Windows-注入技术学习总结

原创 已于 2024-07-12 16:10:23 修改 · 2k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #经验分享

于 2022-04-07 09:11:21 首次发布
本文详细解析远程线程注入、消息钩子、输入法、注册表、EIP、APC及SSDT替换等Windows系统常见的代码注入技术,包括原理、流程和注意事项,以及防注入策略的探讨。

目录

1.远程线程注入

2.消息钩子注入

3.输入法注入

4.注册表注入

5.EIP注入

6.APC注入

7.SSDT替换

总结

1.远程线程注入

原理:利用CreateRemoteThread()函数,将自己创建的的线程加载到远程空间进程里去执行。

CreateRemoteThread function (processthreadsapi.h) - Win32 apps | Microsoft Docs

注入流程:

  1. OpenProcess 打开被注入进程句柄。
  2. VirtualAllocEx 在注入进程里申请空间,用于存放注入插件路径的字符串,不然在注入进程里找不到参数。
  3. WriteProcessMemory 往申请的空间里写路径字符串
  4. CreateRemoteThread 注入进程,函数第四个参数写LoadLibrary,因为LoadLibrary函数地址在Kernel32.dll中,在每个进程中映射地址都一样,所以不需要再去注入进程查找该函数地址了。第五个参数写路径字符串地址,为LoadLibrary函数的参数。
  5. WaitForSingleObject 等待线程执行完成返回,VirtualFreeEx释放申请空间。

示例代码:

#define TARGETEXE L"notepad.exe"
WCHAR InjectDll[] = L"C:\\Users\\k\\source\\repos\\ConsoleApplication3\\x64\\Release\\TestDll.dll";

DWORD dTargetpid = 0;
 {
     HANDLE hSnapshot = ::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
     if (hSnapshot != INVALID_HANDLE_VALUE)
     {
         PROCESSENTRY32W pe32;
         pe32.dwSize = sizeof(PROCESSENTRY32W);

         if (Process32FirstW(hSnapshot, &pe32))
         {
             do {
                 if (wcscmp(pe32.szExeFile, TARGETEXE) == 0)
                 {
                     dTargetpid = pe32.th32ProcessID;
                     break;
                 }
             } while (Process32NextW(hSnapshot, &pe32));
         }
     }
     CloseHandle(hSnapshot);
 }

 HANDLE hTargethandle =  OpenProcess( PROCESS_ALL_ACCESS, FALSE, dTargetpid);
 if (hTargethandle != INVALID_HANDLE_VALUE)
 {
     //必须具备 PROCESS_VM_OPERATION  访问权限
     LPVOID vaAddress =  VirtualAllocEx(hTargethandle, NULL, sizeof(InjectDll), MEM_COMMIT, PAGE_READWRITE);
     if (vaAddress != nullptr)
     {
         if (WriteProcessMemory(hTargethandle, vaAddress, InjectDll, sizeof(InjectDll), NULL))
         {
             HMODULE hKernel32module = GetModuleHandle(L"kernel32.dll");
             if (hKernel32module)
             {
                 LPTHREAD_START_ROUTINE loadLibraryFunction = (LPTHREAD_START_ROUTINE)GetProcAddress(hKernel32module, "LoadLibraryW");
             
                 //必须具备 PROCESS_CREATE_THREAD、 PROCESS_QUERY_INFORMATION、 PROCESS_VM_OPERATION、 PROCESS_VM_WRITE和 PROCESS_VM_REA
最低0.47元/天 解锁文章
ID_EVER
关注
[网络安全自学篇] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局钩子、远线程钩子、突破Session 0注入、APC注入
杨秀璋的专栏
06-25 2万+
从这篇文章开始,作者将带着大家来学习Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点,希望对您有所帮助。第二篇文章主要介绍4种常见的注入技术,包括全局钩子、远线程钩子、突破SESSION 0隔离的远线程注入、APC注入,案例包括键盘钩子、计算器远线程注入实现、APC注入等,希望对您有所帮助。
windows - Hook技术介绍
tuan8888888的博客
10-13 2070
hook 介绍 Hook技术被广泛应用于安全的多个领域,比如杀毒软件的主动防御功能,涉及到对一些敏感API的监控,就需要对这些API进行Hook;窃取密码的木马病毒,为了接收键盘的输入,需要Hook键盘消息;甚至是Windows系统及一些应用程序,在打补丁时也需要用到Hook技术。接下来,我们就来学习Hook技术的原理。 分类 1、 SetWindowsHookEx Windows下的应用程序大部分都是基于消息机制的,它们都会有一个消息过程函数,根据不同的消息完成不同的功能。Windows操作系统提供的钩
Windows Ring3层注入——输入法注入(六)
qq_38493448的博客
01-16 2432
Windows Ring3层注入——输入法注入(六)输入法介绍输入法注入原理输入法注入的相关知识输入法注入步骤输入法注入的函数原型及代码示例输入法注入操作描述流程图删除自己安装的输入法: 输入法介绍 输入法是一类特殊的程序,主要功能在程序中是进行文字的输入,一般有外挂式(早期的“万能五笔”)和输入法接口式两种实现方式。 外挂式比较简单,它的形式通常是一个EXE文件,通过模拟一些Windows输入...
sql注入详解
m0_67392811的博客
06-12 6830
目录前言? ?一、漏洞原因分析二、漏洞危害三、sql注入防范四、如何挖掘sql注入漏洞五、常见的注入手法联合查询(union注入)报错注入基于布尔的盲注基于时间的盲注HTTP头注入宽字节注入堆叠查询二阶注入六、sql注入getshell的几种方式结构化查询语言(Structured Query Language,缩写:SQL),是一种特殊的编程语言,用于数据库中的标准数据查询语言。SQL注入(SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没
想做黑客就先来学习SQL注入,一文搞懂SQL注入的使用和常见问题!
最新发布
wholeliubei的博客
10-29 842
SQL 注入(SQL Injection)是一种常见的网络攻击手段,攻击者通过在 Web 应用程序的输入字段中插入恶意 SQL 代码,欺骗后台数据库执行非授权的 SQL 语句。SQL 注入可以用于获取、篡改或删除数据库中的数据,甚至可以用于执行系统命令,导致数据泄露、数据破坏或服务器被控制等严重后果。使用参数化查询或预编译语句,将用户输入与 SQL 语句分离,避免用户输入被直接解析为 SQL 代码。攻击者可以利用 SQL 注入来查询、修改或删除数据库中的数据,或者执行数据库管理系统的系统命令。
ReadProcessMemory与WriteProcessMemory用例分析
wodamazi
09-09 1124
首先介绍一个函数VirtualProtectEx,它用来改变一个进程的虚拟地址中特定页里的某一区域的保护属性,这句话有些咬嘴,直接从MSDN中翻译过来的,简单来说就是改变某一进程中虚拟地址的保护属性,如果以前是只读的,那改变属性为PAGE_EXECUTE_READWRITE后,就可以更改这部分内存了。 具体看它的实现 BOOL WINAPI VirtualProtectEx( __in H...
windows注入的方法
清凝
11-22 964
本文总结了Windows常见的注入方式
windows十种注入方式
全粘工程师
09-13 6873
进程注入是一种广泛应用于恶意软件和无文件攻击中的逃避技术,这需要在另一个进程的地址空间内运行自定义代码。进程注入提高了隐蔽性,一些技术也实现了持久性。 尽管有许多流程注入技术,在本博客中,我提供了十种在现实看到注入另一个进程运行恶意代码的技术。 我还提供了许多这些技术的屏幕截图,以便于逆向工程和恶意软件分析,协助针对这些常见技术进行检测和防御。 1. 经典的DLL注入方式 经典的DLL注入方式:通过CREATEREMOTETHREAD和LOADLIBRARY进行注入。 这种技术是用于将恶意软件注入另一
microsoft windows 脚本技术教程-综合文档
05-23
总结,Windows脚本技术Windows系统管理员和开发者必备的技能之一。掌握VBScript和JScript,理解Windows脚本宿主,熟悉ActiveX组件和COM,结合PowerShell,以及注重安全性和最佳实践,都将使你在Windows系统管理...
特权提升技术总结之Windows文件服务内核篇 - 先知社区1
08-03
【总结】特权提升技术在网络安全中扮演着关键角色,理解并掌握这些技术有助于提升系统的安全性。对于系统管理员和安全专业人员而言,定期检查系统更新、强化权限管理、监测异常活动以及及时修补已知漏洞是防范特权...
不动声色的注入你的dll
qman007的专栏
02-18 1867
不动声色的注入你的dll
Windows 五种dll注入方式.zip
06-02
Windows 五种DLL注入方式总结,代码详尽,纯中文详细注释!
windows-DLL注入
08-14
windows-DLL注入整理
Windows 动态注入(远程线程、消息钩子、APC)
m0_51762452的博客
02-08 2090
Windows PC端动态注入(远程线程、消息钩子、APC)
注入技术
weixin_33767813的博客
04-22 109
检测可否注入 http://127.0.0.1/xx?id=11 and 1=1 (正常页面) http://127.0.0.1/xx?id=11 and 1=2 (出错页面) 检测表段的 http://127.0.0.1/xx?id=11 and exists (select * from admin) 检测字段的 ...
Windows用户模式下注入方式总结
Vh0543的博客
04-09 315
注入技术在病毒木马、游戏、打补丁等编程中应用很广泛,学习技术不仅能帮助理解Windows工作原理,还能对病毒木马技术手段有更加深刻的理解,下面我们了解下各种注入方式吧。 一.DLL注入   在注入技术中,DLL注入是最常见最有效的技术。作者通常把代码编写成一个动态链接库,然后把这个动态链接库加载到正常进程中去,因为任何一个进程在加载动态链接库时都要执行DLL文件里入口函数Dl...
windows注入
WeinKee的博客
04-17 470
windows注入 本文内容引述至《windows核心编程》 注入引入需求: 从另一个进程创建的窗口派生子类窗口 需要一些方式来辅助调试,比如确定另一个进程正在使用哪些DLL 对另一个进程Hook 窗口派生 User32.dll被映射到进程A的地址空间中,负责对发到和发往进程A的任何窗口的消息进行接收和派发。当User32.dll检测到一个消息的时候,会先确定该窗口的WndProc的地址,然后...
windows下的进程注入
12-21 187
。 转载于:https://www.cnblogs.com/beyond-Acm/p/4176687.html
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值