前言

这几天在弄进程注入的事情,一直做不出来直接的进程注入,也就是不要dll的注入。因为dll注入据说容易触发杀软,但是弄了两天没弄出来。代码明明不报错,目标进程一旦注入就崩溃,完全没有提示信息,windows日志也没有什么有价值的线索。所以今天就尝试了dll注入,结果一次成功了。。。

前提

  • 进程间内存独立

运行在安全模式下的Windows,每个进程的内存空间都是独立的,互相不能访问彼此,所以代码注入才是一件比较麻烦的事情

  • 所有进程中 kernel32.dll地址相同

每个进程都会加载kernel32.dll,并且在那些进程中,这个库的地址都是一样的

原理

dll注入主要分为如下几个步骤

  • 提权:如果不提权的话,进程列表中很多进程是打不开的,并且可能获取不到PROCESS_ALL_ACCESS权限
  • 获取PID:这部分不是必须的,但是PID每次运行都不一样,所以最好能获取,这里通过CreateToolhelp32Snapshot()函数获取进程,遍历结果之后得到对应的PID
  • 打开进程:通过OpenProcess()函数打开进程,同时指定权限是PROCESS_ALL_ACCESS权限,否则后面操作会失败,如果要获取这个权限就得先提权
  • 通过VirtualAllocEx()函数在目标进程中申请内存,然后用WriteProcessMemory()函数将LoadLibraey()函数的参数准备好写入到内存中
  • 通过LoadLibrary()函数加载kernel32.dll,实际上进程都会加载这个,第二次加载似乎直接获取模块句柄了。
  • 通过GetProcAddress()函数获取到LoadLibraryW()函数的地址,因为kernel32.dll在所有进程中的地址都相同,所以,在本进程中获取的函数地址在目标进程中也是那个函数
  • 通过CreateRemoteThread()函数在目标进程中创建一个线程,执行LoadLibraryW()函数载入自己的dll

代码

  • 注入代码
#include <windows.h>

#include <iostream>

#include <tlhelp32.h>

using namespace std;

DWORD GetPidByName(LPCWSTR lpName)

{

	HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);

	if (!hSnap)

	{

		cout << "创建进程快照失败" << endl;

		return 0;

	}

	PROCESSENTRY32 pe;

	pe.dwSize = sizeof(PROCESSENTRY32);

	Process32First(hSnap, &pe);

	do

	{

		if (!_wcsicmp(lpName, pe.szExeFile))

		{

			return pe.th32ProcessID;

		}

	} while (Process32Next(hSnap,&pe));

	return 0;

}

// 提权

int EnableDebugPrivilege()

{

	HANDLE token;

	TOKEN_PRIVILEGES tp;

	// 打开进程令牌环

	if (!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &token))

	{

		cout << "打开进程令牌失败" << endl;

		return 0;

	}

	//  获取进程本地唯一ID

	LUID luid;

	if (!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &luid))

	{

		cout << "获取LUID失败" << endl;

		return 0;

	}

	tp.PrivilegeCount = 1;

	tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

	tp.Privileges[0].Luid = luid;

	// 调整进程权限

	if (!AdjustTokenPrivileges(token, 0, &tp, sizeof(TOKEN_PRIVILEGES), NULL, NULL))

	{

		cout << "提权失败" << endl;

		return 0;

	}

	return 1;

}

int main()

{

	if (!EnableDebugPrivilege())

	{

		cout << "提权失败"<<endl;

		return 0;

	}

	DWORD dwTargetPid = GetPidByName(L"notepad.exe");

	if (!dwTargetPid)

	{

		cout << "获取PID失败" << endl;

		return 0;

	}

	cout << "PID: " << dwTargetPid << endl;

	// 打开进程

	HANDLE hTarget = OpenProcess(PROCESS_ALL_ACCESS,false,dwTargetPid);

	if (!hTarget)

	{

		cout << "打开进程失败"<<GetLastError() << endl;

		return 0;

	}

	void* pLoadLibFuncParam = nullptr;

	pLoadLibFuncParam = VirtualAllocEx(hTarget,0,4096,MEM_COMMIT|MEM_RESERVE,PAGE_READWRITE);

	if (pLoadLibFuncParam == nullptr)

	{

		cout << "申请内存失败" << endl;

		CloseHandle(hTarget);

		return 0;

	}

	LPCTSTR lpParam = L"D:\\1.dll";

	if (!WriteProcessMemory(hTarget, pLoadLibFuncParam, (LPCVOID)lpParam, (wcslen(lpParam)+1)*sizeof(TCHAR), NULL))

	{

		cout << "写入内存失败" << endl;

		CloseHandle(hTarget);

		return 0;

	}

	HMODULE hNtdll = LoadLibrary(L"kernel32.dll");

	if (!hNtdll)

	{

		cout << "加载模块错误" <<GetLastError()<< endl;

		CloseHandle(hTarget);

		return 0;

	}

	cout << "模块句柄: " << hNtdll << endl;

	void* pLoadLibrary = nullptr;

	pLoadLibrary = GetProcAddress(hNtdll, "LoadLibraryW");

	if (pLoadLibrary == nullptr)

	{

		cout << "找不到函数" << endl;

		CloseHandle(hTarget);

		return 0;

	}

	cout << "函数地址: " << pLoadLibrary << endl;

	DWORD dwThreadId = 0;

	HANDLE hRemoteThread = CreateRemoteThread(hTarget, NULL, 0, (LPTHREAD_START_ROUTINE)pLoadLibrary, (LPVOID)pLoadLibFuncParam, 0,&dwThreadId);

	if (!hRemoteThread)

	{

		cout << "创建进程失败" << endl;

		CloseHandle(hTarget);

		return 0;

	}

	cout<<"运行结束"<< hRemoteThread <<endl;

	getchar();

	getchar();

	CloseHandle(hTarget);

	return 0;

}
  • DLL中的代码

代码编译之后,放到D:\1.dll的位置

DWORD WINAPI ThreadProc()

{

    MessageBox(NULL,L"我已成功打入敌人内部 By Startu",L"报告首长",0);

    return 0;

}

BOOL APIENTRY DllMain( HMODULE hModule,

                       DWORD  ul_reason_for_call,

                       LPVOID lpReserved

                     )

{

    switch (ul_reason_for_call)

    {

    case DLL_PROCESS_ATTACH:

        CreateThread(NULL,0, (LPTHREAD_START_ROUTINE)ThreadProc,NULL,0,NULL);

        break;

    case DLL_THREAD_ATTACH:

    case DLL_THREAD_DETACH:

    case DLL_PROCESS_DETACH:

        break;

    }

    return TRUE;

}

一些问题

  • 为什么是LoadLibraryW()

我最开始获取的函数是LoadLibrary()函数,但是实际上这个函数并不存在,这个只是一个宏,在windows中,有两个函数LoadLibraryW()LoadLibraryA()分别用于,不同的编码

  • 为什么需要在目标进程中申请地址存放参数

当代码被注入到目标进程之后,实际上这段代码算是目标进程的,如果直接传入参数的本质是传入地址,直接在本进程中传入地址,

  • 调试问题

dll中的代码,所有的printf() 或者 cout的输出都看不到,曾经我诧异了很久,直到突然想起来,这里的输出都应该是由宿主程序输出的,但是宿主程序没有控制台,所以就看不到了。这种时候 MessageBox()就要用到了。另外,通过 命令行rundll32 1.dll func的方式可以加载dll,执行里面的函数

[C++] 进程注入dll版的更多相关文章

  1. windows目标进程注入dll

    在别的程序注入dll 步骤: ,获取目标进程ID,CreateToolhelp32Snapshot()函数; ,获取目标进程句柄,OpenProcess()函数; ,目标进程要一块内存,Virtual ...

  2. Wow64(32位进程)注入DLL到64位进程

    转载自: https://blog.poxiao.me/p/wow64-process-inject-dll-into-x64-process/ 向其他进程注入DLL通常的做法是通过调用CreateR ...

  3. 《windows核心编程系列》十九谈谈使用远程线程来注入DLL。

    windows内的各个进程有各自的地址空间.它们相互独立互不干扰保证了系统的安全性.但是windows也为调试器或是其他工具设计了一些函数,这些函数可以让一个进程对另一个进程进行操作.虽然他们是为调试 ...

  4. Windows x86/ x64 Ring3层注入Dll总结

    欢迎转载,转载请注明出处:http://www.cnblogs.com/uAreKongqi/p/6012353.html 0x00.前言 提到Dll的注入,立马能够想到的方法就有很多,比如利用远程线 ...

  5. 详细解读:远程线程注入DLL到PC版微信

    一.远程线程注入的原理 1.其基础是在 Windows 系统中,每个 .exe 文件在双击打开时都会加载 kernel32.dll 这个系统模块,该模块中有一个 LoadLibrary() 函数,可以 ...

  6. 分析恶意驱动(进程启动apc注入dll)

    一.前言  用IDA也有好些时间了,以前就只会用F5功能玩无壳无保护的裸驱动,感觉太坑了,这两天就开始看网上大牛的逆向. 今天记录一下sudami曾经逆向过的fuck.sys.第一遍自己走的时候漏掉了 ...

  7. Hook任务栏时钟窗口(原理其实很简单,就是注入DLL到时钟窗口进程(explorer.exe))

    用过一些日历软件的小伙伴应该都知道它们都实现了在时钟窗口上的Hook,也就是屏蔽了系统原有的功能,实现自己的功能 某日历软件Hook时钟窗口后的效果 经过一番研究,发现原理其实很简单,就是注入DLL到 ...

  8. 微信 电脑版 HOOK(WeChat PC Hook)- 远程线程注入dll原理

    Windows加载dll的特性 1.Windows系统中,每个exe软件运行的时候,会加载系统模块kernel32.dll 2.所有加载进exe软件的系统模块kernel32.dll,内存地址都是一样 ...

  9. 通过修改EIP寄存器实现强行跳转并且注入DLL到目标进程里

    /* 描述 功能:通过修改EIP寄存器实现32位程序的DLL注入(如果是64位,记得自己对应修改汇编代码部分) 原理: 挂起目标进程,停止目标进程EIP的变换,在目标进程开启空间,然后把相关的指令机器 ...

  10. 使用远程线程来注入DLL

    使用远程线程来注入DLL DLL注入技术要求我们目标进程中的一个线程调用LoadLibrary来载入我们想要的DLL (1)用OpenProcess函数打开目标进程(2)用VirtualAllocEx ...

随机推荐

  1. 【笔记】grafana v8.4.2 中如何设置曲线图的双坐标轴

    作者:张富春(ahfuzhang),转载时请注明作者和引用链接,谢谢! cnblogs博客 zhihu 公众号:一本正经的瞎扯 这个话题当然很久就有人研究过了,只不过版本已经很老了,不适合新版本. 1 ...

  2. vim 从嫌弃到依赖(22)——自动补全

    这篇文章我们将讨论 vim 自带的自动补全功能.当然,针对自动补全功能有许多好用的插件,但是了解vim自带的功能有助于我们更好的用来插件的补全功能.因为我见过有的配置文件将插件的功能配置的比原有的更难 ...

  3. 【5】数据可视化pygal,画出美观的图表

    相关文章: 全网最详细超长python学习笔记.14章节知识点很全面十分详细,快速入门,只用看这一篇你就学会了! [1]windows系统如何安装后缀是whl的python库 [2]超级详细Pytho ...

  4. Flask 框架:运用SocketIO实现WebSSH

    Flask 框架中如果想要实现WebSocket功能有许多种方式,运用SocketIO库来实现无疑是最简单的一种方式,Flask中封装了一个flask_socketio库该库可以直接通过pip仓库安装 ...

  5. Intel Arrow Lake处理器还是8+16 24核心:接口换LGA1851

    Intel已经确认,将在今年内发布未来两代处理器Arrow Lake.Lunar Lake,其中前者将弥补Meteor Lake的不足,同时用于笔记本.桌面.服务器,现在它的核心规格流出了. 这份曝光 ...

  6. PHP利用MySQLi函数连接数据库

    PHP利用MySQLi函数连接数据库 一.连接数据库 mysqli_connect # 注意抑制符的使用 $link = @mysqli_connect('localhost','root','roo ...

  7. SpringBoot + LiteFlow:轻松应对复杂业务逻辑,简直不要太香!

    LiteFlow简介 LiteFlow是什么? LiteFlow是一款专注于逻辑驱动流程编排的轻量级框架,它以组件化方式快速构建和执行业务流程,有效解耦复杂业务逻辑.通过支持热加载规则配置,开发者能够 ...

  8. 小知识:PDML的注意事项补充

    关于PDML,之前在 并行,想说爱你不容易中的第一节就介绍过,今天在客户现场协助测试时又遇到几个有关PDML的问题,都蛮典型的,记录一下: 问题1:某存储过程报错ORA-12839. 查看该错误号说明 ...

  9. 《ASP.ENT Core 与 RESTful API 开发实战》-- (第4章)-- 读书笔记(下)

    第 4 章 资源操作 4.5 创建资源 由于创建资源的 Id 会在服务端生成,因此在创建资源时,不建议使用与获取数据时相同的 DTO,而要单独创建一个新的 DTO 类,并通过数据注解特性对相应 的属性 ...

  10. NodeJs web项目框架Express笔记

    安装 以下都使用Yarn进行. 环境前提: 已经安装NodeJS(及自带的npm), 已经安装Yarn # 全局安装 yarn global add express-generator@4 #查看版本 ...