DLL注入就是将dll粘贴到指定的进程空间中,通过dll状态触发目标事件

DLL注入的大概流程

https://uploader.shimo.im/f/CXFwwkEH6FPM0rtT.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUxNDc0MzAsImciOiJZUXRDRHBXVlJXamRKVjloIiwiaWF0IjoxNjM1MTQ3MTMwLCJ1c2VySWQiOjY5NDQ5MzgzfQ.HwHDdkHUMmhzDbU4xVTOauaQnL9Kxap6PdA19WOYoy0

DLL使用

必备函数

HINSTANCE LoadLibrary(

LPCTSTR lpLibFileName);

返回值】成功则返回模块句柄,失败返回NULL

流程

  • 创建一个DLL项目

    DLL代码 
    // dllmain.cpp : 定义 DLL 应用程序的入口点。
    
#include "pch.h"
    
#include<windows.h>
    
BOOL APIENTRY DllMain( HMODULE hModule,
    
					   DWORD  ul_reason_for_call,
    
					   LPVOID lpReserved
    
					 )
    
{
    
	switch (ul_reason_for_call)
    
	{
    
	case DLL_PROCESS_ATTACH: {
    
		MessageBox(NULL,TEXT("Hacker"),TEXT("DLL Inject"),MB_OK);
    
		HANDLE hThread = CreateThread(NULL, 0, ThreadProc, NULL, 0, NULL);
    
		CHAR ErrorCode[100];
    
		sprintf(ErrorCode,"%d",(int)GetLastError());
    
		MessageBox(NULL, (LPCWSTR)ErrorCode, TEXT("DLL Inject"), MB_OK);
    
		if (hThread) {
    
			MessageBox(NULL, TEXT("Success"), TEXT("DLL Inject"), MB_OK);
    
			CloseHandle(hThread);
    
		}
    
		break;
    
	}
    
	case DLL_THREAD_ATTACH:
    
	case DLL_THREAD_DETACH:
    
	case DLL_PROCESS_DETACH:
    
		break;
    
	}
    
	return TRUE;
    
}

  • 通过LoadLibrary动态调用DLL

    关键代码

    	HANDLE hModule = ::LoadLibrary("injectDll.dll");

  • 获取DLL中的函数

    FARPROC GetProcAddress(
    
HMODULE hModule,
    
LPCWSTR lpProcName);
    
Parameters

    将模块句柄和函数名传入,成功则返回目标函数句柄,失败返回NULL

远程线程注入

必备函数

	HANDLE CreateRemoteThread(

	  HANDLE hProcess,                          // handle to process

	  LPSECURITY_ATTRIBUTES lpThreadAttributes, // SD

	  SIZE_T dwStackSize,                       // initial stack size

	  LPTHREAD_START_ROUTINE lpStartAddress,    // thread function

	  LPVOID lpParameter,                       // thread argument

	  DWORD dwCreationFlags,                    // creation option

	  LPDWORD lpThreadId                        // thread identifier

	);


	//向指定进程的指定空间写入数据

	BOOL WriteProcessMemory(

	HANDLE hProcess,

	LPVOID lpBaseAddress,

	LPVOID lpBuffer,

	DWORD nSize,

	LPDWORD lpNumberOfBytesWritten );


```

//在指定进程中申请一片内存

LPVOID VirtualAllocEx(

  HANDLE hProcess,          // process to allocate memory

  LPVOID lpAddress,         // desired starting address

  SIZE_T dwSize,            // size of region to allocate

  DWORD flAllocationType,   // type of allocation

  DWORD flProtect           // type of access protection

);

```

```

// remoteInjectDLLTEST.cpp : Defines the entry point for the console application.

//

#include "stdafx.h"

#include<windows.h>

#include<cstdio>

VOID ShowError(PCHAR msg)

{

	printf("%s Error --Code:%d\n", msg, GetLastError());

}

BOOL InjectDll(DWORD dwPid,CHAR szDllName[]){

	HANDLE hProcess = NULL,hRemoteThread = NULL;

	HMODULE hKernel32 = NULL;

	DWORD dwSize = 0;

	LPVOID pDllPathAddr = NULL;

	PVOID pLoadLibraryAddr = NULL;

	BOOL bRet = FALSE;

	hProcess = OpenProcess(PROCESS_ALL_ACCESS,FALSE,dwPid);

	if(hProcess){

		ShowError("OpenProcess");

		bRet = FALSE;

		goto exit;

	}

	//申请DLL名称的内存空间

	dwSize = strlen(szDllName) + 1;

	pDllPathAddr = VirtualAllocEx(hProcess,NULL,dwSize,MEM_COMMIT,PAGE_READWRITE); //在指定的进程中分配内存空间

	{

		ShowError("VirtualAllocEx");

		bRet = FALSE;

		goto exit;

	}

	// 把DLL完整路径名写入进程中

	if (!WriteProcessMemory(hProcess, pDllPathAddr, szDllName, dwSize, NULL))

	{

		ShowError("WriteProcessMemory");

		bRet = FALSE;

		goto exit;

	}

	hKernel32 = LoadLibrary("Kernel32.dll");

	{

		ShowError("LoadLibrary");

		bRet = FALSE;

		goto exit;

	}

	// 获取LoadLibraryA函数地址

	pLoadLibraryAddr = GetProcAddress(hKernel32, "LoadLibraryA");

	if (pLoadLibraryAddr == NULL)

	{

		ShowError("GetProcAddress ");

		bRet = FALSE;

		goto exit;

	}

	//创建远程线程进行DLL注入

	hRemoteThread = CreateRemoteThread(hProcess, NULL, 0,

					  (LPTHREAD_START_ROUTINE)pLoadLibraryAddr,

					   pDllPathAddr, 0, NULL);

	if (hRemoteThread == NULL)

	{

		ShowError("CreateRemoteThread");

		bRet = FALSE;

		goto exit;

	}

exit:

	if(hKernel32) FreeLibrary(hKernel32);

	if(hProcess) CloseHandle(hProcess);

	if(hRemoteThread) CloseHandle(hRemoteThread);

}

void enableDebugPriv()

{

	HANDLE hToken;

	LUID sedebugnameValue;

	TOKEN_PRIVILEGES tkp;

	if (!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))

	{

		return;

	}

	if (!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &sedebugnameValue))

	{

		CloseHandle(hToken);

		return;

	}

	tkp.PrivilegeCount = 1;

	tkp.Privileges[0].Luid = sedebugnameValue;

	tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

	if (!AdjustTokenPrivileges(hToken, FALSE, &tkp, sizeof tkp, NULL, NULL))

	{

		CloseHandle(hToken);

		return;

	}

}

int main(int argc, char* argv[])

{

	enableDebugPriv(); //Inhance Privilege

	InjectDll(788,"E:\\Code\\injectDll\\Release\\injectDll.dll"); //选择需要注入的进程,选中恶意DLL

	return 0;

}

```

【Reverse】DLL注入的更多相关文章

  1. Ring3下的DLL注入(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)

    工具介绍及使用请移步:http://blog.csdn.net/sunflover454/article/details/50441014 本文首发在零日安全论坛:http://www.jmpoep. ...

  2. DLL注入

    最近的项目涉及了软件破解方面的知识,记录一下. 将dll注入另一个进程. // Inject.cpp : Defines the exported functions for the DLL appl ...

  3. [转]Dll注入经典方法完整版

    Pnig0s1992:算是复习了,最经典的教科书式的Dll注入. 总结一下基本的注入过程,分注入和卸载 注入Dll: 1,OpenProcess获得要注入进程的句柄 2,VirtualAllocEx在 ...

  4. 第22章 DLL注入和API拦截(2)

    22.4 使用远程线程来注入DLL 22.4.1 概述 (1)远程线程注入是指一个进程在另一个进程中创建线程,然后载入我们编写的DLL,并执行该DLL代码的技术.其基本思路是通过CreateRemot ...

  5. 第22章 DLL注入和API拦截(1)

    22.1 注入的一个例子(跨进程子类化窗口) ①子类化窗口可以改变窗口的行为,让发往该窗口的消息重新发到我们指定的过程来处理.但这种行为只能在本进程中(如A),对于从一个进程(如B)去子类化另一个进程 ...

  6. DLL注入之注册表

    0x00 唠叨 编写本系列文章纯属为了系统学习DLL注入的方法,所以很多方法可能已经过时,希望各位看官勿喷.当然若有更好的方法,希望不腻赐教.若本文有任何错的地方,也希望各位指正.谢谢! 0x01 适 ...

  7. c++实现dll注入其它进程

    DLL注入技术才具有强大的功能和使用性,同时简单易用,因为DLL中可以实现复杂的功能和很多的技术. 技术要点: 1.宿主进程调用LoadLibrary,就可以完成DLL的远程注入.可以通过Create ...

  8. DLL注入_拦截技术之Hook方式

    后卫大师教你进程注入 首先提一下,由于文章完全是我手写,所以打不了太多,请包含,由于我已经提供了源代码,所以我在这里详细讲一下理论,至于想看代码的下载代码就可以了.代码中关于注入的部分做了详细的注释. ...

  9. 反射Dll注入分析

    (源码作者:(HarmanySecurity)Stephen Fewer) 0x01  反射Dll注入的优点  1.反射Dll注入的主要优点是它没有以主机系统的任何方式(例如LoadLibrary和L ...

随机推荐

  1. hdu 5183 Negative and Positive (NP)(STL-集合【HASH】)

    题意: When given an array (a0,a1,a2,⋯an−1) and an integer K, you are expected to judge whether there i ...

  2. CODING添加ssh提示格式错误的问题

    不能去.shh文件夹打开id_rsa.pub文件查看 解决方法: 进入.ssh文件夹,然后右键git bash here 输入代码 cat id_rsa.pub 回车即可

  3. k8s网络模型与集群通信

    在k8s中,我们的应用会以pod的形式被调度到各个node节点上,在设计集群如何处理容器之间的网络时是一个不小的挑战,今天我们会从pod(应用)通信来展开关于k8s网络的讨论. 小作文包含如下内容: ...

  4. python中整除后结果也是小数

    有人这么回答,这显然不对 先看个例子: '//'明明是整除,为什么结果不是整数,而会出现小数? 首先,关于除法有三种概念:传统除法.精确除法和地板除 #1.传统除法:整数相除结果是整数,浮点数相除结果 ...

  5. 路径前面加与不加"/"的区别

    加"/"是绝对路径, 不加"/"是相对路径.假设你的这个html文件的路径是www.example.com/path/to/html/a.html,那么src= ...

  6. [cf1290D]Coffee Varieties

    思路 统计数的种类数,也等价于统计有多少个数满足其之前没有与其相同的数 将序列以$\frac{k}{2}$为块大小分块,那么即会有$m=\frac{2n}{k}$个块 (关于$k=1$的情况,以1为块 ...

  7. [hdu7012]Miserable Faith

    类似于[NOI2021]轻重边的逆过程,操作1即为对$u$​执行access(根为1),$dist(u,v)$​即为$u$​到$v$​的虚边数 对前者用LCT维护,并记录轻重边的切换,显然切换总量为$ ...

  8. [bzoj1101]Zap

    1 #include<bits/stdc++.h> 2 using namespace std; 3 #define N 50001 4 int t,n,m,k,ans,mu[N],vis ...

  9. [bzoj5295]染色

    将这张图化简,不断删掉度为1的点(类似于拓扑排序),构成了一张由环组成的图考虑一个连通块中,设点数为n,边数为m(已经删掉了度为1的点),那么一共只有三种情况:1.一个环($n=m$),一定为YES2 ...

  10. uniapp增加自定义埋点功能

    起因 首先来说,uniapp其实是自带系统埋点统计功能的.基本也算是面面俱到. 但是一些未知原因,貌似数据有所丢失,再加上没有一些重要的定制化功能,以及最重要的数据安全方面的考虑,还是决定接入公司的埋 ...