2. 程式人生 > >DLL注入程式碼(C函式)的編寫

DLL注入程式碼(C函式)的編寫

阿新 發佈:2019-01-10


attachdlltoprocess.cpp

// attachdlltoprocess.cpp : Defines the entry point for the application.
//

#include <WINDOWS.H>
#include <TCHAR.H>
#define CODE_SIZE 1024
BYTE remotecode[CODE_SIZE];

//定義被注入程式碼所需引數的結構體
typedef struct REMOTE_INFO
{
	//API 地址
	DWORD ccall_LoadLibraryA;
	DWORD ccall_GetProcAddress;
	DWORD ccall_VirtualFree;
	DWORD ccall_ExitThread;
	DWORD ccall_MessageBoxA;
	//引數地址
	DWORD cdword_rpfun;
	char *csz_dllname;
	char *csz_InitModule;
	char *csz_msgtitle;
	char *csz_msgerrorload;
	char *csz_msgerrorinitmodule;
}REMOTE_INFO, *PREMOTE_INFO;

#define PARAM_START 0x80000000
#define call_LoadLibraryA PARAM_START + 1
#define call_GetProcAddress PARAM_START + 2
#define call_VirtualFree PARAM_START + 3
#define call_ExitThread PARAM_START + 4
#define call_MessageBoxA PARAM_START + 5
#define sz_InitModule PARAM_START + 6
#define sz_dllname PARAM_START + 7
#define sz_msgtitle PARAM_START + 8
#define sz_msgerrorload PARAM_START + 9
#define sz_msgerrorinitmodule PARAM_START + 10
#define dword_rpfun PARAM_START + 11

//在緩衝區code查詢DWORD值finddata,如果找到替換成setdata
int SetPoint(BYTE *code, DWORD finddata, DWORD setdata)
{
	for(int i = 0; i < CODE_SIZE; i++)
	{
		if(*(DWORD*)&code[i] == finddata)
		{//找到了,替換
			*(DWORD*)&code[i] = setdata;
			return TRUE;
		}
	}
	return FALSE;
}

BOOL AttachDllToProcess(HANDLE hprocess, char *szdll)
{
	DWORD codestart, codeend, codesize;
	_asm
	{
		jmp CODE_END;
CODE_START:
		//被注入的程式碼起始地址
		int 3;
		//LoadLibraryA(sz_dllname);
		push sz_dllname;
		mov eax, call_LoadLibraryA;
		call eax;
		test eax, eax;
		jnz GETPROC;
		//MessageBoxA(NULL, "載入[sz_dllname]失敗", "錯誤", MB_OK);
		push MB_OK;
		push sz_msgtitle;
		push sz_msgerrorload;
		push NULL;
		mov eax, call_MessageBoxA;
		call eax;
		jmp CLEAR;
GETPROC:
		push eax;
		push sz_InitModule;
		push eax;
		mov eax, call_GetProcAddress;
		call eax;
		test eax, eax;
		jnz CALLINIT;
		//MessageBoxA(NULL, "獲取函式[InitModule]地址失敗", "錯誤", MB_OK);
		push MB_OK;
		push sz_msgtitle;
		push sz_msgerrorinitmodule;
		push NULL;
		mov eax, call_MessageBoxA;
		call eax;
		jmp CLEAR;
CALLINIT:
		//InitModule(hinstance);
		call eax;
CLEAR:
		//VirtualFree(dword_rpfun, 0, MEM_RELEASE);
		//ExitThread(0);
		//以下程式碼將在堆疊中執行,原因為呼叫VirtualFree後所在的記憶體就無效了
		push 0;
		push MEM_RELEASE;
		push 0;
		push dword_rpfun;
		push call_ExitThread;
		push call_VirtualFree;
		ret;
		//被注入的程式碼結束地址
CODE_END:
		//獲取被注入程式碼的首地址和結束地址
		lea eax, CODE_START;
		mov codestart, eax; 
		lea eax, CODE_END;
		mov codeend, eax;
	}
	codesize = codeend - codestart; //被注入的程式碼長度
	RtlCopyMemory(remotecode, (LPVOID)codestart, codesize); //複製被注入的程式碼到緩衝區
	DWORD dataoffset = codesize;
	DWORD oldprotect, sztmp;
	//在目標程序中申請記憶體
	LPVOID lpcode = VirtualAllocEx(hprocess, NULL, CODE_SIZE, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
	DWORD addrlocal = (DWORD)remotecode, addrremote = (DWORD)lpcode;
	//修改緩衝區記憶體屬性為可執行
	VirtualProtectEx(GetCurrentProcess(), remotecode, CODE_SIZE, PAGE_EXECUTE_READWRITE, &oldprotect);

	//修正被注入程式碼的API引數地址
	SetPoint(remotecode, call_LoadLibraryA, (DWORD)LoadLibraryA);
	SetPoint(remotecode, call_GetProcAddress, (DWORD)GetProcAddress);
	SetPoint(remotecode, call_VirtualFree, (DWORD)VirtualFree);
	SetPoint(remotecode, call_ExitThread, (DWORD)ExitThread);
	SetPoint(remotecode, call_MessageBoxA, (DWORD)MessageBoxA);
	SetPoint(remotecode, dword_rpfun, (DWORD)lpcode);
	
	SetPoint(remotecode, sz_dllname, addrremote + dataoffset);
	lstrcpyA((char*)(addrlocal + dataoffset), szdll);
	dataoffset += lstrlenA(szdll) + 1;
	
	SetPoint(remotecode, sz_InitModule, addrremote + dataoffset);
	lstrcpyA((char*)(addrlocal + dataoffset), "InitModule");
	sztmp = addrlocal + dataoffset;
	dataoffset += lstrlenA((char*)(addrlocal + dataoffset)) + 1;
	
	SetPoint(remotecode, sz_msgtitle, addrremote + dataoffset);
	lstrcpyA((char*)(addrlocal + dataoffset), "錯誤");
	dataoffset += lstrlenA((char*)(addrlocal + dataoffset)) + 1;
	
	SetPoint(remotecode, sz_msgerrorload, addrremote + dataoffset);
	wsprintfA((char*)(addrlocal + dataoffset), "載入[%s]失敗", szdll);
	dataoffset += lstrlenA((char*)(addrlocal + dataoffset)) + 1;
	
	SetPoint(remotecode, sz_msgerrorinitmodule, addrremote + dataoffset);
	wsprintfA((char*)(addrlocal + dataoffset), "獲取函式[%s]地址失敗", sztmp);
	dataoffset += lstrlenA((char*)(addrlocal + dataoffset)) + 1;
	
	WriteProcessMemory(hprocess, lpcode, remotecode, CODE_SIZE, &oldprotect);
	/*
	_asm
	{
		mov eax, lpcode;
		jmp eax;
	}
	*/
	CreateRemoteThread(hprocess, NULL, NULL, (LPTHREAD_START_ROUTINE)lpcode, 0, NULL, NULL);
	return TRUE;
}

//被注入到遠端程序的C函式
DWORD WINAPI RemoteCode(PREMOTE_INFO pri)
{
	DWORD codeend;
	//LoadLibraryA;
	if(pri->cdword_rpfun)
	{
		//_asm int 3;
		typedef HMODULE (WINAPI *tLoadLibraryA)(LPCSTR lpLibFileName);
		tLoadLibraryA sysLoadLibraryA;
		sysLoadLibraryA = (tLoadLibraryA)pri->ccall_LoadLibraryA;
		HMODULE hmodule = sysLoadLibraryA(pri->csz_dllname);//載入DLL
		typedef int (WINAPI *tMessageBoxA)(HWND hWnd , LPCSTR lpText, LPCSTR lpCaption, UINT uType);
		tMessageBoxA sysMessageBoxA;
		sysMessageBoxA = (tMessageBoxA)pri->ccall_MessageBoxA;
		DWORD rpfun = pri->cdword_rpfun;
		DWORD ccall_ExitThread = pri->ccall_ExitThread;
		DWORD ccall_VirtualFree = pri->ccall_VirtualFree;
		if(NULL != hmodule)
		{
			typedef FARPROC (WINAPI *tGetProcAddress)(HMODULE hModule, LPCSTR lpProcName);
			tGetProcAddress sysGetProcAddress;
			sysGetProcAddress = (tGetProcAddress)pri->ccall_GetProcAddress;
			FARPROC pinitmodule = (FARPROC)sysGetProcAddress(hmodule, pri->csz_InitModule);
			if(NULL != pinitmodule)
			{//呼叫InitModule
				typedef void (WINAPI *tInitModule)(HMODULE hModule);
				tInitModule sysInitModule;
				sysInitModule = (tInitModule)pinitmodule;
				sysInitModule(hmodule);
			}
			else
			{//獲取InitModule失敗
				sysMessageBoxA(NULL, pri->csz_msgerrorinitmodule, pri->csz_msgtitle, MB_OK);
			}
		}
		else
		{//載入DLL失敗
			sysMessageBoxA(NULL, pri->csz_msgerrorload, pri->csz_msgtitle, MB_OK);
		}
		_asm
		{//釋放記憶體,退出執行緒
			push 0;
			push MEM_RELEASE;
			push 0;
			push rpfun;
			push ccall_ExitThread;
			push ccall_VirtualFree;
			ret;
		}
	}
	_asm
	{
		call GET_ENDADDR;
GET_ENDADDR:
		pop codeend;
	}
	codeend += 50;
	return codeend;
}

BOOL AttachDllToProcessC(HANDLE hprocess, char *szdll)
{
	DWORD codestart, codeend, codesize;
	PREMOTE_INFO pri = (PREMOTE_INFO)remotecode;

	if(0xe9 == *(BYTE*)RemoteCode)
	{
		codestart = (DWORD)RemoteCode + *(DWORD*)((DWORD)RemoteCode + 1) + 5;
	}
	else
		codestart = (DWORD)RemoteCode;
	RtlZeroMemory(remotecode, CODE_SIZE);
	codeend = RemoteCode(pri);
	codesize = codeend - codestart; //被注入的程式碼長度
	pri = (PREMOTE_INFO)&remotecode[codesize];
	RtlCopyMemory(remotecode, (LPVOID)codestart, codesize); //複製被注入的程式碼到緩衝區
	DWORD dataoffset = codesize + sizeof(REMOTE_INFO) + 1;
	DWORD oldprotect, sztmp;
	//在目標程序中申請記憶體
	LPVOID lpcode = VirtualAllocEx(hprocess, NULL, CODE_SIZE, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
	DWORD addrlocal = (DWORD)remotecode, addrremote = (DWORD)lpcode;
	//修改緩衝區記憶體屬性為可執行
	VirtualProtectEx(GetCurrentProcess(), remotecode, CODE_SIZE, PAGE_EXECUTE_READWRITE, &oldprotect);

	//修正被注入程式碼的API引數地址
	pri->ccall_LoadLibraryA = (DWORD)LoadLibraryA;
	pri->ccall_GetProcAddress = (DWORD)GetProcAddress;
	pri->ccall_VirtualFree = (DWORD)VirtualFree;
	pri->ccall_ExitThread = (DWORD)ExitThread;
	pri->ccall_MessageBoxA = (DWORD)MessageBoxA;
	pri->cdword_rpfun = (DWORD)lpcode;
	
	pri->csz_dllname = (char*)(addrremote + dataoffset);
	lstrcpyA((char*)(addrlocal + dataoffset), szdll);
	dataoffset += lstrlenA(szdll) + 1;
	
	pri->csz_InitModule = (char*)(addrremote + dataoffset);
	lstrcpyA((char*)(addrlocal + dataoffset), "InitModule");
	sztmp = addrlocal + dataoffset;
	dataoffset += lstrlenA((char*)(addrlocal + dataoffset)) + 1;
	
	pri->csz_msgtitle = (char*)(addrremote + dataoffset);
	lstrcpyA((char*)(addrlocal + dataoffset), "錯誤");
	dataoffset += lstrlenA((char*)(addrlocal + dataoffset)) + 1;
	
	pri->csz_msgerrorload = (char*)(addrremote + dataoffset);
	wsprintfA((char*)(addrlocal + dataoffset), "載入[%s]失敗", szdll);
	dataoffset += lstrlenA((char*)(addrlocal + dataoffset)) + 1;
	
	pri->csz_msgerrorinitmodule = (char*)(addrremote + dataoffset);
	wsprintfA((char*)(addrlocal + dataoffset), "獲取函式[%s]地址失敗", sztmp);
	dataoffset += lstrlenA((char*)(addrlocal + dataoffset)) + 1;
	
	WriteProcessMemory(hprocess, lpcode, remotecode, CODE_SIZE, &oldprotect);
	/*
	_asm
	{
		mov eax, lpcode;
		jmp eax;
	}
	*/
	CreateRemoteThread(hprocess, NULL, NULL, (LPTHREAD_START_ROUTINE)lpcode, (LPVOID)((DWORD)lpcode + codesize), NULL, NULL);
	return TRUE;
}

int APIENTRY WinMain(HINSTANCE hInstance,
                     HINSTANCE hPrevInstance,
                     LPSTR     lpCmdLine,
                     int       nCmdShow)
{
 	// TODO: Place code here.
	DWORD pid = 0;
	//測試時的目標(包含標題為"注入測試 - 記事本"的程式)
	HWND hwnd = FindWindow(NULL, _T("注入測試.txt - 記事本"));
	if(NULL == hwnd)
		return TRUE;
	GetWindowThreadProcessId(hwnd, &pid);
	//pid = GetCurrentProcessId();//首先在本程序內測試
	if(0 == pid)
		return TRUE;
	HANDLE hins = OpenProcess(PROCESS_CREATE_THREAD | PROCESS_VM_WRITE | PROCESS_VM_OPERATION | PROCESS_VM_READ | PROCESS_QUERY_INFORMATION, NULL, pid);
	if(NULL != hins)
	{
		char *szdll = "F:\\temp\\buildtmp\\testdll\\testdll.dll";
		AttachDllToProcessC(hins, szdll);
		CloseHandle(hins);
	}
	//while(TRUE)
	Sleep(5000);
	return 0;
}

相關推薦

DLL注入程式碼(C函式)的編寫

 attachdlltoprocess.cpp // attachdlltoprocess.cpp : Defines the entry point for the application. // #include <WINDOWS.H> #includ

自我記錄:C語言編寫程式碼可能發生的問題與注意事項【陸續補充】

前言:該文章原創,不僅針對新手還是老手,均有一定幫助。若有錯誤地方,請不惜賜教。主要結合《C與指標》這本書,後續看過《C專家程式設計》、《C語言的XXX個問題》等書後會繼續補充。【非計算機類學生,目前更新進度緩慢】 編寫程式碼前的注意: ①、程式設計風格影響程式碼的可讀性,這像是一個人的臉,

編寫一個使用指標的c函式,交換陣列a和陣列b中的對應元素

#include<stdio.h> #include<stdlib.h>   void ex(int *a, int *b, int n){ int i,tmp; for (i=0;i<n;i++){ tmp=a[i];a[i]=b

封裝C#程式碼DLL並在C#程式碼中引用

1.封裝C#程式碼為DLl 在VS2012中建立專案選擇類庫,命名testMyDll,新建類msg,注意修飾符必須為public using System; using System.Collections.Generic; using System.Linq; using System.T

關於DLL的載入/入口函式DLL注入

在顯示呼叫一個DLL時: HINSTANCE hAddDll = NULL; hAddDll = ::LoadLibrary(_T("xxx.dll"));//載入dll   這個時候會觸發呼叫DLL的入口函式: BOOL APIENTRY DllMain( HMODULE

C++:編寫異常安全程式碼

在C++的使用當中,最令人頭疼的地方莫非是記憶體管理或者異常的使用。 想寫出一個真正異常安全的程式碼是非常難得,需要考慮的因素有非常多。 在現代C++當中也有很多人提倡不使用異常,但是要完全杜絕使用C++異常 也是很難的,除非打算不使用任何一個標準庫,重寫所有需要用的資料結構演算法等等。 在一般情況下

c語言編寫500以內勾股函式

編寫程式求500 以內的勾股弦數,即滿足 c2=b2+a2的3個數,要求b>a。將所有符合要求的組合存入文字檔案中,每個組合佔一行。 #include<stdio.h> void gougu() { int a=1,b=1,c=1; int m=0

編寫一個函式 reverse_string(char * string)(遞迴實現) 實現:將引數字串中的字元反向排列。 要求:不能使用C函式庫中的字串操作函式

給定字串,程式碼如下: #include <stdio.h> #include <stdlib.h> #include <assert.h> char* reverse_string(char *str) { assert(str !

利用Lombok編寫優雅的spring依賴注入程式碼,去掉繁人的@Autowired

大家平時使用spring依賴注入,都是怎麼寫的? @Service public class OrderService { @Autowired private UserService userService; } 是不是很熟悉的感覺?但是呢 如果你用IDEA的

effective c++乾貨之條款05:瞭解C++預設編寫並呼叫哪些函式

如果你寫了一個空類: class EmptyClass { }; 當你寫下以下程式碼時: EmptyClass a; //編譯器會自動為你建立一個建構函式,一個解構函式 EmptyClass b();//編譯器會自動為你建立一個拷貝建構函式 EmptyClass c =

編寫一個C函式,該函式將一個字串逆序

本人萌新一枚,今天寫了一個字串逆序的題目,然後有一個地方不是很瞭解,在主函式裡面用malloc 申請了2個Byte的記憶體,按理說我指標 i 指向的空間只能儲存2個字元,但是我試了好多次,輸了很多位,編

C語言 編寫函式: unsigned int reverse_bit(unsigned int value); 這個函式的返回 值value的二進位制位模式從左到右翻轉後的值。

#include<stdio.h> unsigned int reverse_bit(unsigned int value) { int ret = 0; int bit = 0; #include<stdio.h> unsigned int r

C語言】【unix c編寫程式碼測試自己電腦的位元組序

編寫程式碼測試自己電腦的位元組序 #include <stdio.h> int main(void) { char arr[5] = {'a','b','c','s','w'};

聖誕節,用C語言編寫一段程式碼送給你的女神吧

本文只是寫給初學者,其中一些程式碼很隨意,望高手們不要見笑。 許多學習C語言的人,一段時間後,為了更進一步,開始學習C++,然而有關類的一些東西,搞的頭昏腦脹。其實類就是原始碼編好後封裝,別人使用時找到類的介面,類再利用API接下口。說白了,類就是一箇中介,不過編寫MFC類的人掌握了一些微軟

C++:編寫高效率程式碼

概述: C++相比其他高階語言效率高的多,也有許多程式使用C++作為核心以提高程式的效能瓶頸,一個太大太慢的程式他們的優點無論有多麼引人注目都不會為人們所接受,儘管有一些程式的確是為了複雜的運算才佔用更多的時間和空間,但是更多的程式只能歸咎於糟糕的設計和馬虎的程式設計。想用C++寫出高效的程式碼之前,必須認

編寫一個C函式,該函式將給定的一個整數轉換為字串。

void intToChar(int num, char *pval) { char str[100]; int i,j; int val0=0; int val1=0; val0=num; for (i=0; i<100

編寫C++函式:識別一段string字串是IPv4還是IPv6

今天做到Calix(南京凱易迅)的筆試題,其中有一題大致意思是:vector<string>中存有string字串,識別每一個字串是否是ip地址,三種可能:IPv4、IPv6、Neither,將每個字串的識別結果依次存入一個vector<str

編寫一個函式 reverse_string(char * string)(遞迴實現),將引數字串中的字元反向排列。 要求不能使用C函式庫中的字串操作函式

#include<stdio.h> #include<stdlib.h> int str(char *string) { int n = 0; while (*string) { n++; string++; } return n; } void rever

Android NDK(JNI)學習總結一:Java程式碼中申明native函式-Java呼叫C函式,並在C函式中訪問java類和方法、屬性

本文不涉及android-ndk開發環境搭。 步驟一:新建一個APP,名稱為HelloJNI,然後定義一個類(將會在native程式碼中呼叫和訪問該類): package com.example.hellojni; public class JNITe

讀書筆記《Effective c++》 條款05 瞭解c++默默編寫並呼叫哪些函式

編譯器會案子為class建立default建構函式、copy建構函式、copy assignment操作符,以及解構函式。 但是,如果此類的成員型別會導致編譯器比較難以理解生成建構函式的樣子的時候,編譯器會拒絕為其生成預設的成員函式。例如: class Test { p