C++实现DLL注入

2024年1月29日发(作者：)

VC++实现DLL注入

所谓DLL注入就是将一个DLL放进某个进程的地址空间里，让它成为那个进程的一部分。要实现DLL注入，首先需要打开目标进程。

hRemoteProcess = OpenProcess( PROCESS_CREATE_THREAD | //允许远程创建线程

PROCESS_VM_OPERATION | //允许远程VM操作

PROCESS_VM_WRITE, //允许远程VM写

FALSE, dwRemoteProcessId )

由于我们后面需要写入远程进程的内存地址空间并建立远程线程，所以需要申请足够的权限（PROCESS_CREATE_THREAD、VM_OPERATION、VM_WRITE）。

如果进程打不开，以后的操作就别想了。进程打开后，就可以建立远线程了，不过别急，先想想这个远线程的线程函数是什么？我们的目的是注入一个DLL。而且我们知道用LoadLibrary可以加载一个DLL到本进程的地址空间。于是，自然会想到如果可以在目标进程中调用LoadLibrary，不就可以把DLL加载到目标进程的地址空间了吗？对！就是这样。远线程就在这儿用了一次，建立的远线程的线程函数就是LoadLibrary，而参数就是要注入的DLL的文件名。(这里需要自己想一想，注意到了吗，线程函数ThreadProc和LoadLibrary函数非常相似，返回值，参数个数都一样) 还有一个问题，LoadLibrary这个函数的地址在哪儿？也许你会说，这个简单，GetProcAddress就可以得出。于是代码就出来了。

char *pszLibFileRemote="";

PTHREAD_START_ROUTINE pfnStartAddr =

(PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle("Kernel32"), "LoadLibraryA");

CreateRemoteThread( hRemoteProcess, NULL, 0, pfnStartAddr, pszLibFileRemote, 0, NULL);

但是不对！不要忘了，这是远线程，不是在你的进程里，而pszLibFileRemote指向的是

你的进程里的数据，到了目标进程，这个指针都不知道指向哪儿去了，同样pfnStartAddr这个地址上的代码到了目标进程里也不知道是什么了，不知道是不是你想要的LoadLibraryA了。但是，问题总是可以解决的，Windows有些很强大的API函数，他们可以在目标进程里分配内存，可以将你的进程中的数据拷贝到目标进程中。因此pszLibFileRemote的问题可以解决了。

char *pszLibFileName="";//注意，这个一定要是全路径文件名，除非它在系统目录里；原因大家自己想想。

//计算DLL路径名需要的内存空间

int cb = (1 + lstrlenA(pszLibFileName)) * sizeof(char);

//使用VirtualAllocEx函数在远程进程的内存地址空间分配DLL文件名缓冲区 【c++培训】

pszLibFileRemote = (char *) VirtualAllocEx( hRemoteProcess, NULL, cb, MEM_COMMIT,

PAGE_READWRITE);

//使用WriteProcessMemory函数将DLL的路径名复制到远程进程的内存空间

iReturnCode = WriteProcessMemory(hRemoteProcess, pszLibFileRemote, (PVOID)

pszLibFileName, cb, NULL);

OK，现在目标进程也认识pszLibFileRemote了，但是pfnStartAddr好像不好办，我怎么可能知道LoadLibraryA在目标进程中的地址呢？其实Windows为我们解决了这个问题，LoadLibraryA这个函数是在这个核心DLL里的，而这个DLL很特殊，不管对于哪个进程，Windows总是把它加载到相同的地址上去。因此你的进程中LoadLibraryA的地址和目标进程中LoadLibraryA的地址是相同的(其实，这个DLL里的所有函数都是如此)。至此，DLL注入结束了。

[cpp] view plaincopyprint?

/*

远程注入，不停Beep,注入完就退出。

*/

#include

#include

#include

#include

#include

#pragma comment(lib,"")

#pragma comment(linker, "/BASE:0x14000000")

//#define NoWindow

#ifdef NoWindow

#pragma comment(linker,"/subsystem:windows /FILEALIGN:0x200 /ENTRY:main")

#pragma comment(linker,"/INCREMENTAL:NO /IGNORE:4078")

#pragma comment(linker,"/MERGE:.idata=.text /MERGE:.data=.text /MERGE:.rdata=.text

/MERGE:.text=Anskya /SECTION:Anskya,EWR")

#endif

typedef int (__stdcall *fnMessageBoxA)(HWND, LPCSTR, LPCSTR, UINT);

typedef int (__stdcall *fnBeep)(int,int);

#define ProcessName

""//""//""//""//""//""//

//■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

//根据进程名，获得进程ID

DWORD GetProcessID(char *FileName)

{

HANDLE hProcess;

PROCESSENTRY32 pe;

BOOL bRet;

//进行进程快照

hProcess=::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);

//开始进程查找

bRet=::Process32First(hProcess,&pe);

//循环比较，得出ProcessID

while(bRet)

{

if(strcmp(FileName,ile)==0)

return 32ProcessID;

else

bRet=::Process32Next(hProcess,&pe);

}

//返回得到的ProcessID

// printf("Process not found!n");

return 9999;

}

//■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

//远程注入函数

void __stdcall RmoteThread()

{

HMODULE hMod,hMod2;

fnMessageBoxA myMessageBoxA;

fnBeep myBeep;

char* path[MAX_PATH];

hMod = GetModuleHandle("");

hMod2 = GetModuleHandle("");

myMessageBoxA = (fnMessageBoxA)GetProcAddress(hMod, (LPCSTR)"MessageBoxA");

myBeep = (fnBeep)GetProcAddress(hMod2, (LPCSTR)"Beep");

/*for(int i=0;i<30;i++)

{

myBeep(800,400);

}

*/

// while(1)

for(int i=0;i<6;i++)

{

Beep(600,100);

Sleep(200);

}

GetModuleFileName(NULL,(char*)path,MAX_PATH);

// myMessageBoxA(NULL, (char*)path, NULL, 64);

}

//■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

// 提升应用级调试权限【c++培训】

BOOL EnablePrivilege(HANDLE hToken,LPCTSTR szPrivName,BOOL fEnable)

{

TOKEN_PRIVILEGES tp;

egeCount = 1;

LookupPrivilegeValue(NULL,szPrivName,&eges[0].Luid);

eges[0].Attributes = fEnable ? SE_PRIVILEGE_ENABLED:0;

AdjustTokenPrivileges(hToken,FALSE,&tp,sizeof(tp),NULL,NULL);

return((GetLastError() == ERROR_SUCCESS));

}

//■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

///说明: 插入代码,远程线程为RmoteThread()

///参数: Pid = 进程PID

///返回: 成功True,否则False

bool InjectExe(DWORD Pid)

{

bool status = false;

LPVOID pBaseAddr = NULL;

HMODULE hMod = GetModuleHandle(NULL);

LONG hNHOffset = PIMAGE_DOS_HEADER(hMod)->e_lfanew;

HANDLE hThread,

hProcess,

hToken;

DWORD cbImage;

//cbImage=内存中整个PE映像体的尺寸

cbImage= PIMAGE_NT_HEADERS((DWORD)hMod

(DWORD)hNHOffset)->Image;

//重要，否则不能注入lsass

OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES,&hToken);

EnablePrivilege(hToken,SE_DEBUG_NAME,TRUE);

hProcess = OpenProcess(PROCESS_ALL_ACCESS, TRUE, Pid);

if (hProcess == NULL)

{

#ifdef debug

MessageBoxA(NULL, "错误OpenProcess", NULL, 64);

#endif

goto Err;

}

//释放远程内存

VirtualFreeEx(hProcess, LPVOID(hMod), 0, MEM_RELEASE);

//分配远程内存

pBaseAddr = VirtualAllocEx(hProcess, LPVOID(hMod), cbImage, MEM_COMMIT

MEM_RESERVE,

PAGE_EXECUTE_READWRITE);

if (pBaseAddr == NULL)

{

+

|

#ifdef debug

MessageBoxA(NULL, "VirtualAllocEx failed", NULL, 64);

#endif

goto Err;

}

//写进去,将本进程的整个PE体 全写进目标进程，够狠～

if (!WriteProcessMemory(hProcess, pBaseAddr, LPVOID(hMod), cbImage, NULL))

{

#ifdef debug

MessageBoxA(NULL, "WriteProcessMemory failed", NULL, 64);

#endif

goto Err;

}

hThread = CreateRemoteThread(hProcess, NULL, NULL,

(LPTHREAD_START_ROUTINE)&RmoteThread, NULL, NULL, NULL);

if (hThread == NULL)

{

#ifdef debug

MessageBoxA(NULL, "CreateRemoteThread failed", NULL, 64);

#endif

goto Err;

}

// WaitForSingleObject(hThread, INFINITE);

CloseHandle(hThread);

CloseHandle(hProcess);

status = TRUE;

return status; //自己返回就行，不要VirtualFreeEx;，否则宿主就挂了!

Err:

if (pBaseAddr != NULL)

VirtualFreeEx(hProcess, pBaseAddr, 0, MEM_RELEASE);

if (hProcess != NULL)

CloseHandle(hProcess);

return status;

}

//■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

int main()

{

char aa[]="aBcDdddFFFF asfd";

strupr((char*)aa);

printf(aa);

if (!InjectExe(GetProcessID(ProcessName)))

Beep(1800,500);

return 0;

}