|
遠程注入的源碼:
http://files.cnblogs.com/shadow-lei/Injector1.1.zip
//DLL注入到進程中����,是當前游戲外掛常使用的一種作弊方式��,因此在這里先和大家交流一下DLL的注入方法���,在以后的文章中還會和大家討論一下如何攔截:
DLL的注入方法總結:
1.使用遠程線程
2.hook的方式
一�����、 遠程線程注入
1. 想要把自己的DLL注入到目標進程中�����,需要獲取目標進程的句柄���,因此,我們就需要提高我們自己注入工具的權限�,否則獲取不到目標進程的句柄,下面是提高權限的方法:
1 bool enableDebugPriv()
2 {
3 HANDLE hToken;
4 LUID sedebugnameValue;
5 TOKEN_PRIVILEGES tkp;
6
7 if (!OpenProcessToken(GetCurrentProcess(),
8 TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))
9 {
10 return false;
11 }
12 if (!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &sedebugnameValue))
13 {
14 CloseHandle(hToken);
15 return false;
16 }
17 tkp.PrivilegeCount = 1;
18 tkp.Privileges[0].Luid = sedebugnameValue;
19 tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
20 if (!AdjustTokenPrivileges(hToken, FALSE, &tkp, sizeof(tkp), NULL, NULL))
21 {
22 CloseHandle(hToken);
23 return false;
24 }
25 return true;
26 }
2. 獲取目標進程句柄
OpenProcess(權限類型��,是否可被持續(xù)�����,過程ID):功能:返回目標過程句柄
OpenProcess(PROCESS_ALL_ACCESS, FALSE, ProcessID);
3. 在目標進程中分配內存,來存儲我們要注入的DLL路徑:
VirtualAllocEx(hProcess, NULL, strlen(Path), PAGE_READWRITE);
//VirtualAllocEx()函數(shù)功能:為制訂的過程分派虛擬地址
//參1:要分派的過程句柄
//參2:要分派的虛擬地址的地位�,0默示,主動分派地位
//參3:分派的大小
//參4:MEM_COMMIT默示����,分派物理內存或者頁面內存���,并且初始化內存為0
//參5:存儲選項:PAGE_READWRITE默示可以在頁面內存中 “讀寫”
//返回值:若是分派內存成功�����,則返回分派內存的地址����,若是分派失敗則返回NULL�����,調用GetLastError()查看錯誤原因
4. 在目標進程中上面分配的內存中�����,寫入DLL的路徑:
4.1 WriteProcessMemory(hProcess, pszLibFileRemote, (PVOID)pszLibFile, strlen(Path), NULL)
//WriteProcessMemory()函數(shù)功能:在制訂過程中寫入內存
//參1:寫入過程的句柄
//參2:寫入內存的,必須是已經(jīng)創(chuàng)建的地址��,比如上方用VirtualAllocEx()在過程中創(chuàng)建的內存地址
//參3:寫入內存中的數(shù)據(jù)內容的緩存
//參4:寫入數(shù)據(jù)大小
//參5:一個選項���,0默示忽視
//返回值: 非0值默示成功��, 返回0則默示寫入錯誤����。調用GetLastError()查看錯誤原因
有時會讀寫失敗�����,有可能是因為內存塊的保護權限��,因此需要修改內存塊的保護權限����,在寫入成功之后,要還原剛才修改的權限
VirtualProtectEx(hProcess, pszLibFileRemote, strlen(Path), PAGE_EXECUTE_READWRITE, &dwOld);
WriteProcessMemory(hProcess, pszLibFileRemote, Path, strlen(Path), NULL);
VirtualProtectEx(hProcess, pszLibFileRemote, strlen(Path), dwOld, &dwOld);
VirtualFreeEx(hProcess, pszLibFileRemote, strlen(Path), MEM_RELEASE);
5. 獲取LoadLibrary()函數(shù)地址��,因為要用他來動態(tài)加載DLL�,該函數(shù)在kernel32.dll文件中
PROC AdrMyDllDir=(PROC)GetProcAddress(GetModuleHandle("kernel32.dll"), "LoadLibraryW");
//W代表UNICODE版本,說實話�����,A代表多字節(jié)字符集
6. 創(chuàng)建遠程線程
CreateRemoteThread(hProcess,NULL, NULL, (LPTHREAD_START_ROUTINE)AdrMyDllDir(LPVOID)LoadString, NULL, NULL);
這里的AdrMyDllDir存放LoadLibraryW ,也就是說把LoadLibraryW當做線程處理懲罰函數(shù)�,傳入的參數(shù)bufRemote存放的是目標DLL文件的地址。
二�、下面講解一下如何用hook既鉤子注入DLL文件。
所謂hook����,既鉤子����。hook會在應用程序接到消息之前,阻礙應用程序的信息����,比如鼠標鍵盤鉤子會阻礙一個應用程序的鼠標鍵盤信息。要做盜號木馬���?用WH_KEYBOARD類型的hook
1.我們要跨過程應用鉤子�,要把hook函數(shù)寫在DLL文件中���。
2.在DLL文件中 設置鉤子.
這里須要調用線程ID�����,threadId����,我們會在面調用DLL的調用端中寫入
hhookGetMsg=::SetWindowsHookEx(WH_GETMESSAGE,GetMessageHookProc����,::GetModuleHandle(TEXT("dll.dll")),threadId);
//參數(shù)1:鉤子類型
//參數(shù)2:鉤子處理函數(shù)
//參數(shù)3:鉤子地點的模塊
//參數(shù)4:鉤子要阻礙的線程ID�,若是要設置全局鉤子,這里給0����。
把這個SetWindowsHookEx()函數(shù)寫在一個導出函數(shù)中:
_declspec(dllexport) void SetHook(DWORD threadId)
{
hhookGetMsg=::SetWindowsHookEx(WH_GETMESSAGE,GetMessageHookProc���,::GetModuleHandle(TEXT("dll.dll"))�,threadId);
}
SetHook()就是本dll的導出函數(shù)
3.在鉤子處理函數(shù)中寫入功能�,當鉤子截取到WM_NULL消息的,注入DLL文件����。因為WM_NULL消息���,是個沒用的消息,應用程序一般不會收到這個消息�,除非我們本身發(fā)送一個這個消息,所以我們在注入DLL的時����,只要給要注入的應用程序發(fā)一個WM_NULL消息,當鉤子截取到WM_NULL的時就注入鉤子���,就可以了�����。
LRESULT CALLBACK GetMessageHookProc(int nCode,WPARAM wParam���,LPARAM lParam)
{
MSG* pMsg=(MSG*)lParam;
if(WM_NULL==pMsg->message)
::LoadLibraryW(TEXT("D://MyDLL.dll"))���;
}
編譯DLL項目,產(chǎn)生DLL文件�����。
4.編寫調用端,調用鉤子
首先獲取窗口句柄
HWND FindWindow( LPCTSTR lpClassName�����,LPCTSTR lpWindowName);
返回窗體句柄��。hWnd.
hWnd=FindWindow(0�,要注入dll的窗體的名稱(例如:記事本))
通過hWnd,查找窗體線程ID
threadId=GetWindowThreadProcessId(hWnd��,0)�����;
有了線程ID了���,可以調用鉤子了��。
SetHook(threadId);
這時鉤子已經(jīng)加載到目標線程中了�����。
向目標窗體發(fā)送WM_NULL消息
SendMessage(hWnd�,WM_NULL����,0����,0);
鉤子會在目標窗體受到消息前受到WM_NULL消息�。因為鉤子處理函數(shù)中做了判斷,當受到WM_NULL消息時�,加載DLL文件。所以DLL文件就注入到目標線程中了�����。
|
