黑客秘技:DLL注入攻防全揭秘

原创 已于 2025-06-01 00:55:20 修改 · 407 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#进程注入

于 2025-06-01 00:53:15 首次发布

文章摘要

本文通过生活化比喻和通俗讲解,介绍了DLL注入和代码挂(Shellcode注入)的技术原理与实际应用。文章将进程比作大楼,将注入行为形象地描述为"安插卧底"(DLL注入)或"塞小纸条"(代码挂),解释了如何通过OpenProcess、VirtualAllocEx等API实现远程代码执行。最后指出这种技术既可用于游戏外挂、逆向分析等合法用途,也可能被恶意软件利用,因此成为反作弊和杀毒软件的重点防护对象。全文以150字左右的篇幅,生动清晰地阐释了这一技术概念。

一、生活化比喻

1. 进程就像一栋大楼

  • 每个进程(程序)就像一栋大楼,里面住着各种员工(代码、数据)。
  • 正常情况下,只有大楼自己的员工能进出、工作。

2. 注入DLL/代码挂就像“安插卧底”

  • DLL注入:就像你偷偷把自己的人(DLL)塞进别人的大楼,让他在里面工作、监听、甚至操控大楼里的事务。
  • 代码挂:更直接,你把一段小纸条(代码)塞进别人的大楼,让大楼的员工按照你的纸条内容去做事。

二、技术原理

1. DLL注入

目标:让目标进程“加载”你指定的DLL,让你的代码在目标进程里运行。

常见流程
  1. 打开目标进程
    OpenProcess获得目标进程的“门禁卡”。
  2. 分配内存
    VirtualAllocEx在目标进程里开辟一块空房间(内存)。
  3. 写入DLL路径
    WriteProcessMemory把你的DLL路径写进这块房间。
  4. 远程执行LoadLibrary
    CreateRemoteThread让目标进程的员工帮你“搬进”DLL(执行LoadLibrary,加载你的DLL)。
形象流程
  • 你(外挂)拿着门禁卡,溜进别的大楼,在某个房间贴上“请搬进XXX.dll”的告示,然后让大楼的员工(线程)去执行这个命令。
  • 这样你的卧底(DLL)就进驻了目标大楼,可以做各种事情。

2. 代码挂(Shellcode注入)

目标:让目标进程执行你自定义的一段代码(而不是DLL)。

常见流程
  1. 打开目标进程
    拿到门禁卡。
  2. 分配内存
    在目标进程里开辟一块空房间。
  3. 写入Shellcode
    把你的小纸条(Shellcode,机器码)写进去。
  4. 远程执行
    CreateRemoteThread让目标进程的员工去执行这段代码。
形象流程
  • 你把一张写着“偷偷做某事”的纸条塞进别人大楼,并让某个员工照着做。

三、代码片段(DLL注入)

HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, targetPid);
LPVOID pRemoteBuf = VirtualAllocEx(hProcess, NULL, strlen(dllPath)+1, MEM_COMMIT, PAGE_READWRITE);
WriteProcessMemory(hProcess, pRemoteBuf, dllPath, strlen(dllPath)+1, NULL);
HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)LoadLibraryA, pRemoteBuf, 0, NULL);

四、常见用途

  • 游戏外挂
  • 进程监控
  • 注入恶意代码(病毒、木马)
  • 逆向分析

五、生活化总结

  • DLL注入/代码挂就是“安插卧底”或“塞小纸条”到别人的大楼,让对方员工帮你做事。
  • 这就是为什么反作弊、杀毒软件要严防“外部进程写入”——防止有卧底混进来!

继续详细讲解:

  1. DLL注入的详细代码实现(以CreateRemoteThread+LoadLibrary为例,含详细注释)
  2. 常见的防御注入方法(原理+举例)

一、DLL注入详细代码实现

1. 代码流程图

[本地进程] --(OpenProcess)--> [目标进程]
      |
      |--(VirtualAllocEx)--> [目标进程分配内存]
      |
      |--(WriteProcessMemory)--> [写入DLL路径]
      |
      |--(CreateRemoteThread)--> [目标进程执行LoadLibraryA]

2. 详细代码(C语言,Windows平台)

假设你已经有一个DLL文件,比如C:\Test\MyInject.dll,你想注入到进程PID为1234的进程中。

#include <windows.h>
#include <stdio.h>

int main()
{
    DWORD pid = 1234; // 目标进程PID
    const char* dllPath = "C:\\Test\\MyInject.dll";

    // 1. 打开目标进程
    HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);
    if (!hProcess) {
        printf("OpenProcess failed: %d\n", GetLastError());
        return 1;
    }

    // 2. 在目标进程分配内存,存放DLL路径
    LPVOID pRemoteBuf = VirtualAllocEx(hProcess, NULL, strlen(dllPath) + 1, MEM_COMMIT, PAGE_READWRITE);
    if (!pRemoteBuf) {
        printf("VirtualAllocEx failed: %d\n", GetLastError());
        CloseHandle(hProcess);
        return 1;
    }

    // 3. 写入DLL路径到目标进程
    if (!WriteProcessMemory(hProcess, pRemoteBuf, dllPath, strlen(dllPath) + 1, NULL)) {
        printf("WriteProcessMemory failed: %d\n", GetLastError());
        VirtualFreeEx(hProcess, pRemoteBuf, 0, MEM_RELEASE);
        CloseHandle(hProcess);
        return 1;
    }

    // 4. 获取LoadLibraryA函数地址
    LPTHREAD_START_ROUTINE pLoadLibraryA = (LPTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandleA("kernel32.dll"), "LoadLibraryA");
    if (!pLoadLibraryA) {
        printf("GetProcAddress failed: %d\n", GetLastError());
        VirtualFreeEx(hProcess, pRemoteBuf, 0, MEM_RELEASE);
        CloseHandle(hProcess);
        return 1;
    }

    // 5. 在目标进程创建远程线程,执行LoadLibraryA(dllPath)
    HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0, pLoadLibraryA, pRemoteBuf, 0, NULL);
    if (!hThread) {
        printf("CreateRemoteThread failed: %d\n", GetLastError());
        VirtualFreeEx(hProcess, pRemoteBuf, 0, MEM_RELEASE);
        CloseHandle(hProcess);
        return 1;
    }

    // 6. 等待线程执行完毕
    WaitForSingleObject(hThread, INFINITE);

    // 7. 清理资源
    VirtualFreeEx(hProcess, pRemoteBuf, 0, MEM_RELEASE);
    CloseHandle(hThread);
    CloseHandle(hProcess);

    printf("DLL注入成功!\n");
    return 0;
}

注意事项:

  • 需要管理员权限。
  • 目标进程和注入进程的位数(x86/x64)要一致。
  • 生产环境下请合法合规使用。

二、如何防御DLL注入/代码挂

1. 原理

注入的本质是外部进程对本进程的内存和线程进行操作。防御的核心就是阻止外部进程获得高权限句柄,以及监控和限制可疑操作

2. 常见防御方法

1)限制进程句柄权限
  • ObRegisterCallbacks(内核驱动层)
    注册回调,拦截外部进程以高权限(如PROCESS_VM_WRITEPROCESS_CREATE_THREAD)打开本进程,直接拒绝或降权。
  • 例子:腾讯、网易等游戏的反外挂驱动都用这个方法。
2)代码完整性校验
  • 定期校验自身代码段、IAT(导入表)、EAT(导出表)等,发现被篡改立即报警或自毁。
3)模块白名单
  • 只允许加载白名单内的DLL,发现未知DLL加载立即报警或退出。
4)关闭未用的进程权限
  • 调用SetProcessMitigationPolicy等API,关闭进程的远程线程创建、动态代码生成等能力。
5)ASLR、DEP等安全特性
  • 启用地址空间随机化(ASLR)、数据执行保护(DEP),增加注入难度。
6)用户层API Hook监控
  • LoadLibraryCreateRemoteThread等API加Hook,监控可疑调用。
7)进程保护/自卫
  • 反注入工具(如EasyAntiCheat、BattlEye等)会定期扫描进程模块、线程、内存,发现异常立即处理。

3. 防御代码片段(内核驱动层 ObRegisterCallbacks 拦截)

// 伪代码,见前面详细驱动示例
if (OperationInformation->Parameters->CreateHandleInformation.DesiredAccess & (PROCESS_VM_WRITE | PROCESS_CREATE_THREAD)) {
    // 拒绝高权限句柄
    OperationInformation->Parameters->CreateHandleInformation.DesiredAccess &= ~(PROCESS_VM_WRITE | PROCESS_CREATE_THREAD);
}

三、总结

  • 注入:本质是“外部进程获得高权限句柄+写入内存+远程线程”。
  • 防御:核心是“阻止高权限句柄+监控敏感操作+自我校验”。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

你一身傲骨怎能输

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值