zoukankan      html  css  js  c++  java
  • DLL注入_拦截技术之Hook方式

    后卫大师教你进程注入
    首先提一下,由于文章完全是我手写,所以打不了太多,请包含,由于我已经提供了源代码,所以我在这里详细讲一下理论,至于想看代码的下载代码就可以了。代码中关于注入的部分做了详细的注释。MFC界面部分的注释没有写,(毕竟太肤浅了。)
         好,言归正传。
         所谓DLL注入,既把一个DLL文件放到目标进程中。
         下面介绍2种注入方式:
         1.远程线程注入。
         2.利用hook注入。(可以过卡巴斯基)
    由于本文篇幅限制,不写如何编写DLL。
    一.首先讲一下远程线程注入的方法:
    1.假设我们已经写好了一个DLL文件。
    2.设置本进程权限为debug权限,既调试权限,可以打开其他进程。代码如下:
    
    BOOL SetToken(void)
    {
     HANDLE hToken;
     TOKEN_PRIVILEGES Privileges;
     LUID luid;
     OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY | TOKEN_READ,&hToken);
     Privileges.PrivilegeCount=1;
     LookupPrivilegeValue(NULL,SE_DEBUG_NAME,&luid);
     Privileges.Privileges[0].Luid=luid;
     Privileges.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;
     if(!AdjustTokenPrivileges(hToken,FALSE,&Privileges,NULL,NULL,NULL)!=0)
      return FALSE;
     CloseHandle(hToken);
     return (GetLastError() == ERROR_SUCCESS);
    }
    3.获得目标进程的句柄。
    OpenProcess(权限类型,是否可被继承,进程ID)功能:返回目标进程句柄.
    4.在远程进程中分配内存,用来存储,我们要注入的dll的路径
    VirtualAllocEx(hProcess, NULL, cb, MEM_COMMIT, PAGE_READWRITE);
    
    //VirtualAllocEx()函数功能:为制定的进程分配虚拟地址
    //参1:要分配的进程句柄
    //参2:要分配的虚拟地址的位置,0表示,自动分配位置
    //参3:分配的大小
    //参4:MEM_COMMIT表示,分配物理内存或者页面内存,并且初始化内存为0
    //参5:存储选项:PAGE_READWRITE表示可以在页面内存中 “读写”
    //返回值:如果分配内存成功,则返回分配内存的地址,如果分配失败则返回NULL,调用GetLastError()查看错误原因
    
    5.在远程进程中刚才分配的内存处,写入目标DLL路径:
    WriteProcessMemory(hProcess, pszLibFileRemote,PVOID) pszLibFile, cb, NULL)
    //WriteProcessMemory()函数功能:在制定进程中写入内存
    //参1:写入进程的句柄
    //参2:写入内存的起始地址,必须是已经创建的地址,比如上面用VirtualAllocEx()在进程中创建的内存地址
    //参3:写入内存中的数据内容的缓存
    //参4:写入数据大小
    //参5:一个选项,0表示忽视
    //返回值: 非0值表示成功, 返回0则表示写入错误。调用GetLastError()查看错误原因
    
    6.获取LoadLibrary()函数地址,因为要用他来动态加载DLL,该函数在kernel32.dll文件中
    PROC AdrMyDllDir=(PROC)::GetProcAddress(::GetModuleHandle(TEXT("kernel32.dll")),"LoadLibraryW");//W代表UNICODE版本,说实话,A代表多字节字符集,本人喜欢UNICODE版本
    
    GetProcAddress()
    FARPROC GetProcAddress(HMODULE hModule,LPCWSTR lpProcName); 
    //功能:返回指定的DLL输出函数的函数地址
    //参数1:DLL模块句柄
    //参数2:DLL输出函数的函数名
    这个函数的返回值,就是LoadLibraryW的地址了
    
    7.创建远程线程,既在目标进程中创建一个线程,这里的线程跟普通的线程不同,普通线程有线程处理函数ProcThread()
    CreateRemoteThread()
    HANDLE CreateRemoteThread(
      HANDLE hProcess,
      LPSECURITY_ATTRIBUTES lpThreadAttributes,
      SIZE_T dwStackSize,
      LPTHREAD_START_ROUTINE lpStartAddress,
      LPVOID lpParameter,
      DWORD dwCreationFlags,
      LPDWORD lpThreadId
    );
    //函数功能:在制定进程中的虚拟地址中创建一个线程
    //参数1:进程句柄,线程被创建在这个进程中
    //参数2:安全等级,0表示默认安全等级
    //参数3:创建线程的大小,0表示系统自动分配线程实际需要的大小
    //参数4:线程起始地址,使用LPTHREAD_START_ROUTINE 定义的线程,并且线程是在远程进程中已经存在。
    //参数5: 给线程函数传递的参数
    //参数6:创建标志,如果参数是0,则线程创建后立即运行
    //参数7:线程ID,如果 ID给0 ,则不返回创建线程的ID
    
    ::CreateRemoteThread(hProcess,0,0,(LPTHREAD_START_ROUTINE)AdrMyDllDir,bufRemote,0,0);
    这里的AdrMyDllDir存放LoadLibraryW ,也就是说把LoadLibraryW当做线程处理函数,传入的参数bufRemote存放的是目标DLL文件的地址。
    
    
    二。下面讲解一下如何用hook既钩子注入DLL文件。
    首先给不懂钩子的人简单介绍一下原理:所谓hook,既钩子。hook会在应用程序接到消息之前,拦截应用程序的信息,比如鼠标键盘钩子会拦截一个应用程序的鼠标键盘信息。要做盗号木马?用WH_KEYBOARD类型的hook
    1.我们要跨进程使用钩子,要把hook函数写在DLL文件中,这是微软明确规定的。也有其他方法,这里不多叙述
    2.在DLL文件中 设置钩子.
    这里需要调用线程ID,threadId,我们会在下面调用DLL的调用端中写入
    hhookGetMsg=::SetWindowsHookEx(WH_GETMESSAGE,GetMessageHookProc,::GetModuleHandle(TEXT("dll.dll")),threadId);
    //参数1:钩子类型
    //参数2:钩子处理函数
    //参数3:钩子所在的模块
    //参数4:钩子要拦截的线程ID,如果要设置全局钩子,这里给0。
    把这个SetWindowsHookEx()函数写在一个导出函数中,允许调用dll文件的程序调用
    _declspec(dllexport) void SetHook(DWORD threadId)
    {
     hhookGetMsg=::SetWindowsHookEx(WH_GETMESSAGE,GetMessageHookProc,::GetModuleHandle(TEXT("dll.dll")),threadId);
    }
    SetHook()就是本dll的导出函数
    3.在钩子处理函数中写入功能,当钩子截取到WM_NULL消息的时候,注入DLL文件。由于WM_NULL消息,是个没用的消息,应用程序一般不会收到这个消息,除非我们自己发送一个这个消息,所以我们在注入DLL的时候,只要给要注入的应用程序发一个WM_NULL消息,当钩子截取到WM_NULL的时候就注入钩子,就可以了。
    LRESULT CALLBACK GetMessageHookProc(int nCode,WPARAM wParam,LPARAM lParam)
    {
    MSG* pMsg=(MSG*)lParam;
    if(WM_NULL==pMsg->message)
     ::LoadLibraryW(TEXT("D://MyDLL.dll"));
    }
    好了,编译DLL项目,产生DLL文件。
    
    4.编写调用端,调用钩子
    首先获取窗口句柄
    HWND FindWindow(          LPCTSTR lpClassName,
        LPCTSTR lpWindowName
    );
    返回窗体句柄。hWnd.
    hWnd=FindWindow(0,要注入dll的窗体的名称(例如:千千静听))
    利用hWnd,查找窗体线程ID
    threadId=GetWindowThreadProcessId(hWnd,0);
    好了,我们有了线程ID了,可以调用钩子了。
    SetHook(threadId);
    这时钩子已经加载到目标线程中了。
    向目标窗体发送WM_NULL消息
    SendMessage(hWnd,WM_NULL,0,0);
    钩子会在目标窗体受到消息前受到WM_NULL消息。由于钩子处理函数中做了判断,当受到WM_NULL消息时,加载DLL文件。所以DLL文件就注入到目标线程中了。
    
    你可以把你的DLL文件中写入许多功能,而且DLL已经被目标程序加载了,也就是说,你的DLL程序已经打入到目标程序内部了,所以现在你可以为所欲为了
  • 相关阅读:
    使用Apache Benchmark做压力测试遇上的5个常见问题
    性能测试框架Multi-Mechanize安装与使用
    jmeter ---监控服务器CPU, 内存,网络数据
    在free bsd上跑JMeter 的 plugin "PerfMon Server Agent"
    解决Jmeter插件ERROR: java.io.IOException: Agent is unreachable via TCP的错误
    JMeter
    Freebsd的ports命令
    转 FreeBSD通过PORTS安装软件的几个常用命令
    spring cloud 中Actuator不显示更多信息的处理方式
    ISAM Indexed Sequential Access Method 索引顺序存取方法
  • 原文地址:https://www.cnblogs.com/cfas/p/5121452.html
Copyright © 2011-2022 走看看