`
kakueiken
  • 浏览: 18401 次
  • 性别: Icon_minigender_1
  • 来自: 无线
最近访客 更多访客>>
社区版块
存档分类
最新评论

实现DLL注入的另一种方法(转)

 
阅读更多
将DLL注入进程技术在实现Api函数的监视程序中不可缺少的一项工作。其中最常见的就是用SetWindowsHookEx函数实现了。不过,该方法的缺点是被监视的目标进程必须有窗口,这样,SetWindowsHookEx才能将DLL注入目标进程中。而且,目标程序已经运行了,那么,在窗口创建之前的Api函数就不能被Hook了。

另外一种方法用Debug方案,就可以实现在程序创建时监视所有的Api了,缺点是必须是目标进程的Debug源,在监视程序终了时,目标进程会无条件终了。最大的缺点就是无法调试注入的DLL。

还有其他多种方案也可以实现DLL的注入,在《Windows核心编程》一书中就介绍了8-9种,其中有一种采用CreateProcess的方法,实现起来比较复杂,但没有上面几种方法的局限性。且可以用其他工具(VC等)调试注入的DLL。下面进行介绍。


原理如下:

1.  用CreateProcess(CREATE_SUSPENDED)启动目标进程。

2.  找到目标进程的入口,用ImageHlp中的函数可以实现。

3.  将目标进程入口的代码保存起来。

4.  在目标进程的入口写入LoadLibrary(MyDll)实现Dll的注入。

5.  用ResumeThread运行目标进程。

6.  目标进程就运行了LoadLibrary(MyDll),实现DLL的注入。

7.  目标进程运行完LoadLibrary(MyDll)后,将原来的代码写回目标进程的入口。

8.  目标进程Jmp至原来的入口,继续运行程序。

从原理上可以看出,DLL的注入在目标进程的开始就运行了,而且不是用Debug的方案,这样,就没有上面方案的局限性了。该方案的关键在6,7,8三步,实现方法需要监视进程和DLL合作。下面,结合代码进行分析。

在监视进程中,创建FileMapping,用来保存目标进程的入口代码,同时保证DLL中可以访问。在第7步实现将原目标代码写回目标进程的入口。

// 监视程序和DLL共用的结构体

#pragma pack (push ,1)  // 保证下面的结构体采用BYTE对齐(必须)

typedef struct

{

       BYTE      int_PUSHAD;         // pushad        0x60     

       BYTE      int_PUSH;             // push &szDLL     0x68

       DWORD push_Value;           //            &szDLL = "ApiSpy.dll"的path

       BYTE      int_MOVEAX;              //  move eax &LoadLibrary  0xB8

       DWORD eax_Value;             //     &LoadLibrary

       WORD    call_eax;         //     call eax    0xD0FF(FF D0) (LoadLibrary("ApiSpy.dll");

       BYTE      jmp_MOVEAX;             //     move eax &ReplaceOldCode  0xB8     

       DWORD jmp_Value;             //     JMP的参数

       WORD    jmp_eax;        //     jmp eax   0xE0FF(FF E0) jmp ReplaceOldCode;

       char szDLL[MAX_PATH]; //  "ApiSpy.dll"的FullPath

}INJECT_LOADLIBRARY_CODE, *LPINJECT_CODE;



#pragma pack (pop , 1)

上面结构体的代码为汇编代码,对应的汇编为:

pushad

push szDll

mov eax, &LoadLibraryA

call eax  // 实现调用LoadLibrary(szDll)的代码

mov eax, oldentry

jmp eax // 实现在LoadLibrary运行完后, 跳至目标进程的入口继续运行



// FileMaping的结构体

typedef struct

{

       LPBYTE  lpEntryPoint;   // 目标进程的入口地址

       BYTE      oldcode[sizeof(INJECT_CODE)];        // 目标进程的代码保存

}SPY_MEM_SHARE, * LPSPY_MEM_SHARE;



准备工作:

第一步:用CreateProcess(CREATE_SUSPENDED)启动目标进程。



CreateProcessA(0, szRunFile, 0, 0, FALSE, CREATE_SUSPENDED

                            0, NULL, &stInfo,

                            &m_proInfo) ;

// 用CreateProcess启动一个暂停的目标进程

// 找到目标进程的入口点,函数如下

第二步:找到目标进程的入口,用ImageHlp中的函数可以实现。

pEntryPoint = GetExeEntryPoint(szRunFile);



LPBYTE  GetExeEntryPoint(char *filename)

{

       PIMAGE_NT_HEADERS      pNTHeader;

       DWORD pEntryPoint;

       PLOADED_IMAGE       pImage;



       pImage = ImageLoad(filename, NULL);



       if(pImage == NULL)

              return NULL;

       pNTHeader = pImage->FileHeader;

       pEntryPoint = pNTHeader->OptionalHeader.AddressOfEntryPoint + pNTHeader->OptionalHeader.ImageBase;

       ImageUnload(pImage);

       return (LPBYTE)pEntryPoint;

}



// 创建FileMapping

hMap = CreateFileMapping((HANDLE)0xFFFFFFFF, NULL,

       PAGE_READWRITE,    0, sizeof(SPY_MEM_SHARE), “MyDllMapView”);



// 保存目标进程的代码

第三步:将目标进程入口的代码保存起来。

LPSPY_MEM_SHARE   lpMap = pMapViewOfFile(hMap,

                                                                      FILE_MAP_ALL_ACCESS,

                                                                      0, 0, 0);



ReadProcessMemory(m_proInfo.hProcess, pEntryPoint,

                    &lpMap->oldcode, sizeof(INJECT_CODE),

                     &cBytesMoved);

       lpMap->lpEntryPoint = pEntryPoint;



// 第四步:在目标进程的入口写入LoadLibrary(MyDll)实现Dll的注入。



// 准备注入DLL的代码

       INJECT_CODE     newCode;

// 写入MyDll―――用全路径

       lstrcpy(newCode.szDLL, szMyDll);

// 准备硬代码(汇编代码)

       newCode.int_PUSHAD = 0x60;  

       newCode.int_PUSH = 0x68;

       newCode.int_MOVEAX = 0xB8;

       newCode.call_eax = 0xD0FF;

       newCode.jmp_MOVEAX = 0xB8;

       newCode.jmp_eax = 0xE0FF;

       newCode.eax_Value = (DWORD)&LoadLibrary;

       newCode.push_Value=(pEntryPoint + offsetof(INJECT_CODE,szDLL));



// 将硬代码写入目标进程的入口

// 修改内存属性

DWORD dwNewFlg, dwOldFlg;



dwNewFlg = PAGE_READWRITE;

VirtualProtectEx(m_proInfo.hProcess, (LPVOID)pEntryPoint, sizeof(DWORD), dwNewFlg, &dwOldFlg);



WriteProcessMemory(m_proInfo.hProcess, pEntryPoint,

                                          &newCode, sizeof(newCode), NULL);//&dwWrited);

              VirtualProtectEx(proInfo.hProcess, (LPVOID)pEntryPoint, sizeof(DWORD), dwOldFlg, &dwNewFlg);

// 释放FileMaping  注意,不是Closehandle(hMap)

UnmapViewOfFile(lpMap);

// 继续目标进程的运行

第五步:用ResumeThread运行目标进程。

ResumeThread(m_proInfo.hThread);



在监视进程中就结束了自己的任务,剩下的第6,7,8步就需要在Dll的DllMain中进行配合。

DLL中用来保存数据的结构体

typedef struct
{
         DWORD    lpEntryPoint;
         DWORD    OldAddr;
         DWORD    OldCode[4];
}JMP_CODE,* LPJMP_CODE;

static JMP_CODE  _lpCode;


// 在DllMain的DLL_PROCESS_ATTACH中调用InitApiSpy函数

// 在该函数中实现第6,7,8步



第六步:目标进程就运行了LoadLibrary(MyDll),实现DLL的注入。



int    WINAPI DllMain(HINSTANCE hInst, DWORD dwReason, LPVOID lpReserved)

{

       switch(dwReason)

       {

       case DLL_PROCESS_ATTACH:

              return InitApiSpy();

……



// InitApiSpy函数的实现

BOOL WINAPI InitApiSpy()

{

       HANDLE hMap;

       LPSPY_MEM_SHARE   lpMem;

       DWORD dwSize;

       BOOL     rc;

       BYTE*    lpByte;



       // 取得FileMapping的句柄

       hMap = OpenFileMapping(FILE_MAP_ALL_ACCESS, 0, “MyDllMapView”);

       if(hMap)

       {

              lpMem = (LPSPY_MEM_SHARE)MapViewOfFile(hMap,

                                                                      FILE_MAP_ALL_ACCESS,

                                                                      0, 0, 0);

              if(lpMem)

              {

第七步:目标进程运行完LoadLibrary(MyDll)后,将原来的代码写回目标进程的入口。

                     // 恢复目标进程的入口代码

// 得到mov eax, value代码的地址

                     _lpCode.OldAddr = (DWORD)((BYTE*)lpMem->lpEntryPoint + offsetof(INJECT_CODE, jmp_MOVEAX));

                     _lpCode.lpEntryPoint = (DWORD)lpMem->lpEntryPoint;

                     // 保存LoadLibrary()后面的代码

                     memcpy(&_lpCode.OldCode, (BYTE*)lpMem->oldcode + offsetof(INJECT_CODE, jmp_MOVEAX), 2*sizeof(DWORD));

                     // 恢复目标进程的入口代码

                     rc = WriteProcessMemory(GetCurrentProcess(), lpMem->lpEntryPoint, lpMem->oldcode, sizeof(INJECT_CODE), &dwSize);

                     lpByte = (BYTE*)lpMem->lpEntryPoint + offsetof(INJECT_CODE, jmp_MOVEAX);

                     UnmapViewOfFile(lpMem);

              }

              CloseHandle(hMap);

       }



// 实现自己Dll的其他功能,如导入表的替换

//     ……

// 将LoadLibrary后面的代码写为转入处理程序中

// 指令为:mov eax, objAddress

//         jmp eax

       {

              BYTE*    lpMovEax;

              DWORD*      lpMovEaxValu;

              WORD*  lpJmp;

              DWORD fNew, fOld;



              fNew = PAGE_READWRITE;

              lpMovEax = lpByte;

              VirtualProtect(lpMovEax, 2*sizeof(DWORD), fNew, &fOld);

              *lpMovEax = 0xB8;

              lpMovEaxValu = (DWORD*)(lpMovEax + 1);

              *lpMovEaxValu = (DWORD)&DoJmpEntryPoint;

              lpJmp = (WORD*)(lpMovEax + 5);

              *lpJmp = 0xE0FF;  // (FF E0)

              VirtualProtect(lpMovEax, 2*sizeof(DWORD), fOld, &fNew);

       }

       return TRUE;

}



// 转入处理程序

DWORD*      lpMovEax;

DWORD fNew, fOld;



void __declspec(naked) DoJmpEntryPoint ()

{

  // 恢复LoadLibrary后面的代码

       _gfNew = PAGE_READWRITE;

       _glpMovEax = (DWORD*)_lpCode.OldAddr;

       VirtualProtect(_glpMovEax, 2*sizeof(DWORD), _gfNew, &_gfOld);

       *_glpMovEax = _lpCode.OldCode[0];

       *(_glpMovEax + 1) = _lpCode.OldCode[1];

       VirtualProtect(_glpMovEax, 2*sizeof(DWORD), _gfOld, &_gfNew);

第八步:目标进程Jmp至原来的入口,继续运行程序。

// 跳至目标代码的入口

       _asm       popad

       _asm       jmp _lpCode.lpEntryPoint

}



这样就实现了原来的目标,将DLL的注入放在目标进程的入口运行,实现了目标进程运行之前运行我们的注入Dll的功能。



  • 大小: 19 KB
分享到:
评论

相关推荐

    VB 实现Dll注入指定进程

    在IT领域,Dll注入是一种技术,它允许一个程序在另一个程序(目标进程)的上下文中执行代码。VB,即Visual Basic,是微软开发的一种面向对象的编程语言,它也能用于实现Dll注入。在这个主题中,我们将深入探讨VB如何...

    C#版DLL注入

    DLL注入是一种在不修改目标程序源代码的情况下,将自定义的DLL功能加载到另一个正在运行的进程中的技术。这种方法常用于调试、监控、性能分析以及恶意软件活动中。在C#中实现DLL注入相对较少见,因为C++和C#通常更...

    实现DLL的注入与卸载

    DLL注入是一种技术,通过该技术,我们可以将一个DLL文件加载到另一个正在运行的进程上下文中,从而使得DLL中的函数可以被目标进程调用。这通常用于调试、监控、性能优化或者恶意软件活动中。DLL卸载则是将已注入的...

    DLL注入的方法 通讯 实现范例

    全局钩子是另一种重要的概念,它允许我们监控整个系统的特定事件,如键盘输入、鼠标操作等。全局钩子通过安装一个系统级的钩子程序实现,这个程序通常包含在DLL中。当安装了全局钩子,系统会将所有匹配类型的事件都...

    DLL注入到EXE的一个winform程序

    在IT领域,DLL(Dynamic Link Library)注入是一种技术,它允许一个进程将代码注入到另一个正在运行的进程,通常是为了扩展或控制目标进程的功能。在这个案例中,我们讨论的是一个基于VS2008的Winform应用程序,它...

    DLL永久注入EXE 易语言源码实现 无需工具

    2. **进程间通信(IPC,Inter-Process Communication)**:DLL注入就是一种非传统的IPC方式。通过DLL注入,一个进程(注入者)可以向另一个进程(宿主进程)传递数据或执行代码。 3. **钩子技术(Hook)**:在注入...

    Dll注入+呼出 Dll注入+呼出

    DLL注入允许一个进程将自身的代码加载到另一个进程中,从而改变其行为,而DLL呼出则涉及从进程中卸载特定的DLL。在Delphi编程环境中,我们可以使用低级API调用来实现这样的功能。 DLL注入通常涉及以下几个步骤: 1...

    C# DLL 进程注入示例。

    在IT领域,进程注入是一种技术,它允许一个进程(注入者)将代码插入到另一个正在运行的进程中(宿主进程)执行。这种技术通常用于调试、监控、性能优化或者恶意软件活动。本示例主要关注如何使用C#来实现DLL(动态...

    Qt:Windows编程—DLL注入与卸载 示例demo

    DLL注入通常是通过将DLL加载到另一个进程的地址空间来实现的。这可以通过几种方法完成,包括SetWindowsHookEx函数、CreateRemoteThread函数或者使用WriteProcessMemory和CreateThread组合。DLL注入的主要目的是让...

    注入dll 远程注入方法

    DLL注入是一种技术,允许一个进程将自身的代码(即DLL)加载到另一个正在运行的进程中,以此来改变或扩展目标进程的行为。这种技术在系统调试、插件开发、恶意软件中都有应用。 标题中的"注入dll 远程注入方法"指的...

    注入技术及实现 sql注入 dll注入

    DLL注入是另一种类型的注入技术,主要针对Windows系统。它涉及将恶意DLL文件加载到目标进程的地址空间中,以执行恶意代码或操控目标程序的行为。DLL注入常用于权限提升、隐藏恶意活动和绕过安全防护。 实现DLL注入...

    dll注入实例注入代码

    DLL注入是一种技术,它允许一个进程(通常是恶意软件或黑客工具)将动态链接库(DLL)加载到另一个正在运行的进程中,从而实现对目标进程的控制或监视。这个过程涉及到了Windows操作系统的核心机制,包括进程内存...

    exe将dll注入到explorer.exe资源管理器进程_DLL注入示例.injectdll

    DLL注入是一种技术,它允许一个动态链接库(DLL)在另一个进程中加载并执行代码,而无需该进程直接调用或加载它。这个过程通常用于扩展应用程序功能、调试、监控或恶意活动。在本示例中,“exe将dll注入到explorer....

    易语言实现DLL的注入 与 隐藏源码.zip

    DLL注入是将一个动态链接库加载到另一个进程的地址空间中的技术,使得DLL中的函数可以被目标进程调用,或者DLL可以影响目标进程的行为。在易语言中,可以利用API调用来实现DLL注入。通常步骤包括: - 编写DLL:...

    dll 注入测试工具

    DLL注入是一种技术,它允许一个进程(通常是恶意软件或黑客工具)将动态链接库(DLL)加载到另一个进程中,以实现远程代码执行、调试、功能增强或其他目的。在这个压缩包中,我们有两个文件:`demo.dll` 和 `...

    DLL注入示例课件源码

    5. 线程注入:线程注入是另一种方法,通过在目标进程中创建新的线程来执行我们的代码。这种方法通常用于避开进程保护机制,因为新线程是在目标进程的上下文中运行的。 6. 安全与反注入:尽管DLL注入有其合法用途,...

    阿哲CSGO最新dll注入器

    DLL注入器是一种能够将外部的DLL文件加载到另一个正在运行的进程内存空间中的工具,这样DLL中的函数就可以在目标进程中执行,从而实现对目标程序的控制或扩展其功能。 【压缩包子文件的文件名称列表】: 1. "阿哲...

    简单的DLL注入线程

    DLL注入是一种技术手段,通过将一个DLL文件的内容加载到另一个正在运行的进程内存空间中,使得目标进程能够执行注入的DLL中的函数,从而达到控制或扩展其功能的目的。 在"简单的DLL注入线程"这个主题中,我们主要...

    SetWindowsHookEx实现DLL注入

    在IT领域,DLL注入是一种常见的技术,用于在不修改目标进程的情况下影响其行为。这个技术主要涉及两个关键组件:注入的动态链接库(DLL)和注入机制。在本例中,"SetWindowsHookEx"是Windows API提供的一个函数,...

    内存DLL注入易语言模块源码

    内存DLL注入是一种技术,常用于调试、自动化测试、性能优化以及恶意软件中,它允许一个程序在不修改或重新启动目标进程的情况下,将其功能插入到另一个正在运行的进程中。在这个场景中,标题提及的是“易语言模块...

Global site tag (gtag.js) - Google Analytics