DLL注入相关

最新推荐文章于 2021-07-01 16:41:44 发布
最新推荐文章于 2021-07-01 16:41:44 发布
阅读量548 收藏 1
点赞数 1
分类专栏: 驱动开发 内核 注入 Hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youyou519/article/details/90734113
版权
内核 同时被 3 个专栏收录
85 篇文章 6 订阅
订阅专栏
驱动开发
83 篇文章 9 订阅
订阅专栏
Hook
11 篇文章 1 订阅
订阅专栏

DLL是通过问卷映射实现,只占一个内存空间,每个DLL收到一份映像,DLL被加载之后系统页面文件明显变大,内存使用明显变大。

DLL引用分显示隐式

如果有lib+dll+头文件 

则:建工程的时候选择导出符号

#pragma comment(lib, “libname.lib”)
#include “libname.h”
func();

只有DLL文件  LoadLibrary GetProcAddress

因为在C++中有函数重整,(函数名会被自动改变),我们需要在DLL中,在函数前加上 extern "C"

DLL劫持

就是Loadlibrary写相对路径,Windows会按着程序所在目录,加载dll的当前目录,系统system32,Windows目录,Path环境变量中的目录去加载dll,所以破坏者就在比正真dll前的路径去加载dll。

微软才去的安全措施是将加载优先顺序改变,吧加载dll时所在的当前目录放后到windos目录后。策略在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\safedllsearchmode里。

还有就是在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs中的必须在SYSTEM32目录加载DLL。(但是ExcludeFromKnownDlls中可以不从SYSTEM32里加载)

防护措施

LoadLibrary()使用绝对路径

白名单,

SetDllDirectrory()把当前目录从搜索范围去掉。

解决措施

释放dll时候可以通过文件过滤监控*.dll,拿到dll去查MD5值。

全局钩子

指调用SetWindowsHookEx,为一些消息注册回调函数。比如鼠标键盘。这个钩子就能被利用到。

SetWindowsHookEx 全局钩子
HHOOK WINAPI SetWindowsHookEx(
__in int idHook, \\钩子类型
__in HOOKPROC lpfn, \\回调函数地址
__in HINSTANCE hMod, \\包含lpfn的实例句柄,就是这个函数所在的进程
__in DWORD dwThreadId); \\线程ID,如果为0,则监控所有线程的全局钩子

钩子的类型

WH_CALLWNDPROC and WH_CALLWNDPROCRET(sendMessge()要注入
WH_CBT
WH_DEBUG//要比其他钩子级别高,会先调用,可以用来屏蔽其他钩子
WH_FOREGROUNDIDLE
WH_GETMESSAGE
WH_JOURNALPLAYBACK
WH_JOURNALRECORD
WH_KEYBOARD_LL//键盘钩子,全局有效,无需注入,调试钩子屏蔽不了,LL低级钩子LowLevel,系统处理前处理,用LowLevelHooksTimeOut控制超时
WH_KEYBOARD//在系统处理后处理,注入式键盘钩子,要先注入dll
WH_MOUSE_LL
WH_MOUSE
WH_MSGFILTER and WH_SYSMSGFILTER
WH_SHELL

得到控制权的钩子函数在完成对消息的处理后,如果想要该消息继续传递,那么它必须调用另外一个SDK中的API函数CallNextHookEx来传递它。钩子函数也可以通过直接返回TRUE来丢弃该消息,并阻止该消息的传递。 

全局钩子:

实现文件如下。其中g_hWnd为所有进程共享,并且绕过了系统对可写数据的写时复制机制,维护的是一份拷贝


// Hook.cpp  
#include <windows.h>  
HHOOK g_hMouse = NULL;  
HHOOK g_hKeyboard = NULL;  
// 为Hook.DLL创建一个新的节,将全局变量g_hWnd放入其中  
#pragma data_seg("MySec")  
HWND g_hWnd = NULL;  
#pragma data_seg()  
// 设置刚创建的节为共享的节  
#pragma comment(linker, "/section:MySec,RWS")  
// 鼠标钩子过程  
LRESULT CALLBACK MouseProc(  
                           int nCode,      // hook code  
                           WPARAM wParam,  // message identifier  
                           LPARAM lParam   // mouse coordinates  
                           )  
{  
    return 1;   // 屏蔽所有鼠标消息  
}  
// 键盘钩子过程  
LRESULT CALLBACK KeyboardProc(  
                              int code,       // hook code  
                              WPARAM wParam,  // virtual-key code  
                              LPARAM lParam   // keystroke-message information  
                              )  
{  
    // 后门按键用于结束该进程  
    if (VK_F2 == wParam)  
    {  
        ::SendMessage(g_hWnd, WM_CLOSE, 0, 0);  
        UnhookWindowsHookEx(g_hKeyboard);  
        UnhookWindowsHookEx(g_hMouse);  
    }  
    else  
    {  
        return 1;   // 屏蔽所有键盘消息  
    }  
}  
// 安装鼠标钩子过程的函数  
void SetHook(HWND hwnd) // 参数是为了让dll获得调用进程的主窗口的句柄  
{  
    g_hWnd = hwnd;  
    // hook所有进程的鼠标、键盘消息  
    g_hMouse = SetWindowsHookEx(WH_MOUSE, MouseProc, GetModuleHandle("Hook.dll"), 0);  
    g_hKeyboard = SetWindowsHookEx(WH_KEYBOARD, KeyboardProc, GetModuleHandle("Hook.dll"), 0);  
}

WH_KEYBOARD_LL 低级键盘钩子 不需要DLL 直接设置即可 


// keyboardhook.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"
#include<iostream>
#include<windows.h>
using namespace std;
HHOOK g_Hook;
LRESULT CALLBACK LowLevelKeyboardProc(INT nCode, WPARAM wParam, LPARAM lParam)
{//wParam是类型,比如按下或弹起,lPARAM是详细信息,比如那个键
	KBDLLHOOKSTRUCT *pkbhs = (KBDLLHOOKSTRUCT *)lParam;
	BOOL bControlKeyDown = 0;
    switch (nCode)
	{
	case HC_ACTION:
		{
			// Check to see if the CTRL key is pressed
			bControlKeyDown = GetAsyncKeyState (VK_CONTROL) >> ((sizeof(SHORT) * 8) - 1);
			//Disable CTRL+ESC
			if (pkbhs->vkCode == VK_ESCAPE && bControlKeyDown)
				return 1;
			if(wParam == WM_KEYUP)
				printf("%c", pkbhs->vkCode);
			break;
		}
	}
	//return CallNextHookEx(g_Hook, nCode, wParam, lParam); //回调
	return 1;
}

int _tmain(int argc, _TCHAR* argv[])
{
	MSG msg;
	g_Hook=(HHOOK)SetWindowsHookEx(WH_KEYBOARD_LL,
		(HOOKPROC)LowLevelKeyboardProc, GetModuleHandleW(0),0); 
	while(GetMessageW(&msg,0,0,0))DispatchMessageW(&msg);
	return 0;
}

WH_KEYBOARD的调用dll实现


/  

// CHookTestDlg message handlers  
// 导入函数  
__declspec(dllimport) void SetHook(HWND hwnd);  
BOOL CHookTestDlg::OnInitDialog()  
{  
    // TODO: Add extra initialization here  
    // 顶层窗口及最大化窗口的实现  
    int cxScreen, cyScreen;  
    cxScreen = GetSystemMetrics(SM_CXSCREEN);  
    cyScreen = GetSystemMetrics(SM_CYSCREEN);  
    SetWindowPos(&wndTopMost, 0, 0, cxScreen, cyScreen, SWP_SHOWWINDOW);  
    // 调用DLL中的函数  
    SetHook(m_hWnd);  
    return TRUE;  // return TRUE  unless you set the focus to a control  

}

 QQ安全密码框的全局钩子

qq和其他人的低级键盘钩子组织在一个链表里面,注册越晚的越早拿到消息,
1,WH_DEBUG , WH_KEYBOARD_LL, WH_MOUSE_LL 
2, WH_DEBUG> WH_KEYBOARD_LL> WH_KEYBOARD
3,后加载的先获得消息并执行
4,QQ定时UNHOOK和HOOK上面3个钩子,保证自己最后被安装,自然就是先取得正确的按键信息,然后阻止这个 消息继续传递下来给别人,就算传下去交给别人,也要修改按键信息,传一个错误的下去 

挂钩ShadowSSDT NtUserSetWindowsHookEx保护键盘钩子。
-----------------------------------------------------------------------------------------------------------------------------------------
 

DLL注入

在下钩子的时候可能我们需要用到通信 可以使用映射,管道,
其实还有一种方便的,就是PE共享节
放到共享节里面的变量时是同实例可以访问的 一般用到多开通信 多开检测,全局dll钩子

PE共享节
 


#pragma data_seg (".shared")

ULONG g_ulNum;

#pragma data_seg ()

#pragma comment(linker,"/SECTION:.shared,RWS") //定义成为共享节的话

RWS:读/写/共享,共享段里的变量可供进程的多个实例访问,普通的全局变量,只对一个实例有效,不同进程的变量之类的一般都是私有隔离的

 

直接注入DLL文件


1。打开目标进程
2。获取待注入的DLL路径,分配一块目标进程内的内存,将路径拷贝到该内存中
3。获取kernel32中的LoadLibraryA地址
4。调用CreateRemoteThread,在目标进程中执行loadlibrary + DLL的动作
5。DLL中的DLLMAIN执行
6。释放分配的目标进程中的内存
7。获取kernel32中的FreeLibrary地址
8。调用CreateRemoteThread,在目标进程中执行FreeLibrary + DLL的动作

要打开目标进程,要Debug权限打开


BOOL AddDebugPrivilege(void)

{

 

TOKEN_PRIVILEGES tp;

LUID luid;

HANDLE hToken;

 

if(!LookupPrivilegeValue(NULL,SE_DEBUG_NAME,&luid))

{

return FALSE;

}

tp.PrivilegeCount = 1;

tp.Privileges[0].Luid=luid;

tp.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;

if(!OpenProcessToken(GetCurrentProcess(),

                 TOKEN_ADJUST_PRIVILEGES,&hToken))

{

return FALSE;

}

if(!AdjustTokenPrivileges(hToken,FALSE,&tp,sizeof(TOKEN_PRIVILEGES),

(PTOKEN_PRIVILEGES)NULL,(PDWORD)NULL))

{

return FALSE;

}

return TRUE;

} 

 

HANDLE hProcess = OpenProcess(PROCESS_CREATE_THREAD | 

                    PROCESS_QUERY_INFORMATION | PROCESS_VM_OPERATION | PROCESS_VM_WRITE  | 

                    PROCESS_VM_READ,FALSE, PID);

有些受保护的进程无法打开,需要驱动去关闭进程EPROCESS里的PSIsProtectedProcess标志位和关闭DLL签名策略

其实并不需要这么多函数 但一下函数只能使用在发布版中

 

typedef long (*RTLADJUSTPRIVILEGE)(ULONG,ULONG,ULONG,PVOID);
RTLADJUSTPRIVILEGE RtlAdjustPrivilege;
RtlAdjustPrivilege=(RTLADJUSTPRIVILEGE)GetProcAddress(LoadLibraryW(L"ntdll.dll"),"RtlAdjustPrivilege");
RtlAdjustPrivilege(20,1,0,&dwRetVal);//debug
RtlAdjustPrivilege(19,1,0,&dwRetVal);

注入代码

int InjectDll( HANDLE hProcess, TCHAR* szLibPath)
{
HANDLE hThread;
void*  pLibRemote = 0;//注入到哪
DWORD  hLibModule = 0;
HMODULE hKernel32 = ::GetModuleHandle(_T("Kernel32"));
LPTHREAD_START_ROUTINE pLoadFunc = NULL;
pLoadFunc = (LPTHREAD_START_ROUTINE) ::GetProcAddress(hKernel32,"LoadLibraryW");
if (szLibPath == NULL ||hProcess == NULL ||pLoadFunc == NULL)
{
return FALSE;
}
pLibRemote = ::VirtualAllocEx( hProcess, NULL, (_tcslen(szLibPath) + 1)*sizeof(TCHAR), MEM_COMMIT, PAGE_READWRITE );
if( pLibRemote == NULL )
return false;
::WriteProcessMemory(hProcess, pLibRemote, (void*)szLibPath,(_tcslen(szLibPath) + 1)*sizeof(TCHAR),NULL);
 
 
hThread = ::CreateRemoteThread( hProcess, NULL, 0,(LPTHREAD_START_ROUTINE)pLoadFunc, 
pLibRemote, 0, NULL );
if( hThread == NULL )
goto JUMP;
DWORD dwError = GetLastError();
::WaitForSingleObject( hThread, INFINITE );
dwError = GetLastError();
::GetExitCodeThread( hThread, &hLibModule );
 
 
::CloseHandle( hThread );
 
 
JUMP:
::VirtualFreeEx( hProcess, pLibRemote, sizeof(szLibPath), MEM_RELEASE );
if( hLibModule == NULL )
return false;
return hLibModule;
}


 

内存注入

写一个loadlibrary1就是先把DLL加载到内存中,进行重建,然后执行DllMain

loadlibrary1负责解析PE,构建内存节,重定位修复,导入表,IAT初始化,对该DLL使用的其它DLL使用LdrLoadDLL来加载,最后执行dllmain。

步骤:

将用于memload代码(loadlibrary1)保存为普通文件(shellcode)

将dll文件读入内存

将保存负责解析加载dll的shellcode(loadlibrary1)的文件读入内存

通过WriteProcessMemory把上面代码(loadlibrary1)和数据(dll,对应api)写入进程目标。

CreateRemoteThread让上面代码和数据执行。

loadlibrary1(dll)

 

参考资料

更多钩子https://msdn.microsoft.com/en-us/library/ms644959(VS.85).aspx

 

 

kernweak
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DLL注入器.rar
04-04
DLL注入器.rar
DLL注入
weixin_51313054的博客
10-20 6594
DLL注入DLL注入原理dll注入实现过程功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 DLL注入原理 在Windows操作系统中,运行的每一个进程都生活在自己的程序空间中(保护模式),每一个进程都认为自己拥有整个机器的控制权,
dll注入浅析
MusicMan
05-10 761
转载自:https://www.anquanke.com/post/id/86671 【技术分享】DLL注入那些事 发布时间:2017-08-22 11:06:09 译文声明 本文是翻译文章,文章原作者,文章来源:blog.deniable.org 原文地址:http://blog.deniable.org/blog/2017/07/16/inject-all-the-things 译...
关于DLL注入的理解
顺其自然~专栏
07-01 553
DLL注入方式较多,包括API拦截与替换、消息钩子、远程进程。这些注入都是针对第三方程序(下面简称目标程序)的操作。目标程序主要分为两种,解释型和编译型。解析型可以在解释权解释之前做很多事情,比较简单,也比较可行。编译型则无法在编译前做任何事情,因为目标程序一般是第三方编译完成之后发布出来的。编译完成后就是二进制代码(即使能反汇编),就不存在变量名、函数名等标识符,因为这些标识符已经转换成响应的地址。这种情况下,如果拿不到真正的地址,则即使注入到主线程(UI线程)中,依然没有任何作用。除非程序调用的dll
多种DLL注入技术原理介绍
热门推荐
顺其自然~专栏
11-06 3万+
本文中我将介绍DLL注入相关知识。不算太糟的是,DLL注入技术可以被正常软件用来添加/扩展其他程序,调试或逆向工程的功能性;该技术也常被恶意软件以多种方式利用。这意味着从安全角度来说,了解DLL注入的工作原理是十分必要的。 不久前在为攻击方测试(目的是为了模拟不同类型的攻击行为)开发定制工具的时候,我编写了这个名为“injectAllTheThings”的小工程的大...
python dll注入 网络_dll注入
weixin_39728544的博客
12-05 365
一、什么是dll​ 动态链接库(Dynamic Link Library 或者 Dynamic-link Library,缩写为 DLL)​ 是微软公司在微软Windows操作系统中,实现共享函数库概念的一种方式。​ 这些库函数的扩展名是 ”.dll"、".ocx"(包含ActiveX控制的库)或者 ".drv"(旧式的系统驱动程序)。pip3 install二、为何要有dll​...
dll注入实例注入代码
11-03
dll注入实例,实现dll注入,代码详细介绍了整个dll注入的流程,以及生成exe,需要下载微软支持库,是学习dll注入的好东西
DLL注入工具 纯净版
11-14
DLL注入工具纯净版 安全无毒
DLL注入封包工具过检测
08-27
各类游戏DLL封包注入软件 自带DLL。只需注入代理或加速器 无需注入游戏。
阿哲CSGO最新dll注入
03-10
阿哲CSGO最新dll注入器,内附教程
VT笔记(2)突破patchguard保护完成X64Hook
kernweak的博客
06-24 8693
win10,2018新年版后好像不支持了? MSR hook MSR (Model Specific Registers)是CPU 的一组64 位寄存器,可以分别通过RDMSR 和WRMSR 两条指令进行读和写的操作,前提要在ECX 中写入MSR 的地址(MSR地址就像一个宏STAR,LSTAR,CSTAR,SFMASK)。对于RDMSR 指令,将会返回相应的MSR 中64bit 信息到(ED...
NDIS驱动
kernweak的博客
07-05 5323
NDIS驱动分为3层 协议层驱动 绑定再所有网卡上,所以能截获接收到的包,但无法截获发送的包 中间层驱动 (P部分)绑定在了所有小端口驱动上(M部分)也被所有的协议驱动绑定,收发都能拦截。所有中间层小端口部分负责处理发送的包,协议部分负责处理接受的包 小端口驱动 网卡驱动 NDIS驱动开始 NdisMInitializeWrapper初始化NDIS句柄, NdisIMRegist...
ark笔记
kernweak的博客
07-03 4047
ark相关技术是关于进程检测,杀进程,线程检测,杀线程,怎么检测模块,隐藏dll等。还有驱动模块怎么检测,怎么卸载别人的驱动。SSDT,shadowSSDT,FSD相关。 进程 进程枚举 R3枚举进程 CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS)/Process32First/Process32Next,建一个快照,然后去遍历 ZwQueryS...
堆溢出,堆喷射简介
kernweak的博客
11-21 3920
堆简介 堆上分配内存,就是比如malloc,就是从堆上把这块内存的链表,摘下来共我们使用。堆上自己是按桶的结构进行管理(一个hash表),从2^1,2^2,2^3,2^4.....,如果申请一个50字节内存,就从,2^6分配,64-50=14,有14个内存碎片。我们申请内存就是从这个内存表中把某一个节点从这个双向链表中摘掉。即 Node->bp->fp=Node->fp; ...
通过GetProcessNameByProcessId得到进程路径
kernweak的博客
07-19 3883
写主防时,为了拿到进程路径,所以查询发现一种发现一种方式是通过PID,调用PsLookupProcessByProcessId(ProcessId, &ProcessObj)拿到进程的EPROCESS,然后PsGetProcessImageFileName(ProcessObj)拿到进程进程路径。 现在看下PsLookupProcessByProcessId资料 kd> u P...
UNC路径转本地路径
kernweak的博客
05-26 3641
UNC应用(Universal Naming Convention)通用命名规则,比如网络访问文件UNC路径就是 \\servername\sharename\directory\filename比如就是\\\\192.168.0.1\\mydocs\\x.txt对应本地路径D:\\tete\\x.txt,这个就是在注册表 HKEY_LOCAL_MACHINE\SYSTEM\Curren...
《Windows内核原理与实现笔记》(一)Windows系统结构和基本概念
kernweak的博客
09-26 3213
Windows内核结构 上图是windows内核的组成结构 如图Windows内核分三层,与硬件直接打交道的是硬件抽象层HAL,这一层把所有与硬件相关代码逻辑隔离到一个专门模块中,从而是上层尽可能独立于硬件平台。HAL是一个独立动态链接库,windows带了多个如Hal.dll,halacpi.dl等,这是根据高级配置和电源接口高级可编程中断控制器之类的区别,只有一个会被选中选中之后拷贝改...
hook方式进程创建监控,进程保护
kernweak的博客
05-30 2998
关于进程创建, xp系统:CreatProcessW->CreateProcessInternalW->NtCreateProcessEx->NtCreatSection Vista以上:CCreatProcessW->CreateProcessInternalW->NtCreateUserProcess->NtCreateSection 所以我们要Hoo...
Minifilter笔记
kernweak的博客
06-05 2900
Minfilter与legacy filter区别 比sfilter加载顺序更易控制. altitude被绑定到合适的位置。 Minfilter在注册表服务项中有一项Altitude值 此值越高位置越靠前 (待考证 每一个minifilter驱动必须有一个叫做altitude的唯一标识符.一个minifilter驱动的altitude定义了它加载时在I/O栈中相对其他minifilter驱动...
delphi dlldll注入
最新发布
08-07
Delphi是一种编程语言,而DLL(Dynamic-Link Library)是一种模块化的文件格式,用于存储代码和数据,可以被多个应用程序共享。DLL注入是一种技术,它允许将DLL文件加载到正在运行的进程中,并使得该进程能够调用DLL中的函数和使用其中的数据。 在Delphi中实现DLL注入的方法有很多种。一种常见的方法是使用Windows API函数LoadLibrary和GetProcAddress。通过调用LoadLibrary函数,将DLL文件加载到进程的虚拟地址空间中。然后使用GetProcAddress函数获取DLL中导出函数的地址,并将其传递给需要调用的函数。通过这种方式,可以在运行时将DLL注入到目标进程中,并且通过调用DLL中的函数来扩展进程的功能。 DLL注入在实际应用中有多种用途。例如,可以使用DLL注入来为某个程序添加额外的功能或修改程序的行为。DLL注入还可以用于实现一些调试和监控的功能。通过注入DLL,可以截获程序的输入和输出,或者在程序执行某些指定的操作时进行额外的处理。 在Delphi中实现DLL注入需要一定的编程知识和技巧。需要考虑目标进程的架构和权限限制,以及如何管理注入DLL的生命周期和资源管理。同时,还需要处理一些安全性和稳定性方面的问题,以确保注入过程不会对目标进程造成损害或崩溃。 总之,Delphi可以通过调用Windows API函数来实现DLL注入,从而扩展和修改进程的功能。但在实际应用中,需要考虑各种方面的问题,并且遵守相关的法律和规定,以确保注入操作的安全性和合法性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值