【Windows核心编程笔记】第二十二章 DLL注入和API拦截

最新推荐文章于 2022-04-24 20:55:30 发布
最新推荐文章于 2022-04-24 20:55:30 发布
阅读量622 收藏 1
点赞数
分类专栏: 学习笔记 Windows编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/myruo/article/details/92407116
版权
这篇博客详细介绍了Windows平台下的DLL注入和API拦截技术。首先,通过注册表、挂钩和远程线程等方式实现DLL注入,讨论了各种方法的优缺点。接着,文章讲解了API拦截的概念,强调了在确保单一调用时通过覆盖代码进行拦截的条件。内容包括SetWindowSubclass、CreateRemoteThread等函数的使用,以及木马DLL和调试器注入等方法。
摘要由CSDN通过智能技术生成

Dll注入的一个例子

从其他进程创建的窗口派生子类窗口

SetWindowSubclass

GetWindowSubclass

RemoveWindowSubclass

DefSubclassProc

 

使用注册表来注入dll

整个系统的配置在注册表中

HLM\SoftWare\Microsoft\Windows NT\CurrentVersion\Windows\

 

AppInit_DLLs添加要注入的dll,只有第一个能加路径,后边的忽略,之间分号分隔

LoadAppInit_DLLs 设为1

 

两步即可,有如下缺点:

只会映射到使用了User32.dll的进程中(基于GUI的应用程序)

会映射到每个基于GUI的进程,而不是我们期望的一个或少数几个,影响性能

最低0.47元/天 解锁文章
半雨微凉丶
关注
专栏目录
[网络安全自学篇] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局钩子、远线程钩子、突破Session 0注入、APC注入
杨秀璋的专栏
06-25 1万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点,希望对您有所帮助。第二篇文章主要介绍4种常见的注入技术,包括全局钩子、远线程钩子、突破SESSION 0隔离的远线程注入、APC注入,案例包括键盘钩子、计算器远线程注入实现、APC注入等,希望对您有所帮助。
[网络安全自学篇] 九十二.《Windows黑客编程技术详解》之病毒启动技术创建进程API、突破SESSION0隔离、内存加载详解(3)
热门推荐
杨秀璋的专栏
07-27 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点。第三篇文章主要介绍木马病毒启动技术,包括创建进程API、突破SESSION0隔离、内存加载详解,希望对您有所帮助。
Windows核心编程学习笔记】远程注入DLL
我是guyue,guyue就是我O(∩_∩)O
05-08 890
远程注入DLL 一、概述 为了隐藏自身的进程信息,我们希望将进程作为一个合法进程的线程运行。由于系统进程间不允许直接操作资源,因而我们需要在合法进程内部创建一个线程,为其指定要执行的代码。一种简单的方式是令远程线程载入一个我们编写的DLL,通过DllMain()函数执行我们需要的代码。基本思路是将LoadLibrary()函数作为一个线程函数来调用: CreateRemoteThread()
window核心编程 22DLL 注入相关方法 笔记
cc6979191的博客
01-03 142
1,编辑AppInit_DLLs 的值 以空格或逗号分隔,只有第一个文件的路径有效其余的忽略,所以把需要注入dll放在系统目录下最好 加入一个dll的路径名:  c:\Mylib.dll 2,然后创建一个名为LoadAppInit_DLLs的注册表项 类型为DWORD 值设置为1 这样之后       ...
窗口子类化
psbeyond的专栏
12-15 1097
windows HWND子类化原理
调试器与被调试进程的拆离以及结束被调试进程的实现
随心动,随风行
06-12 1232
文章目录拆离调试器与被调试进程调试器退出时拆离被调试进程结束被调试进程 网上很多帖子讲解调试器的理论、架构与实现,但是很少有帖子涉及到调试器与被调试进程的拆离以及如何结束被调试进程(换了百度、谷歌、必应均没有搜到相关的帖子) 我在这里简单说一下实现 拆离调试器与被调试进程 调用windowsAPI DebugActiveProcessStop 停止调试器调试指定的进程 BOOL DebugActiveProcessStop( DWORD dwProcessId ); 参数进程ID 可以在调试器
结束进程的12种方法
diaowei9599的博客
01-07 1370
方法一针对有窗口的 消息攻击法 void main(int argc, char **argv) { HWND hwnd = FindWindow(NULL, "Title"); SendMessage(hwnd,WM_CLOSE,0,0); HWND hwnd = FindWindow(NULL, "Title"); SendNotifyMessage(hwn...
Windows核心编程》读书笔记二十二章 DLL注入API拦截
sesiria的博客
12-18 2461
第22章  DLL注入API拦截 本章内容 22.1 DLL注入的一个例子 22.2 使用注册表来注入DLL 22.3 使用Windows挂钩来注入DLL 22.4 使用远程线程来注入DLL 22.5 使用木马DLL注入DLL 22.6 把DLL作为调试器来注入 22.7 使用CreateProcess来注入代码 22.8 API拦截的例子 通常在操作系统中
DLL注入学习总结
bcbobo21cn的专栏
04-23 2808
dll注入 所谓DLL[1]  注入就是将一个DLL放进某个进程的地址空间里,让它成为那个进程的一部分。要实现DLL注入,首先需要打开目标进程。 中文名 dll注入 外文名 hRemoteProcess 意    义 将一个DLL放进进程的地址空间里 方    法 打开目标进程 例: hRemoteProcess = OpenProcess( PROCESS_CREATE_THREAD |
易语言API封包拦截转发(非网截)
08-28
易语言API封包拦截转发(非网截) 易语言API封包拦截转发(非网截)
一段基本的X86调试程序
Home Of HappyBear
01-10 1134
Microsoft提供了一种用于Windows的相对比较容易使用的调试API。这种API允许使用简单的循环,从处于用户态的程序访问调试事件。下面是一个简单的结构: DEBUG_EVENT dbg_evt;m_hProcess = OpenProcess( PROCESS_ALL_ACCESS | PROCESS_VM_OPERATION,0,mPID);if(m_hProcess == NULL)
使用子类化窗口的方法来实现对Static控件进行背景色修改
最快的脚步不是跨越,而是继续;最慢的步伐不是缓慢,而是徘徊!
04-25 361
WNDPROC OldProc = NULL; LRESULT CALLBACK StaticControlProc(HWND hWnd, UINT msg, WPARAM wParam, LPARAM lParam) { if (msg == WM_PAINT) { PAINTSTRUCT ps = { 0 };...
SubClassWindow详解
sunliangyuan的专栏
11-22 1万+
许多Windows程序员都是跳过SDK直接进行RAD开发工具[或VC,我想VC应不属于RAD]的学习,有些人可能对子类化机制比较陌生。 我们先看看什么是Windows的子类化。 Windows给我们或是说给它自己定义了许多丰富的通用控件,如:Edit、ComboBox 、ListBox……等,这些控件功能丰富,能为我们开发工作带来极大方面,试想:我们单单是自己实现一个EDIT控件是多么的艰难!但
windows核心编程---DLL注入API拦截
x13262608581的博客
12-11 2071
-派生子类窗口,要派生窗口属于另一个进程 SetWindowLongPtr会检查一个进程试图修改的WndProc是否是另一个进程的窗口的,如果是,忽略调用。可以在进程A获得进程B窗口的句柄。 FindWindow(xx); // 派生子类窗口,现在应用: SetWindowSubclass GetWindowSubclass RemoveWindowSubclass DefSubcla
如何在NP下读写游戏内存及如何进入NP进程
晓斌的博客
05-11 1218
标 题: 如何在NP下读写游戏内存及如何进入NP进程作 者: 堕落天才时 间: 2007-01-04,13:28链 接: http://bbs.pediy.com/showthread.php?threadid=37417*******************************************************标题:如何在NP下读写游戏内存及如何进入NP进程 **作者:堕落天才
《逆向工程核心原理》----第23章DLL注入的几种方法
qq_55785697的博客
04-24 1857
主要方法有三:消息钩取,创建远程线程和修改注册表 一、消息钩取 主要运用Windows系统的SetWindowsHookExA() API 在21章有个阻塞notepad键盘输入的例子,有两个文件,HookMain.exe和KeyHook.dll。 HookMain代码如下,过程就是加载dll然后执行里面的函数,开始钩取。 KeyHook代码中包含几个函数,如下所示 其中,DllMain函数在dll文件被加载时就会自动执行;HookStart函数就调用了消息钩取的API,将触发事件WH.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值