实现DLL的注入与卸载

最新推荐文章于 2024-05-31 19:34:41 发布
最新推荐文章于 2024-05-31 19:34:41 发布
阅读量9.4k 收藏 12
点赞数 2
分类专栏: C++ windows MFC Windows九阳神功
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzxq123/article/details/51418352
版权
C++ 同时被 3 个专栏收录
37 篇文章 1 订阅
订阅专栏
windows
20 篇文章 1 订阅
订阅专栏
MFC
17 篇文章 1 订阅
订阅专栏

在Windows系统下,为了避免各个进程相互影响,每个进程的地址空间都是被隔离的。在执行DLL注入时需要通过创建“远程线程”来实现。所谓“远程线程”,并不是跨计算机,而是跨进程的。简而言之,就是进程A在进程B中创建一个线程,这个线程就叫“远程线程”。

要向其它进程中“注入”DLL就需要在目标进程中调用相应的API函数(LoadLibrary),可是目标进程不会自己“乖乖地”调用加载函数,这时候要怎么办呢?有一个API可以帮我们强制让某个进程加载DLL文件到它的地址空间中,这个手段就是利用远程线程。

该函数的原型如下:

HANDLE CreateRemoteThread(
     HANDLE hProcess,
     LPSECURITY_ATTRIBUTES lpThreadAttributes,
     SIZE_T dwStackSize,
     LPTHREAD_START_ROUTINE lpStartAddress,
     LPVOID lpParameter,
     DWORD dwCreationFlags,
     LPDWORD lpThreadId
);

参数说明:

hProcess:目标进程的句柄
lpThreadAttributes:指向线程的安全描述结构体的指针,一般设置为NULL,表示使用默认的安全级别
dwStackSize:线程堆栈大小,一般设置为0,表示使用默认的大小,一般为1M
lpStartAddress:线程函数的地址
lpParameter:线程参数
dwCreationFlags:线程的创建方式
                 CREATE_SUSPENDED 线程以挂起方式创建
lpThreadId:输出参数,记录创建的远程线程的ID

我们知道,每个进程的地址空间是隔离的,那么新创建的线程函数的地址也应该在目标进程中,而不应该在调用CreateRemoteThread函数的进程中。同理,传递给新创建线程的参数也应该在目标进程中。鉴于此,我们可以把LoadLibrary()函数作为线程函数创建到指定的进程中,而将要加载的DLL的完整路径作为线程参数。

那么如何将LoadLibrary()函数的地址放到目标进程的空间中。LoadLibrary()函数是系统中的Kernel32.dll的导出函数,Kernel32.dll在任何进程中加载的位置都是相同的,也就是说LoadLibrary()函数的地址在任何进程中也相同!所以,CreateRemoteThread函数直接传递本进程中的LoadLibrary()函数地址即可。

下一步就是将要加载的DLL文件的完整路径写入目标进程中。这里需要用到以下函数:

BOOL WriteProcessMemory(
HANDLE hProcess,
LPVOID lpBaseAddress,
LPVOID lpBuffer,
DWORD nSize,
LPDWORD lpNumberOfBytesWritten
);

参数说明:

hProcess:指定目标进程的句柄

lpBaseAddress:要写的内存首地址

lpBuffer:要写入目标进程内存的缓冲区起始地址

nSize:指定写入目标进程内存中的缓冲区的长度

lpNumberOfBytesWritten:接收实际写入内存的长度

要在目标进程中写入数据,首先要有可以写入的内存。对于目标进程是不会事先准备好等着我们的,所以需要自己在目标进程中申请一块内存,然后把dll的路径写入。在目标进程中申请内存,我们可以调用以下函数:

LPVOID VirtualAllocEx(
HANDLE hProcess,
LPVOID lpAddress,
SIZE_T dwSize,
DWORD flAllocationType,
DWORD flProtect
);

hProcess:指定目标进程句柄

lpAddress:在目标进程中申请内存的起始地址

dwSize:目标进程中申请内存的长度

flAllocationType:指定申请内存的状态类型

flProtect:指定申请内存的属性

到此主要的API函数和编程逻辑已经介绍完了,下面是一个简单的例子。

新建一个基于对话框的MFC项目,界面如下:


下面列出了几个关键函数的实现:

voidCDLLDlg::OnBtnInject()
{
 
      char szDllName[MAX_PATH] = {0};
      char szProcessName[MAX_PATH] = {0};
      DWORD dwPid = 0;
 
      GetDlgItemText(IDC_EDIT_DLLFILE,szDllName, MAX_PATH);
      GetDlgItemText(IDC_EDIT_PROCESSNAME,szProcessName, MAX_PATH);
 
      //MessageBox(szDllName);
      //MessageBox(szProcessName);
 
      //由进程名获得pid
      dwPid = GetProcId(szProcessName);
      /*
      if(dwPid == 0)
      {
           MessageBox("Error to getpid!");
      }
      */
      //注入szDllName到dwPid
      InjectDll(dwPid, szDllName);
 
}

DWORDCDLLDlg::GetProcId(char *szProcessName)
{
      BOOL bRet;
      PROCESSENTRY32 pe32;
      HANDLE hSnap;
 
      hSnap =CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, NULL);
      pe32.dwSize = sizeof(pe32);
      bRet = Process32First(hSnap, &pe32);
 
      while(bRet)
      {
           //strupr()函数是将字符转化为大写
           if(lstrcmp(strupr(pe32.szExeFile),strupr(szProcessName)) == 0)
           {
                 return pe32.th32ProcessID;
           }
 
           bRet = Process32Next(hSnap,&pe32);
      }
 
      return 0;
}

VOIDCDLLDlg::InjectDll(DWORD dwPid, char *szDllName)
{
      if(dwPid == 0 || lstrlen(szDllName) == 0)
      {
           return;
      }
 
      char *pFunName = "LoadLibraryA";
 
      //打开目标进程
      HANDLE hProcess =OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPid);
 
      if(hProcess == NULL)
      {
           return;
      }
 
      //计算欲注入DLL文件完整路径的长度
      int nDllLen = lstrlen(szDllName) +sizeof(char);
 
      //在目标进程申请一块长度为nDllLen大小的内存空间
      PVOID pDllAddr = VirtualAllocEx(hProcess,NULL, nDllLen, MEM_COMMIT, PAGE_READWRITE);
 
      if(pDllAddr == NULL)
      {
           CloseHandle(hProcess);
           return;
      }
 
      DWORD dwWriteNum = 0;
 
      //将欲注入DLL文件的完整路径写入目标进程中申请的空间内
      WriteProcessMemory(hProcess, pDllAddr,szDllName, nDllLen, &dwWriteNum);
 
      //获得LoadLibraryA()函数的地址
      FARPROC pFunAddr =GetProcAddress(GetModuleHandle("kernel32.dll"), pFunName);
 
      //创建远程线程
      HANDLE hThread =CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pFunAddr,pDllAddr, 0, NULL);
      WaitForSingleObject(hThread, INFINITE);
 
      CloseHandle(hThread);
      CloseHandle(hProcess);
}

voidCDLLDlg::OnBtnUninject()
{
 
      char szDllName[MAX_PATH] = {0};
      char szProcessName[MAX_PATH] = {0};
      DWORD dwPid = 0;
 
      GetDlgItemText(IDC_EDIT_DLLFILE,szDllName, MAX_PATH);
      GetDlgItemText(IDC_EDIT_PROCESSNAME,szProcessName, MAX_PATH);
 
      //由进程名获得pid
      dwPid = GetProcId(szProcessName);
 
      //注入szDllName到dwPid
      UninjectDll(dwPid, szDllName);
}

voidCDLLDlg::UninjectDll(DWORD dwPid, char *szDllName)
{
      if(dwPid == 0 || lstrlen(szDllName) == 0)
      {
           return;
      }
 
      HANDLE hSnap =CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwPid);
 
      MODULEENTRY32 me32;
      me32.dwSize = sizeof(me32);
 
      //查找匹配的进程名称
      BOOL bRet = Module32First(hSnap,&me32);
      while(bRet)
      {
           if(lstrcmp(strupr(me32.szExePath),strupr(szDllName)) == 0)
           {
                 break;
           }
           bRet = Module32Next(hSnap,&me32);
      }
 
      CloseHandle(hSnap);
 
      char *pFunName = "FreeLibrary";
 
      HANDLE hProcess =OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPid);
 
      if(hProcess == NULL)
      {
           return;
      }
 
      FARPROC pFunAddr =GetProcAddress(GetModuleHandle("kernel32.dll"), pFunName);
 
      HANDLE hThread =CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pFunAddr,me32.hModule, 0, NULL);
 
      WaitForSingleObject(hThread, INFINITE);
 
      CloseHandle(hThread);
      CloseHandle(hProcess);
}


运行该项目可以看到效果。

填写正确的dll路径和目标进程,点击“注入”按钮:



点击“卸载”按钮:



写到这里已经感觉手有点酸酸的了。

获得源码:

http://pan.baidu.com/s/1bHCLcy



尚书左仆射
关注
  • 2
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
DLL的远程注入卸载技术详解
lithe的Blog
10-14 3487
 DLL的远程注入技术是目前Win32病毒广泛使用的一种技术。使用这种技术的病毒体通常位于一个DLL中,在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)中运行。这样一来,普通的进程管理器就很难发现这种病毒了,而且即使发现了也很难清除,因为只要病毒寄生的进程不终止运行,那么这个DLL就不会在内存中卸载,用户也就无法在资源管理器中删除这个DLL文件,真可谓
进程DLL注入
zhihu008的专栏
01-28 1594
进程DLL注入 1、为什么要进行进程注入:到了WinNT以后的系列操作系统中,每个进程都有自己的4GB私有进程地址空间,彼此互不相关。进程A中的一个地址,比如:0x12345678,到了进程B中的相同地方,存的东西完全不一样,或者说不可预料。所以说如果进程A想要看看或者修改进程B地址空间中的内容,就必须深入到其地址空间中,因为DLL是可以被加载到任何进程当中的,所以在进程注入中,DLL应该是主角
DLL远程注入卸载
benny5609的专栏
09-16 1185
以下提供两个函数,分别用于向其它进程注入卸载指定DLL模块。支持Unicode编码。  #include #include #include /************************************************************************************************************ * 函 数 名:Inje
Windows内核Dll注入(一)
最新发布
xsinlink的博客
05-31 864
近期在云桌面中遇到许多情况都需要对应用层程序的函数进行HOOK,并需要对函数参数进行各种修改,以便能够在虚拟桌面里面支持一些特性(尤其是一些3D的场景)。因此这里最主要的就是需要对HOOK的进程进行注入,来实现HOOK函数的功能。在早期开发中,就实现DLL注入的功能,不过都是基于用户层的注入实现的,例如有远线程注入,消息钩子注入,用户层OPE注入。HOOK注入的第一步是需要找到一个函数,这个函数可以确保所有的进程启动的时候都会被调用,这个函数就是。下面的文章主要是针对HOOK函数的注入,这个函数是。
DLL的远程注入与远程卸载卸载
qq_40535097的博客
05-19 1963
DLL的远程注入与远程卸载卸载 涉及Windows API FindWindow GetWindowThreadProcessId OpenProcess VirtualAlloc WriteProcessMemory CreateRemoteThread WaitForSingleObject 有时候修改目标程序,如制作插件,补丁,外挂等,需要使用到DLL注入的操作,注入的方式主要有远程注入、劫持注入、HOOK方式、内存注入等,这里主要说一下远程注入以及远程卸载 远程注入 什么是远程注入: 远程注入
DLL注入卸载(用于hook api)
Yvan Jiang的专栏
08-04 1271
DLL注入卸载 代码参考网上,最后做个小工具可以加载dll注入到目标进程 1、判断系统版本,winxp win7 win vista win10 DWORD checkOS() { OSVERSIONINFO os_version; os_version.dwOSVersionInfoSize = sizeof(os_version); if (GetVersionEx(&os_version)) { if (os_version.dwMajorVersion == 5) {
dll注入卸载.rar
07-25
本文将深入探讨DLL注入卸载的基本原理,以及在C++环境中,特别是MFC(Microsoft Foundation Classes)框架下的实现方法。 DLL注入通常指的是将一个DLL文件的代码注入到另一个正在运行的进程中,使其可以在目标...
DLL注入卸载
05-22
下面将详细介绍DLL注入卸载的基本概念、原理及其实现方法。 ### DLL注入 DLL注入是指将一个动态链接库的实例加载到另一个正在运行的进程的地址空间中,使得目标进程能够调用DLL中定义的函数。这在很多场景下都有...
Qt:Windows编程—DLL注入卸载 示例demo
01-27
下面将详细介绍DLL注入卸载的基本原理,以及如何在Qt环境中实现这些操作。 首先,理解DLL注入的原理。DLL注入通常是通过将DLL加载到另一个进程的地址空间来实现的。这可以通过几种方法完成,包括SetWindowsHookEx...
Dll注入卸载源码
06-14
提供的压缩包文件"sss"可能包含了实现DLL注入卸载的源代码,可以通过分析这些代码来深入理解上述技术的工作原理,并学习如何在实际项目中应用。在使用这些源代码时,要注意代码质量、安全性和兼容性问题,同时,...
注入任何进程DLL
05-25
注入任何进程DLL源码,易语言开源!需要的小伙伴自行下载学习!
SetWindowsHookEx进程dll注入
10-01
SetWindowsHookEx进程dll注入
C++进程注入(使用DLL
09-16
C++进程注入(使用DLL)VS2008通过测试 解决方案中有三个项目: helloword:是用来生成DLL 调用DLL:是说明动态链接库和静态链接库的方法 DLL注入:使用生成的DLL注入进程
C#中加载和卸载DLL
11-01
如题如题如题如题如题如题如题如题如题如题如题如题
远程DLL注入卸载
新博客:https://aping-dev.com/
01-04 2045
Dll注入//dwPid 为目标进程PID //szDllName 为要注入DLL文件 void CDllManageDlg::InjectDll(DWORD dwPid, CString szDllName) { if(dwPid == 0 || strlen(szDllName) == 0) return; HANDLE hProcess = OpenProces
DLL挂接到远程进程之中(远程注入
vcforever的专栏
03-15 8909
在上一篇文章《线程的远程注入》中介绍了如何让其他的进程中执行自己的代码的一种方法 及自己定义一个线程,在线程体中编写执行代码,然后使用VirtualAllocEx函数为线程体以 及线程中用到的字符常量和调用的MessageBox入口函数地址,在目标进程中开辟存储区,然 后再通过WriteProcessMemory函数,将这些数据写入目标进程的地址空间中。最后通过 CreateRemoteThrea
C# 调用 C++ 写的Dll 遇到的问题(调用DLL 自动退出)
feiyang094的专栏
08-05 7586
1 回调函数正确调用一次之后,程序自动 在回调函数前面加     [UnmanagedFunctionPointer(CallingConvention.Cdecl)] 进行修饰 如下所示:   [UnmanagedFunctionPointer(CallingConvention.Cdecl)]  public delegate void RecivecallBack(IntPtr
注入dll到一个进程里面
liujiayu2的专栏
08-16 725
下面代码亲测没有问题:// Injector.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include int _tmain(int argc, _TCHAR* argv[]) { //获得被插进程的绝对路径 char IePath[MAX_PATH] = "c:\\1.exe"; char DllFullPath[MAX_PATH]
DLL注入钩子函数实现
05-21
DLL注入是指在目标进程中加载一个外部的DLL文件,并且在目标进程的地址空间中执行该DLL中的函数。在进行DLL注入时,我们可以利用钩子函数技术来实现一些特殊的功能。 下面是一个简单的DLL注入钩子函数的实现过程: 1. 定义一个全局的钩子函数: ```c++ LRESULT CALLBACK HookProc(int nCode, WPARAM wParam, LPARAM lParam) { if (nCode < 0) { return CallNextHookEx(NULL, nCode, wParam, lParam); } // 进行一些特殊的处理 return CallNextHookEx(NULL, nCode, wParam, lParam); } ``` 2. 在DLL的入口函数中,使用SetWindowsHookEx函数安装钩子函数: ```c++ // 安装钩子函数 HHOOK hHook = SetWindowsHookEx(WH_CALLWNDPROC, HookProc, hDll, 0); if (hHook == NULL) { // 处理错误信息 } // 进行消息循环 MSG msg; while (GetMessage(&msg, NULL, 0, 0) > 0) { TranslateMessage(&msg); DispatchMessage(&msg); } // 卸载钩子函数 UnhookWindowsHookEx(hHook); ``` 3. 在目标进程中,调用LoadLibrary函数加载DLL文件: ```c++ // 加载DLL文件 HMODULE hDll = LoadLibrary(L"path/to/DLL"); if (hDll == NULL) { // 处理错误信息 } ``` 通过以上步骤,我们可以在目标进程中成功注入一个DLL,并且在其中安装一个钩子函数。在钩子函数中,我们可以进行一些特殊的处理,例如记录键盘输入、拦截鼠标消息等等。需要注意的是,钩子函数的处理需要尽可能地简洁和高效,以避免对目标进程造成不必要的影响。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值