Chinaunix首页 | 论坛 | 博客
  • 博客访问: 936193
  • 博文数量: 119
  • 博客积分: 6248
  • 博客等级: 准将
  • 技术积分: 1419
  • 用 户 组: 普通用户
  • 注册时间: 2008-08-08 14:14
文章分类

全部博文(119)

文章存档

2014年(1)

2012年(1)

2011年(2)

2010年(22)

2009年(81)

2008年(12)

分类: WINDOWS

2010-08-31 11:30:58

最新看了下关于dll远程注入的东西,这个技术原来是用来隐藏木马很好的方式,现在貌似很难通过了,一般的杀软都能检测到相关的行为,

// 一个dll的代码,随便加了一个messagebox函数,仅用来测试注入时候成功的,注入成功会弹出这个对话框

  1. #include "stdafx.h"  
  2. #include   
  3.  
  4. BOOL APIENTRY DllMain( HANDLE hModule,   
  5.                        DWORD  ul_reason_for_call,   
  6.                        LPVOID lpReserved  
  7.                      )  
  8. {  
  9.     MessageBoxA(NULL,"hello world","dll",MB_OK);      
  10.     return TRUE;  

// dll远程注入的代码,我这里是手动输入一个进程的pid的,其实也可以通过快照方式来固定一个进程进行注入

  1. #include   
  2.  
  3.  
  4. int  main ()  
  5. {  
  6.     DWORD  pid =  2324;  
  7.     LPVOID pAddress = 0;  
  8.     char *dllpath = "C:\\Documents and Settings\\All Users\\桌面\\dll\\Debug\\dll.dll";  
  9.     int dwSize = lstrlen(dllpath) + 1;  
  10.     DWORD  write = 0;  
  11.     BOOL bRet  = FALSE;  
  12.     HANDLE hThread  = 0;  
  13.     DWORD dwthread = 0;  
  14.  
  15.     PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE) GetProcAddress(GetModuleHandle(TEXT("kernel32")),"LoadLibraryA");  
  16.       
  17.     HANDLE  hPid = OpenProcess(PROCESS_ALL_ACCESS,FALSE,pid);  
  18.  
  19.     if ( NULL == hPid )  
  20.     {  
  21.         CloseHandle(hPid);  
  22.     }  
  23.  
  24.     pAddress = VirtualAllocEx( hPid,0,0x1000,MEM_COMMIT,PAGE_EXECUTE_READWRITE);  
  25.  
  26.     if ( NULL == pAddress)  
  27.     {  
  28.         VirtualFreeEx(hPid,pAddress,0x1000,MEM_RELEASE);  
  29.         CloseHandle(hPid);  
  30.     }  
  31.  
  32.      bRet  = WriteProcessMemory(hPid,pAddress,dllpath,dwSize,&write);  
  33.  
  34.     if ( FALSE == bRet )  
  35.     {  
  36.         VirtualFreeEx(hPid,pAddress,0x1000,MEM_RELEASE);  
  37.         CloseHandle(hPid);  
  38.     }  
  39.  
  40.     hThread = CreateRemoteThread(hPid,NULL,0,pfnThreadRtn,pAddress,0,&dwthread);  
  41.  
  42.     if ( NULL == hThread)  
  43.     {  
  44.         VirtualFreeEx(hPid,pAddress,0x1000,MEM_RELEASE);  
  45.         CloseHandle(hPid);  
  46.     }  
  47.  
  48.     return 0;     
  49.  
  50.  
阅读(2087) | 评论(2) | 转发(0) |
给主人留下些什么吧!~~

chinaunix网友2010-09-10 17:24:17

老歌 我来看你了

chinaunix网友2010-09-02 08:15:33

Download More than 1000 free IT eBooks: http://free-ebooks.appspot.com