机窝安全--萌新逆向学习笔记——远程线程注入DLL

link管理

链接快照平台

输入网页链接，自动生成快照
标签化管理网页链接

相关文章推荐

路过的小熊猫 · C/C++ 内存反射式DLL注入 ...· 6 天前 ·

粗眉毛的电池 · 注入后调用dll中函数_· 6 天前 ·

谦和的手术刀 · 3.2 DLL注入：远程APC异步注入 | ...· 6 天前 ·

不爱学习的柠檬 · GitHub - ...· 6 天前 ·

坏坏的饭盒 · 【Reverse】浅谈Windows ...· 6 天前 ·

才高八斗的地瓜 · 谷歌(Google)打造的廣告網頁設計製作軟 ...· 1 月前 ·

自信的胡萝卜 · JavaScript 许可证网络标记 - ...· 1 月前 ·

沉着的抽屉 · switch《火焰之文章 ...· 2 月前 ·

飘逸的哑铃 · 星际迷航系列的观看顺序-百度经验· 3 月前 ·

活泼的小熊猫 · Microsoft Entra ...· 3 月前 ·

当DLL被使用LoadLibraryA/W加载后，在DLL文件中的DllMain函数会被自动调用。
以下为创建的DLL文件：
BOOL APIENTRY DllMain( HMODULE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved )
switch (ul_reason_for_call)
case DLL_PROCESS_ATTACH:
MessageBox(NULL, L"内容", L"标题", MB_OK);
break;
case DLL_THREAD_ATTACH:
case DLL_THREAD_DETACH:
case DLL_PROCESS_DETACH:
break;
return TRUE;
DllMain函数在我们创建DLL文件时会自动创建，没有编程基础的读者也不用过于害怕，我们只要记住，在EXE调用LoadLibraryA/W函数后，DLL文件就会执行DllMain函数中的代码。
所以，如果我们想在"别人的EXE"中实现自己的代码功能，只要想办法，让别人的EXE调用LoadLibraryA/W 函数加载我们自己写的DLL文件即可。 这要怎么做呢？而这正是本文记载的主要内容。
远程线程使别人加载自己的DLL
要使"别人的EXE"加载我们的DLL其实很简单，这是因为微软设计的时候提供了一个函数用来在"别人的EXE"里执行一个指定函数——CreateRemoteThread。
HANDLE CreateRemoteThread(
HANDLE                 hProcess, //进程句柄
LPSECURITY_ATTRIBUTES lpThreadAttributes,
SIZE_T                 dwStackSize,
LPTHREAD_START_ROUTINE lpStartAddress, //函数地址
LPVOID                 lpParameter, //传递给函数的参数
DWORD                  dwCreationFlags,
LPDWORD                lpThreadId
1. HANDLE hProcess 为一个进程的句柄，我们只需要通过另一个函数OpenProcess获取即可。
2. LPTHREAD_START_ROUTINE lpStartAddress 为我们需要"别人EXE"执行的函数的地址，同时这个函数的返回值，参数必须符合给定的模板规格。这个稍后再讲是核心。
3. 传递给函数的参数，该参数值须存在于"别人EXE"的虚拟内存当中，我们可以通过VirtualAllocEx函数向EXE中申请内存空间并调用 WriteProcessMemory函数写入参数，最后再传递过去。 传递被调用的函数 先前说过，我们传递给CreateRemoteThread的函数必须符合一定格式，这个格式可以在微软文档 )中查得到。
DWORD WINAPI ThreadProc(
_In_ LPVOID lpParameter
请记住上面的这个只是模板规格，它要求我们传递的函数必须符合这样的格式。大家应该还记得我们的目标吧——调用CreateRemoteThread来迫使"别人的EXE"调用LoadLibraryA/W函数来加载我们的DLL。因此，如果我们能把LoadLibraryA/W 函数传过去该多好。
可要传递过去就必须符合上面的格式呀，LoadLibraryA/W函数的格式符合吗？我们来再次看看： HMODULE LoadLibraryA/W(
LPCWSTR lpLibFileName   //DLL文件的全路径
啊这，这简直就很像嘛，模板中返回值DWORD是表示一个unsigned long值，而参数中的LPVOID则可以指向任何类型。
所以除了返回值似乎有所不同以外，其他除了名字不同，简直就很像。因此我们可以通过把LoadLibraryA/W强行转换为模板的类型（微软定义了一个类型LPTHREAD_START_ROUTINE 来代指模板）传递过去即可。
可就算我们知道我们要传递的LoadLibraryA/W函数符合了模板格式，那要怎样才知道这个函数在"别人的EXE"中的地址呢？因为我们传递的LoadLibraryA/W函数地址必须是在"别人的EXE"中的地址，因此我们不能平白无故的把自己的地址传过去。
这里有一个常识，那就是每个EXE的虚拟地址是不一样，换句话来说我在自己程序里写了一个和别人EXE里相同的代码，加载出来的内存虚拟地址完全不同。
但凡事都有例外，系统核心的函数地址在每个EXE中都是一样的，而LoadLibraryA/W正是系统核心的函数之一。其位于系统核心文件kernel32.dll之中。
所以我们只要：通过GetProcAddress函数获取系统核心函数LoadLibraryA/W的地址->转换成模板格式->传递到CreateRemoteThread中便可大功告成。
只贴出部分核心源码，需要注意的是编码的程序涉及到两个文件，一个是药引子EXE，也就是我们调用CreateRemoteThread的地方，另一个是自己编写的DLL文件，也就是迫使"别人EXE"加载并执行的文件。
EXE中代码：
//参数1：获取别人的EXE的句柄。进程ID可用procexp查看并手动输入
mProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, 进程ID);
// 参数2：获取地址，并转换为规定格式
HMODULE hMod = GetModuleHandle(L"kernel32.dll");
LPTHREAD_START_ROUTINE fun = (LPTHREAD_START_ROUTINE)GetProcAddress(hMod, "LoadLibraryW");
// 参数3：传递给函数的参数，需申请并写入内存
// 调用VirtualAllocEx申请内存空间
CString path = "F:\\Projec\\MyDLL.dll";
SIZE_T pathSize = (path.GetLength()+1) * sizeof(TCHAR);
LPVOID mBuffer = VirtualAllocEx(mProcess, NULL, pathSize, MEM_COMMIT, PAGE_READWRITE);
// 调用WriteProcessMemory写入内存
WriteProcessMemory(mProcess, mBuffer, path, pathSize, NULL)
//调用CreateRemoteThread使别人的EXE加载我们的DLL
mRemoteThread = CreateRemoteThread(mProcess, NULL, 0, fun, mBuffer, 0, NULL);
DLL中代码：
BOOL APIENTRY DllMain( HMODULE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved )
switch (ul_reason_for_call)
case DLL_PROCESS_ATTACH:
MessageBox(NULL, L"内容", L"标题", MB_OK);
break;
case DLL_THREAD_ATTACH:
case DLL_THREAD_DETACH:
case DLL_PROCESS_DETACH:
break;
return TRUE;
一些结果：