- 注册时间
- 2011-3-6
- 最后登录
- 1970-1-1
该用户从未签到
|
所谓DLL注入,既把一个DLL文件放到目标进程中。
下面介绍2种注入方式:
1.远程线程注入。
2.利用hook注入。
由于本文篇幅限制,不写如何编写DLL。
一.首先讲一下远程线程注入的方法:
1.假设我们已经写好了一个DLL文件。
2.设置本进程权限为debug权限,既调试权限,可以打开其他进程。代码如下:
- BOOL SetToken(void)
- {
- HANDLE hToken;
- TOKEN_PRIVILEGES Privileges;
- LUID luid;
- OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY | TOKEN_READ,&hToken);
- Privileges.PrivilegeCount=1;
- LookupPrivilegeValue(NULL,SE_DEBUG_NAME,&luid);
- Privileges.Privileges[0].Luid=luid;
- Privileges.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;
- if(!AdjustTokenPrivileges(hToken,FALSE,&Privileges,NULL,NULL,NULL)!=0)
- return FALSE;
- CloseHandle(hToken);
- return (GetLastError() == ERROR_SUCCESS);
- }
3.获得目标进程的句柄。
OpenProcess(权限类型,是否可被继承,进程ID)功能:返回目标进程句柄.
4.在远程进程中分配内存,用来存储,我们要注入的dll的路径
VirtualAllocEx(hProcess, NULL, cb, MEM_COMMIT, PAGE_READWRITE);
//VirtualAllocEx()函数功能:为制定的进程分配虚拟地址
//参1:要分配的进程句柄
//参2:要分配的虚拟地址的位置,0表示,自动分配位置
//参3:分配的大小
//参4:MEM_COMMIT表示,分配物理内存或者页面内存,并且初始化内存为0
//参5:存储选项:PAGE_READWRITE表示可以在页面内存中 “读写”
//返回值:如果分配内存成功,则返回分配内存的地址,如果分配失败则返回NULL,调用GetLastError()查看错误原因
5.在远程进程中刚才分配的内存处,写入目标DLL路径:
WriteProcessMemory(hProcess, pszLibFileRemote,PVOID) pszLibFile, cb, NULL)
//WriteProcessMemory()函数功能:在制定进程中写入内存
//参1:写入进程的句柄
//参2:写入内存的起始地址,必须是已经创建的地址,比如上面用VirtualAllocEx()在进程中创建的内存地址
//参3:写入内存中的数据内容的缓存
//参4:写入数据大小
//参5:一个选项,0表示忽视
//返回值: 非0值表示成功, 返回0则表示写入错误。调用GetLastError()查看错误原因
6.获取LoadLibrary()函数地址,因为要用他来动态加载DLL,该函数在kernel32.dll文件中
PROC AdrMyDllDir=(PROC)::GetProcAddress(::GetModuleHandle(TEXT("kernel32.dll")),"LoadLibraryW");//W代表UNICODE版本,说实话,A代表多字节字符集,本人喜欢UNICODE版本
GetProcAddress()
FARPROC GetProcAddress(HMODULE hModule,LPCWSTR lpProcName);
//功能:返回指定的DLL输出函数的函数地址
//参数1:DLL模块句柄
//参数2:DLL输出函数的函数名
这个函数的返回值,就是LoadLibraryW的地址了
7.创建远程线程,既在目标进程中创建一个线程,这里的线程跟普通的线程不同,普通线程有线程处理函数ProcThread()
- CreateRemoteThread()
- HANDLE CreateRemoteThread(
- HANDLE hProcess,
- LPSECURITY_ATTRIBUTES lpThreadAttributes,
- SIZE_T dwStackSize,
- LPTHREAD_START_ROUTINE lpStartAddress,
- LPVOID lpParameter,
- DWORD dwCreationFlags,
- LPDWORD lpThreadId
- );
//函数功能:在制定进程中的虚拟地址中创建一个线程
//参数1:进程句柄,线程被创建在这个进程中
//参数2:安全等级,0表示默认安全等级
//参数3:创建线程的大小,0表示系统自动分配线程实际需要的大小
//参数4:线程起始地址,使用LPTHREAD_START_ROUTINE 定义的线程,并且线程是在远程进程中已经存在。
//参数5: 给线程函数传递的参数
//参数6:创建标志,如果参数是0,则线程创建后立即运行
//参数7:线程ID,如果 ID给0 ,则不返回创建线程的ID
::CreateRemoteThread(hProcess,0,0,(LPTHREAD_START_ROUTINE)AdrMyDllDir,bufRemote,0,0);
这里的AdrMyDllDir存放LoadLibraryW ,也就是说把LoadLibraryW当做线程处理函数,传入的参数bufRemote存放的是目标DLL文件的地址。
二。下面讲解一下如何用hook既钩子注入DLL文件。
首先给不懂钩子的人简单介绍一下原理:所谓hook,既钩子。hook会在应用程序接到消息之前,拦截应用程序的信息,比如鼠标键盘钩子会拦截一个应用程序的鼠标键盘信息。要做盗号木马?用WH_KEYBOARD类型的hook
1.我们要跨进程使用钩子,要把hook函数写在DLL文件中,这是微软明确规定的。也有其他方法,这里不多叙述
2.在DLL文件中 设置钩子.
这里需要调用线程ID,threadId,我们会在下面调用DLL的调用端中写入
hhookGetMsg=::SetWindowsHookEx(WH_GETMESSAGE,GetMessageHookProc,::GetModuleHandle(TEXT("dll.dll")),threadId);
//参数1:钩子类型
//参数2:钩子处理函数
//参数3:钩子所在的模块
//参数4:钩子要拦截的线程ID,如果要设置全局钩子,这里给0。
把这个SetWindowsHookEx()函数写在一个导出函数中,允许调用dll文件的程序调用
- _declspec(dllexport) void SetHook(DWORD threadId)
- {
- hhookGetMsg=::SetWindowsHookEx(WH_GETMESSAGE,GetMessageHookProc,::GetModuleHandle(TEXT("dll.dll")),threadId);
- }
SetHook()就是本dll的导出函数
3.在钩子处理函数中写入功能,当钩子截取到WM_NULL消息的时候,注入DLL文件。由于WM_NULL消息,是个没用的消息,应用程序一般不会收到这个消息,除非我们自己发送一个这个消息,所以我们在注入DLL的时候,只要给要注入的应用程序发一个WM_NULL消息,当钩子截取到WM_NULL的时候就注入钩子,就可以了。
- LRESULT CALLBACK GetMessageHookProc(int nCode,WPARAM wParam,LPARAM lParam)
- {
- MSG* pMsg=(MSG*)lParam;
- if(WM_NULL==pMsg->message)
- ::LoadLibraryW(TEXT("D://MyDLL.dll"));
- }
好了,编译DLL项目,产生DLL文件。
4.编写调用端,调用钩子
首先获取窗口句柄
- HWND FindWindow( LPCTSTR lpClassName,
- LPCTSTR lpWindowName
- );
返回窗体句柄。hWnd.
hWnd=FindWindow(0,要注入dll的窗体的名称(例如:千千静听))
利用hWnd,查找窗体线程ID
threadId=GetWindowThreadProcessId(hWnd,0);
好了,我们有了线程ID了,可以调用钩子了。
SetHook(threadId);
这时钩子已经加载到目标线程中了。
向目标窗体发送WM_NULL消息
SendMessage(hWnd,WM_NULL,0,0);
钩子会在目标窗体受到消息前受到WM_NULL消息。由于钩子处理函数中做了判断,当受到WM_NULL消息时,加载DLL文件。所以DLL文件就注入到目标线程中了。
你可以把你的DLL文件中写入许多功能,而且DLL已经被目标程序加载了,也就是说,你的DLL程序已经打入到目标程序内部了,所以现在你可以为所欲为了
|
|
发表于 2018-3-1 09:37:01