15,471
社区成员
发帖
与我相关
我的任务
分享dll注入浏览器标签进程
呵呵,本人对dll注入了解到很少,不知道标题这样合适不
我做的一个项目需要监测机器上浏览器的网络通讯数据
x86系统下用CreateRemoteThread的方法把代码注入到目标进程,在新线程里把recv,send替换成自己的函数就行,但在x64下CreateRemoteThread似乎已经不能用了
(主要是x64平台下的x86浏览器,x64浏览器暂时可以不考虑)
我想用dll注入的方法,通过setWindowHookEx注入自己的dll,在自己的dll中hook recv,send
我对dll注入的方法不熟悉,最近在网上找了些例子自己看着
用setWindowHookEx的方法我已经能注入到ie8的UI线程中去
但这个UI线程和标签页不是一个进程(一个标签一个进程,UI属于独立的另一个进程)
要注入每个标签的所在的进程有没有什么好的方法呢?
或者有没有其他的方法实现我的想法呢?
(因为我的目标不仅仅是ie8,所以不能用BHO)
我的级别低只能给100分,如果谁能提供好的方法我再开帖给分,谢谢!
我做的一个项目需要监测机器上浏览器的网络通讯数据
x86系统下用CreateRemoteThread的方法把代码注入到目标进程,在新线程里把recv,send替换成自己的函数就行,但在x64下CreateRemoteThread似乎已经不能用了
(主要是x64平台下的x86浏览器,x64浏览器暂时可以不考虑)
我想用dll注入的方法,通过setWindowHookEx注入自己的dll,在自己的dll中hook recv,send
我对dll注入的方法不熟悉,最近在网上找了些例子自己看着
用setWindowHookEx的方法我已经能注入到ie8的UI线程中去
但这个UI线程和标签页不是一个进程(一个标签一个进程,UI属于独立的另一个进程)
要注入每个标签的所在的进程有没有什么好的方法呢?
或者有没有其他的方法实现我的想法呢?
(因为我的目标不仅仅是ie8,所以不能用BHO)
我的级别低只能给100分,如果谁能提供好的方法我再开帖给分,谢谢!
...全文
请发表友善的回复…
发表回复
cnzdgs 2010-03-19
- 打赏
- 举报
[Quote=引用 3 楼 varding 的回复:]
我是枚举所有的进程,然后判断名字是iexplore.exe之类的浏览器就注入。你的意思是用全局钩子然后在dll main里判断要不要hook api?这个和我的办法有区别吗?
还有我昨天搞错了,一直把进程id传给SetWindowHookEx函数了,后来直接用spy查看ie标签的句柄再得到主线程id就可以SetWindowHookEx了。在知道进程id的情况下有没有什么办法得到他的主线程id呢?(除了EnumWindow)
[/Quote]
我所提的方法是用SetWindowHookEx全局Hook,不是Hook某一个线程。在DLL被注入时再判断是否要Hook API。
枚举进程是一次性动作,SetWindowHookEx是自动注入的。IE8浏览器只要开一个选项卡就会创建一个新进程,所以应该用后者。另外,我这样回复也是因为你在帖子中提到了SetWindowHookEx。
可以用Thread32First、Thread32Next枚举所有线程,但主线程只是编程中的概念,系统中无法区分哪个线程是主线程。全局Hook不需要线程ID。
我是枚举所有的进程,然后判断名字是iexplore.exe之类的浏览器就注入。你的意思是用全局钩子然后在dll main里判断要不要hook api?这个和我的办法有区别吗?
还有我昨天搞错了,一直把进程id传给SetWindowHookEx函数了,后来直接用spy查看ie标签的句柄再得到主线程id就可以SetWindowHookEx了。在知道进程id的情况下有没有什么办法得到他的主线程id呢?(除了EnumWindow)
[/Quote]
我所提的方法是用SetWindowHookEx全局Hook,不是Hook某一个线程。在DLL被注入时再判断是否要Hook API。
枚举进程是一次性动作,SetWindowHookEx是自动注入的。IE8浏览器只要开一个选项卡就会创建一个新进程,所以应该用后者。另外,我这样回复也是因为你在帖子中提到了SetWindowHookEx。
可以用Thread32First、Thread32Next枚举所有线程,但主线程只是编程中的概念,系统中无法区分哪个线程是主线程。全局Hook不需要线程ID。
dibotiger 2010-03-18
- 打赏
- 举报
先回答你第一个问题:
x86系统下用CreateRemoteThread的方法把代码注入到目标进程,在新线程里把recv,send替换成自己的函数就行,但在x64下CreateRemoteThread似乎已经不能用了
32位的DLL是不能被64位的进程加载的。64位的进程只能加载64位的DLL。
但是64位的系统通过SYSWOW64机制,兼容了32位的进程,使得32位的程序可以运行在64位系统下。
如果你想你的DLL能正确注入IE,试试X64位系统上地x:\programe files(x86)\internet iexplorer\
下的那个IE,那个IE才是32位的。
第二个问题,看代码,转的:
#include "stdafx.h"
#include "windows.h"
#include "winnt.h"
PVOID pNtDeviceIoControl = NULL ;
//
#define AFD_RECV 0x12017
#define AFD_SEND 0x1201f
typedef struct AFD_WSABUF{
UINT len ;
PCHAR buf ;
}AFD_WSABUF , *PAFD_WSABUF;
typedef struct AFD_INFO {
PAFD_WSABUF BufferArray ;
ULONG BufferCount ;
ULONG AfdFlags ;
ULONG TdiFlags ;
} AFD_INFO, *PAFD_INFO;
typedef LONG NTSTATUS;
#define NT_SUCCESS(Status) ((NTSTATUS)(Status) >= 0)
const CHAR GetXX[] = "GET ";
const CHAR PostXX[] = "POST ";
const CHAR HttpXX[] = "HTTP";
//////////////////////////////////////////////////////////////////////////
//
// LookupSendPacket
// 检查Send包
// 目前实现了过滤HTTP请求(GET AND POST)
//
//////////////////////////////////////////////////////////////////////////
BOOL LookupSendPacket(PVOID Buffer , ULONG Len)
{
if (Len < 5)
{
return FALSE ;
}
//外层已有异常捕获
if (memcmp(Buffer , GetXX , 4) == 0
||
memcmp(Buffer , PostXX , 5) == 0 )
{
return TRUE ;
}
return FALSE ;
}
//////////////////////////////////////////////////////////////////////////
//
// LookupRecvPacket
//
// 检查Recv包
// 在这里可以实现Recv包查字典功能
// 目前实现了过滤HTTP返回数据包的功能
//
//
///////////////////////////////////////////////////////////////////////////
BOOL LookupRecvPacket(PVOID Buffer , ULONG Len)
{
if (Len < 4)
{
return FALSE ;
}
if (memcmp(Buffer , HttpXX , 4) == 0 )
{
return TRUE ;
}
return FALSE ;
}
//hook函数
//////////////////////////////////////////////////////////////////////////
//
// NtDeviceIoControlFile的HOOK函数
// ws2_32.dll的send , recv最终会调用到mswsock.dll内的数据发送函数
// mswsock.dll会调用NtDeviceIoControlFile向TDI Client驱动发送Send Recv指令
// 我们在这里做拦截,可以过滤所有的TCP 收发包(UDP之类亦可,不过要更改指令)
//
//////////////////////////////////////////////////////////////////////////
NTSTATUS __stdcall NewNtDeviceIoControlFile(
HANDLE FileHandle,
HANDLE Event OPTIONAL,
PVOID ApcRoutine OPTIONAL,
PVOID ApcContext OPTIONAL,
PVOID IoStatusBlock,
ULONG IoControlCode,
PVOID InputBuffer OPTIONAL,
ULONG InputBufferLength,
PVOID OutputBuffer OPTIONAL,
ULONG OutputBufferLength
)
{
//先调用原始函数
LONG stat ;
__asm
{
push OutputBufferLength
push OutputBuffer
push InputBufferLength
push InputBuffer
push IoControlCode
push IoStatusBlock
push ApcContext
push ApcRoutine
push Event
push FileHandle
call pNtDeviceIoControl
mov stat ,eax
}
//如果原始函数失败了(例如RECV无数据)
if (!NT_SUCCESS(stat))
{
return stat ;
}
//检查是否为TCP收发指令
if (IoControlCode != AFD_SEND && IoControlCode != AFD_RECV)
{
return stat ;
}
//访问AFD INFO结构,获得SEND或RECV的BUFFER信息
//这里可能是有问题的BUFFER,因此我们要加TRY EXCEPT
//
__try
{
//从InputBuffer得到Buffer和Len
PAFD_INFO AfdInfo = (PAFD_INFO)InputBuffer ;
PVOID Buffer = AfdInfo->BufferArray->buf ;
ULONG Len = AfdInfo->BufferArray->len;
if (IoControlCode == AFD_SEND)
{
if (LookupSendPacket(Buffer , Len))
{
//输出包内容
//这里输出调试信息,可以用DbgView查看,如果有UI可以做成SendMessage形式~
OutputDebugString("SendPacket!\n");
OutputDebugString((char*)Buffer);
}
}
else
{
if (LookupRecvPacket(Buffer , Len))
{
OutputDebugString("RecvPacket!\n");
OutputDebugString((char*)Buffer);
}
}
}
__except(EXCEPTION_EXECUTE_HANDLER)
{
return stat ;
}
return stat ;
}
//////////////////////////////////////////////////////////////////////////
//
// Hook mswsock.dll导出表的Ntdll!NtDeviceIoControlFile
// 并过滤其对TDI Cilent的请求来过滤封包
// 稳定,隐蔽,RING3下最底层的包过滤~
//
//////////////////////////////////////////////////////////////////////////
void SuperHookDeviceIoControl()
{
//得到ws2_32.dll的模块基址
HMODULE hMod = LoadLibrary("mswsock.dll");
if (hMod == 0 )
{
return ;
}
//得到DOS头
PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)hMod ;
//如果DOS头无效
if (pDosHeader->e_magic != IMAGE_DOS_SIGNATURE)
{
return ;
}
//得到NT头
PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)((ULONG)hMod + pDosHeader->e_lfanew);
//如果NT头无效
if (pNtHeaders->Signature != IMAGE_NT_SIGNATURE)
{
return ;
}
//检查输入表数据目录是否存在
if (pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress == 0 ||
pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].Size == 0 )
{
return ;
}
//得到输入表描述指针
PIMAGE_IMPORT_DESCRIPTOR ImportDescriptor = (PIMAGE_IMPORT_DESCRIPTOR)((ULONG)hMod + pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);
PIMAGE_THUNK_DATA ThunkData ;
//检查每个输入项
while(ImportDescriptor->FirstThunk)
{
//检查输入表项是否为ntdll.dll
char* dllname = (char*)((ULONG)hMod + ImportDescriptor->Name);
//如果不是,则跳到下一个处理
if (stricmp(dllname , "ntdll.dll") !=0)
{
ImportDescriptor ++ ;
continue;
}
ThunkData = (PIMAGE_THUNK_DATA)((ULONG)hMod + ImportDescriptor->OriginalFirstThunk);
int no = 1;
while(ThunkData->u1.Function)
{
//检查函数是否为NtDeviceIoControlFile
char* functionname = (char*)((ULONG)hMod + ThunkData->u1.AddressOfData + 2);
if (stricmp(functionname , "NtDeviceIoControlFile") == 0 )
{
//
//如果是,那么记录原始函数地址
//HOOK我们的函数地址
//
ULONG myaddr = (ULONG)NewNtDeviceIoControlFile;
ULONG btw ;
PDWORD lpAddr = (DWORD *)((ULONG)hMod + (DWORD)ImportDescriptor->FirstThunk) +(no-1);
pNtDeviceIoControl = (PVOID)(*(ULONG*)lpAddr) ;
WriteProcessMemory(GetCurrentProcess() , lpAddr , &myaddr , sizeof(ULONG), &btw );
return ;
}
no++;
ThunkData ++;
}
ImportDescriptor ++;
}
return ;
}
//////////////////////////////////////////////////////////////////////////
//
// CheckProcess 检查是否是需要挂钩的进程
//
//
//////////////////////////////////////////////////////////////////////////
BOOL CheckProcess()
{
//在此加入你的进程过滤
return TRUE ;
}
BOOL APIENTRY DllMain( HANDLE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved
)
{
//当加载DLL时,进行API HOOK
if (ul_reason_for_call == DLL_PROCESS_ATTACH)
{
//检查是否是要过滤的进程
if (CheckProcess() == FALSE)
{
//如果不是,返回FALSE,将自身从进程中卸除
return FALSE ;
}
//HOOK API
SuperHookDeviceIoControl();
}
return TRUE;
}
x86系统下用CreateRemoteThread的方法把代码注入到目标进程,在新线程里把recv,send替换成自己的函数就行,但在x64下CreateRemoteThread似乎已经不能用了
32位的DLL是不能被64位的进程加载的。64位的进程只能加载64位的DLL。
但是64位的系统通过SYSWOW64机制,兼容了32位的进程,使得32位的程序可以运行在64位系统下。
如果你想你的DLL能正确注入IE,试试X64位系统上地x:\programe files(x86)\internet iexplorer\
下的那个IE,那个IE才是32位的。
第二个问题,看代码,转的:
#include "stdafx.h"
#include "windows.h"
#include "winnt.h"
PVOID pNtDeviceIoControl = NULL ;
//
#define AFD_RECV 0x12017
#define AFD_SEND 0x1201f
typedef struct AFD_WSABUF{
UINT len ;
PCHAR buf ;
}AFD_WSABUF , *PAFD_WSABUF;
typedef struct AFD_INFO {
PAFD_WSABUF BufferArray ;
ULONG BufferCount ;
ULONG AfdFlags ;
ULONG TdiFlags ;
} AFD_INFO, *PAFD_INFO;
typedef LONG NTSTATUS;
#define NT_SUCCESS(Status) ((NTSTATUS)(Status) >= 0)
const CHAR GetXX[] = "GET ";
const CHAR PostXX[] = "POST ";
const CHAR HttpXX[] = "HTTP";
//////////////////////////////////////////////////////////////////////////
//
// LookupSendPacket
// 检查Send包
// 目前实现了过滤HTTP请求(GET AND POST)
//
//////////////////////////////////////////////////////////////////////////
BOOL LookupSendPacket(PVOID Buffer , ULONG Len)
{
if (Len < 5)
{
return FALSE ;
}
//外层已有异常捕获
if (memcmp(Buffer , GetXX , 4) == 0
||
memcmp(Buffer , PostXX , 5) == 0 )
{
return TRUE ;
}
return FALSE ;
}
//////////////////////////////////////////////////////////////////////////
//
// LookupRecvPacket
//
// 检查Recv包
// 在这里可以实现Recv包查字典功能
// 目前实现了过滤HTTP返回数据包的功能
//
//
///////////////////////////////////////////////////////////////////////////
BOOL LookupRecvPacket(PVOID Buffer , ULONG Len)
{
if (Len < 4)
{
return FALSE ;
}
if (memcmp(Buffer , HttpXX , 4) == 0 )
{
return TRUE ;
}
return FALSE ;
}
//hook函数
//////////////////////////////////////////////////////////////////////////
//
// NtDeviceIoControlFile的HOOK函数
// ws2_32.dll的send , recv最终会调用到mswsock.dll内的数据发送函数
// mswsock.dll会调用NtDeviceIoControlFile向TDI Client驱动发送Send Recv指令
// 我们在这里做拦截,可以过滤所有的TCP 收发包(UDP之类亦可,不过要更改指令)
//
//////////////////////////////////////////////////////////////////////////
NTSTATUS __stdcall NewNtDeviceIoControlFile(
HANDLE FileHandle,
HANDLE Event OPTIONAL,
PVOID ApcRoutine OPTIONAL,
PVOID ApcContext OPTIONAL,
PVOID IoStatusBlock,
ULONG IoControlCode,
PVOID InputBuffer OPTIONAL,
ULONG InputBufferLength,
PVOID OutputBuffer OPTIONAL,
ULONG OutputBufferLength
)
{
//先调用原始函数
LONG stat ;
__asm
{
push OutputBufferLength
push OutputBuffer
push InputBufferLength
push InputBuffer
push IoControlCode
push IoStatusBlock
push ApcContext
push ApcRoutine
push Event
push FileHandle
call pNtDeviceIoControl
mov stat ,eax
}
//如果原始函数失败了(例如RECV无数据)
if (!NT_SUCCESS(stat))
{
return stat ;
}
//检查是否为TCP收发指令
if (IoControlCode != AFD_SEND && IoControlCode != AFD_RECV)
{
return stat ;
}
//访问AFD INFO结构,获得SEND或RECV的BUFFER信息
//这里可能是有问题的BUFFER,因此我们要加TRY EXCEPT
//
__try
{
//从InputBuffer得到Buffer和Len
PAFD_INFO AfdInfo = (PAFD_INFO)InputBuffer ;
PVOID Buffer = AfdInfo->BufferArray->buf ;
ULONG Len = AfdInfo->BufferArray->len;
if (IoControlCode == AFD_SEND)
{
if (LookupSendPacket(Buffer , Len))
{
//输出包内容
//这里输出调试信息,可以用DbgView查看,如果有UI可以做成SendMessage形式~
OutputDebugString("SendPacket!\n");
OutputDebugString((char*)Buffer);
}
}
else
{
if (LookupRecvPacket(Buffer , Len))
{
OutputDebugString("RecvPacket!\n");
OutputDebugString((char*)Buffer);
}
}
}
__except(EXCEPTION_EXECUTE_HANDLER)
{
return stat ;
}
return stat ;
}
//////////////////////////////////////////////////////////////////////////
//
// Hook mswsock.dll导出表的Ntdll!NtDeviceIoControlFile
// 并过滤其对TDI Cilent的请求来过滤封包
// 稳定,隐蔽,RING3下最底层的包过滤~
//
//////////////////////////////////////////////////////////////////////////
void SuperHookDeviceIoControl()
{
//得到ws2_32.dll的模块基址
HMODULE hMod = LoadLibrary("mswsock.dll");
if (hMod == 0 )
{
return ;
}
//得到DOS头
PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)hMod ;
//如果DOS头无效
if (pDosHeader->e_magic != IMAGE_DOS_SIGNATURE)
{
return ;
}
//得到NT头
PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)((ULONG)hMod + pDosHeader->e_lfanew);
//如果NT头无效
if (pNtHeaders->Signature != IMAGE_NT_SIGNATURE)
{
return ;
}
//检查输入表数据目录是否存在
if (pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress == 0 ||
pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].Size == 0 )
{
return ;
}
//得到输入表描述指针
PIMAGE_IMPORT_DESCRIPTOR ImportDescriptor = (PIMAGE_IMPORT_DESCRIPTOR)((ULONG)hMod + pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);
PIMAGE_THUNK_DATA ThunkData ;
//检查每个输入项
while(ImportDescriptor->FirstThunk)
{
//检查输入表项是否为ntdll.dll
char* dllname = (char*)((ULONG)hMod + ImportDescriptor->Name);
//如果不是,则跳到下一个处理
if (stricmp(dllname , "ntdll.dll") !=0)
{
ImportDescriptor ++ ;
continue;
}
ThunkData = (PIMAGE_THUNK_DATA)((ULONG)hMod + ImportDescriptor->OriginalFirstThunk);
int no = 1;
while(ThunkData->u1.Function)
{
//检查函数是否为NtDeviceIoControlFile
char* functionname = (char*)((ULONG)hMod + ThunkData->u1.AddressOfData + 2);
if (stricmp(functionname , "NtDeviceIoControlFile") == 0 )
{
//
//如果是,那么记录原始函数地址
//HOOK我们的函数地址
//
ULONG myaddr = (ULONG)NewNtDeviceIoControlFile;
ULONG btw ;
PDWORD lpAddr = (DWORD *)((ULONG)hMod + (DWORD)ImportDescriptor->FirstThunk) +(no-1);
pNtDeviceIoControl = (PVOID)(*(ULONG*)lpAddr) ;
WriteProcessMemory(GetCurrentProcess() , lpAddr , &myaddr , sizeof(ULONG), &btw );
return ;
}
no++;
ThunkData ++;
}
ImportDescriptor ++;
}
return ;
}
//////////////////////////////////////////////////////////////////////////
//
// CheckProcess 检查是否是需要挂钩的进程
//
//
//////////////////////////////////////////////////////////////////////////
BOOL CheckProcess()
{
//在此加入你的进程过滤
return TRUE ;
}
BOOL APIENTRY DllMain( HANDLE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved
)
{
//当加载DLL时,进行API HOOK
if (ul_reason_for_call == DLL_PROCESS_ATTACH)
{
//检查是否是要过滤的进程
if (CheckProcess() == FALSE)
{
//如果不是,返回FALSE,将自身从进程中卸除
return FALSE ;
}
//HOOK API
SuperHookDeviceIoControl();
}
return TRUE;
}
varding 2010-03-18
- 打赏
- 举报
[Quote=引用 2 楼 cnzdgs 的回复:]
每个进程都注入。用SetWindowHookEx,在DllMain中用GetModuleFileName获取当前进程exe文件名称,判断出是ie8就Hook recv、send函数。
[/Quote]
我是枚举所有的进程,然后判断名字是iexplore.exe之类的浏览器就注入。你的意思是用全局钩子然后在dll main里判断要不要hook api?这个和我的办法有区别吗?
还有我昨天搞错了,一直把进程id传给SetWindowHookEx函数了,后来直接用spy查看ie标签的句柄再得到主线程id就可以SetWindowHookEx了。在知道进程id的情况下有没有什么办法得到他的主线程id呢?(除了EnumWindow)
每个进程都注入。用SetWindowHookEx,在DllMain中用GetModuleFileName获取当前进程exe文件名称,判断出是ie8就Hook recv、send函数。
[/Quote]
我是枚举所有的进程,然后判断名字是iexplore.exe之类的浏览器就注入。你的意思是用全局钩子然后在dll main里判断要不要hook api?这个和我的办法有区别吗?
还有我昨天搞错了,一直把进程id传给SetWindowHookEx函数了,后来直接用spy查看ie标签的句柄再得到主线程id就可以SetWindowHookEx了。在知道进程id的情况下有没有什么办法得到他的主线程id呢?(除了EnumWindow)
vincent_1011 2010-03-18
- 打赏
- 举报
[Quote=引用 5 楼 miaolingshaohua 的回复:]
要想注入每个进程得一个一个来,这就是应用态的麻烦,我为了HOOK两个函数,最后还是选定用HOOK SSDT了,这样方便的多,而且技术也比较成熟!
[/Quote]
顶,带驱动。不好玩
要想注入每个进程得一个一个来,这就是应用态的麻烦,我为了HOOK两个函数,最后还是选定用HOOK SSDT了,这样方便的多,而且技术也比较成熟!
[/Quote]
顶,带驱动。不好玩
哈利路亚1874 2010-03-18
- 打赏
- 举报
要想注入每个进程得一个一个来,这就是应用态的麻烦,我为了HOOK两个函数,最后还是选定用HOOK SSDT了,这样方便的多,而且技术也比较成熟!
cnzdgs 2010-03-18
- 打赏
- 举报
每个进程都注入。用SetWindowHookEx,在DllMain中用GetModuleFileName获取当前进程exe文件名称,判断出是ie8就Hook recv、send函数。
eajum 2010-03-17
- 打赏
- 举报
帮楼主顶一下,我也在看DLL。还没有楼主了解的多呢,只知道个_declspec(dllexport)和_declspec(dllimport)
