3.1 DLL注入:常规远程线程注入
动态链接库注入技术是一种特殊的技术,它允许在运行的进程中注入DLL动态链接库,从而改变目标进程的行为。DLL注入的实现方式有许多,典型的实现方式为远程线程注入,该注入方式的注入原理是利用了Windows
系统中提供的CreateRemoteThread()
这个API函数,该函数第四个参数是准备运行的线程,我们将LoadLibrary()
函数填入其中,这样就可以执行远程进程中的LoadLibrary()
函数,进而将我们自己准备的DLL加载到远程进程空间中执行,DLL在被装载后则会自动执行初始化部分。
远程线程注入的实现可以总结为如下流程;
- 1.OpenProcess 打开进程获取进程句柄
- 2.VirtualAllocEx 在目标进程申请一块内存
- 3.WriteProcessMemory 将注入DLL路径写出到内存中
- 4.GetProcAddress 获得LoadLibraryA函数的内存地址
- 5.CreateRemoteThread 创建远线程,实现DLL注入
远程注入的核心实现原理是利用了CreateRemoteThread
函数,CreateRemoteThread是Windows系统的一个函数,能够在指定的进程上下文中创建一个线程。该函数可以使一个进程在另一个进程中执行任意代码,并返回新线程的句柄。在DLL注入中,我们可以使用该函数在目标进程的上下文中创建一个新线程,从而使我们的DLL代码被加载和运行。该函数的声明如下所示;
HANDLE WINAPI CreateRemoteThread( |
参数说明:
- hProcess: 目标进程的句柄。
- lpThreadAttributes: 线程安全描述符,通常为NULL。
- dwStackSize: 新线程的初始化栈大小,通常为0。
- lpStartAddress: 线程入口点,指向要在新线程中执行的代码。
- lpParameter: 传递给线程入口点的参数。
- dwCreationFlags: 线程创建标志,通常为0。
- lpThreadId: 如果非NULL,返回新线程的ID号。
在DLL注入中,我们可以使用它来在指定的进程上下文中执行我们的DLL代码,使其被加载和运行。这段代码的实现很容易理解,我们以注入32为DLL为例,代码如下所示;
|