进程注入的研究与实现(上)

最新推荐文章于 2024-12-26 19:02:21 发布
最新推荐文章于 2024-12-26 19:02:21 发布
阅读量1k 收藏
点赞数
文章标签: dll windows null microsoft file keyboard

进程注入的研究与实现(上)

  • 博客分类: 
  • VC
Windows 编程 XP Microsoft C++


进程注入的研究与实现(上)


    为了对内存中的某个进程进行操作,并且获得该进程地址空间里的数据,或者修改进程的私有数据结构,必须将自己的代码放在目标进程的地址空间里运行,这时就避免不了使用进程注入方法了。

进程注入的方法分类如下:


    带DLL的注入

        利用注册表注入

        利用Windows Hooks注入

        利用远程线程注入

        利用特洛伊DLL注入

    不带DLL的注入

        直接将代码写入目标进程,并启动远程线程


1. 利用注册表注入

   在Windows NT/2000/XP/2003中,有一个注册表键值HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsHKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs。当某个进程加载User32.dll时,这里面列出的所有的DLL都将User32.dll利用LoadLibrary函数加载到该进程空间中。我们可以把自己的代码放在一个DLL中,并加入该键值,这样就可以注入到所有使用User32.dll的进程中了。

   当DLL以LoadLibrary的方式加载时,DllMain会被以DLL_PROCESS_ATTACH为原因调用,实际上我们也只需要关心DLL_PROCESS_ATTACH

Cpp代码   收藏代码
  1. BOOL APIENTRY DllMain( HMODULE hModule, DWORD  ul_reason_for_call, LPVOID lpReserved )  
  2. {  
  3.     if (ul_reason_for_call == DLL_PROCESS_ATTACH)  
  4.     {  
  5.         HANDLE f = CreateFile(L"D:\\InjectSuccess.txt", FILE_ADD_FILE, FILE_SHARE_WRITE,  
  6.             NULL, CREATE_NEW, FILE_ATTRIBUTE_NORMAL, NULL);  
  7.         CloseHandle(f);  
  8.     }  
  9.     return TRUE;  
  10. }  

  

2. 利用Windows Hooks注入

   Windows系统给我们提供了一些挂钩函数,使得被挂钩的进程可以在自己处理接收到的消息之前,先执行我们的消息处理函数,而这个消息处理函数一般会放在DLL中,来让目标进程加载,这实际上已经达到了注入代码的效果。

   一般情况下,我们把挂钩函数和消息处理函数都放在dll中:

 

Cpp代码   收藏代码
  1. HHOOK g_hHook = NULL;  
  2. HINSTANCE hInst;  
  3. BOOL APIENTRY DllMain( HMODULE hModule, DWORD  ul_reason_for_call, LPVOID lpReserved)  
  4. {  
  5.     hInst = (HINSTANCE)hModule;  
  6.     return TRUE;  
  7. }  
  8. LRESULT myKeyBrdFuncAd (int code, WPARAM wParam, LPARAM lParam)  
  9. {  
  10.     // To be nice, your rootkit should call the next-lower  
  11.     // hook, but you never know what this hook may be.  
  12.     //::MessageBoxA(NULL, "Hello Injection", "Injection", MB_OK);  
  13.     return CallNextHookEx(g_hHook, code, wParam, lParam);  
  14. }  
  15. #ifdef __cplusplus    // If used by C++ code,   
  16. extern "C" {          // we need to export the C interface  
  17. #endif  
  18.     __declspec(dllexportbool SetHook(DWORD dwThreadId)  
  19.     {  
  20.         g_hHook = SetWindowsHookEx(WH_KEYBOARD, (HOOKPROC)myKeyBrdFuncAd, hInst, dwThreadId);  
  21.         if (g_hHook == NULL)  
  22.         {  
  23.             return false;  
  24.         }  
  25.         return true;  
  26.     }  
  27. #ifdef __cplusplus  
  28. }  
  29. #endif  
 

 

 

   注入进程要加载这个DLL,然后执行里面的SetHook函数,传入的参数为被注入线程的ID

 

Cpp代码   收藏代码
  1.  typedef bool (*MYPROC) (DWORD dwThreadId);  
  2. ......  
  3. HANDLE hLib = LoadLibraryA("D:\\source\\rootkits\\injecting\\InjectDll\\Debug\\InjectDll.dll");  
  4. if (hLib == NULL)  
  5. {  
  6.     printf("LoadLibrary Error!\n");  
  7. }  
  8. MYPROC myProc = (MYPROC)GetProcAddress((HMODULE)hLib,"SetHook");  
  9. if (myProc != NULL)  
  10. {  
  11.     if ((*myProc)((DWORD)4860) == false)  
  12.     {   
  13.         printf("loose: %d", GetLastError());  
  14.     }  
  15. }  
  16. else  
  17. {  
  18.     printf("GetProcAddress error: %d", GetLastError());  
  19. }  
 

 

 

3. 利用远程线程注入DLL

    1)、取得远程进程的进程ID; 

  2)、在远程进程空间中分配一段内存用来存放要注入的DLL完整路径; 

  3)、将要注入的DLL的路径写到刚才分配的远程进程空间; 

    4 )、从Kernel32.dll中取得LoadLibray的地址; 

  5)、调用CreateRemoteThread函数以从Kernel32.dll中取得的LoadLibrary函数的地址为线程函数的地址,以我们要注入的DLL文件名为参数,创建远程线程;

  在第二三步中,为什么要把我们要注入的DLL的文件名写到远程进程的地址空间进行操作,《WINDOWS核心编程》中是这样描述的: 

“(要注入的DLL文件名)字符串是在调用进程的地址空间中。该字符串的地址已经被赋予新创建的远程线程,该线程将它传递给L o a d L i b r a r y A。但是,当L o a d L i b r a r y A取消对内存地址的引用时, D L L路径名字符串将不再存在,远程进程的线程就可能引发访问违规”;

  至于第四步中为什么不直接对LoadLibrary进行调用,《WINDOWS核心编程》中是这样描述的: 

“如果在对C r e a t e R e m o t e T h r e a d的调用中使用一个对L o a d L i b r a r y A的直接引用,这将在你的模块的输入节中转换成L o a d L i b r a r y A的形实

替换程序的地址。将形实替换程序的地址作为远程线程的起始地址来传递,会导致远程线程开始执行一些令人莫名其妙的东西。其结果很可能造成访问违规。”

   我在DLL中只是做一些简单的处理以显示注入成功。

Cpp代码   收藏代码
  1. BOOL APIENTRY DllMain( HMODULE hModule, DWORD  ul_reason_for_call, LPVOID lpReserved)  
  2. {  
  3.     hInst = (HINSTANCE)hModule;  
  4.     if (ul_reason_for_call == DLL_PROCESS_ATTACH)  
  5.     {  
  6.         HANDLE f = CreateFile(L"D:\\InjectSuccess.txt", FILE_ADD_FILE, FILE_SHARE_WRITE,  
  7.             NULL, CREATE_NEW, FILE_ATTRIBUTE_NORMAL, NULL);  
  8.         CloseHandle(f);  
  9.         hInst = (HINSTANCE)hModule;  
  10.     }  
  11.     return TRUE;  
  12. }   

    

   按照上面的4个步骤,注入进程的代码如下:

Cpp代码   收藏代码
  1. LPWSTR lpszLibName = L"D:\\source\\rootkits\\injecting\\InjectDll\\Debug\\InjectDll.dll";  
  2. HANDLE hProcess = OpenProcess(PROCESS_CREATE_THREAD | PROCESS_VM_OPERATION | PROCESS_VM_WRITE,FALSE, 3256);  
  3. LPWSTR lpszRemoteFile = (LPWSTR)VirtualAllocEx(hProcess, NULL, sizeof(WCHAR) * lstrlenW(lpszLibName) + 1, MEM_COMMIT, PAGE_READWRITE);  
  4. WriteProcessMemory(hProcess, lpszRemoteFile,(PVOID)lpszLibName, sizeof(WCHAR) * lstrlenW(lpszLibName) + 1, NULL);  
  5. PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle(L"Kernel32.dll"), "LoadLibraryW");  
  6. HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0, pfnThreadRtn, // LoadLibrary地址  
  7.                                     lpszRemoteFile, // 要加载的DLL名   
  8.                                     0, NULL);  
 

    在上面的过程中,实际上我们做了一个假设,就是所有进程中的kernel32.dll和user32.dll都被映射到了同一段虚拟地址上。

             

4. 利用特洛伊DLL进行注入 

    这种方法的原理就是由自己写一个与原有进程调用的DLL具有相同接口函数的DLL,再用我们的DLL替换原有的DLL。在替换的过程中,由我们自己编写感兴趣的函数替换原有函数,而对其它不感兴趣的函数,则以函数转发的形式调用原有DLL中的函数。这里面有个前提,就是你在编写DLL时你必须知道原有DLL中的函数都有哪些,以免导至其它进程调用DLL时找不到相应的API函数,特别是在替换系统DLL文件时更要小心。

linuxheik
关注
使用K55实现Linux x86_64进程注入
weixin_43977912的博客
01-24 2313
关于K55 K55是一款 Payload注入工具,该工具可以向正在运行的进程注入x86_64 shellcode Payload。该工具使用现代C++11技术开发,并且继承了某些传统的C Linux函数,比如说ptrace()等等。在目标进程中生成的shellcode长度为27个字节,并且能够在目标进程的地址空间中执行/bin/sh(生成一个Bash shell)。将来,我们还会支持允许用户通过命令行参数输入自己的shellcode。 工具安装 广大研究人员可以使用下列命令将该项目源码克隆至本地,然后完成工
进程注入方法
traum的专栏
08-06 3558
                为了对内存中的某个进程进行操作,并且获得该进程地址空间里的数据,或者修改进程的私有数据结构,
进程注入研究实现(下)
旅途
06-30 1288
5. 无DLL注入   在第三中方法中,我们启动远程线程时,线程函数是我们从Kernel32.dll中取得的LoadLibrary函数的地址为线程函数的地址,其实我们可以直接将线程函数体和函数参数写入目标进程的地址空间,然后创建远程线程。   使用这个方法时,需要注意以下几个问题:   (1) 远程线程函数体不得使用kernel32.dll,user32.dll以外的函数。因为这个两个模块在各
C++进程注入
weixin_33985679的博客
01-25 125
代码 #include "stdafx.h"#include <windows.h>#include <string>#include "stdio.h"#include <iostream>using namespace std;#define DEF_BUF_SIZE 1024// 用于存储注入模块DLL的路径全名char szDllPath[DEF_...
进程注入研究实现1
08-08
### 进程注入研究实现 #### 一、概述 进程注入是一种技术手段,通过它可以在其他进程中执行自己的代码或DLL。这种技术广泛应用于软件开发、调试、安全测试以及恶意软件开发等领域。根据不同的实现机制,进程...
进程注入研究实现-上下
09-06
### 进程注入研究实现 #### 概述 进程注入是计算机安全领域的一个重要概念,主要用于调试、监控以及恶意软件开发等场景。通过进程注入技术,可以将一段代码或库(如DLL)插入到另一个正在运行的进程中,进而...
Android进程注入技术的实现方法研究
实现Android进程注入通常需要以下几个步骤: 1. 选择注入目标:首先需要确定要注入代码或数据的进程。在Android中,通常通过进程名或者进程ID(PID)来识别目标进程。 2. 进程间通信(IPC):在注入之前,往往需要...
多种进程注入源码二进制文件
06-28
进程注入中,如果注入的代码包含获取更高权限的逻辑,就可能实现提权。这在系统安全中是个严重问题,因为一旦攻击者获得管理员权限,他们可以访问系统的所有资源,进行恶意操作。 这些技术在系统调试、软件开发、...
进程注入系列Part 1 常见的进程注入手段
蛇矛实验室
04-18 1597
进程注入是一种众所周知的技术,恶意程序利用它在进程的内存中插入并执行代码。进程注入是一种恶意程序广泛使用的防御规避技术。大多数情况下,恶意程序使用进程注入来动态运行代码,这意味着实际的恶意代码不需要直接写入磁盘上的文件中,以避免被防病毒软件的静态检测所发现。简单来说,进程注入就是将一段数据从一个进程传输到另一个进程的方法,这种注入过程可以发生在执行操作的同一进程(自注入)上,也可发生在外部进程上。
C++编写LINUX守护进程实现代码
12-17
1、什么是守护进程 守护进程是运行在后台的一种特殊进程,它独立于控制终端并且周期性地执行某种任务或循环等待处理某些事件的发生; 守护进程一般在系统启动时开始运行,除非强行终止,否则直到系统关机才随之一起停止运行; 守护进程一般都以root用户权限运行,因为要使用某些特殊的端口或者资源; 守护进程的父进程一般都是init进程,因为它真正的父进程在fork出守护进程后就直接退出了,所以守护进程都是孤儿进程,由init接管; 2、有哪些常见的守护进程 日志服务进程 syslogd 数据库守护进程 mysqld 3、创建守护进程的步骤 (1) fork()创建子进程,父进程exit()退出 这是创建守
任意进程注入器(易语言源码)
08-24
任意进程注入器(易语言源码
Linux 平台一种进程代码注入方法
linuxheik的专栏
04-27 1467
Linux 平台一种进程代码注入方法 Posted on 2012年06月7日 用于在目标程序的 main 函数执行前完成一些操作  特定情况下用来调试还是不错的。 源代码 /* fakemain.c * Heiher */   #include   #define __USE_GNU #include   static void do_som
linux-inject:注入代码到运行的Linux进程
hpp24的专栏
08-05 7876
最近,我遇到了linux-inject,它是一个注入程序,可以注入一个.so文件到一个运行中的应用程序进程中。类似于LD_PRELOAD环境变量所实现的功能,但它可以在程序运行过程中进行动态注入,而LD_PRELOAD是定义在程序运行前优先加载的动态链接库。事实上,linux-inject并不取代任何功能。换句话说,可以看成是忽略了LP_PRELOAD. 它的文档很匮乏,理由可能是开发人员认
LinuxLinux 进程注入权威指南
最新发布
weixin_47075747的博客
12-26 348
进程注入技术是攻击者工具集的重要组成部分。它们可以让威胁行为者在合法进程中运行恶意代码以避免被发现,或者在远程进程中放置钩子来修改其行为。Windows 机器上的进程注入主题已经得到广泛研究,并且人们对它的认识相对较高。对于 Linux 机器,情况并非如此。尽管已经有一些关于该主题的优秀资源,但对 Linux 上不同注入技术的认识似乎相对较低 — 尤其是 Windows 相比。我们从 SafeBreach 的 Amit Klein 和 Itzik Kotler 撰写的Windows 进程注入概述。
内核:linux进程原理
jianfeng123123的博客
01-08 1332
一、进程原理 1、进程 Linux内核把进程称为任务(task)进程的虚拟地址空间分为用户虚 拟地址空间和内核虚拟地址空间,所有进程共享内核虚拟地址空间,每个 进程有独立的用户空间虚拟地址空间。 进程有两种特殊形式:没有用户虚拟地址空间的进程称为内核线程, 共享用户虚拟地址空间的进程称为用户线程。通用在不会引起混淆的情况下把用户线程简称为线程。共享同一个用户虚拟地址空间的所有用户线程组成一个线程组。 2、Linux进程四要素: a.有一段程序供其执行。 b.有进程专用的系...
linux c恶意代码,攻击者如何向正在运行的Linux进程注入恶意代码
weixin_29337389的博客
05-13 841
概述目前,已经有很多详细的技术文章,讲解攻击者是如何将被感染的文件注入到二进制代码中,以便下次启动受感染的程序时执行恶意代码。但是,针对正在运行的进程,攻击者可以采取什么方式实现感染呢?本文将主要介绍攻击者如何在内存中向正在运行的进程实现注入,换而言之,本文主要介绍如何编写自己的调试器。相关研究成果在展开细节之前,我们首先介绍一些相关的基础知识和研究成果。我们的第一个示例恶意软件无关,而是一个多...
Linux中常见的攻击手段
岁月净好
04-28 709
已知的某个进程在处理某个权限的时候,造成了越权的情况,被人利用系统漏洞或程序漏洞发起攻击,进入未打补丁的系统。黑客首先利用网络扫描工具扫描目标主机的漏洞,然后根据扫描出的漏洞,有针对性地实施攻击,常见的有SQL注入漏洞攻击,网页权限漏洞“挂马”攻击等。常见的有拒绝服务攻击DoS分布式拒绝服务攻击DDoS,黑客一般利用伪装的源地址或者控制其他多台主机,向目标发出大量的、连续的连接请求,服务器无法在短时间内接受这么多请求,就会造成系统资源耗尽,服务挂起,严重时会造成服务器瘫痪。Linux中常见的攻击手段。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值