(转载)检测远程线程注入DLL

最新推荐文章于 2025-01-10 09:44:55 发布
最新推荐文章于 2025-01-10 09:44:55 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: C++逆向 文章标签: 检测线程注入DLL
本文介绍了一种检测远程进程注入DLL的方法,通过检测线程创建时的起始地址来判断是否为恶意注入,并提供了具体的实现代码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

作者:coNgY1

来源:优快云

原文:https://blog.youkuaiyun.com/a893574301/article/details/80950571

参考GitHub上的AntiInject

1,远程进程注入DLL调用CreateRemoteThread这个API进行注入,而这个API会在目标进程中创建一个进程来调用LoadLibrary来加载自己想注入的DLL从而达到注入效果。

2,在一个进程已经加载的DLL中,每当一个Thread创建的时候就会给每一个加载的DLL发送一个消息DLL_THREAD_ATTACH,我们可以在自己的DLL中来截获每一个线程创建时候的消息,然后判断这个线程起始地址是否是LoadLibraryA/W来判断这个线程是否是通过远程线程注入进来的。

实现代码:

void CheckInject(DWORD dwProcessId);
 
BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
					 )
{
	switch (ul_reason_for_call)
	{
	case DLL_THREAD_ATTACH:
		CheckInject(GetCurrentProcessId());    //每次新的线程创建时候检测
		break;
	}
	return TRUE;
}
 
DWORD GetThreadStartAddr(DWORD dwThreadId)
{
	HANDLE hThread = OpenThread(THREAD_QUERY_INFORMATION,FALSE,dwThreadId);
	DWORD dwStartAddr,dwReturnLen;
	if (hThread == NULL)
		return 0;
	NtQueryInformationThread(hThread,            //查询线程起始地址
		ThreadQuerySetWin32StartAddress,
		&dwStartAddr,
		4,
		&dwReturnLen);
	return dwStartAddr;
}
 
void Check_StartAddr(DWORD dwStartAddr,DWORD dwThreadId)
{
	DWORD dwAddr_LoadLibraryA = (DWORD)GetProcAddress(GetModuleHandleA("Kernel32.dll"), "LoadLibraryA");
	DWORD dwAddr_LoadLibraryW = (DWORD)GetProcAddress(GetModuleHandleA("Kernel32.dll"), "LoadLibraryW");
 
	if (dwStartAddr == dwAddr_LoadLibraryA || dwStartAddr == dwAddr_LoadLibraryW)
	{
		if (MessageBoxA(0, "发现注入的DLL线程,是否杀掉?", "提示", MB_OKCANCEL) == IDOK)
		{
			TerminateThread(OpenThread(THREAD_ALL_ACCESS,FALSE,dwThreadId),0);
		}
	}
}
 
void CheckInject(DWORD dwProcessId)
{
	HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, dwProcessId);
 
	THREADENTRY32 te32 = { sizeof(te32) };
	Thread32First(hSnapshot, &te32);
	do
	{
		if (te32.th32OwnerProcessID == dwProcessId)
		{
			Check_StartAddr(GetThreadStartAddr(te32.th32ThreadID),te32.th32ThreadID);    //遍历当前进程所有线程的起始地址
		}
	} while (Thread32Next(hSnapshot, &te32));
}

作者:coNgY1
来源:优快云
原文:https://blog.youkuaiyun.com/a893574301/article/details/80950571

远程线程注入--DLL注入(C++)
啊渊的专栏
08-26 545
远程线程注入(Remote Thread Injection)是指通过创建远程线程的方式将代码注入到另一个进的地址空间中。下面是一个简单的 C++ 示例,展示如何通过远程线程注入一个 DLL 到目标进中。
【Windows安全】远程线程注入
TakakiTohno的博客
09-05 1648
最近空闲,然后刚巧刷到关于Windows安全技术的博客,随就记录一下。好了,废话不多说,开始!每天学习一点小技术,总有一天会成为大牛的,加油!!!看十遍不如写一遍,动动手指,你也能成为我这样的小白菜。
DLL注入的术与道:分析攻击手法与检测规则
2401_84466229的博客
10-17 1158
DLL 本质上是可供其他序使用的函数和数据的集合,可将其视为虚拟公共资源,Windows运行的任何序都会不断地调用动态链接库,以访问各种常见函数和数据。
远程线程注入
qq_40710190的博客
05-04 725
远程线程注入 远程线程注入是最基础的一种注入方式,因为其调用了CreateRemoteThread()函数而得名。但是因为其是最基础的注入方式,调用了windows API而特征明显,所以非常容易被检测出来。 这次的实验对象是notepad.exe #include <Windows.h> #include <stdio.h> #include <TlHelp32.h> #include <iostream> using namespace std; BOO
win检测有没有被远程线程注入
最新发布
youngboy的博客
01-10 189
【代码】win检测有没有被远程线程注入
查看进是否被注入线程(不在系统模块)
henuyl的博客
07-22 1937
有些进注入了某些恶意的线程(也可能不是恶意的) 首先我们拿到该进的进模块,用来对比进线程的模块是否在这里面 把这些模块放入到vector里面 便利该进的所有线程获取模块的起始地址和大小,很快就可以得到伪装线程。 #pragma region 依赖 typedef enum _THREADINFOCLASS{ ThreadBasicInformation, ThreadTimes, ThreadPriority, ThreadBasePriori..
VC获取线程入口函数检测是否为远程注入
Koma的主页
07-23 750
之前用到过的,比较鸡肋的检测方法: DWORD_PTR g_dwLoadLibraryA = 0; DWORD_PTR g_dwLoadLibraryW = 0; DWORD_PTR g_dwLoadLibraryExA = 0; DWORD_PTR g_dwLoadLibraryExW = 0; DWORD_PTR WINAPI GetThreadStartAddr...
易语言远程线程注入DLL呼出
08-24
易语言远程线程注入DLL呼出 注入 全部的完整源码
远程线程注入_远程_远程线程_dll注入_注入_
10-01
在这个场景中,我们关注的是"远程线程注入"和"DLL注入"这两个概念。 远程线程注入是通过在目标进中创建一个新的线程,并在该线程上下文中执行指定的代码。这允许一个进注入者)在另一个进(被注入者)中...
Win10远程线程注入DLL源码.zip
11-30
原理跟32位进注入没太大区别,首先获取ntdll下的RtlInitUnicodeString,LdrLoadDll,NtCreateThreadEx地址,最后分配内存写入Code数据创建远程线程跑起来!
使用远程线程注入DLL
08-04
在提供的“远程线程注入DLL.pdf”文档中,你将找到更深入的理论解释和具体的代码示例。这些代码可能包括C++或C#等编语言,展示了如何实施上述步骤。测试代码文件将帮助你理解实际的编实践,通过运行和调试这些...
易语言 远程线程注入DLL呼出窗口 源码(无模块)
11-24
这个可是非常好的源码 没有使用任何模块 放心下载 绝对不留后门,不修改IE,卸载dll一直有点小问题,希望大家多交流 QQ:22353017
远程注入调试工具
01-06
远程注入调试工具,可以用来调试,编写外挂
远程注入查看被注入序使用的dll
07-23
远程注入查看被注入序使用的dll,内含两个工一个是要注入到进dll,另个是实施注入的控制台注入序,实例简单
Windows 动态注入远程线程、消息钩子、APC)
m0_51762452的博客
02-08 2000
Windows PC端动态注入远程线程、消息钩子、APC)
远程线程DLL注入64位进
weixin_30329623的博客
11-07 564
1 int main() 2 { 3 BOOL bFlag = FALSE; 4 5 char *szDllName = "MSGDLL.dll"; 6 //bFlag = EnablePrivilege(SE_DEBUG_NAME); //返回值为1时代表成功 7 8 9 //得到目标进句柄 10 HA...
远程线程注入(简单样例以及原理)
qq_43147121的博客
08-20 986
我们今天通过一个简单的测试代码来了解一下模块注入的大体流。这个模块中主要是创建了一个静态线程对象,循环打印内容。注入的目标是将我们的代码注入到目标进的地址空间中。首先是没有注入的时候就是一直在打印。下面来看一下我们要注入的模块代码。然后是我们要注入的目标进的代码。这个代码也很简单,就是循环打印。然后是存放我们的注入动作的代码。接下来我们来看一下注入的效果。
windows远程线程注入【学习笔记】
lygl35的博客
02-25 957
远程注入要满足两个条件 例如A进调用B进 1、这个被调用的函数在B进。 2、B进这个被调用函数的格式是:一个返回值,一个参数四个字节 远程注入的思路 封装一个函数loadDLL 远程注入实现过 第一步:获取进句柄 第二步:计算DLL路径字符的长度,目的是在目标进分配一块空间,把这个路径写进去 第三步:在目标进分配空间,VirtualAllocEx可以在指定的目标进分配空间。 第四步:向目标进写入DLL的路径,通过WriteProcessMemory可以向其它进写入数..
检测是否有dll注入
125096
05-05 5544
#include #include #include #include #include using namespace std; typedef basic_string, allocator > tstring; int ProcessModule(DWORD); int CheckProcessModule(DWORD pid); BOOL IsModuleValid(tstr
Windows系统下远程线程注入DLL检测与卸载策略
"远程线程注入DLL检测与卸载方法的研究" 远程线程注入(Remote Thread Injection)是一种常见的恶意软件技术,攻击者通过这种方式在目标进注入代码,通常是动态链接库(DLL),以实现隐蔽的监控、控制或破坏...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值