Windows内核Dll注入(一)

已于 2024-06-01 08:22:58 修改
阅读量1.4k 收藏 24
点赞数 14
分类专栏: 云桌面-VDI 终端安全 Windows驱动开发 文章标签: windows 驱动开发 c语言
于 2024-05-31 19:34:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xsinlink/article/details/139360130
版权

文章目录

Windows内核Dll注入

近期在云桌面中遇到许多情况都需要对应用层程序的函数进行HOOK,并需要对函数参数进行各种修改,以便能够在虚拟桌面里面支持一些特性(尤其是一些3D的场景)。对API的HOOK是比较简单的,微软提供了开源的代码就能够实现;因此这里最主要的就是需要对HOOK的进程进行注入,来实现HOOK函数的功能。

在早期开发中,就实现过DLL注入的功能,不过都是基于用户层的注入来实现的,例如有远线程注入,消息钩子注入,用户层OPE注入。本篇中分享的是基于内核的注入技术,其中内核注入主要有:

  • HOOK函数注入。
  • 远程线程注入(使用ZwCreateThreadEx)。
  • OEP注入。
  • APC注入。

下面的文章主要是针对HOOK函数的注入,这个函数是NtTestAlert,接下来分析整个实现过程。

1. NtTestAlert

HOOK注入的第一步是需要找到一个函数,这个函数可以确保所有的进程启动的时候都会被调用,这个函数就是NtTestAlert,如下:

NTSYSAPI 
NTSTATUS
NTAPI
NtTestAlert(
);

该函数的作用是什么呢?我们知道,Windows在从内核切换到用户层的时候,就会判断线程的APC状态标记Thread->ApcState.UserApcPending,如下:

cmp     [ebx+_KTHREAD.___u12.ApcState.UserApcPending], 0

如果Thread->ApcState.UserApcPending为TRUE,那么就会对用户层的APC进行处理,那么什么情况下Thread->ApcState.UserApcPending才会被设置为TRUE呢?两个情况都满足:

  1. 调用Alertable的函数。
  2. 当前线程有用户态APC(一般放入线程APC链表中)。

Alertable的函数有如下:

DWORD SleepEx(
  DWORD dwMilliseconds,
  BOOL  bAlertable
);

DWORD WaitForSingleObjectEx(
  HANDLE hHandle,
  DWORD  dwMilliseconds,
  BOOL   bAlertable
);

这也是很多地方说的,只有在当前线程处于Alertable状态的时候,用户层APC才能被分发。

那么有没有一种办法,不用让线程调用Alertable的函数也能实现APC的分发呢?答案是有的;这个函数就是NtTestAlert,该函数的作用大致可以理解如下:

if ((AlertMode == UserMode) &&
    (IsListEmpty(&Thread->ApcState.ApcListHead[UserMode]) != TRUE)) 
{
   
    Thread->ApcState.UserApcPending = TRUE;
}

主要就是设置Thread->ApcState.UserApcPending = TRUE,让APC可以被调度分发。

在每个线程启动的时候,都会调用NtTestAlert来分发用户层的APC例程,如下:

0:000> k
 # Child-SP          RetAddr               Call Site
00 0000005b`aedef448 00007fff`81703f88     ntdll!NtTestAlert
01 0000005b`aedef450 00007fff`81703ea3     ntdll!_LdrpInitialize+0xac
02 0000005b`aedef4d0 00007fff`81703dce     ntdll!LdrpInitializeInternal+0x6b
03 0000005b`aedef750 00000000`00000000     ntdll!LdrInitializeThunk+0xe

因此我们找到了一个进程(线程)启动一定会调用的函数了。注入的原理就是HOOK该函数,当NtTestAlert被执行的时候,就会跳转到我们HOOK的函数,然后该函数中通过LoadLibrary加载需要注入的Dll。

2. 技术分析

首先我们需要对进程的事件进行监控,记录进程的一些信息,例如:

  • 判断该进程是
最低0.47元/天 解锁文章
内核注入DLL
08-21
采用内核驱动注入方式,在程序启动的时候注入DLL。具体实现采用SSDTHOOk NtCreateProcess NtCreateThread等函数实现,待改进点:SSDT中未导出函数的地址获得方式(或索引获得方式)
内核注入DLL驱动
11-14
采用HOOK SSDT方式,HOOK NtCreateProcess,NtCreateThread等函数,在进程开始时实现注入,可以绕过QQ,360等检查。
N种内核注入DLL的思路及实现
lwglucky的专栏
03-18 7648
内核注入,技术古老但很实用。现在部分RK趋向无进程,玩的是SYS+DLL,有的无文件,全部存在于内存中。可能有部分人会说:“都进内核了.什么不能干?”。是啊,要是内核中可以做包括R3上所有能做的事,软件开发商们也没必要做应用程序了。有时,我们确实需要R3程序去干驱动做起来很困难或者没必要驱动中去做的事,进程 /  DLL是不错的选择,但进程目标太大,所以更多的同学趋向于注DLL。     若
【第38节】windows原理:DLL注入与Hook是什么
最新发布
攻城狮7号的博客
04-05 909
Hook 技术,中文叫钩子技术,本质上是在程序运行过程中,拦截特定事件或函数调用,改变其执行路径,插入自定义代码,来实现特定功能的种编程技术。Hook在程序设计中是种灵活多变的技术手段,它主要用于改变程序原有的执行流程,让程序执行开发者自己定义的代码。在Windows系统下,Hook有两种含义,是系统提供的消息Hook机制,由系列API提供服务,通过这些API可以对大多数应用程序的关键节点进行Hook操作,Windows会为每种Hook类型维护个钩子链表;
内核模式 注入DLL
sgzwiz的专栏
03-03 3538
//用APC实现在内核模式运行用户程序 //昨天晚上弄到1点,总算把这个东西调通了,这个是老技术了,在rootkit上又篇文章讨论过,参考那篇文章我把这个东西弄出来了.代码贴在下面灌水,高手就不用看了...... //=====================================================================================// //N
Kernel_Inject:内核注入DLL
02-15
别问问就是F7 修仙交流(限定筑基期至渡劫期):546110133
ockdieso-nahequdongzhurudll-master.zip_内核注入_注入_驱动 dll注入_驱动 注入dll
07-15
总结来说,内核注入驱动DLL注入是高级的系统编程技术,涉及Windows内核级别的操作。虽然它们在某些情况下用于合法的系统调试和优化,但更多的时候,这些技术被恶意软件开发者利用来进行非法活动。了解并理解这些...
驱动注入DLL指定进程.rar_dll注入_驱动 dll注入_驱动注入_驱动注入dll_驱动进程
07-15
3. **创建内核模式线程**:在驱动程序中创建内核模式线程,该线程负责将DLL注入到用户模式的目标进程中。这是因为驱动程序运行在更高的权限级别,可以访问所有进程,而用户模式程序则受到更多的限制。 4. **...
Windows dll 注入器.zip
12-06
基于 Blackbone 库 - https://github.com/DarthTon/Blackbone特征支持 x86 和 x64 进程和模块内核模式注入功能(需要驱动程序)内核驱动程序手动映射(需要驱动程序)无需代理 dll 即可注入纯托管映像Windows 7 跨...
windows-DLL注入
08-14
DLL注入是指在不修改目标进程的情况下,将DLL加载到目标进程中,使得目标进程能够执行注入DLL中定义的函数。这种技术可以用来监控或改变目标进程的行为,或者提供额外的功能。 **DLL注入的工作原理** DLL...
内核模式的 DLL
Henry_He 的专栏
04-09 7527
Tim Roberts版权所有 (C) 2003,Tim Roberts。保留所有权利Win32 用户模式程序员已经习惯于使用和创建动态链接库,或者叫 DLL,来划分应用或者达到有效的代码重用。典型的应用程序包括许多 DLL,仔细的设计可以使得这些 DLL 能被多次重用。内核驱动程序作者常常不知道也可以在内核模式中正确地使用这概念。标准的 DDK 甚至还带有好几个示例(例如,storage/changers/class)。在本文中,我将演示个可以工作的(尽管微不足道)内核 DLL 的例子。基础从 C 语
【探索底层奥秘】Kernel Inject:轻量级Windows内核注入工具
gitblog_00098的博客
05-27 539
【探索底层奥秘】Kernel Inject:轻量级Windows内核注入工具 去发现同类优质开源项目:https://gitcode.com/ 项目介绍 在深入Windows系统底层开发的探险者中,有款名为Kernel Inject的宝藏工具正等待着有识之士发现。这是款专为Windows x64系统设计的简洁内核注入工具,它不仅能够对原生(native)进程进行注入,同时也支持Wow64(即3...
内核注入
wowbell的专栏
03-02 1528
<br />内核注入,技术古老但很实用。现在部分RK趋向无进程,玩的是SYS+DLL,有的无文件,全部存在于内存中。可能有部分人会说:“都进内核了.什么不能 干?”。是啊,要是内核中可以做包括R3上所有能做的事,软件开发商们也没必要做应用程序了。有时,我们确实需要R3程序去干驱动做起来很困难或者没必要 驱动中去做的事,进程 / DLL是不错的选择,但进程目标太大,所以更多的同学趋向于注DLL。<br /><br /> 若要开发安全软件、小型工具,可借鉴其思路,Anti Rootkits时
Windows内核驱动DLL注入工具 - injdrv使用指南
gitblog_00350的博客
09-07 1042
Windows内核驱动DLL注入工具 - injdrv使用指南 项目地址:https://gitcode.com/gh_mirrors/in/injdrv 项目介绍 injdrv是个基于GitHub的开源项目,由wbenny维护,致力于在Windows操作系统中实现DLL注入功能。此驱动程序利用内核模式下的技术,特别是通过PsSetLoadImageNotifyRoutine回调函数,在进程初始...
内核注入DLL,支持注入PPL
qq_41252520的博客
06-01 374
项目提供的release版本的驱动没有签名,请在调试模式下使用。已在Win7 x32/x64 ~ Win10 x32/x64上测试通过,Win11理论上也是支持的,请自测。Rookit和Anti-Rookit相关的功能。
探秘Windows内核驱动注入:Reflective Kernel Driver Injection
gitblog_00006的博客
05-24 738
探秘Windows内核驱动注入:Reflective Kernel Driver Injection 项目地址:https://gitcode.com/gh_mirrors/re/Reflective-Driver-Loader 1、项目介绍 Reflective Kernel Driver Injection是个创新的内核驱动注入技术,基于Stephen Fewer的Reflective DL...
Windows 远程内核漏洞注入
03-16 6035
Windows 远程内核漏洞注入作者:Barnaby Jack译:北极星2003EMAIL:zhangjingsheng_nbu@yahoo.com.cn说明:只翻译原资料的所有技术相关部分, 忽略了小部分冗余信息。-------------------------------------------------------------------------------------------
驱动开发内核远程线程实现DLL注入
CSDN
06-22 7622
在笔者上篇文章`《驱动开发内核RIP劫持实现DLL注入》`介绍了通过劫持RIP指针控制程序执行流实现插入DLL的目的,本章将继续探索全新的注入方式,通过`NtCreateThreadEx`这个内核函数实现注入DLL的目的,需要注意的是该函数在微软系统中未被导出使用时需要首先得到该函数的入口地址,`NtCreateThreadEx`函数最终会调用`ZwCreateThread`,本章在寻找函数的方式上有所不同,前章通过内存定位的方法得到所需地址,本章则是通过解析导出表实现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值