最近的项目涉及了软件破解方面的知识,记录一下。

将dll注入另一个进程。

// Inject.cpp : Defines the exported functions for the DLL application.

//

#include "stdafx.h"

#include <TlHelp32.h>

#include <Psapi.h>

#include <tchar.h>

// LoadLibrary的不同版本

#if defined _UNICODE

#define _LoadLibrary "LoadLibraryW"    //_UNICODE

#else

#define _LoadLibrary "LoadLibraryA"    //_MBCS

#endif

// 根据进程名获取PID

DWORD GetPID(LPTSTR lpProcess)

{

    HANDLE hProcSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, ); // 获取进程快照句柄

    PROCESSENTRY32 pe32;

    pe32.dwSize = sizeof(PROCESSENTRY32);

    BOOL flag = Process32First(hProcSnap, &pe32); // 获取列表的第一个进程

    while(flag)

    {

        if(!_tcsicmp(pe32.szExeFile, lpProcess))

        {

            CloseHandle(hProcSnap);

            return pe32.th32ProcessID; //pid

        }

        flag=Process32Next(hProcSnap, &pe32); //获取下一个进程

    }

    CloseHandle(hProcSnap);

    return ;

}

// 获取适当的Privilege

// hProcess  当前进程的handle

// Privilege 需要的Privilege

// 成功返回TRUE,失败返回FALSE

BOOL AdjustProcessPrivilege(HANDLE hProcess, TCHAR *Privilege)

{

    HANDLE hToken=NULL;

    OpenProcessToken(hProcess, TOKEN_ADJUST_PRIVILEGES, &hToken);  //打开进程令牌环

    if(NULL==hToken)

        return FALSE;

    LUID luid;

    if(!LookupPrivilegeValue(NULL, Privilege, &luid))  // 获得进程本地唯一ID

    {

        CloseHandle(hToken);

        return FALSE;

    }

    TOKEN_PRIVILEGES token_privileges;

    token_privileges.PrivilegeCount =;

    token_privileges.Privileges[].Attributes = SE_PRIVILEGE_ENABLED;

    token_privileges.Privileges[].Luid = luid;

    //调整进程权限

    if(!AdjustTokenPrivileges(hToken, FALSE, &token_privileges, NULL, NULL, NULL))

    {

        CloseHandle(hToken);

        return FALSE;

    }

    CloseHandle(hToken);

    return TRUE;

}

// 在进程中查找dll

HMODULE CheckProcessModule(LPTSTR lpRemoteProcess, LPTSTR lpInjectDll)

{

    DWORD nRemotePID = GetPID(lpRemoteProcess);

    HANDLE hRemoteProcess = OpenProcess(PROCESS_QUERY_INFORMATION|PROCESS_VM_READ, FALSE, nRemotePID);

    HMODULE hMods[];

    DWORD cbNeeded = ;     // Get a handle to the process.

    if( EnumProcessModules(hRemoteProcess, hMods, sizeof(hMods), &cbNeeded))

    {

        for (UINT i=; i<(cbNeeded/sizeof(HMODULE)); i++)

        {

            TCHAR szModName[MAX_PATH];    // Get the full path to the module's file.

            if (GetModuleFileNameEx(hRemoteProcess, hMods[i], szModName, sizeof(szModName)/sizeof(TCHAR)))

            {

                if (!_tcsicmp(lpInjectDll, szModName))

                {

                    CloseHandle(hRemoteProcess);

                    return hMods[i];

                }

            }

        }

    }

    CloseHandle(hRemoteProcess);

    return NULL;

}

BOOL InjectDll(LPTSTR lpRemoteProcess, LPTSTR lpInjectDll, BOOL bInject)

{

    // 获取SeDebugPrivilege权限

    if(FALSE == AdjustProcessPrivilege(GetCurrentProcess(), _T("SeDebugPrivilege")))

        return FALSE;    

    // 函数准备

    LPTHREAD_START_ROUTINE pfnThread = NULL;

    HINSTANCE hMod = GetModuleHandle(_T("kernel32.dll"));

    if (bInject)

        pfnThread = (LPTHREAD_START_ROUTINE)GetProcAddress(hMod,_LoadLibrary);  // LoadLibrary注入

    else

        pfnThread = (LPTHREAD_START_ROUTINE)GetProcAddress(hMod,"FreeLibrary"); // FreeLibrary卸载

    if(NULL == pfnThread)

        return FALSE;

    __try

    {

        // 获取目标进程ID

        DWORD nRemotePID = GetPID(lpRemoteProcess);

        // 打开目标进程

        HANDLE hRemoteProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, nRemotePID);

        if(hRemoteProcess == NULL)

        {

            return FALSE;

        }

        if (bInject) //注入

        {

            // 在远端进程中分配内存

            LPVOID ModName = VirtualAllocEx(hRemoteProcess, NULL, (_tcslen(lpInjectDll)+)*sizeof(TCHAR), MEM_COMMIT, PAGE_READWRITE);

            if(!ModName)

                __leave;

            // 在远端进程中写入dll的文件名

            if( == WriteProcessMemory(hRemoteProcess, ModName, lpInjectDll, (_tcslen(lpInjectDll)+)*sizeof(TCHAR), NULL))

                __leave;

            // 创建远程线程

            HANDLE hRemoteThread = CreateRemoteThread(hRemoteProcess, NULL, , pfnThread, ModName, , NULL);

            if(NULL == hRemoteThread)

                __leave;

            WaitForSingleObject(hRemoteThread,INFINITE);

            VirtualFreeEx(hRemoteProcess, ModName, , MEM_RELEASE);

            CloseHandle(hRemoteThread);

        }

        else //卸载

        {

            // 在进程中查找需要卸载的dll

            HMODULE hTarget = CheckProcessModule(lpRemoteProcess, lpInjectDll);

            // 创建远程线程

            HANDLE hRemoteThread = CreateRemoteThread(hRemoteProcess, NULL, , pfnThread, hTarget, , NULL);

            if(NULL == hRemoteThread)

                __leave;

            WaitForSingleObject(hRemoteThread,INFINITE);

            CloseHandle(hRemoteThread);

        }

        CloseHandle(hRemoteProcess);

        return TRUE;

    }

    __finally

    {

    }

    return FALSE;

}

以上已经将dll成功注入到目标进程,但是怎样让注入的dll执行?可以在dll加载时,执行一段代码。

BOOL APIENTRY DllMain( HMODULE hModule,

                       DWORD  ul_reason_for_call,

                       LPVOID lpReserved

                     )

{

    switch (ul_reason_for_call)

    {

    case DLL_PROCESS_ATTACH:

        Fun();  // 需要执行的代码

        break;

    case DLL_THREAD_ATTACH:

    case DLL_THREAD_DETACH:

    case DLL_PROCESS_DETACH:

        break;

    }

    return TRUE;

}

DLL注入的更多相关文章

  1. Ring3下的DLL注入(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)

    工具介绍及使用请移步:http://blog.csdn.net/sunflover454/article/details/50441014 本文首发在零日安全论坛:http://www.jmpoep. ...

  2. [转]Dll注入经典方法完整版

    Pnig0s1992:算是复习了,最经典的教科书式的Dll注入. 总结一下基本的注入过程,分注入和卸载 注入Dll: 1,OpenProcess获得要注入进程的句柄 2,VirtualAllocEx在 ...

  3. 第22章 DLL注入和API拦截(2)

    22.4 使用远程线程来注入DLL 22.4.1 概述 (1)远程线程注入是指一个进程在另一个进程中创建线程,然后载入我们编写的DLL,并执行该DLL代码的技术.其基本思路是通过CreateRemot ...

  4. 第22章 DLL注入和API拦截(1)

    22.1 注入的一个例子(跨进程子类化窗口) ①子类化窗口可以改变窗口的行为,让发往该窗口的消息重新发到我们指定的过程来处理.但这种行为只能在本进程中(如A),对于从一个进程(如B)去子类化另一个进程 ...

  5. DLL注入之注册表

    0x00 唠叨 编写本系列文章纯属为了系统学习DLL注入的方法,所以很多方法可能已经过时,希望各位看官勿喷.当然若有更好的方法,希望不腻赐教.若本文有任何错的地方,也希望各位指正.谢谢! 0x01 适 ...

  6. c++实现dll注入其它进程

    DLL注入技术才具有强大的功能和使用性,同时简单易用,因为DLL中可以实现复杂的功能和很多的技术. 技术要点: 1.宿主进程调用LoadLibrary,就可以完成DLL的远程注入.可以通过Create ...

  7. DLL注入_拦截技术之Hook方式

    后卫大师教你进程注入 首先提一下,由于文章完全是我手写,所以打不了太多,请包含,由于我已经提供了源代码,所以我在这里详细讲一下理论,至于想看代码的下载代码就可以了.代码中关于注入的部分做了详细的注释. ...

  8. 反射Dll注入分析

    (源码作者:(HarmanySecurity)Stephen Fewer) 0x01  反射Dll注入的优点  1.反射Dll注入的主要优点是它没有以主机系统的任何方式(例如LoadLibrary和L ...

  9. dll注入遇到CreateRemoteThread()返回错误代码5

    在进行dll注入的时候,发现触发了CreateRemoteThread()的错误并返回错误代码5,刚开始以为权限不够,用了管理员权限和加了SetPrivilege()函数提权和用NtCreateThr ...

随机推荐

  1. ZeroMQ接口函数之 :zmq_msg_init_data - 从一个指定的存储空间中初始化一个ZMQ消息对象的数据

    ZeroMQ 官方地址 :http://api.zeromq.org/4-1:zmq_msg_init_data zmq_msg_init_data(3) ØMQ Manual - ØMQ/3.2.5 ...

  2. ZeroMQ接口函数之 :zmq_socket – 创建ZMQ套接字

    ZeroMQ API 目录 :http://www.cnblogs.com/fengbohello/p/4230135.html ZeroMQ 官方地址:http://api.zeromq.org/4 ...

  3. ANSI_NULLS和QUOTED_IDENTIFIER

    这些是 SQL-92 设置语句,使 SQL Server 2000/2005 遵从 SQL-92 规则. 当 SET QUOTED_IDENTIFIER 为 ON 时,标识符可以由双引号分隔,而文字必 ...

  4. [IOS]译Size Classes with Xcode 6: One Storyboard for all Sizes

    Size Classes with Xcode 6: One Storyboard for all Sizes 为所有的尺寸准备一个Storyboard 我最喜欢的Xcode6的特性是新的size c ...

  5. wordexpress

    登陆数据库:mysql -uroot -p 创建数据库:CREATE DATABASE wordpress; 创建数据库用户:CREATE USER wordpress@localhost IDENT ...

  6. MySQL数据备份之mysqldump使用

    mysqldump常用于MySQL数据库逻辑备份. 1.各种用法说明 A. 最简单的用法: mysqldump -uroot -pPassword [database name] > [dump ...

  7. iOS PCH文件

    在Xcode6之前,创建一个新的工程,Xcode会再Support Files文件夹下自动创建一个"工程名 - prefix.pch"文件,也是一个头文件,pch文件的内容能被项目 ...

  8. 我的ES6学习之路(一)

    强烈推荐  阮一峰写的<ECMAScript6入门> let和const命令 let命令: let用于声明变量,用法和var相似,但是不完全相同,有以下几点区别 ① let命令只在当前作用 ...

  9. C、C++中const的区别

    C语言中: 被const修饰的变量,仍然是变量.虽然不能用C语法给这个变量改变值,但他本质上还是变量. C编译器会给它分配空间. C中,const默认使用的是外部链接. C++中: 被const修饰的 ...

  10. [不好分类]SD卡无法读取,显示RAW

    上周同事拿来了一个8G的SD卡,插入读卡器后显示“需要格式化”.无法读取.文件格式处显示“RAW”,磁盘大小显示0字节. 处理步骤如下: 1.按照提示,格式化,选择“快速格式化”. 2.采用数据恢复软 ...