DLL注入就是将dll粘贴到指定的进程空间中,通过dll状态触发目标事件

DLL注入的大概流程

https://uploader.shimo.im/f/CXFwwkEH6FPM0rtT.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUxNDc0MzAsImciOiJZUXRDRHBXVlJXamRKVjloIiwiaWF0IjoxNjM1MTQ3MTMwLCJ1c2VySWQiOjY5NDQ5MzgzfQ.HwHDdkHUMmhzDbU4xVTOauaQnL9Kxap6PdA19WOYoy0

DLL使用

必备函数

HINSTANCE LoadLibrary(

LPCTSTR lpLibFileName);

返回值】成功则返回模块句柄,失败返回NULL

流程

  • 创建一个DLL项目

    DLL代码 
    // dllmain.cpp : 定义 DLL 应用程序的入口点。
    
#include "pch.h"
    
#include<windows.h>
    
BOOL APIENTRY DllMain( HMODULE hModule,
    
					   DWORD  ul_reason_for_call,
    
					   LPVOID lpReserved
    
					 )
    
{
    
	switch (ul_reason_for_call)
    
	{
    
	case DLL_PROCESS_ATTACH: {
    
		MessageBox(NULL,TEXT("Hacker"),TEXT("DLL Inject"),MB_OK);
    
		HANDLE hThread = CreateThread(NULL, 0, ThreadProc, NULL, 0, NULL);
    
		CHAR ErrorCode[100];
    
		sprintf(ErrorCode,"%d",(int)GetLastError());
    
		MessageBox(NULL, (LPCWSTR)ErrorCode, TEXT("DLL Inject"), MB_OK);
    
		if (hThread) {
    
			MessageBox(NULL, TEXT("Success"), TEXT("DLL Inject"), MB_OK);
    
			CloseHandle(hThread);
    
		}
    
		break;
    
	}
    
	case DLL_THREAD_ATTACH:
    
	case DLL_THREAD_DETACH:
    
	case DLL_PROCESS_DETACH:
    
		break;
    
	}
    
	return TRUE;
    
}

  • 通过LoadLibrary动态调用DLL

    关键代码

    	HANDLE hModule = ::LoadLibrary("injectDll.dll");

  • 获取DLL中的函数

    FARPROC GetProcAddress(
    
HMODULE hModule,
    
LPCWSTR lpProcName);
    
Parameters

    将模块句柄和函数名传入,成功则返回目标函数句柄,失败返回NULL

远程线程注入

必备函数

	HANDLE CreateRemoteThread(

	  HANDLE hProcess,                          // handle to process

	  LPSECURITY_ATTRIBUTES lpThreadAttributes, // SD

	  SIZE_T dwStackSize,                       // initial stack size

	  LPTHREAD_START_ROUTINE lpStartAddress,    // thread function

	  LPVOID lpParameter,                       // thread argument

	  DWORD dwCreationFlags,                    // creation option

	  LPDWORD lpThreadId                        // thread identifier

	);


	//向指定进程的指定空间写入数据

	BOOL WriteProcessMemory(

	HANDLE hProcess,

	LPVOID lpBaseAddress,

	LPVOID lpBuffer,

	DWORD nSize,

	LPDWORD lpNumberOfBytesWritten );


```

//在指定进程中申请一片内存

LPVOID VirtualAllocEx(

  HANDLE hProcess,          // process to allocate memory

  LPVOID lpAddress,         // desired starting address

  SIZE_T dwSize,            // size of region to allocate

  DWORD flAllocationType,   // type of allocation

  DWORD flProtect           // type of access protection

);

```

```

// remoteInjectDLLTEST.cpp : Defines the entry point for the console application.

//

#include "stdafx.h"

#include<windows.h>

#include<cstdio>

VOID ShowError(PCHAR msg)

{

	printf("%s Error --Code:%d\n", msg, GetLastError());

}

BOOL InjectDll(DWORD dwPid,CHAR szDllName[]){

	HANDLE hProcess = NULL,hRemoteThread = NULL;

	HMODULE hKernel32 = NULL;

	DWORD dwSize = 0;

	LPVOID pDllPathAddr = NULL;

	PVOID pLoadLibraryAddr = NULL;

	BOOL bRet = FALSE;

	hProcess = OpenProcess(PROCESS_ALL_ACCESS,FALSE,dwPid);

	if(hProcess){

		ShowError("OpenProcess");

		bRet = FALSE;

		goto exit;

	}

	//申请DLL名称的内存空间

	dwSize = strlen(szDllName) + 1;

	pDllPathAddr = VirtualAllocEx(hProcess,NULL,dwSize,MEM_COMMIT,PAGE_READWRITE); //在指定的进程中分配内存空间

	{

		ShowError("VirtualAllocEx");

		bRet = FALSE;

		goto exit;

	}

	// 把DLL完整路径名写入进程中

	if (!WriteProcessMemory(hProcess, pDllPathAddr, szDllName, dwSize, NULL))

	{

		ShowError("WriteProcessMemory");

		bRet = FALSE;

		goto exit;

	}

	hKernel32 = LoadLibrary("Kernel32.dll");

	{

		ShowError("LoadLibrary");

		bRet = FALSE;

		goto exit;

	}

	// 获取LoadLibraryA函数地址

	pLoadLibraryAddr = GetProcAddress(hKernel32, "LoadLibraryA");

	if (pLoadLibraryAddr == NULL)

	{

		ShowError("GetProcAddress ");

		bRet = FALSE;

		goto exit;

	}

	//创建远程线程进行DLL注入

	hRemoteThread = CreateRemoteThread(hProcess, NULL, 0,

					  (LPTHREAD_START_ROUTINE)pLoadLibraryAddr,

					   pDllPathAddr, 0, NULL);

	if (hRemoteThread == NULL)

	{

		ShowError("CreateRemoteThread");

		bRet = FALSE;

		goto exit;

	}

exit:

	if(hKernel32) FreeLibrary(hKernel32);

	if(hProcess) CloseHandle(hProcess);

	if(hRemoteThread) CloseHandle(hRemoteThread);

}

void enableDebugPriv()

{

	HANDLE hToken;

	LUID sedebugnameValue;

	TOKEN_PRIVILEGES tkp;

	if (!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))

	{

		return;

	}

	if (!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &sedebugnameValue))

	{

		CloseHandle(hToken);

		return;

	}

	tkp.PrivilegeCount = 1;

	tkp.Privileges[0].Luid = sedebugnameValue;

	tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

	if (!AdjustTokenPrivileges(hToken, FALSE, &tkp, sizeof tkp, NULL, NULL))

	{

		CloseHandle(hToken);

		return;

	}

}

int main(int argc, char* argv[])

{

	enableDebugPriv(); //Inhance Privilege

	InjectDll(788,"E:\\Code\\injectDll\\Release\\injectDll.dll"); //选择需要注入的进程,选中恶意DLL

	return 0;

}

```

【Reverse】DLL注入的更多相关文章

  1. Ring3下的DLL注入(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)

    工具介绍及使用请移步:http://blog.csdn.net/sunflover454/article/details/50441014 本文首发在零日安全论坛:http://www.jmpoep. ...

  2. DLL注入

    最近的项目涉及了软件破解方面的知识,记录一下. 将dll注入另一个进程. // Inject.cpp : Defines the exported functions for the DLL appl ...

  3. [转]Dll注入经典方法完整版

    Pnig0s1992:算是复习了,最经典的教科书式的Dll注入. 总结一下基本的注入过程,分注入和卸载 注入Dll: 1,OpenProcess获得要注入进程的句柄 2,VirtualAllocEx在 ...

  4. 第22章 DLL注入和API拦截(2)

    22.4 使用远程线程来注入DLL 22.4.1 概述 (1)远程线程注入是指一个进程在另一个进程中创建线程,然后载入我们编写的DLL,并执行该DLL代码的技术.其基本思路是通过CreateRemot ...

  5. 第22章 DLL注入和API拦截(1)

    22.1 注入的一个例子(跨进程子类化窗口) ①子类化窗口可以改变窗口的行为,让发往该窗口的消息重新发到我们指定的过程来处理.但这种行为只能在本进程中(如A),对于从一个进程(如B)去子类化另一个进程 ...

  6. DLL注入之注册表

    0x00 唠叨 编写本系列文章纯属为了系统学习DLL注入的方法,所以很多方法可能已经过时,希望各位看官勿喷.当然若有更好的方法,希望不腻赐教.若本文有任何错的地方,也希望各位指正.谢谢! 0x01 适 ...

  7. c++实现dll注入其它进程

    DLL注入技术才具有强大的功能和使用性,同时简单易用,因为DLL中可以实现复杂的功能和很多的技术. 技术要点: 1.宿主进程调用LoadLibrary,就可以完成DLL的远程注入.可以通过Create ...

  8. DLL注入_拦截技术之Hook方式

    后卫大师教你进程注入 首先提一下,由于文章完全是我手写,所以打不了太多,请包含,由于我已经提供了源代码,所以我在这里详细讲一下理论,至于想看代码的下载代码就可以了.代码中关于注入的部分做了详细的注释. ...

  9. 反射Dll注入分析

    (源码作者:(HarmanySecurity)Stephen Fewer) 0x01  反射Dll注入的优点  1.反射Dll注入的主要优点是它没有以主机系统的任何方式(例如LoadLibrary和L ...

随机推荐

  1. LCA-离线tarjan模板

    /* *算法引入: *树上两点的最近公共祖先; *对于有根树的两个结点u,v,最近公共祖先LCA(T,u,v)表示一个结点x,满足x是u,v的祖先且x的深度尽可能大; *对于x来说,从u到v的路径一定 ...

  2. 面试官:熟悉JS中的new吗?能手写实现吗?

    目录 1 new 运算符简介 2 new 究竟干了什么事 3 模拟实现 new 运算符 4 补充 预备知识: 了解原型和原型链 了解this绑定 1 new 运算符简介 MDN文档:new 运算符创建 ...

  3. C 函数指针语法总结

    C 函数指针语法总结 函数指针 定义 每一个函数都占用一段内存单元,它们有一个起始地址,指向函数入口地址的指针称为函数指针. 注意:函数指针的本质是一个指针变量,且指针指向的函数的入口地址. 语法 返 ...

  4. mysql登录遇到ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: NO)

    执行mysql  -uroot  -p,出现如下问题 ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using pass ...

  5. grafan源码编译

    下载grafana源码:https://github.com/grafana/grafana 前端: 安装node.js,安装完自带npmnpm install -g yarnyarn install ...

  6. 大爽Python入门教程 2-5 *拓展实践,对比与思考

    大爽Python入门公开课教案 点击查看教程总目录 本文偏难. 推荐等第一二三四章上完后,回过来拓展阅读. 基础情景思考 假设有这样一张成绩表 最左边的一列是名字,起名麻烦. 这里直接用ABC...来 ...

  7. layui 如果调用 from 内嵌入的 iframe子页面方法

    (人笨,占时想法的办法,不要骂,不要骂,怕了怕了,想到别的会来改的) 父页面; <%@ page language="java" contentType="text ...

  8. Java JDBC 理论笔记

    一.JDBC常用接口.类介绍 JDBC提供对独立于数据库统一的API,用以执行SQL命令.API常用的类.接口如下: DriverManager 管理JDBC驱动的服务类,主要通过它获取Connect ...

  9. [cf559E]Gerald and Path

    将所有线段的端点(即$a_{i}$和$a_{i}\pm l_{i}$)离散,并按照$a_{i}$从小到大排序 定义$f_{i,,j}$表示前$i$条线段在位置$j$之前最多能覆盖的长度(默认覆盖到$j ...

  10. [loj2265]最长上升子序列

    以下内容参考2019年集训队论文<浅谈杨氏矩阵在信息学竞赛中的应用> 1.前置知识 杨表 标准杨表:一张网格图,满足以下条件-- 1.设其有$m$行.第$i$行有$a_{i}$个格子(格子 ...