内存写入 隐藏模块注入

原创 已于 2022-08-23 20:29:41 修改 · 1.8k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#c语言 #c++ #安全 #winapi #windows

于 2020-09-11 13:54:48 首次发布

啦啦啦啦啦啦

思路:
1.获取自身SizeOfImage ImageBase
2.远程申请注入进程SizeOfImage大小的内存 内存位置随机 获得内存位置:ProcessAddr
3.申请一段SizeOfImage大小缓冲区,写入自身程序 内存位置:ImageBase
4.修复Image重定位表(参数为:ProcessAddr)
5.写入缓冲区ProcessAddr,SizeOfImage
6.远程线程申请入口点为DWORD WINAPI(LPVOID lparameter)
7.入口点修复导入表,因为有的dll没有在进程里加载,有的dll入口点不对
//main下面的代码是自己写的函数,如果要复制粘贴记得整理
//注释写的不好后期加的不然里面都没有注释😓

#include "MyTools.h"
#include "MyTools2.h"
//IATHook测试是否注入成功 ImportTable修复是否成功
LPVOID pOldFunAddr = GetProcAddress(LoadLibrary("user32.dll"), "MessageBoxA");

INT WINAPI MyMessageBox(HWND hwnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType) {
   
   
	typedef INT(WINAPI *MESSAGEBOX) (HWND hwnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType);
	DWORD dwRet = ((MESSAGEBOX)pOldFunAddr)(hwnd, "HOOK SUCEESS", "WARNING", uType);
	printf("parameter:%x %x %x %x return:%x\n", hwnd, lpText, lpCaption, uType, dwRet);
	return 0;
}

VOID IATHook(LPVOID pOldFunAddr, LPVOID MyMessageBox,LPVOID lparameter) {
   
   
	HMODULE imageBase = (HMODULE)lparameter;
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)imageBase;
	PIMAGE_NT_HEADERS pNtHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
	PIMAGE_FILE_HEADER pFileHeader = (PIMAGE_FILE_HEADER)((DWORD)pNtHeader + 4);
	PIMAGE_OPTIONAL_HEADER32 pOptionalHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pFileHeader +
		IMAGE_SIZEOF_FILE_HEADER);
	PIMAGE_IMPORT_DESCRIPTOR pImportDes = (PIMAGE_IMPORT_DESCRIPTOR)(pOptionalHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress + (DWORD)imageBase);
	while (pImportDes->OriginalFirstThunk && pImportDes->FirstThunk) {
   
   
		PDWORD pIATthunk = (PDWORD)(pImportDes->FirstThunk + (DWORD)imageBase);
		while (*pIATthunk) {
   
   
			if (*pIATthunk == (DWORD)pOldFunAddr) {
   
   
				DWORD a = 0;
				if (!VirtualProtect(pIATthunk,10, PAGE_EXECUTE_READWRITE,&a)) {
   
   
					printf("VirtualProtectEx faild\n");
					MessageBox(0, "VirtualProtectEx", 0, 0);
					return;
				}
				*pIATthunk = (DWORD)MyMessageBox;
				break;
			}
			pIATthunk++;
		}
		pImportDes
最低0.47元/天 解锁文章
123qweqew
关注
DLL加载器-远程线程注入(常规dll注入
bring_coco的博客
08-30 2316
注入思路 先获取到LoadLibrary的函数地址,之后使用CreateRemoteThread加载这段地址即可 简单例子: D:\VS项目\Dll3\x64\Debug\Dll3.dll kernel.dll加载的地址在所有进程都是一样的 https://zhuanlan.zhihu.com/p/599915628?utm_id=0 DLL进程注入 dll注入器 生成dll-2-1.exe 这里注入的exe是notepad++,找到其进程,注入的dll是我cs生成的beacon.dll 主要思路是:
论如何优雅的注入Java Agent内存
AS011x的博客
08-19 927
• 回顾• 优雅的构造JPLISAgent• Windows平台• Linux平台• 获取JVMTIEnv指针• 组装JPLISAgent• 动态修改类• Windows平台• Linux平台• 植入内存马• 后记• 参考。
隐藏注入的dll
08-12
隐藏注入进程的dll,让我们的模块来无影去无踪
C/C++ 实现Windows R3无模块内存注入技术 [x86/x64] 项目实战
最新发布
weixin_35516624的博客
09-21 1146
在现代Windows操作系统中,进程间通信与代码注入技术是安全研究、逆向工程以及恶意软件分析领域的重要课题。其中,内存注入作为一种典型的用户态(Ring 3)代码劫持手段,广泛应用于调试、功能扩展乃至攻击行为中。本章将深入剖析Windows平台下进程内存注入的基本原理与应用场景,重点聚焦于无模块注入这一高级技术路径。不同于传统的DLL注入依赖外部动态链接库文件,无模块注入通过直接在目标进程中分配内存写入原始机器码(Shellcode),并创建远程线程执行,实现完全脱离PE文件结构的隐蔽式代码植入。
用dll注入的方式隐藏进程
Fido
06-07 1170
上次那个改变键盘布局的程序,被同学很容易的就在任务管理器里找出来杀掉了,不爽!想个办法把它藏起来。  google了一下,发现隐藏进程的方法有很多。可以用rundll,但那样任务管理器里还是会多出个进程,引起怀疑。还可以写注册表里AppInit_Dlls一项,但我试了一下,结果一改就开不了机,可能是我的dll没写好吧。再有就是注入了,代码注入很隐蔽,但还要遇到代码定位,API定位等问题,麻烦,还是
内存注入dll 无痕迹
08-22
内存注入dll 需要黑月编译 任何32位进程
进程内存写入实现模块隐藏
07-06
在进程内存写入模块隐藏的场景下,`WriteProcessMemory`被用来将隐藏模块的二进制数据写入之前通过`VirtualAlloc`分配的内存区域。这样,模块的代码和数据就被注入到了目标进程中,但不在常规的模块表中。 **3. `...
滴水逆向三期 内存注入/无模块注入
四位的博客
01-05 3845
找文章看了一下, 讲的很好, 但是地址没了…尴尬, 03年的技术, 大致内容就是介绍了两种注入技术, 一个为常规的远程线程注入, 另一个就是内存注入. 只不过文章思路是只插入一段代码, 也就是编写shellcode. 而无模块注入则是将模块整体以内存写入的形式加载实现隐藏 . 杀软依然秒杀…但是我封装起来写后就检测不到, 特征码竟然消失了… 原理与问题 思路是将自己复制一份加载到目标进程中, 即注入进程和寄生程序是一个东西.不过想想也知道, 注入dll也是一个原理, 无非是拉伸之后再贴到目标进程, 最后依然
隐藏模块(无模块注入
qq_15900895的博客
01-08 1671
隐藏模块(无模块注入)实现 隐藏模块(无模块注入) 代码 // memoryLoad.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include "stdlib.h" #include "PeTools.h" DWORD WINAPI InjectEntry(LPVOID lpParam) { //RepairIAT(lpParam); //定义PE头的信息 PIMAGE_DO
DLL的注入隐藏
12-26
语言的dll注入隐藏,是易语言源代码~~有兴趣的朋友可以去看看
内存注入工具
07-25
用途很广的内存注入工具用途很广的内存注入工具,一直留着
内存注入(IAT Hook 和Inline Hook)
06-02
本压缩包有我自己写的内存注入程序与测试程序,并附有相应的源码..会用MessageBox 去Hook 指定的函数
16-memLoadDll 内存加载DLL 隐藏dll 代码.zip_DLL加载内存_Dll隐藏_MemLoadDll_内存加载
07-15
memLoadDll 内存加载DLL 隐藏dll 代码
内存注入dll
10-19
语言 内存注入 隐藏注入 注入dll
语言内存注入
07-21
语言内存注入源码,内存注入,启动工作,InstallHook,钩子函数,线程_建立线程,线程_枚举线程,系统_等待延时,系统_处理事件,系统_延时,SetWindowsHookEx,GetModuleHandle,CallNextHookEx,进程_取自进程ID,CreateThread,CreateToolhelp32Snapshot,GetTickCount,T
进程中dll模块隐藏
xjh_Love_paopao的专栏
07-21 1666
 http://netroc682.spaces.live.com/        为了避免自己的某个dll模块被别人检测出来,有时候希望在自己加载一个dll之后,或者将dll注入到他人进程之后避免被检查出来。这就需要想办法抹掉这个dll的模块信息,使得Toolhelp、psapi等枚举模块的API无法枚举它。        我们可以先简单看看Windows枚举进程内模块的办法吧:  
windows内存注入
u012795264的博客
10-31 3975
针对Windows内存注入的方式大概也就那么几个,分别为使用函数QueueUserAPC DLL注入,调用SetWindowsHookEx注入,code cave注入和前不久的PowerLoaderEx内存注入。 利用AtomBombing技术后,它可以和其它的合法进程建立一个不会被查杀的通讯。比如我们可以让Chrome.exe和shellcode.exe进行通信,进程中只有chrome.exe,杀
Windows内存注入(前置原理)
qq_43147121的博客
08-18 766
我们重设的eip可以指向我们插入的内存或是注入的dll地址,在执行我们的代码后在跳转回原先的eip位置(这里有很多种方式,也可以继续上面的操作吧eip设回去,也可以通过远跳转回去都可以)通过Windows提供的获取线程上下文api可以获取到线程当前的寄存器信息,这样我们就可以先暂停线程然后重设eip的值然后将我们更新后的上下文设置到线程里,在让其运行起来。:此函数用于减少目标线程的挂起计数,是其恢复争抢时间片。:此函数用于让目标线程挂起。:此函数用于获取线程上下文。:此函数用于重设线程上下文。
进程内存写入技术实现模块隐藏详解
在深入探讨“进程内存写入实现模块隐藏”这一主题前,我们首先需要了解一些基础的概念,包括进程、内存管理、进程注入以及如何通过特定的API函数来实现进程隐藏。 ### 进程和进程ID(PID) 进程是指在操作系统中一...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值