行的进程,或者使用更高级的工具,如...
DLL劫持注入
weixin_30745641的博客
07-21 170
#include <Windows.h> #define HIJCAKDLLNAME "hijack.dll"HMODULE g_hModule = NULL; // 原始模块句柄 // 获取EXE的名称void GetExePath(char* pExePath) { int pathlen = GetModuleFileName(NULL, pExePath, M...
013-【直播】劫持注入(郁金香).c
05-14
d3d9劫持dll 示例代码 //保持原来d3d9.dll的功能 UINT_PTR g_Call14[15]={0}; void InitCall14() { LoadLibraryA("MyGame"); HMODULE hdll=LoadLibraryA("c:\\windows\\syswow64\\d3d9.dll"); //DWORD 地址=GetProcAddress(LoadLibraryA("d3d9.dll"),2); //PSGPError for(int i=1;i<=14;i++) { g_Call14[i]=(UINT_PTR)GetProcAddress(hdll,(char*)i); } return; } //1 __declspec(naked) void Direct3DShaderValidatorCreate9() { //跳转到 原来d3d9.dll Direct3DShaderValidatorCreate9 _asm jmp dword ptr [g_Call14+1*4] ; } //2 __declspec(naked) void PSGPError() { _asm jmp dword ptr [g_Call14+2*4] }
version.dll 劫持源代码
01-08
version.dll 劫持源码,亲自实测可用。VC++可以编译成功
用户层注入:(3)DLL劫持注入
weixin_43972499的博客
03-13 1201
目录基本概念注入原理函数转发函数调用局限性 基本概念   Windows的应用程序在加载进程所需的动态库时,会根据导入表一一加载。但是,我们的导入表中只保存有动态库的名称,系统如何知道这个动态库的完整路径并将其加载呢?   其实,在加载动态库时,系统会按照一定的顺序搜索各个目录来寻找指定的Dll文件。一般搜索顺序为: 应用程序所在目录-->系统目录-->16位系统目录-->Windows目录-->运行程序的当前目录-->PATH环境变量。   这还与注册表项HKLM\Syst
DLL注入DLL劫持注入
qq_43082315的博客
10-08 3262
DLL注入DLL劫持注入都可以让游戏运行我们编写的DLL
DLL注入技术劫持进程创建注入
潜心学习
06-28 2248
正规主题 作者: xusir98 日期: 2013-06-03 来源: 黑客反病毒 (http://bbs.hackav.com) 出处: 黑客反病毒 (http://bbs.hackav.com) 注意: 转载请务必附带本组信息,否则侵权必究! DLL注入技术劫持进程创建注
利用DLL劫持内存补丁技术注入
fun0526的专栏
08-03 3984
<br />    当一个可执行文件运行时,Windows加载器将可执行模块映射到进程的地址空间中,加载器分<br /><br />析可执行模块的输入表,并设法找出任何需要的DLL,并将它们映射到进程的地址空间中。<br /><br />由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会<br /><br />尝试从当前程序所在的目录加载DLL,如果没找到,则在Windows系统目录查找,最后是在环境变<br /><br />量中列出的各个目录下查找。利用这个特点,先
Windows Ring3层注入——LSP劫持注入(SPI网络过滤器注入)(八)
weixin_41454036的博客
10-13 1211
https://blog.csdn.net/qq_38493448/article/details/104007711?utm_medium=distribute.pc_feed_404.none-task-blog-searchFromBaidu-8.nonecase&depth_1-utm_source=distribute.pc_feed_404.none-task-blog-searchFromBaidu-8.nonecas Windows Ring3层注入——LSP劫持注入(SPI网络过滤
【漏洞挖掘】——47、 DLL劫持注入浅析
Fly_鹏程万里
06-07 118
基本介绍DLL(Dynamic Link Library,动态链接库)文件是一种包含可重用代码、数据和资源的可执行文件格式,在Windows下许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库(DLL文件)放置于系统中,当我们执行某一个程序时,相应的DLL文件就会被调用,一个应用程序可使用多个DLL文件,一个DLL文件也可能被不同的应用程序使用,这样的DLL文件被称为共享DLL文件文件加载。
进程启动时注入dll 劫持注入
10-11
进程启动时注入DLL,可以理解为在进程运行之前,将一个动态链接库(DLL)加载到进程的地址空间中。而劫持注入是指通过某种手段修改目标进程的执行流程,使其在执行过程中引用我们注入DLL文件。 进程启动时注入DLL的目的有很多,其中常见的是为了实现一些特定功能或者修改进程的行为。比如,我们可以通过注入DLL来监控进程的行为,记录某些关键信息;也可以用它来实现一些自定义的功能扩展,比如改变进程的界面样式或者增加一些自定义的快捷键等。 至于劫持注入,它是向一个正在运行的进程中注入DLL,并修改目标进程的执行流程,使其在执行过程中跳转到我们注入DLL中执行特定的代码。这样做的目的通常是为了修改或者控制目标进程的行为,比如实现自定义的功能扩展、屏蔽某些功能或者增加一些额外的功能等。 然而,需要注意的是,进程启动时注入DLL劫持注入都是一种高级的技术手段,它们可以为我们提供很多便利,但同时也存在一些潜在的风险。比如,恶意代码可以通过注入DLL来实现攻击目标进程的目的,从而造成计算机系统的安全问题。因此,在进行进程启动时注入DLL劫持注入时,我们应该谨慎操作,并确保注入DLL文件是受信任的,以保证计算机系统的安全性。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值