动态链接库注入技术是一种特殊的技术,它允许在运行的进程中注入DLL动态链接库,从而改变目标进程的行为。DLL注入的实现方式有许多,典型的实现方式为远程线程注入,该注入方式的注入原理是利用了Windows系统中提供的CreateRemoteThread()这个API函数,该函数第四个参数是准备运行的线程,我们将LoadLibrary()函数填入其中,这样就可以执行远程进程中的LoadLibrary()函数,进而将我们自己准备的DLL加载到远程进程空间中执行,DLL在被装载后则会自动执行初始化部分。

远程线程注入的实现可以总结为如下流程;

  • 1.OpenProcess 打开进程获取进程句柄
  • 2.VirtualAllocEx 在目标进程申请一块内存
  • 3.WriteProcessMemory 将注入DLL路径写出到内存中
  • 4.GetProcAddress 获得LoadLibraryA函数的内存地址
  • 5.CreateRemoteThread 创建远线程,实现DLL注入

远程注入的核心实现原理是利用了CreateRemoteThread函数,CreateRemoteThread是Windows系统的一个函数,能够在指定的进程上下文中创建一个线程。该函数可以使一个进程在另一个进程中执行任意代码,并返回新线程的句柄。在DLL注入中,我们可以使用该函数在目标进程的上下文中创建一个新线程,从而使我们的DLL代码被加载和运行。该函数的声明如下所示;

HANDLE WINAPI CreateRemoteThread(

  HANDLE                 hProcess,

  LPSECURITY_ATTRIBUTES  lpThreadAttributes,

  SIZE_T                 dwStackSize,

  LPTHREAD_START_ROUTINE lpStartAddress,

  LPVOID                 lpParameter,

  DWORD                  dwCreationFlags,

  LPDWORD                lpThreadId

);

参数说明:

  • hProcess: 目标进程的句柄。
  • lpThreadAttributes: 线程安全描述符,通常为NULL。
  • dwStackSize: 新线程的初始化栈大小,通常为0。
  • lpStartAddress: 线程入口点,指向要在新线程中执行的代码。
  • lpParameter: 传递给线程入口点的参数。
  • dwCreationFlags: 线程创建标志,通常为0。
  • lpThreadId: 如果非NULL,返回新线程的ID号。

在DLL注入中,我们可以使用它来在指定的进程上下文中执行我们的DLL代码,使其被加载和运行。这段代码的实现很容易理解,我们以注入32为DLL为例,代码如下所示;

#include <windows.h>

#include <iostream>

#include <TlHelp32.h>

#include <tchar.h>

// 传入进程名称返回该进程PID

DWORD FindProcessID(LPCTSTR szProcessName)

{

    DWORD dwPID = 0xFFFFFFFF;

    HANDLE hSnapShot = INVALID_HANDLE_VALUE;

    PROCESSENTRY32 pe;

    pe.dwSize = sizeof(PROCESSENTRY32);

    hSnapShot = CreateToolhelp32Snapshot(TH32CS_SNAPALL, NULL);

    Process32First(hSnapShot, &pe);

    do

    {

        if (!_tcsicmp(szProcessName, (LPCTSTR)pe.szExeFile))

        {

            dwPID = pe.th32ProcessID;

            break;

        }

    } while (Process32Next(hSnapShot, &pe));

    CloseHandle(hSnapShot);

    return dwPID;

}

// 远程线程注入

BOOL CreateRemoteThreadInjectDll(DWORD Pid, char* DllName)

{

    HANDLE hProcess = NULL;

    SIZE_T dwSize = 0;

    LPVOID pDllAddr = NULL;

    FARPROC pFuncProcAddr = NULL;

    // 打开注入进程

    hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, Pid);

    if (NULL == hProcess)

    {

        return FALSE;

    }

    // 得到注入文件的完整路径

    dwSize = sizeof(char) + lstrlen(DllName);

    // 在对端申请一块内存

    pDllAddr = VirtualAllocEx(hProcess, NULL, dwSize, MEM_COMMIT, PAGE_READWRITE);

    if (NULL == pDllAddr)

    {

        return FALSE;

    }

    // 将注入文件名写入到内存中

    if (FALSE == WriteProcessMemory(hProcess, pDllAddr, DllName, dwSize, NULL))

    {

        return FALSE;

    }

    // 得到LoadLibraryA()函数的地址

    pFuncProcAddr = GetProcAddress(GetModuleHandle("kernel32.dll"), "LoadLibraryA");

    if (NULL == pFuncProcAddr)

    {

        return FALSE;

    }

    // 启动线程注入

    HANDLE hRemoteThread = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pFuncProcAddr, pDllAddr, 0, NULL);

    if (NULL == hRemoteThread)

    {

        return FALSE;

    }

    // 关闭句柄

    CloseHandle(hProcess);

    return TRUE;

}

int main(int argc, char *argv[])

{

    DWORD pid = FindProcessID("lyshark.exe");

    std::cout << "进程PID: " << pid << std::endl;

    bool flag = CreateRemoteThreadInjectDll(pid, (char *)"d://hook.dll");

    std::cout << "注入状态: " << flag << std::endl;

    return 0;

}

3.1 DLL注入:常规远程线程注入的更多相关文章

  1. 安全之路 —— 无DLL文件实现远程线程注入

    简介         在之前的章节中,笔者曾介绍过有关于远程线程注入的知识,将后门.dll文件注入explorer.exe中实现绕过防火墙反弹后门.但一个.exe文件总要在注入时捎上一个.dll文件着 ...

  2. windows-CODE注入(远程线程注入)

    远程线程注入(先简单说,下面会详细说)今天整理下代码注入(远程线程注入),所谓代码注入,可以简单的理解为是在指定内进程里申请一块内存,然后把我们自己的执行代码和一些变量拷贝进去(通常是以启线程的方式) ...

  3. 安全之路 —— 借助DLL进行远程线程注入实现穿墙与隐藏进程

    简介        大多数后门或病毒要想初步实现隐藏进程,即不被像任务管理器这样典型的RING3级进程管理器找到过于明显的不明进程,其中比较著名的方法就是通过远程线程注入的方法注入将恶意进程的DLL文 ...

  4. 详细解读:远程线程注入DLL到PC版微信

    一.远程线程注入的原理 1.其基础是在 Windows 系统中,每个 .exe 文件在双击打开时都会加载 kernel32.dll 这个系统模块,该模块中有一个 LoadLibrary() 函数,可以 ...

  5. 远程线程注入dll,突破session 0

    前言 之前已经提到过,远线程注入和内存写入隐藏模块,今天介绍突破session 0的dll注入 其实今天写这个的主要原因就是看到倾旋大佬有篇文章提到:有些反病毒引擎限制从lsass中dump出缓存,可 ...

  6. 远程线程注入DLL突破session 0 隔离

    远程线程注入DLL突破session 0 隔离 0x00 前言 补充上篇的远程线程注入,突破系统SESSION 0 隔离,向系统服务进程中注入DLL. 0x01 介绍 通过CreateRemoteTh ...

  7. 远程线程注入DLL

    远程线程注入 0x00 前言 远程线程注入是一种经典的DLL注入技术.其实就是指一个新进程中另一个进程中创建线程的技术. 0x01 介绍 1.远程线程注入原理 画了一个图大致理解了下远程线程注入dll ...

  8. 远程线程注入突破SESSION 0

    远程线程注入突破SESSION 0 SESSION 0 隔离 在Windows XP.Windows Server 2003,以及更老版本的Windows操作系统中,服务和应用程序使用相同的会话(Se ...

  9. 远程线程注入方法CreateRemoteThread

    最近在整理学习Windows注入方面的知识,这个远程注入前面早写过,现在看看人家博客的理解整理,整理, 需要源码的可以到我的github上下载. 链接是  https://github.com/Ars ...

  10. 安全之路 —— 无DLL文件实现远程进程注入

    简介 在之前的章节中,笔者曾介绍过有关于远程线程注入的知识,将后门.dll文件注入explorer.exe中实现绕过防火墙反弹后门.但一个.exe文件总要在注入时捎上一个.dll文件着实是怪麻烦的,那 ...

随机推荐

  1. ZK--简介,部署

    官网:https://zookeeper.apache.org/ 本文zk版本:3.7.0 一.简介 ZooKeeper 是一个高可用的分布式数据管理与系统协调软件,它可以为分布式应用提供状态同步.配 ...

  2. VSCode一键调用DOSBox运行MASM/TASM代码的自定义任务

    在学习汇编的时候,发现很多教程都未使用 VSC 进行开发,今天在 Gitee 看有意思的项目时候发现了这个 DOS汇编/VSC-ASMtasks 通过配置VSCode的自定义任务来实现调用dosbox ...

  3. C++ 的两种换行符区别

    当我们在C++执行一个输出语句时,在输出语句最后可以使用 std::endl 或 \n 建立一个新行. 但这两种换行方式对程序有不同的影响. std::endl 它在建立一个新的行的同时,还会自动刷新 ...

  4. SAE 联合乘云至达与谱尼测试携手共同抗疫

    作者 | 营火.计缘.张祖旺 前言 当前疫情形势依然严峻,各行各业众志成城,携手抗疫.新冠病毒核酸检测筛查是疫情防控的重要一环,如何应对疫情的不断反复,以及每日数以万计的核酸检测结果成为每个检测公司的 ...

  5. [GFCTF 2021]web部分题解(更新中ing)

    [GFCTF 2021]Baby_Web 拿源码环节: 打开环境(◡ᴗ◡✿) 乍一看什么都没有,F12下没看到js文件,但是看到了出题师傅的提示:"源码藏在上层目录xxx.php.txt里面 ...

  6. 【新手友好】用Pyspark和GraphX解析复杂网络数据

    从零开始 在本文中,我们将详细介绍如何在Python / pyspark环境中使用graphx进行图计算.GraphX是Spark提供的图计算API,它提供了一套强大的工具,用于处理和分析大规模的图数 ...

  7. js滑动验证

    https://gitee.com/anji-plus/captcha AjCaptcha验证码: https://blog.csdn.net/zbchina2004/article/details/ ...

  8. [tslint] Identifier 'loggedIn' is never reassigned; use 'const' instead of 'let'. (prefer-const)

  9. C语言基础之第一个C程序

    前言 在开始学习 C 语言的基础知识之前,我们需要学习如何编写.编译和运行第一个 C 程序. 要编写第一个 C 程序,打开 C 控制台并编写以下代码,我这里直接使用vs2022进行代码的编写: #in ...

  10. 01_设计一个有getMin功能的栈

    01_设计一个有getMin功能的栈 [题目] 实现一个特殊的栈,在实现栈的基本功能的基础上,再实现返回栈中最小元素的操作. [要求] pop.push.getMin操作的时间复杂度都是O(1) 设计 ...