龙马谷

 找回密码
 立即注册

QQ登录

只需一步,快速开始

龙马谷VIP会员办理客服QQ:82926983(如果临时会话没有收到回复,请先加QQ好友再发。)
1 [已完结] GG修改器新手入门与实战教程 31课 2 [已完结] GG修改器美化修改教程 6课 3 [已完结] GG修改器Lua脚本新手入门教程 12课
4 [已完结] 触动精灵脚本新手入门必学教程 22课 5 [已完结] 手游自动化脚本入门实战教程 9课 6 [已完结] C++射击游戏方框骨骼透视与自瞄教程 27课
7 [已完结] C++零基础UE4逆向开发FPS透视自瞄教程 29课 8 [已完结] C++零基础大漠模拟器手游自动化辅助教程 22课 9 [已完结] C++零基础开发DXF内存脚本辅助教程 32课
以下是天马阁VIP教程,本站与天马阁合作,赞助VIP可以获得天马阁对应VIP会员,名额有限! 点击进入天马阁论坛
1 [已完结] x64CE与x64dbg入门基础教程 7课 2 [已完结] x64汇编语言基础教程 16课 3 [已完结] x64辅助入门基础教程 9课
4 [已完结] C++x64内存辅助实战技术教程 149课 5 [已完结] C++x64内存检测与过检测技术教程 10课 6 [已完结] C+x64二叉树分析遍历与LUA自动登陆教程 19课
7 [已完结] C++BT功能原理与x64实战教程 29课 8 [已完结] C+FPS框透视与自瞄x64实现原理及防护思路
查看: 4408|回复: 0

通过钩子、线程等方式注入DLL到进程讲解

[复制链接]

14

主题

3

回帖

22

积分

编程入门

Rank: 1

龙马币
48

所谓DLL注入,既把一个DLL文件放到目标进程中。
下面介绍2种注入方式:
1.远程线程注入。
2.利用hook注入。

由于本文篇幅限制,不写如何编写DLL。
一.首先讲一下远程线程注入的方法:
1.假设我们已经写好了一个DLL文件。
2.设置本进程权限为debug权限,既调试权限,可以打开其他进程。代码如下:

  1. BOOL SetToken(void)
  2. {
  3. HANDLE hToken;
  4. TOKEN_PRIVILEGES Privileges;
  5. LUID luid;
  6. OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY | TOKEN_READ,&hToken);
  7. Privileges.PrivilegeCount=1;
  8. LookupPrivilegeValue(NULL,SE_DEBUG_NAME,&luid);
  9. Privileges.Privileges[0].Luid=luid;
  10. Privileges.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;
  11. if(!AdjustTokenPrivileges(hToken,FALSE,&Privileges,NULL,NULL,NULL)!=0)
  12.   return FALSE;
  13. CloseHandle(hToken);
  14. return (GetLastError() == ERROR_SUCCESS);
  15. }
复制代码


3.获得目标进程的句柄。
OpenProcess(权限类型,是否可被继承,进程ID)功能:返回目标进程句柄.

4.在远程进程中分配内存,用来存储,我们要注入的dll的路径
VirtualAllocEx(hProcess, NULL, cb, MEM_COMMIT, PAGE_READWRITE);

//VirtualAllocEx()函数功能:为制定的进程分配虚拟地址
//参1:要分配的进程句柄
//参2:要分配的虚拟地址的位置,0表示,自动分配位置
//参3:分配的大小
//参4:MEM_COMMIT表示,分配物理内存或者页面内存,并且初始化内存为0
//参5:存储选项:PAGE_READWRITE表示可以在页面内存中 “读写”
//返回值:如果分配内存成功,则返回分配内存的地址,如果分配失败则返回NULL,调用GetLastError()查看错误原因

5.在远程进程中刚才分配的内存处,写入目标DLL路径:
WriteProcessMemory(hProcess, pszLibFileRemote,PVOID) pszLibFile, cb, NULL)
//WriteProcessMemory()函数功能:在制定进程中写入内存
//参1:写入进程的句柄
//参2:写入内存的起始地址,必须是已经创建的地址,比如上面用VirtualAllocEx()在进程中创建的内存地址
//参3:写入内存中的数据内容的缓存
//参4:写入数据大小
//参5:一个选项,0表示忽视
//返回值: 非0值表示成功, 返回0则表示写入错误。调用GetLastError()查看错误原因

6.获取LoadLibrary()函数地址,因为要用他来动态加载DLL,该函数在kernel32.dll文件中
PROC AdrMyDllDir=(PROC)::GetProcAddress(::GetModuleHandle(TEXT("kernel32.dll")),"LoadLibraryW");//W代表UNICODE版本,说实话,A代表多字节字符集,本人喜欢UNICODE版本

GetProcAddress()
FARPROC GetProcAddress(HMODULE hModule,LPCWSTR lpProcName);
//功能:返回指定的DLL输出函数的函数地址
//参数1:DLL模块句柄
//参数2:DLL输出函数的函数名
这个函数的返回值,就是LoadLibraryW的地址了

7.创建远程线程,既在目标进程中创建一个线程,这里的线程跟普通的线程不同,普通线程有线程处理函数ProcThread()
  1. CreateRemoteThread()
  2. HANDLE CreateRemoteThread(
  3.   HANDLE hProcess,
  4.   LPSECURITY_ATTRIBUTES lpThreadAttributes,
  5.   SIZE_T dwStackSize,
  6.   LPTHREAD_START_ROUTINE lpStartAddress,
  7.   LPVOID lpParameter,
  8.   DWORD dwCreationFlags,
  9.   LPDWORD lpThreadId
  10. );
复制代码


//函数功能:在制定进程中的虚拟地址中创建一个线程
//参数1:进程句柄,线程被创建在这个进程中
//参数2:安全等级,0表示默认安全等级
//参数3:创建线程的大小,0表示系统自动分配线程实际需要的大小
//参数4:线程起始地址,使用LPTHREAD_START_ROUTINE 定义的线程,并且线程是在远程进程中已经存在。
//参数5: 给线程函数传递的参数
//参数6:创建标志,如果参数是0,则线程创建后立即运行
//参数7:线程ID,如果 ID给0 ,则不返回创建线程的ID

  1. ::CreateRemoteThread(hProcess,0,0,(LPTHREAD_START_ROUTINE)AdrMyDllDir,bufRemote,0,0);
复制代码
这里的AdrMyDllDir存放LoadLibraryW ,也就是说把LoadLibraryW当做线程处理函数,传入的参数bufRemote存放的是目标DLL文件的地址。


二。下面讲解一下如何用hook既钩子注入DLL文件。
首先给不懂钩子的人简单介绍一下原理:所谓hook,既钩子。hook会在应用程序接到消息之前,拦截应用程序的信息,比如鼠标键盘钩子会拦截一个应用程序的鼠标键盘信息。要做盗号木马?用WH_KEYBOARD类型的hook
1.我们要跨进程使用钩子,要把hook函数写在DLL文件中,这是微软明确规定的。也有其他方法,这里不多叙述
2.在DLL文件中 设置钩子.
这里需要调用线程ID,threadId,我们会在下面调用DLL的调用端中写入
hhookGetMsg=::SetWindowsHookEx(WH_GETMESSAGE,GetMessageHookProc,::GetModuleHandle(TEXT("dll.dll")),threadId);
//参数1:钩子类型
//参数2:钩子处理函数
//参数3:钩子所在的模块
//参数4:钩子要拦截的线程ID,如果要设置全局钩子,这里给0。
把这个SetWindowsHookEx()函数写在一个导出函数中,允许调用dll文件的程序调用
  1. _declspec(dllexport) void SetHook(DWORD threadId)
  2. {
  3. hhookGetMsg=::SetWindowsHookEx(WH_GETMESSAGE,GetMessageHookProc,::GetModuleHandle(TEXT("dll.dll")),threadId);
  4. }
复制代码
SetHook()就是本dll的导出函数
3.在钩子处理函数中写入功能,当钩子截取到WM_NULL消息的时候,注入DLL文件。由于WM_NULL消息,是个没用的消息,应用程序一般不会收到这个消息,除非我们自己发送一个这个消息,所以我们在注入DLL的时候,只要给要注入的应用程序发一个WM_NULL消息,当钩子截取到WM_NULL的时候就注入钩子,就可以了。
  1. LRESULT CALLBACK GetMessageHookProc(int nCode,WPARAM wParam,LPARAM lParam)
  2. {
  3. MSG* pMsg=(MSG*)lParam;
  4. if(WM_NULL==pMsg->message)
  5. LoadLibraryW(TEXT("D://MyDLL.dll"));
  6. }
复制代码

好了,编译DLL项目,产生DLL文件。

4.编写调用端,调用钩子
首先获取窗口句柄
  1. HWND FindWindow(          LPCTSTR lpClassName,
  2.     LPCTSTR lpWindowName
  3. );
复制代码

返回窗体句柄。hWnd.
hWnd=FindWindow(0,要注入dll的窗体的名称(例如:千千静听))
利用hWnd,查找窗体线程ID
threadId=GetWindowThreadProcessId(hWnd,0);
好了,我们有了线程ID了,可以调用钩子了。
SetHook(threadId);
这时钩子已经加载到目标线程中了。
向目标窗体发送WM_NULL消息
SendMessage(hWnd,WM_NULL,0,0);
钩子会在目标窗体受到消息前受到WM_NULL消息。由于钩子处理函数中做了判断,当受到WM_NULL消息时,加载DLL文件。所以DLL文件就注入到目标线程中了。

你可以把你的DLL文件中写入许多功能,而且DLL已经被目标程序加载了,也就是说,你的DLL程序已经打入到目标程序内部了,所以现在你可以为所欲为了

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

龙马谷| C/C++辅助教程| 安卓逆向安全| 论坛导航| 免责申明|Archiver|
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论,本站内容均为会员发表,并不代表龙马谷立场!
任何人不得以任何方式翻录、盗版或出售本站视频,一经发现我们将追究其相关责任!
我们一直在努力成为最好的编程论坛!
Copyright© 2018-2021 All Right Reserved.
在线客服
快速回复 返回顶部 返回列表