int main()

 {

     BOOL bFlag = FALSE;

     char *szDllName = "MSGDLL.dll";

     //bFlag = EnablePrivilege(SE_DEBUG_NAME);    //返回值为1时代表成功

     //得到目标进程句柄

     HANDLE hDestProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, );

     LPTHREAD_START_ROUTINE dwAddr = (LPTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle("Kernel32"), "LoadLibraryA");

     //在目标进程的地址空间内分配一个内存块

     LPVOID pRemoteSpace = VirtualAllocEx(hDestProcess, NULL, strlen(szDllName) + , MEM_COMMIT,

         PAGE_READWRITE);

     //向上一步的内存块中写入数据,就是要加载的DLL名字

     bFlag = WriteProcessMemory(hDestProcess, pRemoteSpace, szDllName, strlen(szDllName) + , );

     //在目标进程内创建线程,线程的入口函数就是LoadLibraryA, 参数就是Dll名字

     HANDLE hThread = CreateRemoteThread(hDestProcess, NULL, , dwAddr, pRemoteSpace,

         NULL,

     );      //前面都是成功的,就到了这一步,返回的错误是5,Access denied,权限不够

             //本来以为我的VS是以管理员权限启动的,那么我这个进程应该权限就都够了,

             //看来不行,必须程序提权

             //我提权了之后,发现还是不行,之后上网查了

             //发现是32位注入到64位中会有问题,所以我换了个x64,然后显然线程运行成功了,

             //但是现在远程进程却崩溃了,估计是DLL是32的,我换个DLL编译方式再试试

             //我编译了64位的DLL,然后还是崩溃的,之后我发现了应该是我函数地址传的有问题

             //因为32位的LoadLibraryA地址是DWORD,但64位却是ULONGLONG,所以仅仅改变编译方式还不够

             //必须用一个足够容纳8个字节地址的类型来保存,这样就够了

             //另外一个需要注意的问题就是,为什么我在我这个进程中得到的LoadLibrary在远程进程中也可以用

             //答案就是,系统DLL在各个进程中的映射地址都是一样的,不过具体情况具体分析,至少这个函数看来是一样的。

             //在我完成了之后,我把EnablePrivileges这行注释掉了,但仍然注入成功,看来我用管理员权限运行VS2015之后就够了

             //然后我又发现了一个问题,就是对同一个进程,加载dll只能一次,第二次就不会弹了

             //原因,我目测是,DLL已经被加载了,所以第二次就不加载了,也就不执行DllMain那个函数了

             //除非我创建一个线程再UnLoad那个LIB,之后再LOAD,这样应该就可以了

             //也可以换个Dll名字,再LOAD, 反正方法很多。

     DWORD dwErr = GetLastError();

     return ;

 }
 //DLL的代码,用DLL方式生成一下,拉到前面EXE目录,或者系统目录都行,跟前面代码中DLL名字有没有加绝对路径有关

//这代码是书上的代码,直接复制了

/* ************************************

*《精通Windows API》

* 示例代码

* msg.c

* 6.5  动态链接库

**************************************/

/* 头文件 */

#include <Windows.h>

#include <Psapi.h>

/* 链接 */

#pragma comment (lib, "Psapi.lib")

/* 函数声明 */

// 使用__declspec(dllexport)声明导出函数

__declspec(dllexport) DWORD ExportExample(LPSTR szMsg, DWORD dwCode);

/*************************************

* DllMain

**************************************/

BOOL WINAPI DllMain(

    HINSTANCE hinstDLL,  // DLL模块的句柄

    DWORD fdwReason,     // 调用的情况

    LPVOID lpReserved)  // reserved

{

    // 在不同的情况下都会调用DllMain函数,分别处理

    switch (fdwReason)

    {

        // 加载Dll

        case DLL_PROCESS_ATTACH:

            {

                CHAR lpMainMoudleName[MAX_PATH];

                CHAR lpMessage[MAX_PATH + ];

                // 获取PID 和主模块名,将弹出消息框

                DWORD dwPID = GetCurrentProcessId();

                GetModuleBaseName(GetCurrentProcess(), NULL, lpMainMoudleName, MAX_PATH);

                wsprintf(lpMessage, "Process name: %s, PID: %u ", lpMainMoudleName, dwPID);

                MessageBox(NULL, lpMessage, "msg.dll", MB_OK);

                break;

            }

            // 新建线程

        case DLL_THREAD_ATTACH:

            break;

            // 线程退出

        case DLL_THREAD_DETACH:

            break;

            // 释放Dll

        case DLL_PROCESS_DETACH:

            break;

    }

    return TRUE;

}

/*************************************

* DWORD ExportExample(LPSTR szMsg, DWORD dwCode)

* 功能    导出函数,显示消息

*

* 参数    LPSTR szMsg    字符串; DWORD dwCode 整形

**************************************/

DWORD ExportExample(LPSTR szMsg, DWORD dwCode)

{

    LPVOID lpShowOut = HeapAlloc(GetProcessHeap(), , lstrlen(szMsg) + );

    wsprintf((LPSTR)lpShowOut, "%s,%d", szMsg, dwCode);

    MessageBox(NULL, (LPSTR)lpShowOut, "由导出函数弹出的消息!", MB_OK);

    HeapFree(GetProcessHeap(), , lpShowOut);

    return ;

}

需要注意的点都在那一大串注释中

64位进程,就得用64位的EXE来CreateRemoteThread, 另外DLL也应该是64位

32位进程,就得用32位的EXE来CreateRemoteThread, 另外DLL也应该是32位

把CreateRemoteThread的入口点函数设为LoadLibraryA(W),线程的那个参数设为DLL路径指针(在目标进程中,所以得把DLL路径拷到目标进程 中, 用VirtualAllocEx在目标进程中分配块空间,然后WriteProcessMemory).

这样可行的原因:

线程的函数原型DWORD ThreadProc(LPVOID lpParam)

LoadLibrary的函数原型HMODULE LoadLibrary(LPCTSTR lpFileName);

其实是一样的,指针都是同样大小,都只有一个参数,返回值无所谓..

另外在目标进程和本进程中LoadLibraryA(W)的虚拟地址是一样的..

远程线程DLL注入64位进程的更多相关文章

  1. Wow64(32位进程)注入DLL到64位进程

    转载自: https://blog.poxiao.me/p/wow64-process-inject-dll-into-x64-process/ 向其他进程注入DLL通常的做法是通过调用CreateR ...

  2. 实现远程线程DLL注入

    ### 32位:远程线程注入 远程线程注入是最常用的一种注入技术,该技术利用的核心API是 `CreateRemoteThread()` 这个API可以运行远程线程,其次通过创建的线程调用 `Load ...

  3. 【windows核心编程】远程线程DLL注入

    15.1 DLL注入 目前公开的DLL注入技巧共有以下几种: 1.注入表注入 2.ComRes注入 3.APC注入 4.消息钩子注入 5.远线程注入 6.依赖可信进程注入 7.劫持进程创建注入 8.输 ...

  4. 使用远程线程来注入DLL

    使用远程线程来注入DLL DLL注入技术要求我们目标进程中的一个线程调用LoadLibrary来载入我们想要的DLL (1)用OpenProcess函数打开目标进程(2)用VirtualAllocEx ...

  5. 《windows核心编程系列》十九谈谈使用远程线程来注入DLL。

    windows内的各个进程有各自的地址空间.它们相互独立互不干扰保证了系统的安全性.但是windows也为调试器或是其他工具设计了一些函数,这些函数可以让一个进程对另一个进程进行操作.虽然他们是为调试 ...

  6. Visual Studio远程调试监视器(MSVSMON.EXE)的32位版本不能用于调试64位进程或64位转储

    在VS2013中调试Silverlight项目时,提示:无法附加.Visual Studio远程调试监视器(MSVSMON.EXE)的32位版本不能用于调试64位进程或64位转储.请改用64位版本. ...

  7. 64位进程调用32位dll的解决方法 / 程序64位化带来的问题和思考

    最近做在Windows XP X64,VS2005环境下做32位程序编译为64位程序的工作,遇到了一些64位编程中可能遇到的问题:如内联汇编(解决方法改为C/C++代码),long类型的变化,最关键的 ...

  8. 64位进程调用32位dll的解决方法

    64位进程调用32位dll的解决方法   最近做在Windows XP X64,VS2005环境下做32位程序编译为64位程序的工作,遇到了一些64位编程中可能遇到的问题:如内联汇编(解决方法改为C/ ...

  9. Dll注入:X86/X64 远程线程CreateRemoteThread 注入

    远线程注入原理是利用Windows 系统中CreateRemoteThread()这个API,其中第4个参数是准备运行的线程,我们可以将LoadLibrary()填入其中,这样就可以执行远程进程中的L ...

随机推荐

  1. [原]ComFriendlyWaitForSingleObject

    structThreadParam { unsignedint p1;// +00h ebp-24h unsignedint p2;// +04h ebp-20h unsignedint cookie ...

  2. Iptables工作原理使用详解

    Iptables防火墙简介 Iptables名词和术语 Iptables工作流程 基本语法 Filter 参数说明 NAT表: Icmp协议 TCP FLAG 标记 什么是状态检测 iptables的 ...

  3. 简单的方式优化mysql

    参考博客 自己笔记本上向mysql导入txt数据,有一个table导入了将近4个小时,而且多个table之间都是相互之间存在关系的,所以做联合查询的时候你会发现问题会十分的多,我之前联合查询两个表就死 ...

  4. Query Designer:变量的偏移 Variable Offset

    声明:原创作品,转载时请注明文章来自SAP师太技术博客( 博/客/园www.cnblogs.com):www.cnblogs.com/jiangzhengjun,并以超链接形式标明文章原始出处,否则将 ...

  5. CSS与JavaScript的一些问题汇总

    通过最近的学习,总结了一些问题,可能总结得不够完善,但是好记性不如烂笔头,先记在这儿,后面看到更完整的回答,再进行修改. 1.事件流,如何阻止冒泡事件流:在点击一个按钮时,实则,按的父容器与按钮的父容 ...

  6. OpenLayers控制瓦片的绽放级别

    先说说这个功能可能使用到的地方,当我们下载的网上瓦片或者矢量数据的第一级或开始几级效果不是很好时,我们就就想让用户看到这些级别的瓦片.实现这个功能比较简单,主要就是修改Openlayers.map的i ...

  7. 如何为数据源向导填加一种自定义的数据源类型(win示例)

    https://www.devexpress.com/Support/Center/Example/Details/T310160

  8. python走起之第九话

    协程 协程,又称微线程,纤程.英文名Coroutine.一句话说明什么是线程:协程是一种用户态的轻量级线程. 协程拥有自己的寄存器上下文和栈.协程调度切换时,将寄存器上下文和栈保存到其他地方,在切回来 ...

  9. iOS - WXPay 微信支付

    1.微信支付申请 微信支付官方集成指引 微信支付官方集成指导视频 微信 APP 支付开发者文档 微信公众平台 微信开放平台 微信商户平台 1.1 微信 APP 支付申请步骤 APP 支付:APP 支付 ...

  10. PHP表单header post get

    header 是服务器以HTTP协议到浏览器前所送出的字符串 在表头与HTML文件之间需要空出一行 $_POST   $_GET 必须要有method="post" 上传文件类表单 ...