DLL_Main实现对线程启动监控

最新推荐文章于 2024-04-14 12:39:17 发布
最新推荐文章于 2024-04-14 12:39:17 发布
阅读量1k 收藏 1
点赞数
分类专栏: C++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yoie01/article/details/9409207
版权

废话不多直接上代码,懂得自然懂

typedef struct _THREAD_BASIC_INFORMATION {
    NTSTATUS                ExitStatus;
    PVOID                   TebBaseAddress;
    DWORD                   ClientId;
    KAFFINITY               AffinityMask;
    DWORD                   Priority;
    DWORD                   BasePriority;

} THREAD_BASIC_INFORMATION, *PTHREAD_BASIC_INFORMATION;

typedef DWORD (CALLBACK* NTQUERYINFORMATIONTHREAD)(HANDLE,DWORD,PVOID,DWORD,PDWORD);
NTQUERYINFORMATIONTHREAD NtQueryInformationThread=(NTQUERYINFORMATIONTHREAD)GetProcAddress(GetModuleHandle("ntdll.dll"),"NtQueryInformationThread");
PVOID g_ploadlibrary = GetProcAddress(GetModuleHandle("kernel32.dll"),"LoadLibraryW");

BOOL WINAPI DllMain(HMODULE hInstance,DWORD fdwReason,PVOID pvReserved)
{

   if (fdwReason==DLL_THREAD_ATTACH)
   {
	DWORD tid = GetCurrentThreadId();
	HANDLE hThread = OpenThread(THREAD_ALL_ACCESS,FALSE, tid);
	DWORD enter = 0 ;
	PVOID startaddr; 
	if (hThread)
	{		
		THREAD_BASIC_INFORMATION threadBasicInfo;
		NtQueryInformationThread(hThread,9,&startaddr,sizeof(startaddr),NULL);  
		CloseHandle ( hThread ) ;
		/*找到线程 入口 后回溯查询 参数 */
		DWORD _ebp = 0;
		__asm
		{
			mov _ebp,ebp
		}
		while (*(DWORD*)(_ebp) != (DWORD)startaddr)
		{
			_ebp = _ebp + 4; 
		}

		if (startaddr == g_ploadlibrary)
		{
			int nLen  = WideCharToMultiByte( CP_ACP, 0, *(LPCWCHAR*)(_ebp - 12), -1, NULL, 0, NULL, NULL );
			char* pResult = new char[nLen];
			WideCharToMultiByte( CP_ACP, 0, *(LPCWCHAR*)(_ebp - 12), -1, pResult, nLen, NULL, NULL );
			char s[255]={0};
			sprintf_s(s,"入口::%x 模块:%s",(DWORD)startaddr,pResult);
			OutputDebugString(s);
		}
	}	
   }
}


Yoie
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
LoadDLL(1)_dll_
10-03
描述提到的“注入库”是实现这个技术的关键,它通过手动映射DLL、处理导入并调用启动例程来完成。 DLL(动态链接库)是Windows操作系统中一种共享代码的方式,它允许多个应用程序同时使用同一段代码,节省内存资源...
C/C++ 获取线程入口地址模块等
CSDN
07-16 8328
今天检测的特征是向 YY语音 里插入了一段自己的代码(创建了新的线程),而这个新的线程不在原有的模块内,所以思路就是遍历 YY.exe 这个进程中的所有线程,如果这个线程没有对应的模块,那么就说明这个线程是可疑的。大多数恶意代码为了隐藏自己的行踪都会附加到某个进程中,在这个进程内申请一块内存区域来存放它的代码,毕竟隐藏的再好,代码也要有的,不然你让 CPU 运行什么 …
[笔记]Windows核心编程《番外篇》常用的NT API及使用示例
二次元怪兽的博客
05-19 1342
文章目录前言NtQueryInformationProcess函数原型附录用例总结 前言 NTAPI:泛指ntdll.dll模块不对外提供的API接口 一般通过动态载入库的方式(LoadLibrary + GetProcAddress)调用 NtQueryInformationProcess NtQueryInformationProcess NtQueryInformationProcess用法 函数原型 NTSYSCALLAPI NTSTATUS NTAPI NtQueryInformationPro
网络靶场实战-反调试技术(下)
蛇矛实验室
04-14 548
通过检测自身父进程来判定是否被调试,原理非常简单,我们的系统在运行程序的时候,绝大多数应用程序都是由explorer.exe这个父进程派生而来的子进程,也就是说如果没有被调试其得到的父进程就是explorer.exe的进程PID,而如果被调试则该进程的父进程PID就会变成调试器的PID值,通过对父进程的检测即可实现检测是否被调试的功能。需要注意的是,虽然使用 ThreadHideFromDebugger 可以增加程序的安全性,但它并不是绝对的安全措施,因为仍然存在其他方法可以绕过或检测到线程隐藏。
查看进程是否被注入线程(不在系统模块)
henuyl的博客
07-22 1547
有些进程被注入了某些恶意的线程(也可能不是恶意的) 首先我们拿到该进程的进程模块,用来对比进程中线程的模块是否在这里面 把这些模块放入到vector里面 便利该进程的所有线程获取模块的起始地址和大小,很快就可以得到伪装线程。 #pragma region 依赖 typedef enum _THREADINFOCLASS{ ThreadBasicInformation, ThreadTimes, ThreadPriority, ThreadBasePriori..
如何根据线程获取模块信息
weixin_33890526的博客
12-14 1163
在得到线程之后,便可以通过openThread得到HANDLE,之后通过ZwQueryInformationThread获取线程信息。Part1 准备:#include <psapi.h>#include <locale.h>#include <iostream>#pragma comment(lib,"psapi.lib") typed...
3环下进程隐藏------持续隐藏防新开
笔记本
05-23 1021
因为上篇进程隐藏存在这一些缺陷,比如只能对当前打开的任务管理器隐藏,关闭任务管理器重开就无法隐藏了,原因很简单,因为重开的任务管理器并没有被我们Hook,自然无效 Notes: 1.新版进程隐藏致力于解决这个问题 HideProc负责将Dll注入explorer.exe 和已经运行的 taskmgr.exe DLL加入自动识别模块,如果自身被注入到taskmgr.exe则Hook ZwQu...
C#实现鼠标键盘的监控和屏蔽
07-15
总的来说,通过C#调用Windows API,我们可以实现对系统级别鼠标和键盘输入的监控和屏蔽,这为创建各种高级应用程序提供了可能。不过要注意,这种操作涉及系统级别的权限,使用时需谨慎,确保符合隐私政策和法律法规...
DELPHI编写的HOOK API实现DLL全局钩子启动记事本的程序-.rar
08-27
总结来说,这个DELPHI程序利用HOOK API实现DLL全局钩子,从而可以监控并影响其他应用程序的行为,比如启动记事本。这是一个涉及到系统编程、DLL、全局钩子和DELPHI语言综合运用的实例。理解并掌握这些知识点,对于...
Python 多线程读写 OPC DA
08-12
总结起来,这个项目使用Python 3.8.2和win32com库实现了对OPC DA服务器的多线程读写操作,并通过`MqttClient.py`将数据桥接到MQTT服务器,实现了工业控制系统数据的高效传输和远程管理。这样的解决方案在自动化、...
C++ dll注入 程序注入 示例代码
06-10
DLL注入则是将一个DLL文件加载到另一个正在运行的进程上下文中,使得DLL中的代码可以在目标进程中执行,从而实现对目标进程的控制或扩展其功能。 C++ DLL注入通常涉及以下几个步骤: 1. **创建DLL**:编写DLL代码...
DLLDllMain函数中创建线程
bobopeng
07-22 6491
最近在写一个代码的时候想在DLLDllMain
DllMain的执行线程
weixin_33877092的博客
04-18 132
DllMain的执行线程 DllMain()有4个通知: DLL_PROCESS_ATTACH DLL_THREAD_ATTACH DLL_THREAD_DETACH DLL_PROCESS_DETACH 其中:DLL_PROCESS_ATTACH/DLL_PROCESS_DETACH由主线程执行 DLL_THREAD_ATTACH由新建线程执行,DLL_PROCESS_DETACH...
NtQuerySystemInformation判断线程是否被挂起/判断线程状态
killalarm的专栏
09-23 6140
http://www.buguw.com/ntquerysysteminformation%e5%88%a4%e6%96%ad%e7%ba%bf%e7%a8%8b%e6%98%af%e5%90%a6%e8%a2%ab%e6%8c%82%e8%b5%b7%e5%88%a4%e6%96%ad%e7%ba%bf%e7%a8%8b%e7%8a%b6%e6%80%81.html
线程入口地址 类封装
08-13 711
#pragma once typedef LONG NTSTATUS; typedef NTSTATUS(WINAPI *NTQUERYINFORMATIONTHREAD)( HANDLE ThreadHandle, ULONG ThreadInformationClass, PVOID ThreadInformation, ULONG ThreadInformationLength, ...
NtQueryInformationThread 0x9 ThreadQuerySetWin32StartAddress 问题
你连心爱的女人的大便都不敢吃, 还敢说爱她
11-23 1101
根据MSDN If this parameter is the ThreadQuerySetWin32StartAddress value of the THREADINFOCLASS enumeration, the function returns the start address of the thread. Note that on versions of Windows prior t...
利用API NtQueryInformationThread和I_QueryTagInformation实现对Windows日志监控的绕过
weixin_33895016的博客
09-14 1614
本文讲的是利用API NtQueryInformationThread和I_QueryTagInformation实现对Windows日志监控的绕过, 0x00 前言 在上篇文章《渗透技巧——Windows日志的删除与绕过》中提到一个绕过Windows日志监控的思路:使用API NtQueryInformationThread和I_QueryTagIn...
启动流程\chrome\app\chrome_exe_main_win.cc\chrome\app\main_dll_loader.cc\chrome\app\chrome_main.cc\content\app\content_main.cc
最新发布
05-07
启动流程的角度来看,Chrome浏览器的整个启动过程可以概括为以下步骤: 1. 操作系统加载Chrome可执行文件 2. Chrome可执行文件加载主DLL库(main_dll_loader.cc) 3. 主DLL库加载Chrome主函数(chrome_main.cc) 4. Chrome主函数调用浏览器进程(content_main.cc) 5. 浏览器进程启动并初始化 6. 浏览器渲染进程启动并初始化 7. 创建浏览器窗口并显示 在具体实现中,启动流程涉及到多个文件和模块,包括但不限于: 1. chrome_exe_main_win.cc:负责加载Chrome浏览器的主要代码模块 2. main_dll_loader.cc:负责加载Chrome主DLL库,并调用Chrome主函数 3. chrome_main.cc:Chrome浏览器的主函数,负责初始化浏览器进程和渲染进程 4. content_main.cc: 浏览器进程的初始化入口,负责处理浏览器进程的一些全局设置 5. chrome_browser_main_extra_parts_views.cc: 主要用于启动和管理浏览器窗口,在浏览器启动过程中会创建主窗口 下面是Chrome浏览器启动流程的代码实现,以加载Chrome主DLL库为例: ```c++ // Chrome可执行文件加载主DLL库(main_dll_loader.cc) HMODULE main_dll = LoadLibraryExW(kDllName, NULL, LOAD_WITH_ALTERED_SEARCH_PATH); if (!main_dll) { LOG(FATAL) << "Failed to load " << kDllName; } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值