R3注入的四种方式

最新推荐文章于 2025-06-16 09:07:32 发布
原创 最新推荐文章于 2025-06-16 09:07:32 发布 · 3.2k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#注入

DLL注入

1.首先要获取想要注入的进程句柄(OpenProcess)
2.从要注入的进程的地址空间中分配一段内存(VirtualAllocEx)
3.往分配的内存位置写入要注入的DLL名称(WriteProcessMemory)
4.从kernel32.dll中找到LoadLibrary(A或W)函数地址(GetModuleHandle+GetProcAddress)
5.创建远程线程执行加载DLL函数(CreateRemoteThread)

傀儡进程注入

1.首先读取恶意代码的可执行文件并将其解析(按PE结构镜像加载)
2.建立一个挂起的傀儡进程并获取其进程基本信息(CreateProcess函数传入的结构中可获取进程和主线程句柄)
3.获取进程主线程的基本信息(GetThreadContext获取的contex的Ebx为PEB,+8获取进程基址,ReadProcessMemory读取)
4.从ntdll获取NtUnmapViewOfSection远程卸载基址模块(GetModuleHandle+GetProcAddress)
5.从傀儡进程中的恶意镜像指向的基址分配恶意镜像大小的内存然后把恶意镜像写进去(如果选择其他地址则需要修改恶意镜像的基址重定位表_VirtualAllocEx+WriteProcessMemory)
6.修改进程主线程eip指向恶意镜像入口点以及PEB指向的基址(contex的Eax为eip,PEB用WriteProcessMemory修改)
7.将修改的contex设置回去并回复线程运行(SetThreadContext+ResumeThread)

x64下用ntdll中的NtQueryInformationProcess获取PEB,contex的Rcx为eip

HOOK注入

1.加载一个DLL,获取其某个函数地址(LoadLibrary+GetProcAddress)
2.获取一个进程句柄
3.通过系统钩子把指定函数挂上去即可(SetWindowsHookEx,目标进程会加载DLL)

APC注入

1.获取指定进程的ID以及所有线程的集合 (CreateToolhelp32Snapshot)
2.远程分配内存并将指定DLL名称写入(VirtualAllocEx+WriteProcessMemory)
3.迭代打开所有线程依次往APC队列添加加载DLL函数调用(OpenThread+QueueUserAPC+GetProcAddress)

zyorz
关注
关于R3nzSkin进入游戏后报错问题,现问题解决
Tony1270964268的博客
01-20 3030
之后就可以正常使用了,试过了,英雄die后不会掉皮肤,进入游戏也不会卡出,暂时没遇到过封号问题,偶尔放假会回来玩一玩就把这个问题给大家解决一下,在R3nzSkin\SDK目录中用Visual Studio中打开memory.hpp文件,我用的2022版本的。也就是把上个版本的没有出错的代码修改正确,如图上所示,可以复制我图上的代码(注释过的是错误的代码)编译后的文件会在源文件的Release\Chinaserver中。报错原因,主要是因为报错的这段代码在最新源代码中报错。把错误的代码改成正确的。
R3进程DLL注入HOOK
zyorz的博客
05-04 1223
工具DLL中可使用三种HOOK引擎实现HOOK,分别为开源引擎nthookengine、mhook和微软的Detour流程本进程HOOK可直接导入引擎DLL调用API实现注入其他进程HOOK通过编写一个实现了HOOK本进程的DLL然后将其注入到目标进程实现 注入实现:http://blog.youkuaiyun.com/zyorz/article/details/71153713引擎APImhook引擎HOO
SkinMagic皮肤包 官网皮肤包解压码
09-05
包含 22 个SkinMagic皮肤, 外带SkinMagic官网皮肤包的解压码..
R3nzSkin项目使用问题排查与解决方案
最新发布
gitblog_07280的博客
06-16 412
R3nzSkin项目使用问题排查与解决方案 项目背景 R3nzSkin是一款针对特定游戏客户端的皮肤修改工具,通过注入方式实现游戏内皮肤替换功能。该项目在GitHub开源,支持多服务器版本,但用户在实际使用中可能会遇到各种兼容性问题。 常见问题分析 1. 界面无法呼出问题 多位用户反馈在按下预设快捷键(Insert键)后程序界面未显示。经过技术验证,该问题通常由以下原因导致: 权限不足:程序需要...
用户层注入:(5)反射注入
weixin_43972499的博客
03-15 2636
目录反射的概念反射注入过程 注入程序 导出函数参考代码 注入程序 导出函数 反射的概念   前几篇文章提到了远程线程注入、注册表注入、APC注入注入方法,这些方法都有一个共同的问题,那么就是需要目标进程所在的计算机上存在对应的Dll文件,否则我们的注入程序调用LoadLibrary函数无法加载。即如果我们想跨计算机注入目标进程,就要将注入程序exe和动态库文件dll打包放到一个文件夹里并发送到目标计算机,但是一旦文件被接收,我们的dll文件就"落地"了,因此就会很容易被常规的杀毒软件检测并查杀。所以,我们
R3注入
zyorz的博客
05-03 690
流程DLL注入: 1.提升注入者权限(AddDebugPrivilege添加一个Debug权限)2.打开被注入的目标进程获取句柄(OpenProcess传入目标进程ID)3.在目标进程中分配内存(VirtualAllocEx传入句柄分配内存)4.将DLL路径写入到目标内存中(WriteProcessMemory传入分配后返回的地址)5.获取kernel32中LoadLibraryA地址,调用Cre
CC++ 进程无模块内存注入[x86x64] Windows R3 无模块注入
06-23
总结起来,CC++ 进程无模块内存注入[x86x64]是利用编程技术在Windows R3环境下实现的一种代码注入方法,它避免了加载额外模块,提高了隐蔽性和兼容性。理解和掌握这项技术,可以帮助开发者更好地理解和应对进程级别...
CC++ 进程无模块内存注入[x86x64] Windows R3 无模块注入
06-23
在IT领域,进程内存注入是一种高级的技术,常用于调试、逆向工程以及恶意软件开发。本文将详细讨论“CC++ 进程无模块内存注入[x86x64] Windows R3 无模块注入”这一主题,这涉及到C/C++编程、Windows操作系统以及x86...
R3最强防远程创建线程(防线程注入)-易语言
06-11
之前发过这个的测试程序在论坛上,也说过之后会发源码但是后来我忘了,今天看了看消息有个人一直在关注这个源码 所以顺手发一发源码,这个DLL源码是调用了我之前发过的一个模块源码 ...自己去下吧 ...
无痕注入dll_如何在R3尽量完美的隐藏一个DLL
weixin_39669761的博客
12-19 2437
哈哈哈专栏开通啦!咳咳..这个专栏主要写一些和安全开发的东西,需要一定的相关知识,并且不(定期)更新,恩,就这样主要是前几天群里师傅提出了这个问题,所以就去实现下,现将操作记录与此0x01 从加载开始要注入一个DLL的方法很多,但是我们希望一切在Exe知道之前就能完成(这样最不容易被发现对不),所以NTCreateThread和置换Dll就显得不好使了NTCreateThread创建线程的时间靠后...
R3nzSkin 开源项目教程
gitblog_00925的博客
08-10 746
R3nzSkin 开源项目教程 1. 项目目录结构及介绍 以下是R3nzSkin的目录结构及其简要说明: . ├── github/workflows # GitHub 自动化工作流程配置 ├── PythonScripts # Python 相关脚本 └── R3nzSkin # 主代码仓库 ├── R3nzSkin_Inj...
注入版R3调试器的实现
dog0230的博客
05-10 332
注入版R3调试器实现科锐三阶段项目之一 项目名称:R3Dbg.dll(调试器内核),Gravedigger.exe(调用示例) 功能: 实现硬件断点(访问,写入,执行),内存断点(读,写),软断点,单步步过,单步步入,寄存器,反汇编,内存,桟信息的显示。PE分析,CALL函数名提示等3环调试器的功能。 特点: 1。逻辑与界面完全分离 2。可将调试器内核注入到宿主进...
【亲测免费】 R3nzSkin 项目安装和配置指南
gitblog_07299的博客
09-13 2381
R3nzSkin 项目安装和配置指南 1. 项目基础介绍和主要编程语言 项目基础介绍 R3nzSkin 是一个为 League of Legends(英雄联盟)设计的内部皮肤更换工具。它允许玩家在游戏中更换英雄、守卫、其他英雄、防御塔、小兵和野怪的皮肤。该项目支持自动更新皮肤数据库、观战模式,并且可以在单局游戏中无限次更换皮肤。 主要编程语言 该项目主要使用 C++ 进行开发,同时也包含少量的 A...
无痕注入dll_[LAB]一种无痕Dll模块注入方式
weixin_42499100的博客
01-12 2862
#include "stdafx.h"#include "MFC.h"#include "MFCDlg.h"#include "afxdialogex.h"#include #ifdef _DEBUG#define new DEBUG_NEW#endif//1.获取进程句柄HANDLE GetThePidOfTargetProcess(HWND hwnd){DWORD pid;GetWindowT...
R3修改线程上下文EIP实现的无模块注入
zfdyq
11-07 4187
#include "stdafx.h" #include #include using std::cin; DWORD dwOldEip = 0; DWORD funRemote = 0; BYTE shellCode[25] = { 0x68, 0x78, 0x56, 0x34, 0x12, //push
开源项目R3nzSkinTFT快速入门指南及问题解决
gitblog_00217的博客
11-05 848
开源项目R3nzSkinTFT快速入门指南及问题解决 项目基础介绍 R3nzSkinTFT 是一个专为《团队战斗战术》(Teamfight Tactics, TFT)设计的内部皮肤修改器。它允许玩家自定义他们的“小传奇”角色的外观,具备半自动皮肤数据库更新功能,支持游戏内任意时刻更换皮肤且无次数限制。项目采用ImGui进行游戏内绘制界面,并基于JSON配置文件来保存和加载设置。该工具利用了x86R...
APC注入以及几种实现方式
include_voidmain的博客
08-02 2461
APC注入以及几种实现方式
67.利用FreeLibrary函数实现无痕注入的核心代码
计算机王的博客
07-31 522
游戏逆向、游戏安全、游戏攻防、c++、反游戏外挂、保姆级攻略
(开源) Ring3下的DLL注入工具 x86&x64(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)
热门推荐
sunflover454的专栏
12-31 2万+
工具介绍及使用请移步:http://blog.youkuaiyun.com/sunflover454/article/details/50441014 本文首发在零日安全论坛:http://www.jmpoep.com/thread-833-1-1.html 使用NtCreateThreadEx + LdrLoadDll方式实现远程线程注入的特色在于比一般的远程线程注入稳定,可以注入系统进程,服务
R3 Rootkit
03-23
### R3 Rootkit 的技术细节 R3 Rootkit 是一种运行在用户模式下的恶意软件,其主要目的是隐藏特定的进程、文件或其他资源以逃避检测。它通常通过修改操作系统的行为来实现这些目标。以下是关于 R3 Rootkit 技术细节的一些重要方面: #### 隐藏机制 R3 Rootkit 主要依赖于挂钩(hooking)技术来拦截和篡改操作系统的 API 调用。这种技术允许 Rootkit 修改返回给应用程序的结果,从而隐藏某些对象的存在。 - **API Hooking**: 通过对关键函数(如 `NtQueryDirectoryFile` 或 `FindFirstFileW`)进行钩子处理,Rootkit 可以过滤掉不希望被发现的对象[^1]。 ```cpp // 示例代码展示如何设置一个简单的 IAT Hook typedef NTSTATUS (NTAPI *PNtQueryDirectoryFile)( HANDLE FileHandle, HANDLE Event, PIO_APC_ROUTINE ApcRoutine, PVOID ApcContext, PIO_STATUS_BLOCK IoStatusBlock, PVOID FileInformation, ULONG Length, FILE_INFORMATION_CLASS FileInformationClass, BOOLEAN ReturnSingleEntry, PUNICODE_STRING FileName, BOOLEAN RestartScan); NTSTATUS NTAPI MyHookedNtQueryDirectoryFile( HANDLE FileHandle, HANDLE Event, PIO_APC_ROUTINE ApcRoutine, PVOID ApcContext, PIO_STATUS_BLOCK IoStatusBlock, PVOID FileInformation, ULONG Length, FILE_INFORMATION_CLASS FileInformationClass, BOOLEAN ReturnSingleEntry, PUNICODE_STRING FileName, BOOLEAN RestartScan) { // 这里可以加入自定义逻辑,比如跳过某个目录项 return OriginalNtQueryDirectoryFile(FileHandle, Event, ApcRoutine, ApcContext, IoStatusBlock, FileInformation, Length, FileInformationClass, ReturnSingleEntry, FileName, RestartScan); } ``` #### 加载方式 R3 Rootkit 往往会伪装成合法的服务或驱动程序加载到内存中。它们可能利用已知漏洞或者社会工程学手段进入系统并获得持久化能力。 - **服务注入**: 创建一个新的 Windows 服务或将自己附加到现有的服务进程中启动。 - **DLL 注入**: 动态链接库可以通过远程线程创建等方式强行插入其他进程中执行。 --- ### 应对方法 针对 R3 Rootkit 的威胁,可以从以下几个角度出发制定防御策略: #### 实时监控与行为分析 由于 R3 Rootkit 常常更改正常的系统调用路径,因此实时监测异常活动变得尤为重要。这包括但不限于以下措施: - 使用基于主机入侵检测系统(HIDS),它可以识别可疑的操作序列以及未授权访问尝试。 - 安装反病毒解决方案,定期扫描整个磁盘寻找潜在风险因素。 #### 文件完整性验证 为了防止敏感数据遭到破坏,建议实施严格的存取控制政策,并周期性地校验核心组件哈希值的一致性。 - MD5/SHA256 校验工具可以帮助确认是否有未经授权改动发生。 #### 更新补丁管理 及时安装厂商发布的安全更新包能够有效封堵已被披露出来的弱点位置,减少遭受攻击的可能性。 > 注意事项:尽管上述提到的方法有助于缓解部分影响,但对于高度定制化的 rootkits 来说仍可能存在绕过的途径。所以综合运用多种防护层才是最稳妥的选择。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值