Dll注入学习笔记

最新推荐文章于 2022-04-06 23:03:54 发布
最新推荐文章于 2022-04-06 23:03:54 发布
阅读量675 收藏 1
点赞数 1
分类专栏: C/C++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ysu_yujie/article/details/17238673
版权

    实现DLL注入的思路是让进程运行LoadLibrary函数,把我们的DLL装载进去,怎样让进程调用LoadLibrary函数呢?首先想到的办法就是在目标进程中创建一个新的线程来调用。比如:

HANDLE WINAPI CreateRemoteThread(
  __in          HANDLE hProcess,                          //线程被创建的进程句柄
  __in          LPSECURITY_ATTRIBUTES lpThreadAttributes, //可设置为0,表示取默认值
  __in          SIZE_T dwStackSize,                       //可设置为0,表示取默认值
  __in          LPTHREAD_START_ROUTINE lpStartAddress,    //线程函数指针,必须存在于远程进程地址空间中
  __in          LPVOID lpParameter,                       //传给线程函数的参数
  __in          DWORD dwCreationFlags,                    //可设置为0,表示线程创建后立刻执行
  __out         LPDWORD lpThreadId                        //返回线程ID,可设置为0,表示不返回
);


通过函数的参数可以看出,我们需要得到三个参数来创建线程以达到注入DLL的目的。下面一一介绍。


一.hProcess进程的句柄

   要获得进程的句柄,有几种方法可以选择
   1) 使用FindWindow获得窗口句柄,接着调用GetWindowThreadProcessId来获得进程ID,最后调用OpenProcess来获得进程句柄
   2) 使用EnumWindows来枚举所有窗口,并通过GetWindowText来获得窗口标题,从而找到自己需要的窗口句柄,接下来的操作与1)相同。
   3) 使用CreateToolhelp32Snapshot获得进程快照,使用Process32First和Process32Next来检索每个具体的进程,并获得我们需要的进程ID,最后调用OpenProcess来获   得进程句柄。
   上述几个函数的功能和参数都很简单,可以参考MSDN说明。我们采用的是第3中方式,因为有些程序会屏蔽掉前两种方法中的API。获得进程句柄的代码如下:
    
if(!(ProcessID=GetGameProcessName("notepad.exe")))
{
	cout<<"进程没用启动"<<endl;
	return 0;
}
	
if(!(ProcessHandle=OpenProcess(PROCESS_ALL_ACCESS,FALSE,ProcessID)))
{
	cout<<"打开进程失败"<<endl;
	return 0;
}
int GetGameProcessName(char *GameName)
{
	PROCESSENTRY32 stProcess;
	HANDLE hProcessShot;

	hProcessShot=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);

	stProcess.dwSize=sizeof(PROCESSENTRY32);

	Process32First(hProcessShot,&stProcess);
	do 
	{
		if (!strcmp(GameName,stProcess.szExeFile))
		{
			return stProcess.th32ProcessID;
		}
	} while (Process32Next(hProcessShot,&stProcess));

	CloseHandle(hProcessShot);
	return FALSE;

}

二、线程函数

    这里线程函数我们使用LoadLibrary函数,但是这里有个问题,我们调用LoadLibrary时,并不是直接调用kernel32.dll中的LoadLibry函数,而要经过一个跳转。这样我们调用的LoadLibrary函数在不同的进程中地址空间可能不一样,因为不能直接把LoadLibrary函数地址传递给CreateRometeThread函数,但是可以把kernel32.dll中的LoadLibrary函数地址传递给CreateRometeThread函数,因为几乎所有进程都会加载kernel32.dll,而且会映射到同一地址。
    
    但是这里又有新的问题,怎样才能获得kernel32.dll中的函数呢?很容易想到GetProcAddress函数,我们看关于这个函数的说明:
    FARPROC GetProcAddress( 
  HMODULE hModule,    //DLL模块句柄
  LPCWSTR lpProcName  //函数名称
    ); 
    第一个参数需要我们获得模块句柄,这里肯定不能用LoadLibrary来获得了,但是还有一个函数可以获得GetModuleHandle。DLL名称作为参数传递给他即可。
    第二个参数不能使用“LoadLibrary”,而应该使用“LoadLibraryA”(ANSI类型)或者“LoadLibraryW”(unicode类型)。

     代码如下:

hKernelModule=GetModuleHandle("kernel32.dll");

LPTHREAD_START_ROUTINE start_routine=(LPTHREAD_START_ROUTINE)GetProcAddress(hKernelModule,"LoadLibraryA");
    

三、线程参数

    LoadLibrary函数的参数是Dll的名字,Dll的名字是字符串,它也必须存在于远程进程的地址空间中,所以我们不能直接使用字符串作为参数传递给线程,这里可以使用函数WriteProcessMemory来通过向指定的进程写内存将Dll的路径名字写进远程进程的地址空间中,我们看一看这个函数的参数:
  BOOL WriteProcessMemory( 
       HANDLE hProcess,               //进程句柄,由OpenProcess获得
       LPVOID lpBaseAddress,          //指定进程的内存起始地址
       LPVOID lpBuffer,               //提供数据的缓冲区指针,它将被写入指定进程的地址空间中
       DWORD nSize,                   //写入的字节数
       LPDWORD lpNumberOfBytesWritten //输出参数,指向实际输出的字节数,这里可设置为NULL,表示忽略
    );
    通过函数的参数我们可以看到,这里还有一个问题,我们怎么获得指定进程的起始地址呢?这里肯定不能用new或者malloc,因为他们分配的是当前进程的内存,这就需要另外一个函数VirtualAllocEx,该函数在指定进程的虚拟地址空间中提交或保留一个区域的内存,对于的函数为VirtualFreeEx释放回收指定进程的地址空间。代码如下: 

addrStart=VirtualAllocEx(ProcessHandle,0,1024,MEM_COMMIT,PAGE_EXECUTE_READWRITE);
if (!addrStart)
{
	cout<<"申请内存失败"<<endl;
	return 0;
}
WriteProcessMemory(ProcessHandle,addrStart,dll_name,1024,0);


    

四、函数返回

    以上几个参数获得成功之后,就可以通过CreateRemoteThread函数实现DLL注入的目的了,但是远程线程什么时候结束呢?即LoadLibrary函数什么时候返回呢?我们可能需要等到LoadLibrary返回之后才能进行下一步操作。这里可以使用WaitForSingleObject来检测信号对象的情况
    DWORD WaitForSingleObject(   
        HANDLE hHandle,       //对象句柄,这里为CreateRemoteThread的返回值
        DWORD dwMilliseconds  //等待时间,单位ms,设置为INFINITE表示一直等待
    ); 

五、注入总结

以上几个函数就是实现Dll注入需要的API函数,下面进行一下总结,按函数执行的流程进行说明,并直接设置好需要的参数:
1.CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0)获得进程快照


2.Process32First(hProcessShot,&stProcess)、Process32Next(hProcessShot,&stProcess)查找获取我们需要进程的ID


3.ProcessHandle=OpenProcess(PROCESS_ALL_ACCESS,FALSE,ProcessID)获得进程句柄
4.addrStart=VirtualAllocEx(ProcessHandle,0,1024,MEM_COMMIT,PAGE_EXECUTE_READWRITE)申请指定进程的内存空间
5.WriteProcessMemory(ProcessHandle,addrStart,dll_name,1024,0)向指定空间中写入dll名字
6.hModule=GetModuleHandle("kernel32.dll")获得模块的模块句柄
7.start_routine=(LPTHREAD_START_ROUTINE)GetProcAddress(hModule,"LoadLibraryA")获得模块中LoadLibrary函数地址
8.ThreadHandle=CreateRemoteThread(ProcessHandle,0,0,start_routine,addrStart,0,0)创建远程线程
9.WaitForSingleObject(ThreadHandle,INFINITE)等待线程结束
10.VirtualFreeEx(ProcessHandle,addrStart,0,MEM_RELEASE)释放进程地址空间
11.CloseHandle(ProcessHandle);关闭句柄


六、DLL卸载

我们将Dll成功注入到远程进程中了,现在来说说卸载的问题。
关于Dll的卸载需要函数Freelibrary,现在存在两个问题:
1.FreeLibrary需要以Dll的模块句柄作为参数,我们怎么获得Dll的模块句柄?
2.FreeLibrary不支持卸载本程序以外的Dll,该怎么办呢?
关于第二个问题很好解决,像LoadLibrary那样将FreeLibrary也注入到指定进程中就可以了。
现在考虑第一个问题,怎么获得Dll的模块句柄呢?我们还记得在注入Dll时使用GetModuleHandle来获得kernel32.dll的模块句柄,很容易想到这里依然使用GetModuleHandle函数,但是我们程序中并没有加载我们的DLL,不能直接调用GetModuleHandle来获得模块句柄,那怎么办?同样的将GetModuleHandle注入到指定进程中,但是怎么获得GetModuleHandle的返回值,也就是怎么获得DLL的模块句柄呢?这里要接受一个新的函数GetExitCodeThread,从指定的线程中获得退出的状态码,该函数的说明如下:
BOOL GetExitCodeThread( 
  HANDLE hThread,      //线程句柄
  LPDWORD lpExitCode   //输出返回值
);

实现源码如下:

// RegeditDllOK.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <Windows.h>
#include "Tlhelp32.h"
#include <iostream>
using namespace std;


DWORD ProcessID;
HANDLE ProcessHandle;
LPVOID addrStart;
HANDLE ThreadHandle;
HANDLE hDll;
HMODULE hKernelModule;
char *dll_name="RegeditDll.dll";

int GetGameProcessName(char *GameName);

void UnRegisterDll()
{
	LPTHREAD_START_ROUTINE start_routine=(LPTHREAD_START_ROUTINE)GetProcAddress(hKernelModule,"GetModuleHandleA");

	ThreadHandle=CreateRemoteThread(ProcessHandle,0,0,start_routine,addrStart,0,0);
	WaitForSingleObject(ThreadHandle,INFINITE);
	GetExitCodeThread(ThreadHandle,(LPDWORD)(&hDll));

	start_routine=(LPTHREAD_START_ROUTINE)GetProcAddress(hKernelModule,"FreeLibrary");

	ThreadHandle=CreateRemoteThread(ProcessHandle,0,0,start_routine,hDll,0,0);
	WaitForSingleObject(ThreadHandle,INFINITE);
}	

void RegisterDll()
{
	LPTHREAD_START_ROUTINE start_routine=(LPTHREAD_START_ROUTINE)GetProcAddress(hKernelModule,"LoadLibraryA");

	ThreadHandle=CreateRemoteThread(ProcessHandle,0,0,start_routine,addrStart,0,0);

	WaitForSingleObject(ThreadHandle,INFINITE);

}

int _tmain(int argc, _TCHAR* argv[])
{
	if(!(ProcessID=GetGameProcessName("notepad.exe")))
	{
		cout<<"进程没用启动"<<endl;
		return 0;
	}
	
	if(!(ProcessHandle=OpenProcess(PROCESS_ALL_ACCESS,FALSE,ProcessID)))
	{
		cout<<"打开进程失败"<<endl;
		return 0;
	}

	addrStart=VirtualAllocEx(ProcessHandle,0,1024,MEM_COMMIT,PAGE_EXECUTE_READWRITE);
	if (!addrStart)
	{
		cout<<"申请内存失败"<<endl;
		return 0;
	}
	WriteProcessMemory(ProcessHandle,addrStart,dll_name,1024,0);


	hKernelModule=GetModuleHandle("kernel32.dll");

	RegisterDll();
	
	UnRegisterDll();

	VirtualFreeEx(ProcessHandle,addrStart,0,MEM_RELEASE);
	CloseHandle(ProcessHandle);
	return 0;
}

int GetGameProcessName(char *GameName)
{
	PROCESSENTRY32 stProcess;
	HANDLE hProcessShot;

	hProcessShot=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);

	stProcess.dwSize=sizeof(PROCESSENTRY32);

	Process32First(hProcessShot,&stProcess);
	do 
	{
		if (!strcmp(GameName,stProcess.szExeFile))
		{
			return stProcess.th32ProcessID;
		}
	} while (Process32Next(hProcessShot,&stProcess));

	CloseHandle(hProcessShot);
	return FALSE;

}



fly_with_the_winds
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DLL注入实验笔记
pDaren的专栏
08-20 782
MSDN已经说明了DllMain可以省略,但这里不能省略。原因很简单,查看DllMain定义的形参就知道是什么回事啦。当应用程序加载DLL时会发送消息到DllMain函数的第二个参数。利用这个特性,加载的DLL就可以立刻响应里面的功能函数啦!!下面是实验的代码:#include DWORD WINAPI ThreadProc(PVOID lp); BOOL APIENTRY DllMain(HANDLE hModule,DWORD ul_reason_for_call,LPVOID lpRese
线程的远程注入
vcforever的专栏
03-15 1万+
要实现线程的远程注入必须使用Windows提供的CreateRemoteThread函数来创建一个远程线程该函数的原型如下:HANDLE CreateRemoteThread(    HANDLE hProcess,    LPSECURITY_ATTRIBUTES lpThreadAttributes,    SIZE_T dwStackSize,    LPTHREAD_START_ROUTI
【Windows编程】Dll注入与调用
Athain的博客
02-27 2124
Dll注入与调用Add.dllOne.exeHookDll.dll 去年的时候想做个脚本,开始是用python,但是有些实现想用Hook,然而自己本来python就是半桶水,而C++的window编程更是一窍不通,然而网上的教程又是零零散散 好吧,其实就是我没基础,大佬:接下来就不用我说了吧(超需要啊~~~) 注入需要准备一个dll,与配套的exe程序(当然,hook那么多种形式,我只是碰巧...
DLL注入
weixin_51313054的博客
10-20 6652
DLL注入DLL注入原理dll注入实现过程功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 DLL注入原理 在Windows操作系统中,运行的每一个进程都生活在自己的程序空间中(保护模式),每一个进程都认为自己拥有整个机器的控制权,
Windows提权实战————4、DLL注入
Fly_鹏程万里
05-23 3318
前言DLL注入是一种允许攻击者在另一个进程的地址空间的上下文中运行任意代码的技术。如果某进程以过多的权限运行,那么可以会被攻击者加以利用,以DLL文件的形式执行恶意代码以提升权限。手动注入通过Metasploit的msfvenom创建DLL,该文件可以生成包含特定有效内容的DLL文件。应该注意的是,如果DLL注入的进程是64位,那么应该使用64位有效负载。下一步是设置metasploit监听,以...
MSsql高级注入笔记.txt
07-18
### MSsql高级注入笔记知识点详解 #### 一、SQL注入基础概述 在开始深入探讨MSsql(Microsoft SQL Server)中的高级注入技术之前,我们先简要回顾一下SQL注入的基础概念。SQL注入是一种常见的Web应用程序安全漏洞...
PHP PDO 学习笔记
08-28
### PHP PDO 学习笔记详解 #### 一、PDO简介 PDO(PHP Data Objects)是PHP 5中引入的一个数据库访问扩展,在PHP 6中它将成为连接数据库的标准方式,并逐步取代旧有的数据库连接方法。PDO的主要目标是为PHP提供一...
函数指针学习笔记.docx
03-24
这种做法通常用于动态地调用函数,比如在插件系统中,外部代码可以将函数地址注入,然后通过函数指针调用来执行这些函数。`_declspec(dllexport)`关键字表明了`go`函数是导出的,意味着它可以在其他模块中被调用。 ...
Spring.NET学习笔记—环境搭建
02-23
### Spring.NET 学习笔记 — 环境搭建详解 #### 一、Spring.NET简介与环境准备 **Spring.NET** 是一个开源框架,为.NET平台提供了轻量级的依赖注入、面向切面编程以及用于.NET应用程序的数据访问/集成的支持。本篇...
2022-2024常用经典免杀技术汇总!
最新发布
03-27
3. **文件隐藏**:通过隐藏文件属性、利用系统漏洞或者嵌入合法文件中来隐藏恶意程序,例如PE注入DLL劫持等。 4. **内存免杀**:不在硬盘上留下痕迹,而是在内存中执行,这可以避免被常规的文件扫描工具发现。 5...
简单的CreateRemoteThread例程-初学者必看
zzz822163的专栏
01-13 826
// _remotethreaddemo.cpp : Defines the entry point for the console application. // Author:秋镇菜 #include "stdafx.h" #include "windows.h" // ========== 定义一个代码结构,本例为一个对话框============ s
【ReflectDllInjection】 反射型DLL注入
dr0op's blog
04-06 3197
常规dll注入 这里引用一张图来表示: 反射型DLL注入思路: 读入原始DLL文件至内存缓冲区 解析DLL标头并获取SizeOfImage 将DLL标头和PE节复制到步骤3中分配的内存空间 执行重定位 加载DLL导入的库 解析导入地址表(IAT) 调用DLLDLL_PROCESS_ATTACH 反射型dll注入与其他dll注入不同的是,其不需要使用LoadLibrary这一函数,而是自己来实现整个装载过程。我们可以为待注入DLL添加一个导出函数,ReflectiveLoader,这个函数的功能就是
python无法打开kernel32.lib_使用Python C类型在kernel32上调用GetModuleHandle
weixin_33371440的博客
01-12 457
I'm trying to use Python's C-Types to call GetModuleHandleA on the kernel32 library. I'd like to get a handle to the library so I can use it to call GetProcAddress for LoadLibraryA. Below is my code...
注入技术——修改输入表完成DLL注入
不忘初心,护天下安全!
05-09 1868
参考自《加密与解密》(第4版)第12章 注入技术 实验环境:Windows XP SP2 家庭版 实验素材:作者提供的MsgDLL.dll。此处的待注入DLL使用消息弹框来证明自己注入成功,实际中可以进行各种可怕又邪恶的动作。 修改对象:系统自带记事本 修改目标:记事本启动后,自动加载MsgDLL.dll DLL文件代码细节省略,通过使用MessageBox函数来显示消息框,仅此而已。关于...
MS17-010移植到MSF中进行入侵
热门推荐
自学编程_youkewang.top
05-17 1万+
勒索病毒爆发后,这个0day相继被各种利用,现在正在走向灭亡,趁现在大部分内网用户还没有重视该漏洞,于是我想在前人的教程基础上,发一篇自己总结出来的教程,让更多的人可以少走一点弯路。   图1-1. 教程分2个Part,第一个讲移植ms17-010扫描脚本到msf中进行漏扫;第二个讲移植ms17-010的exploit到msf中进行攻击。 漏洞的介绍和原理我就不废话了,请自行百度。
CreateRemoteThread
125096
05-05 578
#include #include #include bool Start(TCHAR* buff,DWORD pid); BOOL EnablePrivilege(LPCTSTR lpszPrivilegeName, BOOL bEnable); int main (void) { EnablePrivilege(SE_DEBUG_NAME,TRUE);//获取本进程权限 DWO
CreateRemoteThread函数
believe_s的博客
09-11 3169
CreateRemoteThread函数 创建在另一个进程的虚拟地址空间中运行的线程。 使用CreateRemoteThreadEx函数创建在另一个进程的虚拟地址空间中运行的线程,并可选择指定扩展属性。 语法 HANDLE CreateRemoteThread( HANDLE hProcess, LPSECURITY_ATTRIBUTES lp...
使用MSF生成的shellcode打造免杀payload
MickeyMouse1928的博客
05-04 1万+
环境: 1.Kali攻击机IP:192.168.114.140 2.使用win7生成exe 步骤: 使用msfvenom生成shellcode : msfvenom -pwindows/meterpreter/reverse_http lhost=192.168.114.140 lport=5555 -f c win7中使用Visual studio创建Win32控制台
Reflective DLL Injection(字面翻译:反射dll注入)
GaA.Ra的自留地 in Csdn
06-06 8813
      这两天把印度佬的metasploit视频看完了.带着印度口音的英语伤不起啊(请自己想象生活大爆炸里Rajesh),但是这个印度佬的口音特别重,-___-,脑海里久久回荡着印度腔英语......     为什么会提到Reflective DLL Injection,看Metasploit Unleashed,里面提到神器meterpreter和vnc injection都是利用这
Windows远程注入DLL技术详解
"远程注入DLL技术,用于在其他进程中加载并执行自定义的DLL文件,以达到隐蔽执行代码的目的。该技术涉及多个Windows API函数,包括CreateRemoteThread、LoadLibrary和DllMain等。" 远程注入DLL是一种高级的编程技术...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值