Dll注入技术之输入法注入
输入法注入原理是利用Windows系统中在切换输入法需要输入字符时,系统就会把这个输入法需要的ime文件装载到当前进程中,而由于这个Ime文件本质上只是个存放在C:\WINDOWS\system32目录下的特殊的DLL文件,因此我们可以利用这个特性,在Ime文件中使用LoadLibrary()函数待注入的DLL文件。
1.编写Ime文件
输入法的Ime文件其实就是个显式导出19个特殊函数的DLL文件。如下图所示:
- ImeConversionList //将字符串或字符转换成目标字串
- ImeConfigure //配置当前ime参数函数
- ImeDestroy //退出当前使用的IME
- ImeEscape //应用软件访问输入法的接口函数
- ImeInquire //启动并初始化当前ime输入法
- ImeProcessKey //ime输入键盘事件管理函数
- ImeSelect //启动当前的ime输入法
- ImeSetActiveContext //设置当前的输入处于活动状态
- ImeSetCompositionString //由应用程序设置输入法编码
- ImeToAsciiEx //将输入的键盘事件转换为汉字编码事件
- NotifyIME //ime事件管理函数
- ImeRegisterWord //向输入法字典注册字符串
- ImeUnregisterWord //删除被注册的字符串
- ImeGetRegisterWordStyle
- ImeEnumRegisterWord
- UIWndProc //用户界面接口函数
- StatusWndProc //状态窗口注册函数
- CompWndProc //输入编码窗口注册函数
- CandWndProc //选择汉字窗口注册函数
如果想编写输入法程序,那么这19个导出函数都需要仔细的研究,但是对于只想实现注入的我们,现在只需要对ImeInquire()有比较深的认识就可以了。ImeInquire()是启动并初始化当前Ime输入法函数,他的声明如下:
- BOOL WINAPI ImeInquire(LPIMEINFO lpIMEInfo,LPTSTR lpszUIClass,LPCTSTR lpszOption)
第一个参数lpIMEInfo比较重要,用于输入对Ime输入法初始化的内容结构,如果这个结构填写错误,就会导致输入法不能正常运行。第二个参数是输入一个class类名,我们需要先使用RegisterClassEx()注册出一个窗口类。初始化ImeInquire()主要代码如下所示:
- //启动并初始化当前ime输入法
- BOOL WINAPI ImeInquire(LPIMEINFO lpIMEInfo,LPTSTR lpszUIClass,LPCTSTR lpszOption)
- {
- //输入法初始化过程
- //系统根据它为INPUTCONTEXT.hPrivate分配空间
- lpIMEInfo->dwPrivateDataSize = 0;
- lpIMEInfo->fdwProperty = IME_PROP_KBD_CHAR_FIRST |
- IME_PROP_IGNORE_UPKEYS |
- IME_PROP_END_UNLOAD;
- lpIMEInfo->fdwConversionCaps = IME_CMODE_FULLSHAPE |
- IME_CMODE_NATIVE;
- lpIMEInfo->fdwSentenceCaps = IME_SMODE_NONE;
- lpIMEInfo->fdwUICaps = UI_CAP_2700;
- lpIMEInfo->fdwSCSCaps = 0;
- lpIMEInfo->fdwSelectCaps = SELECT_CAP_CONVERSION;
- // 注意该输入法基本窗口类必须注册,否则输入法不能正常运行
- _tcscpy(lpszUIClass,CLSNAME_UI);
- return TRUE;
- }
注册出一个窗口类的主要代码如下:
- BOOL ImeClass_Register(HINSTANCE hInstance)
- {
- WNDCLASSEX wc;
- wc.cbSize = sizeof(WNDCLASSEX);
- wc.style = CS_VREDRAW | CS_HREDRAW | CS_DBLCLKS | CS_IME;
- wc.lpfnWndProc = UIWndProc;
- wc.cbClsExtra = 0;
- wc.cbWndExtra = 2 * sizeof(LONG);
- wc.hInstance = hInstance;
- wc.hCursor = LoadCursor( NULL, IDC_ARROW );
- wc.hIcon = NULL;
- wc.lpszMenuName = (LPTSTR)NULL;
- wc.lpszClassName = CLSNAME_UI;
- wc.hbrBackground = NULL;
- wc.hIconSm = NULL;
- if( !RegisterClassEx( (LPWNDCLASSEX)&wc ) )
- return FALSE;
- return TRUE;
- }
CLSNAME_UI是一个宏定义,如下:
- #define CLSNAME_UI _T("DLLCLASSNAME")
在DllMain进程加载的过程中注册窗口类,主要代码如下:
- case DLL_PROCESS_ATTACH:
- if(!ImeClass_Register(hinstDLL)) return FALSE;
- //这里填写要load的DLL的路径
- g_hModule = LoadLibrary(_T("D:\\MyDll\\ImeInject\\Debug\\MfcImeInjectDll.dll"));
- if (!g_hModule)
- {
- MessageBox(NULL,_T("模块没有load成功"),_T("提示"),MB_OK);
- }
- break;
PS: 编写DLL时需要注意,当作IME文件的Dll需要有版本信息,Version资源中FILETYPE为VFT_DRV, FILESUBTYPE为VFT2_DRV_INPUTMETHOD,否则调用ImmInstallIME安装时会失败
2.编写装载输入法程序:
装载输入法的基本逻辑就是将他们编写的输入法设置为默认输入法,这样只要系统中所有进程都会默认加载他们的恶意输入法程序。
黑客们首先需要得到系统当前的默认的输入法,以便恢复时使用。然后需要将ime文件拷贝到C:\WINDOWS\system32目录下,最后将装载成功后将我们的输入法设置成为默认输入法,主要代码如下:
- void CMfcImeInjectDlg::OnBnClickedAttach()
- {
- // TODO: 在此添加控件通知处理程序代码
- //得到默认的输入法句柄并保存
- ::SystemParametersInfo(
- SPI_GETDEFAULTINPUTLANG,
- 0,
- &m_retV,
- 0);
- //拷贝到system目录,只有ime文件在system32下才能装载成功
- CopyFile(
- _T("D:\\MyDll\\ImeInject\\Debug\\MyImeDll.ime"),
- _T("C:\\WINDOWS\\system32\\MyImeDll.ime"),
- FALSE);
- //装载输入法
- m_hImeFile = ImmInstallIME(
- _T("MyImeDll.ime"),
- _T("我的输入法"));
- if( ImmIsIME(m_hImeFile) )
- {
- //设置为默认输入法
- SystemParametersInfo(
- SPI_SETDEFAULTINPUTLANG,
- 0,
- &m_hImeFile,
- SPIF_SENDWININICHANGE);
- MessageBox(_T("安装输入法成功"));
- }
- }
3.编写卸载输入法:
当新建进程不再需要注入时,我们就需要卸载输入法。卸载输入法时需要先判定系统当前的输入法不是其原有默认输入法,确认无误后将系统的默认输入法恢复后,再将恶意输入法卸载即可,主要代码如下:
- void CMfcImeInjectDlg::OnBnClickedDettach()
- {
- // TODO: 在此添加控件通知处理程序代码
- ::SystemParametersInfo(
- SPI_SETDEFAULTINPUTLANG,
- 0,
- &m_retV,
- SPIF_SENDWININICHANGE);
- if (UnloadKeyboardLayout(m_hImeFile))
- {
- MessageBox(_T("输入法卸载成功"));
- }
- }
输入法注入的实现需要对输入法IME文件的生成有所了解,API使用较多,所以实现起来比较难,但是由于系统存在多个输入法,被注入进程很难判别当前是可信赖输入法还是用于注入的恶意输入法,所以难以阻止,大大提高了注入的几率。
Dll注入技术之输入法注入的更多相关文章
- DLL注入技术(输入法注入)
输入法注入原理 IME输入法实际就是一个dll文件(后缀为ime),此dll文件需要导出必要的接口供系统加载输入法时调用.我们可以在此ime文件的DllMain函数的入口通过调用LoadLibrary ...
- Dll注入技术之ComRes注入
DLL注入技术之ComRes注入 ComRes注入的原理是利用Windows 系统中C:\WINDOWS\system32目录下的ComRes.dll这个文件,当待注入EXE如果使用CoCreateI ...
- Dll注入技术之APC注入
APC注入的原理是利用当线程被唤醒时APC中的注册函数会被执行的机制,并以此去执行我们的DLL加载代码,进而完成DLL注入的目的,其具体流程如下: 1)当EXE里某个线程执行到SleepEx( ...
- 注入技术--LSP劫持注入
1.原理 简单来说,LSP就是一个dll程序. 应用程序通过winsock2进行网络通信时,会调用ws2_32.dll的导出函数,如connect,accept等. 而后端通过LSP实现这些函数的底层 ...
- Dll注入技术之注册表注入
DLL注入技术之REG注入 DLL注入技术指的是将一个DLL文件强行加载到EXE文件中,并成为EXE文件中的一部分,这样做的目的在于方便我们通过这个DLL读写EXE文件内存数据,(例如 HOOK EX ...
- <ReversingEngineering>关于windows32位系统下的dll注入技术经验汇
上个学期把自己闷在图书馆一直在看关于逆向工程技术方面的书,从入门到初级,现在也敢说自己一条腿已经迈进了这片知识的大门里,因为该博客刚开通先将一些经验记录下来,也是留给自己一方面做个参照. <逆向 ...
- HOOK -- DLL的远程注入技术详解(1)
DLL的远程注入技术是目前Win32病毒广泛使用的一种技术.使用这种技术的病毒体通常位于一个DLL中,在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)中运 ...
- DLL的远程注入技术
DLL的远程注入技术是目前Win32病毒广泛使用的一种技术.使用这种技术的病毒体通常位于一个DLL中,在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)中运 ...
- Dll注入技术之消息钩子
转自:黑客反病毒 DLL注入技术之消息钩子注入 消息钩子注入原理是利用Windows 系统中SetWindowsHookEx()这个API,他可以拦截目标进程的消息到指定的DLL中导出的函数,利用这个 ...
随机推荐
- SSM框架整合依赖
<dependencies> <!--mybatis核心jar包--> <dependency> <groupId>org.mybatis</gr ...
- 在IntelliJ IDEA中新建Maven项目
在IntelliJ IDEA中新建Maven项目,选择“File->New->Project”,创建一个简单项目,不选择模板,如下图所示: 2 选择“Maven”,不需要使用内置结构(模板 ...
- JSTL标签的用法详解
在JSP中写Java代码是一件很恶心的事情,代码量少的话还可以,要是多的话,就蛋疼了,整个页面都是<% %>所以EL表达式和JSTL就应运而生了,这里我们注重讲解一下JSTL标签的使用: ...
- Linux 软硬链接区别
一.“硬链接“和“软链接“ 链接的概念:链接简单说实际上是一种文件共享的方式,是 POSIX 中的概念,主流文件系统都支持链接文件. 链接的作用:可以将链接简单地理解为 Windows 中常见的快捷方 ...
- Linux中断机制
1.中断概念 中断是指在CPU正常运行期间,由于内外部事件或由程序预先安排的事件引起的CPU暂时停止正在运行的程序,转而为该内部或外部事件或预先安排的事件服务的程序中去,服务完毕后再返回去继续运行被暂 ...
- python random生成随机手机号
上代码 #--------------- #!/usr/bin/python #_*_coding:UTF-8_*_ import random #生成随机手机号 str_start=random.c ...
- java中的javap命令(工作中补充的知识)
背景: 上周针对某信得压力测试demo进行场景复现,但是只提供了class文件,只能通过反编译的软件进行查看,在复现的过程中报错某某某行,这里我以xx行代替,因为是class文件,所以并不能确定具体到 ...
- PAT_A1012#The Best Rank
Source: PAT A1012 The Best Rank (25 分) Description: To evaluate the performance of our first year CS ...
- python 实现异常退出
https://blog.csdn.net/u013385362/article/details/81206822 有时当一个条件成立的情况下,需要终止程序,可以使用sys.exit()退出程序.sy ...
- 【Java多线程系列二】Thread类的方法
Thread实现Runnable接口并实现了大量实用的方法. /* * 此方法释放CPU,但并不释放已获得的锁,其它就绪的线程将可能得到执行机会,它自己也有可能再次得到执行机会 */ public s ...