DLL 动态注入---ImgWalk动态库,这个DLL用来检测被注入的进程中当前载入的各个模块名称---DLL程序

于 2024-09-01 12:57:35 发布
阅读量161 收藏
点赞数 5
分类专栏: WINDOWS核心编程 文章标签: windows c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhyjhacker/article/details/141782928
版权

DLL 动态注入—ImgWalk动态库,这个DLL用来检测被注入的进程中当前载入的各个模块名称—exe程序

DLL 动态注入—ImgWalk动态库,这个DLL用来检测被注入的进程中当前载入的各个模块名称—exe程序

文章目录

/*------------------------------------------------------------------------
 22-InjLib.cpp
	ImgWalk动态库,这个DLL用来检测被注入的进程中当前载入的各个模块名称---exe程序
-----------------------------------------------------------------------*/
#include "CmnHdr.h"
#include "Resource.h"
#include <malloc.h>
#include <strsafe.h>
#include <TlHelp32.h>
#include <windowsx.h>
#include <tchar.h>

/
#ifdef UNICODE
	#define InjectLib InjectLibW
	#define EjectLib EjectLibW
#else
	#define InjectLib InjectLibA
	#define EjectLib EjectLibA
#endif

/
BOOL WINAPI InjectLibW(DWORD dwProcessId, PCWSTR pszLibFile);//创建远程线程并注入DLL
BOOL WINAPI InjectLibA(DWORD dwProcessId, PCSTR pszLibFile);
BOOL WINAPI EjectLibW(DWORD dwProcessId, PCWSTR pszLibFile);//将DLL从进程地址空间中撤销
BOOL WINAPI EjectLibA(DWORD dwProcessId, PCSTR pszLibFile);
BOOL  Dlg_OnInitDialog(HWND hwnd, HWND hwndFocus, LPARAM lParam);
void Dlg_OnCommand(HWND hwnd, int id, HWND hwndCtrl, UINT codeNotity);
INT_PTR WINAPI Dlg_Proc(HWND hWnd, UINT uMsg, WPARAM wParam, LPARAM lParam);
//

int WINAPI _tWinMain(HINSTANCE hInstance,HINSTANCE,PTSTR pszCmdLine,int)
{
	DialogBox(hInstance,MAKEINTRESOURCE(IDD_INJLIB),NULL,Dlg_Proc);
	return 0;
}


INT_PTR WINAPI Dlg_Proc(HWND hWnd, UINT uMsg, WPARAM wParam, LPARAM lParam)
{
	switch (uMsg)
	{
		chHANDLE_DLGMSG(hWnd,WM_INITDIALOG,Dlg_OnInitDialog);
		chHANDLE_DLGMSG(hWnd,WM_COMMAND,Dlg_OnCommand);
	}

	return FALSE;
}

/
BOOL  Dlg_OnInitDialog(HWND hwnd, HWND hwndFocus, LPARAM lParam)
{
	chSETDLGICONS(hwnd,IDI_INJLIB);

	return TRUE;
}

/
void Dlg_OnCommand(HWND hwnd, int id, HWND hwndCtrl, UINT codeNotity)
{
	switch (id)
	{
	case IDCANCEL:
		EndDialog(hwnd, id);
		break;
	case IDC_INJECT:
		DWORD dwProcessId = GetDlgItemInt(hwnd, IDC_PROCESSID, NULL, FALSE);
		if (dwProcessId == 0)
		{
			//如果为0,表示注入本进程
			dwProcessId = GetCurrentProcessId();
		}
		TCHAR szLibFile[MAX_PATH];
		GetModuleFileName(NULL,szLibFile,_countof(szLibFile));//获得当前进程的完整路径
		PTSTR pFileName = _tcsrchr(szLibFile, TEXT('\\')) + 1;
		_tcscpy_s(pFileName,_countof(szLibFile) - (pFileName - szLibFile),TEXT("22-ImgWalk.DLL"));

		if (InjectLib(dwProcessId, szLibFile))
		{
			chVERIFY(EjectLib(dwProcessId,szLibFile));
			chMB("DLL注入/撤消成功!");
		} 
		else
			chMB("DLL注入/撤消失败!");

		break;
	}
}


/
//创建远程线程注入DLL
//参数:dwProcessID --进程ID
//  pszLibFile ---要注入的DLL路径(含名称)
BOOL WINAPI InjectLibW(DWORD dwProcessId, PCWSTR pszLibFile)
{
	BOOL bOk = FALSE;//假设注入失败
	HANDLE hProcess = NULL,hThread = NULL;
	PWSTR pszLibFileRemote = NULL;

	__try {
		//获得目标进程句柄
		hProcess = OpenProcess(
		PROCESS_QUERY_INFORMATION |	//需要检索有关进程的某些信息,例如其令牌、退出代码和优先级类
		PROCESS_CREATE_THREAD |		//For CreateRemoteThread
		PROCESS_VM_OPERATION|		//For VirtualAllocEx/VirtualFreeEx
		PROCESS_VM_WRITE,			//For WriteProcessMemory
			FALSE,dwProcessId);
		if (hProcess == NULL) __leave;

		//计算存储DLL路径所需字节数
		int cch = 1 + lstrlenW(pszLibFile);//字符个数,因strlen不含结尾\0,所以加1
		int cb = cch * sizeof(wchar_t);

		//为远程进程分配内存空间
		pszLibFileRemote = (PWSTR)VirtualAllocEx(hProcess, NULL, cb, MEM_COMMIT, PAGE_READWRITE);
		if (pszLibFileRemote == NULL) __leave;

		//复制DLL路径到远程进程的内存中
		if (!WriteProcessMemory(hProcess, pszLibFileRemote,
			(PVOID)pszLibFile, cb, NULL)) __leave;

		//获取LoadLibraryW在Kernel32.dll中的地址
		//LPTHREAD_START_ROUTINE 函数指针,该函数通知宿主某个线程已开始执行。
		PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE)//指向一个函数,该函数通知宿主某个线程已开始执行
			GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryW");

		if (pfnThreadRtn == NULL) __leave;

		//创建远程线程调用LoadLibraryW
		hThread = CreateRemoteThread(hProcess, NULL, 0, 
			pfnThreadRtn,		//LoadLibraryW(远程进程地址空间中)
			pszLibFileRemote,	//Dll路径名(远程进程地址空间中)
			0, NULL);//立即执行

		if (hThread == NULL) __leave;

		//等待远程线程结束
		WaitForSingleObject(hThread,INFINITE);
		bOk = TRUE;  //注入成功
	}
	__finally {
		//释放用于保存Dll路径名称的内存
		if (pszLibFileRemote != NULL)
			VirtualFreeEx(hProcess, pszLibFileRemote, 0, MEM_RELEASE);
		
		if (hThread != NULL)
			CloseHandle(hThread);
		
		if (hProcess != NULL)
			CloseHandle(hProcess);
		
	}
	return (bOk);

}

BOOL WINAPI InjectLibA(DWORD dwProcessId, PCSTR pszLibFile)
{
	//分配一个栈内存(无需手动释放),用于存储Unicode版本的路径名
	SIZE_T cchSize = lstrlenA(pszLibFile) + 1;//字符个数,含'\0'
	PWSTR pszLibFileW = (PWSTR)_alloca(cchSize * sizeof(wchar_t));

	//将ANSI路径转换为等价的UNICODE
	StringCchPrintfW(pszLibFileW, cchSize, L"%s", pszLibFile);
	return InjectLibW(dwProcessId, pszLibFileW);
}

///
//将DLL从进程地址空间中撤销
//先根据DLL文件名,在进程加载的模块中查找是否该DLL己被加载
//如果被加载,记下这个DLL的句柄。然后创建远程线程去调用FreeLibrary卸载
BOOL WINAPI EjectLibW(DWORD dwProcessId, PCWSTR pszLibFile)
{
	BOOL bOk = FALSE;//假定撤销失败
	HANDLE hthSnapshot = NULL;
	HANDLE hProcess = NULL, hThread = NULL;
	__try
	{
		//抓取进程快照
		hthSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,//指定进程中加载的所有模块
			dwProcessId);
		if (hthSnapshot == INVALID_HANDLE_VALUE) __leave;

		//获得Unicode版本的目标DLL库句柄
		MODULEENTRY32W me = {sizeof(me)};
		BOOL bFound = FALSE;
		BOOL bMoreMods = Module32FirstW(hthSnapshot, &me);//Unicode版本
		for (;bMoreMods;bMoreMods = Module32NextW(hthSnapshot,&me))
		{
			bFound = (_wcsicmp(me.szModule,pszLibFile) == 0) || 
				(_wcsicmp(me.szExePath,pszLibFile) == 0);
			if(bFound)
				break;
		}
		if (!bFound) __leave;

		//获得目标进程的句柄
		hProcess = OpenProcess(
			PROCESS_QUERY_INFORMATION |
			PROCESS_CREATE_THREAD |
			PROCESS_VM_OPERATION ,
			FALSE, dwProcessId);
		if (hProcess == NULL) __leave;

		//获取FreeLibraray在Kernel32.dll中的地址
		PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE)
			GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "FreeLibrary");
		if(pfnThreadRtn == NULL) __leave;

		//创建远程线程
		hThread = CreateRemoteThread(hProcess,
			NULL, 0,
			pfnThreadRtn,
			me.modBaseAddr,
			0, NULL);
		if (hThread == NULL) __leave;

		//等待远程线程结束
		WaitForSingleObject(hThread, INFINITE);
		bOk = TRUE;  //撤销成功
	}
	__finally
	{
		if (hthSnapshot != NULL)
			CloseHandle(hthSnapshot);
		if (hThread != NULL)
			CloseHandle(hThread);
		if (hProcess != NULL)
			CloseHandle(hProcess);
	}

	return bOk;
}

BOOL WINAPI EjectLibA(DWORD dwProcessId, PCSTR pszLibFile)
{
	//分配一个栈内存(无需手动释放),用于存储Unicode版本的路径名
	SIZE_T cchSize = lstrlenA(pszLibFile) + 1;//字符个数,含'\0'
	PWSTR pszLibFileW = (PWSTR)_alloca(cchSize * sizeof(wchar_t));

	//将ANSI路径转换为等价的UNICODE
	StringCchPrintfW(pszLibFileW, cchSize, L"%s", pszLibFile);
	return EjectLibW(dwProcessId, pszLibFileW);
}
zhyjhacker
关注
  • 5
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows核心编程》读书笔记二十二章 DLL注入和API拦截
sesiria的博客
12-18 2441
第22章  DLL注入和API拦截 本章内容 22.1 DLL注入的一个例子 22.2 使用注册表来注入DLL 22.3 使用Windows挂钩来注入DLL 22.4 使用远程线程来注入DLL 22.5 使用木马DLL注入DLL 22.6 把DLL作为调试器来注入 22.7 使用CreateProcess来注入代码 22.8 API拦截的例子 通常在操作系统
Windows 核心编程之Dll注入
软件开发
08-05 1172
下面写了一个是注册表编辑器DLL注入代码,读取的是右边SysListView 控件的例子 有什么不懂得可以提问,有时间一定解答 DLL 代码 对话框的资源,自己添加! xx.h // The following ifdef block is the standard way of creating macros which make exporting // from a DLL sim
dll高级技术--动态注入ImgWalk动态库,这个DLL用来检测注入进程当前载入的各个模块名称---DLL程序
最新发布
zhyjhacker的博客
09-01 85
dll高级技术–动态注入ImgWalk动态库,这个DLL用来检测注入进程当前载入的各个模块名称DLL程序
[笔记]Windows核心编程《二十二》注入DLL和拦截API
二次元怪兽的博客
02-26 1605
文章目录前言一、插入DLL:一个例子二、使用注册表来插入DLL三、使用Windows挂钩来插入DLL四、使用远程线程来插入DLL4.1 Inject Library示例应用程序4.2 Image Walk DLL五、使用特洛伊DLL来插入DLL六、将DLL作为调试程序来插入七、用Windows 98上的内存映射文件插入代码八、用CreateProcess插入代码九、挂接A P I的一个示例9.1 通过改写代码来挂接API、9.2 通过操作模块的输入节来挂接API9.3 LastMsgBoxInfo示例应用程
WINDWOS 系统进程DLL文件注入
songjuron的专栏
07-12 3686
 WINDOWS 系统进程DLL文件注入。网上资料多如牛毛。我在这边只是做一个学习笔记作用。   因为最近有工作需要修改windows系统的程序。所以拿起windows系统核心编程来看。需要掌握的知识点比较多。所以做份笔记拾零捕遗。       修改windows本来的程序需要掌握三个知识点。       1:DLL注入。       2:API拦截       3:windo
:木马编程相关杂谈
天蓝的专栏
08-31 1163
 我写了这样一个Windows下的程序,服务器端没有进程,没有端口,开机自动运行,可以接收客户端发来的文件并执行文件。只有不被发现的木马才能长寿。木马能接收文件并且执行文件,就可以干任何事。比如搜集系统的信息,只要传一个搜集系统信息的程序,并且执行。其他各种需要的功能也可以写成相应的程序,发送并且执行。   隐藏进程   也就是为了在Win2KWindows 任务管理器看不到。把木马程
temp10
09-03 336
编程实例:木马编程相关杂谈 http://www.hackbase.com 2007-7-26 黑客基地  我写了这样一个Windows
木马编程相关杂谈[转载]
我的win32 api之旅
03-28 1193
木马编程相关杂谈       作者: JIURL     我写了这样一个Windows下的程序,服务器端没有进程,没有端口,开机自动运行,可以接收客户端发来的文件并执行文件。只有不被发现的木马才能长寿。木马能接收文件并且执行文件,就可以干任何事。比如搜集系统的信息,只要传一个搜集系统信息的程序,并且执行。其他各种需要的功能也可以写成相应的程序,发送并且执行。      隐藏进程     也就是为了
VC++6.0编译环境介绍
fengge5320的专栏
09-21 767
VC++6.0编译环境介绍 这篇文章挺不错,详细介绍了VC++这个软件的情况^_^(点击打开链接) 大家可能一直在用 VC开发软件,但是对于这个编译器却未必很了解。原因是多方面的。大多数情况下,我们只停留在“使用”它,而不会想去“了解”它。因为它只是一个工具,我们宁可把更多的精力放在C++语言和软件设计上。我们习惯于这样一种“模式”:建立一个项目,然后写代码,然后编译,反反复复调试。
Windows核心编程》PASCAL例子.rar
07-10
Windows核心编程》PASCAL例子,源码下载,01-ErrorShow、04-ProcessInfo、07-SchedLab、Queue、DIPSLib、-ImgWalk、AppInst、Spreadsheet、CopyData、VMAlloc、VMAlloc、-VMStat、TimedMsgBox。
超经典dll例程源码
10-16
在本例程,我们关注的是"ImgWalk.cpp"这个源代码文件,它是实现DLL功能的关键模块。作者Jeffrey Richter和Christophe Nasarre为我们展示了如何在Visual Studio 2005环境下编写和使用DLL。 首先,让我们深入了解`...
C语言基础(二十一)
wehpd的博客
08-27 1215
数据结构与算法之链表
Java—可变参数、不可变集合
向上的咸鱼blueblue的博客
08-27 860
本文介绍了Java有关可变参数、不可变集合的相关内容。
C++:模拟实现list
2301_80894970的博客
08-31 792
上篇文章简单介绍了list的接口使用,那么这篇文章将通过模拟实现list以及常用接口来更好的去理解list类,观看本章前将默认读者对链表的数据结构有初步的了解。list在库里是一个带哨兵位的双向循环的链表结构,并且list是一个类模板并不是一个指定的类型,所以在模拟实现时需要写成模板。
十二、集合
weixin_44063529的博客
08-31 649
这篇文章是关于Java集合框架的详细介绍,包括集合的概念、好处,以及集合框架的结构。文章深入探讨了Collection接口及其子接口List和Set的实现类,如ArrayList、LinkedList、HashSet等,并分析了它们的内部结构和使用场景。同时,也涵盖了Map接口的实现和Collections工具类的使用。文章通过代码示例和源码分析,帮助读者理解Java集合的工作原理,以及如何在实际开发选择合适的集合类。
List<String> 和 ArrayList<String>的区别
qq_54867493的博客
08-27 502
这种形式实际上是一种向上转型(upcasting)的体现,ArrayList 实现了 List 接口,可以看成是从 List 继承而来,一个子类的对象可以指向它父类。直接这样写没有问题,但是不够灵活,不推荐。因为 List 下除了 ArrayList 还有 LinkList 等他们都实现了List里面的方法。的形式使得 list 这个对象可以有。这样就list对象就会更加灵活。
ArrayList与顺序表
qq_66333706的博客
08-27 1300
在集合框架,ArrayList是一个普通的类,实现了List接口,具体框架图如下:
数组,集合流式互转
m0_50973548的博客
08-31 226
List在Java,数组和集合(ListMapSet)之间可以通过流(Stream)进行相互转换。下面列举一些常见的转换操作示例。基本流程:(过滤器可无,必需的是转stream和收集器)集合对象.stream().filter(lambda return boolean).collect( Collectors.to你要的集合() );如果转map的话要传lambda,指定什么当key什么当value数组的话要用工具类转stream。
海康二次开发学习笔记9-通讯触发及模块列表获取
风凌的博客
08-31 391
获取流程所有模块模块名,添加下拉框用于显示模块名。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值