[Win32]关于跨进程模块注入的一次尝试,以及为何尽量不要LoadLibrary一个exe

最新推荐文章于 2025-05-05 13:57:07 发布
最新推荐文章于 2025-05-05 13:57:07 发布
阅读量604 收藏 1
点赞数
文章标签: windows microsoft c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42969457/article/details/129026688
版权
文章介绍了通过直接将exe作为模块注入目标进程的技术尝试,包括在exe中定义导出函数并注入远程进程。然而,这种方式存在导入表无效、CRT未正确加载、全局变量未初始化以及重定位问题,使得这种方法并不实用。作者建议除非必要,否则不应使用LoadLibrary加载exe进行代码注入。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

关于跨进程模块注入的一次尝试,以及为何尽量不要LoadLibrary一个exe

通过直接把自身当作一个模块注入到目标进程,实现代码注入

  这是我偶然之间的一个想法,既然通过CreateRemoteThread函数,可以实现让其他进程去LoadLibrary一个我们指定的dll,从而实现将该dll的代码注入到目标进程。
  那是否可以把这个dll省略掉,直接把自身(exe)的路径作为LoadLibrary的参数,让目标进程去加载,并在我们的exe内,像dll那样定义出一些导出函数,后续再通过CreateRemoteThread随时在目标进程内启动呢?
  好消息是,这种操作在理论上完全可行。但坏消息是,这并没有我们想象中方便和实用,接下来我会简述自己的实验过程,遇到的问题,然后进行简单的总结。
  这里默认读者知道如何利用CreateRemoteThread进行Dll注入,并对此过程不再赘述。

在exe内定义一个导出函数

  为了方便,我定义了几个宏。

#define DLLAPI extern "C" __declspec(dllexport)
#define ROUTINE DLLAPI DWORD WINAPI

typedef DWORD(WINAPI* Routine)(LPVOID);

  为exe定义一个导出函数的过程,与在dll中是完全一样的,例如,我们定义一个Test函数。

ROUTINE Test(LPVOID lParam)
{
    MessageBoxA(0, "(LPCSTR)lParam", "123", 0);
    return 20;
}

  编译后,我们用IDA检查生成的exe的导出表,可以发现Test函数正在其列。
用IDA获取exe导出表
  这也就是为什么,我们说exe没有导出表,要加上“通常”二字。exe并不是不可以有导出表,只不过通常情况下,我们不需要它有。

注入到远程进程

  随后,我们用注入dll相似的方法,在这个exe中,让id为9236的进程用LoadLibrary加载自己。

int PID = 9236;
HMODULE hPatch = GetModuleHandle(NULL);
RemoteCode rc(PID, hPatch); //RemoteCode 是我写的一个库,这行的操作就是获取自身的全路径,然后让目标进程加载

  在执行完注入的操作后,我们用x64dbg附加到被注入的进程,然后查看它的模块列表。
目标进程的导入表
  我们发现,目标进程确实把我们自己的exe当作一个dll去加载了,我们的exe作为一个模块出现在了目标进程的内存空间中,Test函数也作为一个导出函数出现在了它的导出表中。

启动我们的导出函数

  一切看起来非常顺利,现在只剩下最后一步,启动我们事先定义的导出函数Test。

rc.invoke("Test", NULL);

  具体过程也就是,先获取Test函数在自己进程内的RVA(相对虚拟地址),然后通过枚举目标进程的模块,找到注入的模块的地址,最后把这两个地址相加,就得到了Test函数在目标进程中的地址。
  但接下来,奇怪的事情就发生了,在使用CreateRemoteThread在Test的地址上启动一个线程之后,被注入的进程崩溃了

问题的发现

  我首先检查,是不是我在上述的操作中,获取到了一个无效的Test地址?于是我在CreateRemoteThread前打上了一个断电,然后查看获取到的Test函数地址,并将其与x64dbg中显示的Test函数地址对比。
Test地址
  结果说明,我们获取到的Test函数地址是正确的(目标进程中的地址见上上个图,虽然Test在两个进程中的地址相同,但这是个巧合)。
  那问题出现在哪里呢?我们用x64dbg在目标进程的Test函数上打上断点,跟进,然后就发现了问题。
MessageBoxA是一个无效的地址
  在图中画红框的call命令处,call的是一个无效的地址,这里在源程序中对应的是那句MessageBoxA,也就是说,exe在被当作dll加载后,原本导入表中的函数,就变成了无效的地址

问题分析

  我们在调用一个导入表中的函数(例如MessageBoxA)时,大致的过程是:

  1. 通过MessageBoxA符号,定位到user32.dll中的MessageBoxA地址
  2. 执行user32.dll中的MessageBoxA代码。
      虽说通常情况下,MessageBoxA的地址对于所有进程都是一致的,但这里的“一致”,指的是user32.dll被加载的位置一致,而MessageBoxA的相对地址是一定的,所以我们说MessageBoxA的地址一定。
      然而我们想获取这个地址,需要先通过导入表,也就是我们在程序中写的MessageBoxA所指向的地址。我们现在面临的情况是,当exe被LoadLibrary后,MessageBoxA符号所指向的是一个无效的地址。显然,在这种情况下,exe的导入表并没有被正确地配置。
      引起该问题的原因是,在对一个exe文件使用LoadLibrary时,系统并不会像对dll做的那样,为我们配置正确的导入表,那么这部分工作就需要我们手动进行,大致过程是遍历目标模块的导入表,然后一个个把他们设置为正确的地址,并且因为操作目标不是本进程,我们就需要不停地VirtualProtectEx,ReadProcessMemory,WriteProcessMemory,非常非常麻烦。对本进程LoadLibrary的exe进行导入表修复的代码可以在网络上找到,这里就不贴出了,如果你有耐心的话,可以尝试把它改成对其他进程有效的。
      所以如果你问可行吗,答案是可行。但我都已经写这么多复杂又耗费性能的代码了,为什么不直接写一个dll呢?

总结

  这种模块注入方式,在理论上是完全可行的,但实际中遇到的问题不止上述一种,在LoadLibrary一个exe时,不仅导入表会变为无效,这个exe的CRT也没有被正确地加载,也就是说,所有的全局变量都没有被正确地初始化。另外,在生成一个exe文件时,/DYNAMICBASE和/FIXED选项默认是关闭的。虽然在这次实验中,exe的基址在本进程和目标进程中是相同的,但别忘了,这只是一个巧合。如果自己的exe的基址被抢占,它就无法被正确地重定位。
  简而言之,除非你有必须LoadLibrary一个exe的理由,否则Don’t do that!

空白Acite
关注
无DLL,直接将整个EXE注入其他进程
El Psy Congroo
08-02 9744
注入代码的方式比较 注入shellcode 优点: 1. 简单,只需要EXE的一部分。代码可以用C\C++或汇编写 缺点: 1. 要写位置无关代码,这意味着不能直接使用全局变量、其他编译单元的函数(包括CRT的memcpy)、API等。如果要使用则要由源进程分配空间、计算API在目标进程的地址,并传到目标进程的shellcode。或者shellcode自己计算LoadLibrary和Ge...
把dll模块注入到游戏进程的方法<a>
douluo998的博客
04-17 1154
DLL注入技术: 是将一个Dll文件强行加载到目标进程中,比如把外挂dll模块注入到游戏进程,这样做的目的在于方便我们通过这个DLL读写目标进程指令或内存数据,(例如 HOOK游戏函数过程或篡改游戏内存数据实现外挂功能),或以被注入进程的身份去执行一些操作等。全系统注入的优点:利用系统机制实现的全系统进程注入,可绕过比如游戏进程自身的防注入保护机制。比如远线程注入游戏可能会被拦截,但输入法注入,游戏很难拦截。
像加载DLL一样加载EXE
09-10
像加载DLL一样加载EXE 介绍 你可能已经被警告过,不要LoadLibrary()加载可执行文件,你可能尝试这么做过,然后程序就崩溃了,所以你可能会认为这是不可能的。 但实际上这是可行的,本文就将介绍具体的方法。
无DLL注入(函数直接注入)
Lyntion的Blog
10-02 2171
在第三中方法中,我们启动远程线程时,线程函数是我们从Kernel32.dll中取得的 LoadLibrary函数的地址为线程函数的地址,其实我们可以直接将线程函数体和函数参数写入目标 进程的地址空间,然后创建远程线程。     使用这个方法时,需要注意以下几个问题:     (1) 远程线程函数体不得使用kernel32.dll,user32.dll以外的函数。因为这个两个模块在各
Win32学习笔记 | LoadLibraryA,GetProcAddess函数
最新发布
JUST FOR FUN, CALM DOWN
05-05 585
通过LoadLirabryA与GetProcAddress的组合使用,可实现动态加载DLL并调用其中的函数
漫谈兼容内核之十六:Windows的进程间通信
周寅的专栏
03-13 2592
 对于任何一个现代的操作系统,进程间通信都是其系统结构的一个重要组成部分。而说到Windows的进程(线程)间通信,那就要看是在什么意义上说了。因为正如“Windows跨进程操作”那篇漫谈中所述,在Windows一个进程甚至可以“打开”另一个进程,并在对方的用户空间分配内存、再把程序或数据拷贝过去,最后还可以在目标进程中创建一个线程、让它为所欲为。显然,这已经不只是进程间的“通信”,而是进程间
Win32 调用外部进程
weixin_41111116的博客
09-11 748
Windows启用另一个程序1. 概述2. 方法2.1 WinExec2.2 system2.3 ShellExecute2.4 CreateProcess 1. 概述 2. 方法 2.1 WinExec 2.2 system 2.3 ShellExecute 2.4 CreateProcess
在32位程序中如何实现进程间通讯
saliven的专栏
03-09 1315
1、引言 在Windows程序中,各个进程之间常常需要交换数据,进行数据通讯。WIN32 API提供了许多函数使我们能够方便高效的进行进程间的通讯,通过这些函数我们可以控制不同进程间的数据交换,就如同在WIN16中对本地进程进行读写操作一样。 典型的WIN16两进程可以通过共享内存来进行数据交换:(1)进程A将GlobalAlloc(GMEM_SHARE...)API分配一定长度的内存;(2)进程
exe将dll注入到explorer.exe资源管理器进程_DLL注入示例.injectdll
03-28
在本示例中,“exe将dll注入到explorer.exe资源管理器进程_DLL注入示例”是一个具体的操作实例,它演示了如何将DLL注入Windows资源管理器进程(explorer.exe)中。 首先,我们需要理解DLL是什么。DLL(Dynamic ...
Win32 EXE动态分叉技术及其注入应用
综上所述,动态加载Win32 EXE文件涉及到Win32 API的深层次知识,包括进程创建、模块加载以及与之相关的安全考虑。这种技术在正常的软件开发中可以用于模块化设计,在安全领域则需要警惕潜在的安全威胁,如恶意软件...
DLL注入explorer.exe进程
qq_20113959的博客
03-07 3680
**DLL注入explorer.exe进程**   最近一直在学习dll注入远程进程的相关知识,于是有了这篇文章。通过注入的方式会运行程序,在资源管理器中是看不到,相关的进程的,这为程序的隐藏提供了极大的便利。 一、新建dll动态链接库,然后在dllmain.cpp文件中的 “case DLL_PROCESS_ATTACH:”下输入当你dll被进程加载时要执行的代码。这里我们用 “ Messag...
C/C++ 进程无模块内存注入[x86/x64]
05-30
Windows R3 无模块注入,x86+x64通用,不支持异常处理,编译前关闭GS安全检查,VS2015所写,并无明显C++特征,兼容性极高
Windows平台上。使用Sendmessage方法实现Unity不同进程之间通信
qq_33547099的博客
02-21 935
windows平台上,使用SendMessage方法实现Unity不同进程之间通信。
windows 加载外部exe文件
mzhang160的博客
08-28 631
1 exe 加载        windows 加载exe这里用最简单的方式,WinExec函数 :               WinExec(path); //path 建议写相对路径 2 加载后获取句柄可进一步控制exe文件        FindWindow函数获取窗体句柄  FindWindow(NULL, 窗体名称)->GetSafeHwnd() 返回 窗体句柄(类型 H...
例说Exe程序作为DLL进行加载
07-31 2678
 作 者: nbw时 间: 2008-07-17,23:05链 接: http://bbs.pediy.com/showthread.php?t=68730例说Exe程序作为DLL进行加载调用第三方exe程序里面的函数,一直是大家所向往并已经讨论过不少的问题,其方法大体有三类:1、让第三方exe启动,然后自己程序注入进去调用之;2、让第三方exe启动,然后远程读入其内容;3、把第三方exe,当作D
线程代码注入 无dll版本
x
11-05 435
//远程线程需要的数据 typedef struct __shared { //kernel32 DWORD loadlib; DWORD getprocaddr; DWORD getmodulefilename; //user32 char user32dll[20]; char msgbox[20]; char output[20]; } shared; //远程线程...
c++ 单例模式_Spring Bean注入/单例理解/循环依赖
weixin_39673601的博客
11-26 478
理解循环依赖问题,首先明白spring有四种注入方式。第一种,SET注入a类中持有b类的引用,并且a类有b的set方法。在bean中添加标签即可注入。实质上是将b实例化,然后调用set方法注入。 第二种,构造器注入a类中持有b类的引用,并且a的构造函数参数中有b。实质上就是通过构造函数注入,创建a对象时要把b对象传进去。 第三种,静态工厂如果有需要静态工厂实例化的类,不能通过静态工厂.方法...
EXE多次LoadLibrary会怎么样
C++ 爱好者 make_it_simple888
11-22 2564
DLL 文章列表 多次LoadLibrary,只有第一次会真正加载,后面一直驻留在EXE内存中。 只要不调用FreeLibrary,DLL一直都在。 后面的LoadLibrary等同于空操作。 具体原理参考:进程EXE、DLL加载到内存中的过程https://blog.youkuaiyun.com/calmreason/article/details/84404293 CllDLL.cpp #...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值