DLL注入就是将dll粘贴到指定的进程空间中,通过dll状态触发目标事件

DLL注入的大概流程

https://uploader.shimo.im/f/CXFwwkEH6FPM0rtT.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUxNDc0MzAsImciOiJZUXRDRHBXVlJXamRKVjloIiwiaWF0IjoxNjM1MTQ3MTMwLCJ1c2VySWQiOjY5NDQ5MzgzfQ.HwHDdkHUMmhzDbU4xVTOauaQnL9Kxap6PdA19WOYoy0

DLL使用

必备函数

HINSTANCE LoadLibrary(

LPCTSTR lpLibFileName);

返回值】成功则返回模块句柄,失败返回NULL

流程

  • 创建一个DLL项目

    DLL代码 
    // dllmain.cpp : 定义 DLL 应用程序的入口点。
    
#include "pch.h"
    
#include<windows.h>
    
BOOL APIENTRY DllMain( HMODULE hModule,
    
					   DWORD  ul_reason_for_call,
    
					   LPVOID lpReserved
    
					 )
    
{
    
	switch (ul_reason_for_call)
    
	{
    
	case DLL_PROCESS_ATTACH: {
    
		MessageBox(NULL,TEXT("Hacker"),TEXT("DLL Inject"),MB_OK);
    
		HANDLE hThread = CreateThread(NULL, 0, ThreadProc, NULL, 0, NULL);
    
		CHAR ErrorCode[100];
    
		sprintf(ErrorCode,"%d",(int)GetLastError());
    
		MessageBox(NULL, (LPCWSTR)ErrorCode, TEXT("DLL Inject"), MB_OK);
    
		if (hThread) {
    
			MessageBox(NULL, TEXT("Success"), TEXT("DLL Inject"), MB_OK);
    
			CloseHandle(hThread);
    
		}
    
		break;
    
	}
    
	case DLL_THREAD_ATTACH:
    
	case DLL_THREAD_DETACH:
    
	case DLL_PROCESS_DETACH:
    
		break;
    
	}
    
	return TRUE;
    
}

  • 通过LoadLibrary动态调用DLL

    关键代码

    	HANDLE hModule = ::LoadLibrary("injectDll.dll");

  • 获取DLL中的函数

    FARPROC GetProcAddress(
    
HMODULE hModule,
    
LPCWSTR lpProcName);
    
Parameters

    将模块句柄和函数名传入,成功则返回目标函数句柄,失败返回NULL

远程线程注入

必备函数

	HANDLE CreateRemoteThread(

	  HANDLE hProcess,                          // handle to process

	  LPSECURITY_ATTRIBUTES lpThreadAttributes, // SD

	  SIZE_T dwStackSize,                       // initial stack size

	  LPTHREAD_START_ROUTINE lpStartAddress,    // thread function

	  LPVOID lpParameter,                       // thread argument

	  DWORD dwCreationFlags,                    // creation option

	  LPDWORD lpThreadId                        // thread identifier

	);


	//向指定进程的指定空间写入数据

	BOOL WriteProcessMemory(

	HANDLE hProcess,

	LPVOID lpBaseAddress,

	LPVOID lpBuffer,

	DWORD nSize,

	LPDWORD lpNumberOfBytesWritten );


```

//在指定进程中申请一片内存

LPVOID VirtualAllocEx(

  HANDLE hProcess,          // process to allocate memory

  LPVOID lpAddress,         // desired starting address

  SIZE_T dwSize,            // size of region to allocate

  DWORD flAllocationType,   // type of allocation

  DWORD flProtect           // type of access protection

);

```

```

// remoteInjectDLLTEST.cpp : Defines the entry point for the console application.

//

#include "stdafx.h"

#include<windows.h>

#include<cstdio>

VOID ShowError(PCHAR msg)

{

	printf("%s Error --Code:%d\n", msg, GetLastError());

}

BOOL InjectDll(DWORD dwPid,CHAR szDllName[]){

	HANDLE hProcess = NULL,hRemoteThread = NULL;

	HMODULE hKernel32 = NULL;

	DWORD dwSize = 0;

	LPVOID pDllPathAddr = NULL;

	PVOID pLoadLibraryAddr = NULL;

	BOOL bRet = FALSE;

	hProcess = OpenProcess(PROCESS_ALL_ACCESS,FALSE,dwPid);

	if(hProcess){

		ShowError("OpenProcess");

		bRet = FALSE;

		goto exit;

	}

	//申请DLL名称的内存空间

	dwSize = strlen(szDllName) + 1;

	pDllPathAddr = VirtualAllocEx(hProcess,NULL,dwSize,MEM_COMMIT,PAGE_READWRITE); //在指定的进程中分配内存空间

	{

		ShowError("VirtualAllocEx");

		bRet = FALSE;

		goto exit;

	}

	// 把DLL完整路径名写入进程中

	if (!WriteProcessMemory(hProcess, pDllPathAddr, szDllName, dwSize, NULL))

	{

		ShowError("WriteProcessMemory");

		bRet = FALSE;

		goto exit;

	}

	hKernel32 = LoadLibrary("Kernel32.dll");

	{

		ShowError("LoadLibrary");

		bRet = FALSE;

		goto exit;

	}

	// 获取LoadLibraryA函数地址

	pLoadLibraryAddr = GetProcAddress(hKernel32, "LoadLibraryA");

	if (pLoadLibraryAddr == NULL)

	{

		ShowError("GetProcAddress ");

		bRet = FALSE;

		goto exit;

	}

	//创建远程线程进行DLL注入

	hRemoteThread = CreateRemoteThread(hProcess, NULL, 0,

					  (LPTHREAD_START_ROUTINE)pLoadLibraryAddr,

					   pDllPathAddr, 0, NULL);

	if (hRemoteThread == NULL)

	{

		ShowError("CreateRemoteThread");

		bRet = FALSE;

		goto exit;

	}

exit:

	if(hKernel32) FreeLibrary(hKernel32);

	if(hProcess) CloseHandle(hProcess);

	if(hRemoteThread) CloseHandle(hRemoteThread);

}

void enableDebugPriv()

{

	HANDLE hToken;

	LUID sedebugnameValue;

	TOKEN_PRIVILEGES tkp;

	if (!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))

	{

		return;

	}

	if (!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &sedebugnameValue))

	{

		CloseHandle(hToken);

		return;

	}

	tkp.PrivilegeCount = 1;

	tkp.Privileges[0].Luid = sedebugnameValue;

	tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

	if (!AdjustTokenPrivileges(hToken, FALSE, &tkp, sizeof tkp, NULL, NULL))

	{

		CloseHandle(hToken);

		return;

	}

}

int main(int argc, char* argv[])

{

	enableDebugPriv(); //Inhance Privilege

	InjectDll(788,"E:\\Code\\injectDll\\Release\\injectDll.dll"); //选择需要注入的进程,选中恶意DLL

	return 0;

}

```

【Reverse】DLL注入的更多相关文章

  1. Ring3下的DLL注入(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)

    工具介绍及使用请移步:http://blog.csdn.net/sunflover454/article/details/50441014 本文首发在零日安全论坛:http://www.jmpoep. ...

  2. DLL注入

    最近的项目涉及了软件破解方面的知识,记录一下. 将dll注入另一个进程. // Inject.cpp : Defines the exported functions for the DLL appl ...

  3. [转]Dll注入经典方法完整版

    Pnig0s1992:算是复习了,最经典的教科书式的Dll注入. 总结一下基本的注入过程,分注入和卸载 注入Dll: 1,OpenProcess获得要注入进程的句柄 2,VirtualAllocEx在 ...

  4. 第22章 DLL注入和API拦截(2)

    22.4 使用远程线程来注入DLL 22.4.1 概述 (1)远程线程注入是指一个进程在另一个进程中创建线程,然后载入我们编写的DLL,并执行该DLL代码的技术.其基本思路是通过CreateRemot ...

  5. 第22章 DLL注入和API拦截(1)

    22.1 注入的一个例子(跨进程子类化窗口) ①子类化窗口可以改变窗口的行为,让发往该窗口的消息重新发到我们指定的过程来处理.但这种行为只能在本进程中(如A),对于从一个进程(如B)去子类化另一个进程 ...

  6. DLL注入之注册表

    0x00 唠叨 编写本系列文章纯属为了系统学习DLL注入的方法,所以很多方法可能已经过时,希望各位看官勿喷.当然若有更好的方法,希望不腻赐教.若本文有任何错的地方,也希望各位指正.谢谢! 0x01 适 ...

  7. c++实现dll注入其它进程

    DLL注入技术才具有强大的功能和使用性,同时简单易用,因为DLL中可以实现复杂的功能和很多的技术. 技术要点: 1.宿主进程调用LoadLibrary,就可以完成DLL的远程注入.可以通过Create ...

  8. DLL注入_拦截技术之Hook方式

    后卫大师教你进程注入 首先提一下,由于文章完全是我手写,所以打不了太多,请包含,由于我已经提供了源代码,所以我在这里详细讲一下理论,至于想看代码的下载代码就可以了.代码中关于注入的部分做了详细的注释. ...

  9. 反射Dll注入分析

    (源码作者:(HarmanySecurity)Stephen Fewer) 0x01  反射Dll注入的优点  1.反射Dll注入的主要优点是它没有以主机系统的任何方式(例如LoadLibrary和L ...

随机推荐

  1. cf14D Two Paths(树的直径)

    题意: N个点构成一棵树.树枝的长度都是1. 在当中找两条不相交[没有公共点]的路,使得二者长度之积最大. (2 ≤ n ≤ 200) 思路: 一开始思路好麻烦,好麻烦,好麻烦,,,,,,,而且WA, ...

  2. hdu 2795 Billboard(单点更新,区间查询)

    题意: h*w的白板. 有n个广告牌,每个广告牌是1*wi.必须放置在白板的upmost中的leftmost. 输出n个广告牌放置在第几行.如果放不下,输出-1. 数据规格: h, w, and n ...

  3. java实现rsa加密算法【5min快速应用教程】

    该篇文章的主要目的是让读者能够迅速应用到项目中,想要了解详细的rsa加密算法的,可以百度找到更多原理.深度分析的文章. RSA算法是一种非对称密码算法,所谓非对称,就是指该算法需要一对密钥,使用其中一 ...

  4. Docker 部署前后端项目

    Docker 部署前后端项目 平生不会相思,才会相思,便害相思. 简介:都是被逼的,从零开始一个Docker 部署九个微服务和三个前端项目.其中,这些服务需要用到Nacos.MySQL.Nginx.E ...

  5. Mysql教程:(三)运算符:数学运算符

    运算符:数学运算符 mysql> select class,number,maths,maths+5 from score; mysql>select class,number,chine ...

  6. sqlalchemy insert or ignore

    insert ignore # insert ignoreinsert_stmt = TimePoint.__table__.insert().prefix_with(" ignore&qu ...

  7. 1组-Alpha冲刺-3/6

    一.基本情况 队名:震震带着六菜鸟 组长博客:https://www.cnblogs.com/Klein-Wang/p/15544334.html 小组人数:7人 二.冲刺概况汇报 王业震 过去两天完 ...

  8. SpringCloud升级之路2020.0.x版-36. 验证断路器正确性

    本系列代码地址:https://github.com/JoJoTec/spring-cloud-parent 上一节我们通过单元测试验证了线程隔离的正确性,这一节我们来验证我们断路器的正确性,主要包括 ...

  9. [luogu1526]智破连环阵

    (以下在描述复杂度时,认为$n$和$m$相同,因此一律使用$n$) 称第$i$个炸弹能匹配非空区间$[l,r]$,当且仅当$l$到$r$内所有武器都在$i$攻击范围内,且$r=m$或第$r+1$个武器 ...

  10. [atARC061F]Card Game for Three

    记录每一次操作的玩家为操作序列(去掉第一次),需要满足:$a$的个数为$n$且以$a$为结尾,$b$和$c$的个数分别不超过$m$和$k$ 其所对应的概率:每一个字符恰好确定一张卡牌,因此即$3^{n ...