新建进程时对进程进行DLL注入的问题

VC/MFC > 进程/线程/DLL
收藏 回复
[问题点数:100分,结帖人hiroyukki]
更多帖子
私信 空间 博客
贪食蛇男
等级
本版专家分:581
结帖率 100%
模块工作流程如下:
1. 先用CBT HOOK将我的DLL(记作my.dll)注入到一个进程(记做进程A)中
2. HOOK 进程A的CreateProcessInternalW
3. 在 CreateProcessInternalW 的处理中将参数加 SUSPEND 将要创建的进程(记做进程B)的主线程挂起
4. 使用远程线程(记做线程A)将 my.dll 注入进进程B

my.dll 里这么写:
1. 线程A(即DllMain的线程)创建一个线程(记做线程B)
2. 线程B加载其他需要的DLL
3. 线程B看是否需要恢复进程B的主线程的运行,如果需要,就打开进程B的主线程,调用 ResumeThread以恢复B进程的正常执行

如果一切正常的话,此举会构成一张HOOK网,以监视系统中大部分进程(除一些服务和比较底层的进程)

问题来了:
32位WIN7上没有什么问题。每个进程新创建后马上被HOOK,然后才开始执行
XP 上大部分进程也正常,但有少量进程(包括notepad.exe)在线程B调用完 ResumeThread 后(并且恢复运行成功,调试表明进程B的挂起的线程开始执行了)很快就死掉了。

我百思不得其解,有谁做过类似的东西,希望给予指教
只看楼主 引用 举报 楼主 收起
展开阅读全文
更多帖子
私信 空间 博客
Lactoferrin
等级
本版专家分:29824
勋章
Blank
蓝花 2012年3月 VC/MFC大版内专家分月排行榜第三
2012年1月 VC/MFC大版内专家分月排行榜第三
线程B加载其他需要的DLL,这是什么意思?
如果是创建进程时注入dll,不要用远程线程
在hook过的CreateProcessInternalW中
QueueUserAPC(LoadLibraryW,pi.hThread,dllname);
ResumeThread(pi.hThread);即可注入
只看TA 引用 举报 #1得分 0
更多帖子
私信 空间 博客
Lactoferrin
等级
本版专家分:29824
勋章
Blank
蓝花 2012年3月 VC/MFC大版内专家分月排行榜第三
2012年1月 VC/MFC大版内专家分月排行榜第三
pi.hThread就是那个PROCESS_INFORMATION.hThread
只看TA 引用 举报 #2得分 0
更多帖子
私信 空间 博客
贪食蛇男
等级
本版专家分:581
列宁先生,我痛苦地发现,这应该不是我的DLL的问题。换言之,我的DLL在这个注入方面很可能没有问题(因为它在WIN7上运行良好),我极度压缩了对此问题的描述,悲剧地发现,很可能是XP远程线程机制我不够了解。
我把极度压缩后的问题编码如下:

引用 2 楼 lactoferrin 的回复:
pi.hThread就是那个PROCESS_INFORMATION.hThread



#include <stdio.H>

#include <windows.h>



typedef DWORD (*THREAD_PROC)(void*);



BOOL WINAPI InjectDllToProcW(DWORD procID, LPCWSTR dll)

{

    BOOL bRet = FALSE;

    HANDLE hProc = NULL;

    void* remoteMem = 0;

    size_t len = 0;



    do

    {

        THREAD_PROC loadLib = (THREAD_PROC)GetProcAddress(GetModuleHandleA("kernel32.dll"), "LoadLibraryW");

        if(!loadLib)

        {

            break;

        }



        hProc = OpenProcess(PROCESS_VM_OPERATION | PROCESS_VM_WRITE | PROCESS_CREATE_THREAD | PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, FALSE, procID);

        if(!hProc)

        {

            break;

        }



        len = (wcslen(dll) + 1) * sizeof(wchar_t);

        // 多分配俩字节,为了可能产生的内存对齐用

        remoteMem = VirtualAllocEx(hProc, NULL, len, MEM_COMMIT, PAGE_READWRITE);

        if(!remoteMem)

        {

            break;

        }



        char* dllAddr = (char*)remoteMem;

        // 最好是2的整数倍,否则在WIN7上有平台兼容性问题

        if((int)dllAddr % 2)

        {

            dllAddr++;

        }



        if(!WriteProcessMemory(hProc, dllAddr, (void*)dll, len, NULL))

        {

            break;

        }



        DWORD threadID = 0;

        HANDLE hThread = CreateRemoteThread(hProc,

                                            NULL,

                                            0,

                                            (LPTHREAD_START_ROUTINE)loadLib,

                                            dllAddr,

                                            CREATE_SUSPENDED,

                                            &threadID);

                                            

        if(!hThread)

        {

            break;

        }

        ResumeThread(hThread);

        CloseHandle(hThread);



        bRet = TRUE;

    } while (FALSE);



    if(hProc)

    {

        CloseHandle(hProc);

    }

    return bRet;

}



int main()

{

    STARTUPINFO si = {0};

    si.cb = sizeof(si);

    si.wShowWindow = SW_SHOW;

    si.dwFlags = STARTF_USESHOWWINDOW;

    

    PROCESS_INFORMATION pi = {0};

    CreateProcess(NULL, "C:\\windows\\system32\\notepad.exe", NULL, NULL, FALSE, CREATE_SUSPENDED, NULL, NULL, &si, &pi);

    

    // 注入不存在的都会有问题,看来是 CreateRemoteThread 本身的机制问题,不创建远程线程就没事

    // if(InjectDllToProcW(pi.dwProcessId, L"a"))

    if(InjectDllToProcW(pi.dwProcessId, L"C:\\windows\\system32\\kernel32.dll"))

    {

        printf("注入成功\n");

        getchar();

    }

    else

    {

        printf("注入失败\n");

    }

    

    

    ResumeThread(pi.hThread);

    printf("%d\n", GetLastError());

    return 0;

}
只看TA 引用 举报 #3得分 0
更多帖子
私信 空间 博客
贪食蛇男
等级
本版专家分:581
即是说,只要向一个挂起的进程创建了远程线程,就会有这个问题。
但我不能理解为什么只有部分进程会死掉。
经过我调试, notepad.exe 是在 NtUserCreateWindowEx 返回0时主动退出的进程。
我觉得这也非问题所在,很可能有别的进程以别的方式产生问题。
只看TA 引用 举报 #4得分 0
更多帖子
私信 空间 博客
jamseyang
等级
本版专家分:3345
顶起!
只看TA 引用 举报 #5得分 0
更多帖子
私信 空间 博客
Lactoferrin
等级
本版专家分:29824
勋章
Blank
蓝花 2012年3月 VC/MFC大版内专家分月排行榜第三
2012年1月 VC/MFC大版内专家分月排行榜第三
进程的很多初始化工作是主线程开始执行LdrInitializeThunk中完成的,在ResumeThread(pi.hThread);之后
在ResumeThread(pi.hThread);之前那个进程很多东西都没准备好,包括kernel32.dll都没加载,所以我不建议使用CreateRemoteThread注入
只看TA 引用 举报 #6得分 0
更多帖子
私信 空间 博客
贪食蛇男
等级
本版专家分:581
请问有没有别的变通方式,因为我的模块注入后要做API HOOK,如果目标进程中的线程状态不确定,我怕会造成我改写的API首部指令正被别的线程执行的问题。
于是我就采有HOOK父进程的创建进程的函数用来第一时间注入。
easyhook 是使用创建挂起进程的方式
detours 是使用创建挂起进程后修改导入表的方式。
还有别的方式吗?
引用 6 楼 lactoferrin 的回复:
进程的很多初始化工作是主线程开始执行LdrInitializeThunk中完成的,在ResumeThread(pi.hThread);之后
在ResumeThread(pi.hThread);之前那个进程很多东西都没准备好,包括kernel32.dll都没加载,所以我不建议使用CreateRemoteThread注入
只看TA 引用 举报 #7得分 0
更多帖子
私信 空间 博客
Lactoferrin
等级
本版专家分:29824
勋章
Blank
蓝花 2012年3月 VC/MFC大版内专家分月排行榜第三
2012年1月 VC/MFC大版内专家分月排行榜第三
注入dll的方式就用我说的QueueUserAPC
关于api hook我有个修改函数开头指令的,不过解决了多线程重入的问题,如果你要留下邮箱
只看TA 引用 举报 #8得分 0
更多帖子
私信 空间 博客
贪食蛇男
等级
本版专家分:581
hiroyukki@126.com
谢谢
引用 8 楼 lactoferrin 的回复:
注入dll的方式就用我说的QueueUserAPC
关于api hook我有个修改函数开头指令的,不过解决了多线程重入的问题,如果你要留下邮箱
只看TA 引用 举报 #9得分 0
更多帖子
私信 空间 博客
speacegenaul
等级
本版专家分:6
给我分啊
只看TA 引用 举报 #10得分 0
1 2
收起
收藏 回复
贪食蛇男

等级:

关注 私信 TA的帖子
启动进程注入dll

// CreateProcessWithDll.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include "windows.h" #include "stdio.h" BOOL StartHook(HANDLE hProcess,HANDLE ...BOOL EnableDebugPriv()

DLL注入系列之劫持进程创建注入

上一篇记录了远线程注入,这里记录下劫持进程创建注入 0x01 前言 DLL注入指的是向运行中的其他...DLL注入的工作原理就是从外部促使目标进程调用LoadLibrary()API (与一般DLL加载相同),所以会强制调用执行DLL的DIIMain.

进程注入(把DLL注入进程)( 通过钩子、线程等方式)

后卫大师教你进程注入首先提一下,由于文章完全是我手写,所以打不了太多,请包含,由于我已经提供了源代码,所以我在... 所谓DLL注入,既把一个DLL文件放到目标进程中。 下面介绍2种注入方式: 1.远程线程注入。 2...

Dll注入技术之劫持进程创建注入

 劫持进程创建注入原理是利用Windows系统中CreateProcess()这个API创建一个进程,并将第6个参数设为CREATE_SUSPENDED,进而创建一个挂起状态的进程,利用这个进程状态进行远程线程注入DLL,然后用ResumeThread()...

DLL注入进程思路

1.消息钩子 2.OpenProcess,然后WriteProcessMemory,再然后LoadLibrary Hook函数 1.Hook ADT 2.Inline hook(jmp HOOK) 转载于:https://www.cnblogs.com/fanzi2009/archive/2010/11/02/1867532.html...

用vb进行dll进程注入

利用vb进行dll注入进程,貌似不太可能,其实也不尽然,凡事变通一下,大家知道在vc下注入很容易的事情,那么我们何不把vc下的代码写成dll供vb调用呢,我试了一下,感觉还不错.下面看代码,首先是vc下的:先建一个mfc dll工程...

windows10 记事本进程 键盘消息钩子 dll注入

如图,我通过SetWindowsHookEx()函数向记事本进程中当前窗口线程注入了自己写的dlldll中设置的回调函数使,当键盘按了1,那么就会触发一个MessageBox。 工具:VS 2015, PCHunter(用于查看是否成功注入dll,...

DLL注入explorer.exe进程

**DLL注入explorer.exe进程**   最近一直在学习dll注入远程进程的相关知识,于是有了这篇文章。通过注入的方式会运行程序,在资源管理器中是看不到,相关的进程的,这为程序的隐藏提供了极大的便利。 一、新建dll...

利用HOOK技术实现DLL远程进程注入

转载:http://blog.sina.com.cn/s/blog_651cccf70100tkvb.html上... 实际上,HOOK有多种用法,本文讲述其中一种:利用HOOK技术实现DLL远程进程注入。 远程进程注入,按照作者的理解,就是让其他进程替你并运行DLL...

简单的DLL注入及代码详解

dll注入是一种常用的攻击方法,其大概步骤如下: 1,编译出一个DLL,这个DLL的DllMain里面负责搞破坏 2,打开一个目标进程(就是你要搞破坏的进程) 3,在打开的目标进程里面分配一块内存(它的用处是用于放我们...

DLL注入的8种姿势

目录 1、远程线程注入 2、APC注入 3、注册表注入 4、ComRes注入 ...一、DLL注入——远程线程注入 https://blog.csdn.net/Cody_Ren/article/details/100041660 二、DLL注入——APC注入 APC注入...

C# DLL注入技术

前段时间研究了了一下dll注入,虽然这项技术已经被写烂了,而且现在而言,这项技术已经落后了,基本上编程都到内核的级别了,不过再过时的技术对于我们刚学编程的菜鸟来说都是新鲜的,我们还是要一点一点的来学,先...

Dll注入技术之输入法注入

输入法注入原理是利用Windows系统中在切换输入法需要输入字符,系统就会把这个输入法需要的ime文件装载到当前进程中,而由于这个Ime文件本质上只是个存放在C:\WINDOWS\system32目录下的特殊的DLL文件,因此我们...

Dll注入技术之APC注入

APC注入的原理是利用当线程被唤醒APC中的注册函数会被执行的机制,并以此去执行我们的DLL加载代码,进而完成DLL注入的目的,其具体流程如下: 1)当EXE里某个线程执行到SleepEx()或者WaitForSingleObjectEx(),...

MFC hook注入dll,远程线程注入dll

#include "stdafx.h" ...#define WM_HOOKDLL WM_USER+2013 #pragma data_seg(".Share") HWND g_hMainWnd=NULL;//主窗口句柄; HHOOK hhkHook=NULL; //鼠标钩子句柄; HINSTANCE hInstDll=NULL;//本dll实例句柄;

MFC动态调用dll到指定的进程中(win7系统vs2013环境下)

在这里将写一个简单的MFC程序,此MFC将把一个dll插入到一个目标进程(也叫靶子)中。 原理很简单,就是通过目标(靶子)窗口的类名,找到这个目标的进程,再动态地将dll插入其中。 要实现此效果也并不复杂,就算是刚...

DLL注入notepad.exe

新建一个dll的工程,但是不要选择空项目,这样会自动生成一些简单的.h和.cpp文件,我这里自动生成了 stdafx.h、targetver.h、dllmain.cpp、simple_dll.cpp、stdafx.cpp,修改dllmain.cpp,修改为: // dllmain.cpp...

实现DLL注入与卸载

在执行DLL注入时需要通过创建“远程线程”来实现。所谓“远程线程”,并不是跨计算机,而是跨进程的。简而言之,就是进程A在进程B中创建一个线程,这个线程就叫“远程线程”。 要向其它进程中“注入”DLL就需要在...

MFC hook注入dll,远程线程注入dll

[cpp] view plain copy  print? #include "stdafx.h"  ...//很多人在vs2010找不到dllmain的文件,都倍封装好了,其实就在新建项目--win32--win32项目完后选择dll  [cpp] view plain copy  print?

Dll注入技术之输入法注入

 输入法注入原理是利用Windows系统中在切换输入法需要输入字符,系统就会把这个输入法需要的ime文件装载到当前进程中,而由于这个Ime文件本质上只是个存放在C:\WINDOWS\system32目录下的特殊的DLL文件,因此我们...

[转载]也谈VB远线程注入 Dll注入

不,仔细研究了网上流传的VC版的dll注入代码后,先用VC做了个,然后翻译成VB的,中间经过不少曲折(我太菜,高手别笑我啊),现将经验写出来,供和我一样的新手参考,如有不对之处还望高手指出。首先我们要写一个dll...

简单的DLL注入及代码详解

dll注入是一种常用的攻击方法,其大概步骤如下: 1,编译出一个DLL,这个DLL的DllMain里面负责搞破坏 2,打开一个目标进程(就是你要搞破坏的进程) 3,在打开的目标进程里面分配一块内存(它的用处是用于放我们...

DLL注入技术之输入法注入

输入法注入原理是利用Windows系统中在切换输入法需要输入字符,系统就会把这个输入法需要的ime文件装载到当前进程中,而由于这个Ime文件本质上只是个存放在C:\WINDOWS\system32目录下的特殊的DLL文件,因此我们...

远程线程DLL注入64位进程

1 int main() 2 { 3 BOOL bFlag = FALSE;... 5 char *szDllName = "MSGDLL.dll"; 6 //bFlag = EnablePrivilege(SE_DEBUG_NAME); //返回值为1代表成功 7 8 9 //得到目标进程句柄 10 HA...

《逆向工程》dll注入基础

第三部分-dll注入-上 文章目录第三部分-dll注入-上21. windows消息钩取21.2 消息钩子21.3 SetWindowsHookEx21.5.1 调试23. dll注入CreateRemoteThread()AppInit_DLLsSetWindowsHookEx24. dll卸载原理实现 21. ...

Windows DLL 注入技术

Windows DLL 注入技术 本文主要介绍四种常见的 Windows DLL 注入技术。 分别为全局钩子、远线程钩子、突破 SESSION 0 隔离的远线程注入和 APC 注入。 全局钩子注入 Windows 中大部分应用是基于 Windows 的消息机制...

DLL远程注入实践

最近在网上找到一篇介绍DLL远程注入的文章《DLL远程注入技术》,通过DLL注入,可以让你的进程不独立运行,而是隐藏到一个普通的已经运行的进程中,很多木马好像就是这么实现的。感觉挺有趣的,所以就自己实践了下。...

API hook原理和实例快速入门(inline hook),以dll线程注入方式使用(win7-64bit)

完成dll注入程序的设计和生成 本文完成第一步。 第二步在http://blog.csdn.net/arvon2012/article/details/7767437有详细讲解。   最近在64位win7上hook文件复制,拖拽和剪切的hook(这个要通过hook ...

DLL注入浅析(下)

DLL注入浅析(下) 这一篇文章主要讲基于CreateRemoteThread的DLL注入,最后会以一个游戏修改器来结束此文。 关于DLL注入有注册表注入和远程线程注入两种方式。 此文主讲远程线程注入(即...

利用远程线程注入DLL (DELPHI版)

SDK文档里是这样描述的:进程是一个正在运行的程序,它拥有自己的地址空间,拥有自己的代码,数据和其他系统资源.一个进程包含了一个或者多个运行在此进程内的线程. 从定义上看出进程一定要有线程,线程是进程内存...

相关热词 c#中字符串大小写转化 c# 设置加载ie11 c#捕获关机信号 c#显示键盘输入的字符 c#list对象排序 c# sql查询方法 3d贝塞尔曲线 c# c#获取秒 c# 类型可空转换 c#字符串转ascii码