C/C++远程线程DLL注入

发表于 2021-07-16 更新于 2023-05-25 分类于《C/C++ 黑客安全编程》

Dll代码

Dll 代码：

#include "stdafx.h"
#include <iostream>
#include <Windows.h>
#include <tlhelp32.h>

BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
					 )
{
	switch (ul_reason_for_call)
	{
	case DLL_PROCESS_ATTACH:
		MessageBox(NULL,L"DLL_PROCESS_ATTACH",L"LYSM",NULL);
		break;
	case DLL_THREAD_ATTACH:
	case DLL_THREAD_DETACH:
	case DLL_PROCESS_DETACH:
		break;
	}
	return TRUE;
}

注入器代码：

#include "stdafx.h"
#include<stdio.h>
#include<Windows.h>
#include<TlHelp32.h>
#include <iostream>

using namespace std;

// 进程名查PID
DWORD getProcessHandle(LPCTSTR lpProcessName)
{
    HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	PROCESSENTRY32 process = {sizeof(PROCESSENTRY32)};
	
	while (Process32Next(hProcessSnap,&process))
	{
		if(strcmp(process.szExeFile, lpProcessName) == 0){return process.th32ProcessID;}
	}

	cout << "没有找到进程" << endl;
	return 0;
}

int main(int argc,char *argv[])
{
	
	// 初始化
    DWORD dwpid = getProcessHandle("Injector.exe");
    LPCSTR lpDllName = "E:\\MyFiles\\Programing\\vs2012\\MyPrograms\\Test_Dll\\Debug\\Test_Dll.dll";

    // 取 Injector.exe 句柄
    HANDLE hProcess = OpenProcess(
		PROCESS_ALL_ACCESS,		// 所有权限
		FALSE,					// 进程不继承句柄
		dwpid					// PID
		);
	if(!hProcess){cout << "OpenProcess 失败： " << GetLastError() << endl;}

	// 为 dll 分配内存，并记录基地址
    DWORD dwSize = strlen(lpDllName)+1;	
    LPVOID lpRemoteBuf = VirtualAllocEx(
		hProcess,			// 进程句柄
		NULL,				// 分配的起始地址
		dwSize,				// 分配的区域大小
		MEM_COMMIT,			// 类型，MEM_COMMIT：分配内存
		PAGE_READWRITE		// 内存保护属性，PAGE_READWRITE：可读可写
		);

	// 写入内存
	if(!WriteProcessMemory(
		hProcess,			// 进程句柄
		lpRemoteBuf,		// dll 基地址指针
		lpDllName,			// 写入内容的缓冲区指针
		dwSize,				// 缓冲区字节大小
		NULL				// 接收实际写入的字节数
		))
	{cout << "WriteProcessMemory 失败：" << GetLastError() << endl;}
    
	// 创建远程线程
    HANDLE hNewRemoteThread = CreateRemoteThread(
		hProcess,								// 进程句柄
		NULL,									// 默认安全描述符，不继承句柄
		NULL,									// 默认的堆栈初始大小
		(LPTHREAD_START_ROUTINE)LoadLibraryA,	// 远程线程起始地址
		lpRemoteBuf,							// 线程函数基地址指针
		NULL,									// 线程在创建之后立即运行
		NULL									// 不返回线程标识符
		);
    if(!hNewRemoteThread){cout << "CreateRemoteThread 失败：" << GetLastError() << endl;}

    // 等待线程句柄返回
    WaitForSingleObject(
		hNewRemoteThread,	// 线程句柄
		INFINITE			// 超时时间，INFINITE：不返回则一直等待				
		);

	// 关闭线程句柄
    CloseHandle(hNewRemoteThread);


    getchar();
    return 0; 
}

此处为 32 位程序，所以注入 64 位进程会失败！

64 位注入，参考

int main()
 {
     BOOL bFlag = FALSE;
 
     char *szDllName = "MSGDLL.dll";
     //bFlag = EnablePrivilege(SE_DEBUG_NAME);    //返回值为1时代表成功
 
     //得到目标进程句柄
     HANDLE hDestProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, );
 
     LPTHREAD_START_ROUTINE dwAddr = (LPTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle("Kernel32"), "LoadLibraryA");
 
     //在目标进程的地址空间内分配一个内存块
     LPVOID pRemoteSpace = VirtualAllocEx(hDestProcess, NULL, strlen(szDllName) + , MEM_COMMIT,
         PAGE_READWRITE);
 
     //向上一步的内存块中写入数据，就是要加载的DLL名字
     bFlag = WriteProcessMemory(hDestProcess, pRemoteSpace, szDllName, strlen(szDllName) + , );
 
     //在目标进程内创建线程,线程的入口函数就是LoadLibraryA, 参数就是Dll名字
     HANDLE hThread = CreateRemoteThread(hDestProcess, NULL, , dwAddr, pRemoteSpace,
         NULL,
     );      //前面都是成功的，就到了这一步，返回的错误是5，Access denied,权限不够
             //本来以为我的VS是以管理员权限启动的，那么我这个进程应该权限就都够了，
             //看来不行，必须程序提权
             //我提权了之后，发现还是不行，之后上网查了
             //发现是32位注入到64位中会有问题，所以我换了个x64,然后显然线程运行成功了，
             //但是现在远程进程却崩溃了，估计是DLL是32的，我换个DLL编译方式再试试
             //我编译了64位的DLL，然后还是崩溃的，之后我发现了应该是我函数地址传的有问题
             //因为32位的LoadLibraryA地址是DWORD，但64位却是ULONGLONG，所以仅仅改变编译方式还不够
             //必须用一个足够容纳8个字节地址的类型来保存，这样就够了
 
             //另外一个需要注意的问题就是，为什么我在我这个进程中得到的LoadLibrary在远程进程中也可以用
             //答案就是,系统DLL在各个进程中的映射地址都是一样的，不过具体情况具体分析，至少这个函数看来是一样的。
 
             //在我完成了之后，我把EnablePrivileges这行注释掉了，但仍然注入成功，看来我用管理员权限运行VS2015之后就够了
 
             //然后我又发现了一个问题，就是对同一个进程，加载dll只能一次，第二次就不会弹了
             //原因，我目测是，DLL已经被加载了，所以第二次就不加载了，也就不执行DllMain那个函数了
             //除非我创建一个线程再UnLoad那个LIB，之后再LOAD，这样应该就可以了
             //也可以换个Dll名字，再LOAD， 反正方法很多。
 
     DWORD dwErr = GetLastError();
 
     return ;
 }

注入器

 //DLL的代码，用DLL方式生成一下，拉到前面EXE目录，或者系统目录都行，跟前面代码中DLL名字有没有加绝对路径有关
//这代码是书上的代码，直接复制了
/* ************************************
*《精通Windows API》
* 示例代码
* msg.c
* 6.5  动态链接库
**************************************/
/* 头文件　*/
#include <Windows.h>
#include <Psapi.h>
/* 链接　*/
#pragma comment (lib, "Psapi.lib")
/* 函数声明　*/
 
// 使用__declspec(dllexport)声明导出函数
__declspec(dllexport) DWORD ExportExample(LPSTR szMsg, DWORD dwCode);
 
/*************************************
* DllMain
**************************************/
BOOL WINAPI DllMain(
    HINSTANCE hinstDLL,  // DLL模块的句柄
    DWORD fdwReason,     // 调用的情况
    LPVOID lpReserved)  // reserved
{
    // 在不同的情况下都会调用DllMain函数，分别处理
    switch (fdwReason)
    {
        // 加载Dll
        case DLL_PROCESS_ATTACH:
            {
                CHAR lpMainMoudleName[MAX_PATH];
                CHAR lpMessage[MAX_PATH + ];
                // 获取PID 和主模块名，将弹出消息框
                DWORD dwPID = GetCurrentProcessId();
                GetModuleBaseName(GetCurrentProcess(), NULL, lpMainMoudleName, MAX_PATH);
                wsprintf(lpMessage, "Process name: %s, PID: %u ", lpMainMoudleName, dwPID);
                MessageBox(NULL, lpMessage, "msg.dll", MB_OK);
                break;
            }
            // 新建线程
        case DLL_THREAD_ATTACH:
            break;
            // 线程退出
        case DLL_THREAD_DETACH:
            break;
            // 释放Dll
        case DLL_PROCESS_DETACH:
 
            break;
    }
    return TRUE;
}
 
/*************************************
* DWORD ExportExample(LPSTR szMsg, DWORD dwCode)
* 功能    导出函数，显示消息
*
* 参数    LPSTR szMsg    字符串； DWORD dwCode 整形
**************************************/
DWORD ExportExample(LPSTR szMsg, DWORD dwCode)
{
    LPVOID lpShowOut = HeapAlloc(GetProcessHeap(), , lstrlen(szMsg) + );
    wsprintf((LPSTR)lpShowOut, "%s,%d", szMsg, dwCode);
    MessageBox(NULL, (LPSTR)lpShowOut, "由导出函数弹出的消息！", MB_OK);
    HeapFree(GetProcessHeap(), , lpShowOut);
    return ;
}

需要注意的点都在那一大串注释中

64位进程,就得用64位的EXE来CreateRemoteThread, 另外DLL也应该是64位

32位进程,就得用32位的EXE来CreateRemoteThread, 另外DLL也应该是32位

把CreateRemoteThread的入口点函数设为LoadLibraryA(W),线程的那个参数设为DLL路径指针(在目标进程中,所以得把DLL路径拷到目标进程中, 用VirtualAllocEx在目标进程中分配块空间,然后WriteProcessMemory).

这样可行的原因:

线程的函数原型DWORD ThreadProc(LPVOID lpParam)

LoadLibrary的函数原型HMODULE LoadLibrary(LPCTSTR lpFileName);

其实是一样的,指针都是同样大小,都只有一个参数,返回值无所谓..

另外在目标进程和本进程中LoadLibraryA(W)的虚拟地址是一样的..