Dll注入技术之驱动注入

最新推荐文章于 2024-01-24 16:10:00 发布
最新推荐文章于 2024-01-24 16:10:00 发布
阅读量1.5w 收藏 63
点赞数 12
分类专栏: 软件安全 系统安全 C/C++ 文章标签: 驱动注入 Dll注入 APC注入 内核注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wrsharper/article/details/85792255
版权

Dll注入技术之驱动注入

0x0 技术简介

实现环境

系统:Windows 7 64bit

工具:VS+WDK

驱动注入

我这里驱动注入的技术是:采用驱动向目标进程插入APC执行LdrLoadDll函数加载Dll模块。

可以注入64位Dll到64位进程或注入32位Dll到32位进程。暂时没有实现跨位数。

APC(异步过程调用)是一种内核机制,它提供了一种在特定线程上下文中执行定制例程的方法。一旦被分派,APC将异步转移目标线程的执行流以调用所选的例程。

apc可分为两大类:

1. 内核模式`APCs: APC`例程最终将执行内核模式代码。这些被进一步分为特殊的内核模式的apc和普通的内核模式的apc,但是我们不会详细讨论 [它们之间的细微差别]

2. 用户模式`APCs: APC`例程最终将执行用户模式代码。只有当拥有apc的线程变得可警报时,才会发出用户模式apc。这是我们将在本节其余部分中讨论的APC类型。

apc主要用于系统级组件,用于执行各种任务(例如促进I/O完成),但也可以用于DLL注入目的。从安全产品的角度来看,内核空间的APC注入提供了一种方便可靠的方法,可以确保特定模块被加载到(几乎)整个系统所需的每个进程中。

0x1 主要思路

R3:加载驱动,打开驱动,控制驱动(发送需要注入的进程Pid和要注入的Dll模块路径给驱动)。

R0:1,通过进程Pid获取EProcess并判断是否为64位进程。

        2,附加到目标进程获取其ntdll.dll模块基址及模块中LdrLoadDll函数地址

        3,初始化ShellCode,赋值其中的参数和函数地址,申请空间拷贝代码

        4,执行ShellCode,查找可用线程插入执行代码APC,插入警醒线程APC

0x2 主要代码

整体流程部分

初始化ShellCode

查找执行线程

插入APC代码部分

0x3 实现效果

注入x64dll到X64进程

注入x86dll到wow64进程

HadesW_W
关注
  • 12
    点赞
  • 63
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
驱动级进程保护 隐藏 注入
08-04
驱动级进程保护 隐藏 注入 W7 W8 W10 32 64位都支持 不蓝屏
DLL远程线程注入技术
ylh的博客
11-10 523
简而言之就是将一个不属于某进程的DLL文件加载到该进程当中。CreateRemoteThread :创建进程的一个虚拟线程。VirtualAllocEx:在指定的进程中分配虚拟内存空间。WriteProcessMemory: 往指定的进程写入内存。VirtualFreeEx : 释放开辟的虚拟内存。OpenProcess : 根据进程ID,打开进程句柄。Dll注入初衷是给第三方的应用程序进行一个。我们让它弹出一个框。
TLS 回调中挂钩 LdrLoadDll 实现监视模块加载过程
最新发布
溡漪幽博客
01-24 989
通过 TLS 回调机制可以实现很多功能,本文简单地从挂钩 LdrLoadDll 函数说起,通过利用 TLS 回调比程序入口代码执行更早的特性,实现监视程序执行期间所有模块加载过程。TLS 全称为 Thread Local Storage,是 Windows 为解决一个进程中多个线程同时访问全局变量而提供的机制。TLS 可以简单地由操作系统代为完成整个互斥过程,也可以由用户自己编写控制信号量的函数。
网络靶场实战-免杀技术dll注入技术详解
蛇矛实验室
12-19 1073
对于 Windows 操作系统,操作系统的大部分功能都是由 DLL 提供的。此外,当您在这些 Windows 操作系统上运行程序时,该程序的大部分功能可能由 DLL 提供。例如,一些程序可能包含许多不同的模块,程序的每个模块都包含在DLL中并分布在DLL中。DLL 的使用有助于促进代码的模块化、代码重用、有效的内存使用和减少磁盘空间。因此,操作系统和程序加载速度更快,运行速度更快,并且在计算机上占用的磁盘空间更少。当程序使用 DLL 时,称为依赖性的问题可能会导致程序无法运行。
实战dll注入(原理, 踩坑及排雷)
Niatruc的博客
08-22 3612
使用vs2019编写注入器程序, 在生成的注入器可用前, 踩了不少坑, 因此记录一下.
ESXI 驱动注入
vistaup的博客
12-22 6838
现在做 ALL IN ONE 的越来越多,ESXI 用的也多起来了 但是 ESXI 原生支持的网卡不多,经常需要注入驱动才能运行,不然只能看着No Network adapters were detected 兴叹了。 一、在线注入 参考文章:ESXi安装报错,No network adapters were detected... - Sunzz - 博客园 安装VMware PowerCLI ...
驱动注入DLL指定进程.rar_dll注入_驱动 dll注入_驱动注入_驱动注入dll_驱动进程
07-15
非常稳定的驱动注入Dll到进程的程序,功能强大,兼容性强。
驱动无模块注入dll
鬼手的博客
12-10 8568
Windows驱动无模块注入姿势全解 包含三环和零环的多种注入方式
X86软件逆向分析实战(一)
10-21
对于那些“不听话”的软件,怎么办?你是想忍声吞气凑合着用?还是想“修理”一顿,让它乖乖地按照你的意思办?本课程教你“驯服”那些你看中的软件! 掌握这个技能,无论它是什么软件,只能乖乖按你的意思办! 课程内容会涉及到与X86软件逆向分析相关的各种杂项与细节实现,其中涵盖OD、CE、IDA、WinAPI、Visual Studio 2019、易语言、C/C++、C#、汇编等使用技巧与编程技巧。若你是编程初学者,认真学习本课程后,你的能力将会有极大的提升。若你是编程大佬,建议勿跳过每一节课,一定会有所收获!
驱动开发:内核LoadLibrary实现DLL注入
CSDN
06-13 9578
远程线程注入是最常用的一种注入技术,在应用层注入是通过`CreateRemoteThread`这个函数实现的,该函数通过创建线程并调用 `LoadLibrary` 动态载入指定的DLL来实现注入,而在内核层同样存在一个类似的内核函数`RtlCreateUserThread`,但需要注意的是此函数未被公开,`RtlCreateUserThread`其实是对`NtCreateThreadEx`的包装,但最终会调用`ZwCreateThread`来实现注入,`RtlCreateUserThread`是`Creat
驱动开发:内核ShellCode线程注入
CSDN
06-14 7518
还记得`《驱动开发:内核LoadLibrary实现DLL注入》`中所使用的注入技术吗,我们通过`RtlCreateUserThread`函数调用实现了注入DLL到应用层并执行,本章将继续探索一个简单的问题,如何注入`ShellCode`代码实现反弹Shell,这里需要注意一般情况下`RtlCreateUserThread`需要传入两个最重要的参数,一个是`StartAddress`开始执行的内存块,另一个是`StartParameter`传入内存块的变量列表,而如果将`StartParameter`地址填充
驱动DLL注入源码
12-23
驱动DLL注入源码 没有什么好说的 ,超级强的源码
驱动DLL注入
07-13
工具精选中的极品,很好用的驱动,能注入许多驱动层的软件,如果你遇到有保护的了,可以尝试一下用本工具注入
DLL注入与隐藏.zip
03-11
很多被Tx保护的进程被注入DLL后可以在进程里检测到,我们要做的就是注入完成把DLL文件给隐藏掉 从而实现躲避检测的效果,具体可以自己实践一下, 模块功能由 某论坛VIP模块中反编译的一部分功能,非常实用。...
驱动注入dll demo,源码未传
10-27
行为监控最好的方式是远程注入dll,应用层设置的...本demo是在驱动层,进程创建完毕还未执行主线程时,即注入dll,对系统进程、普通进程等注入都有效,不会遗漏行为监控,支持从xp到win10各个版本的32位和64位系统。
易语言DLL注入模块含
08-21
DLL注入模块含源码系统结构:注入DLL,卸载DLL,提取错误标题,提取错误信息,提取错误代码,UnHookDLL,OpenProcess,VirtualAllocEx,CloseHandle,WriteProcessMemory,VirtualFreeEx,GetModuleHandle,GetProcAddress,...
Dll注入技术之劫持注入
热门推荐
Hades的博客
06-28 1万+
Dll注入技术之劫持注入测试环境系统:Windows 7 32bit工具:FileCleaner2.0 和 lpk.dll主要思路利用Window可以先加载当前目录下的dll特性,仿造系统的LPK.DLL,让应用程序先加载我们的伪LPK.DLL,然后在我们的dll中去调用原来系统的原函数.引用网络中的原理讲解●背景知识●首先我们要了解Windows为什么可以DLL劫持呢?主要是因为Windows的...
病毒分析之“驱动人生”挖矿木马分析及其清除方案
Hades的博客
11-01 1万+
驱动人生”挖矿木马分析及其清除方案 0x00 概述 自2018年12月份”驱动人生“挖矿木马爆发以来,此木马一直处于活跃状态,更新版本更是达到了20+次。此木马感染量之大,传播速度之快,可称得上是国内挖矿排行”第一“的木马。 从最开始的有文件落地的单独可执行EXE,到后来的python版EXE,再到随机膨胀文件版本,再到后来的PowerShell无文件攻击版本。从单一攻击手法,到后来的漏洞...
驱动注入dll createprocess
12-17
驱动注入DLL createprocess是一种技术,它可以实现将动态链接库(DLL注入到另一个进程中,并在该进程中创建新的进程。这种技术通常被用于实现对目标进程进行功能增强、监控或者控制。 驱动注入DLL createprocess...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值