C++黑客编程揭秘与防范之利用修改内存的方式实现进程注入

最新推荐文章于 2025-03-12 13:05:32 发布
原创 最新推荐文章于 2025-03-12 13:05:32 发布 · 1.9k 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

头文件ILHook.h

/********************************************************************	
	purpose:	利用修改内存的方式来实现进程注入
*********************************************************************/

#pragma once
#include <Windows.h>
class CILHook
{
public:
    CILHook(void);
    ~CILHook(void);

    BOOL Hook(LPSTR pszModuleName, LPSTR pszFunName, PROC procFun);
    void UnHook();
    BOOL ReHook();

    PROC m_pfnOld;
    BYTE m_bOld[5];
    BYTE m_bNew[5];
};


源文件ILHook.cpp

#include "StdAfx.h"
#include "ILHook.h"

CILHook::CILHook(void)
{
    m_pfnOld = NULL;
    ZeroMemory(m_bNew, 5);
    ZeroMemory(m_bOld, 5);

}

CILHook::~CILHook(void)
{
    UnHook();
}

BOOL CILHook::Hook( LPSTR pszModuleName, LPSTR pszFunName, PROC procFun )
{
    BOOL bRet = FALSE;
    m_pfnOld = (PROC)GetProcAddress(GetModuleHandle(pszModuleName), pszFunName);
    if (m_pfnOld != NULL)
    {
        //保证旧的数据
        DWORD dwNum(0);
        ReadProcessMemory(GetCurrentProcess(), m_pfnOld, m_bOld, 5, &dwNum);

        //构造JMP指令, 39是JMP指令的机器码
        m_bNew[0] = '\xe9';

        //修改目标函数的入口地址
        *(DWORD*)(m_bNew+1) = DWORD(procFun) - DWORD(m_pfnOld) - 5;
        WriteProcessMemory(GetCurrentProcess(), m_pfnOld, m_bNew, 5, &dwNum);
        bRet = TRUE;

    }
    return bRet;
}

void CILHook::UnHook()
{
    if (m_pfnOld != NULL)
    {
        DWORD dwNum(0);
        WriteProcessMemory(GetCurrentProcess(), m_pfnOld, m_bOld, 5, &dwNum);
    }

}

BOOL CILHook::ReHook()
{

    if (m_pfnOld != NULL)
    {
        DWORD dwNum(0);
        WriteProcessMemory(GetCurrentProcess(), m_pfnOld, m_bNew, 5, &dwNum);
        return  TRUE;    
    }

    return FALSE;
}


测试文件

#include "StdAfx.h"
#include "MainHook.h"

CILHook MsgHook;


int WINAPI myMessageBoxA(HWND hwnd,
                         LPCTSTR lpText,
                         LPCTSTR lpCaption, 
                         UINT uType)
{
    MsgHook.UnHook();
    MessageBox(hwnd, "hook", lpCaption, uType);
    //MessageBox(hwnd, lpText, lpCaption, uType);
    MsgHook.ReHook();
    return IDOK;
}


void testHook()
{
    MessageBox(NULL, "test", "information", MB_YESNO);

    MsgHook.Hook("User32.dll", "MessageBoxA", (PROC)myMessageBoxA);
    MessageBox(NULL, "test", "information", MB_OK);
    MsgHook.UnHook();

    MessageBox(NULL, "test", "information", MB_OK);

}


 

 

C/C++ 进程无模块内存注入[x86/x64]
05-30
Windows R3 无模块注入,x86+x64通用,不支持异常处理,编译前关闭GS安全检查,VS2015所写,并无明显C++特征,兼容性极高
VC++进程注入源码
03-01
C++进程注入源码及源码解释,在前人的基础上按照自己的理解重新写的
二、C++反作弊对抗实战 (进阶篇 —— 17.如何内存校验保护代码段、对抗远程线程注入)
Koma的主页
03-05 1451
这一章节将重点介绍如何利用内存校验防止第三方模块或辅助软件恢复我们的HOOK或者篡改任意代码段,配套全程在2.17目录中,本专栏所有内容仅供学习参考,我们应当坚决抵制任何不非行为!
Hacker编程系列-远线程注入
11-18 662
转载:http://blog.csdn.net/whatday/article/details/8975930 一、远程线程注入基本原理 远程线程注入——相信对Windows底层编程和系统安全熟悉的人并不陌生,其主要核心在于一个Windows API函数CreateRemoteThread,通过它可以在另外一个进程注入一个线程并执行。在提供便利的同时,正是因为如此,使得系统内部出现了安全隐患。常用的注入手段有两种:一种是远程的dll的注入,另一种是远程代码的注入。后者相对起来更加隐蔽,也更难被杀软检测
安全之路 —— C++实现进程守护
dengdao1372的博客
09-08 795
简介 所谓进程守护,就是A进程为了保护自己不被结束,创建了一个守护线程来保护自己,一旦被结束进程,便重新启动。进程守护的方法多被应用于恶意软件,是一个保护自己进程的一个简单方式,在ring3下即可轻松实现。而创建守护线程的方法多采用远程线程注入方式,笔者之前曾介绍过远程线程注入的基本方式,主要分为DLL远程注入和无DLL远程注入。 代码实现 ///////////////////...
C/C++ DLL反射式注入内存手动映射
LYSHARK
07-16 9725
首先计算得到基地址的偏移量,也就是实际的 DLL 加载地址减去 DLL 的推荐加载地址(保存在 NT可选头的 ImageBase 中,实际 DLL 加载地址是我们调用 VirtualAlloc()的返回值。首先使用 _ReturnAddress() 获取当前函数的返回地址,因为调用这个函数是在 ReflectiveLoader 的内部,因此从这个地址向上遍历,找 0x4d ,0x5a 就可以定位到 DLL 的 PE 文件头所在的虚拟地址 (o゚v゚)ノ。将 DLL 的 PE文件头和各个节复制到对应的位置。
黑客编程hack/黑客入侵用什么编程语言_小白白帽子技巧
程序员六七的博客
07-29 429
黑客通常利用多种编程语言进行入侵行为,包括1、Python、2、JavaScript、3、C/C++、4、PHP以及5、Ruby。其中,Python因其简单易学、功能强大的特性
计算机网络:常见的网络攻击方式黑客惯用的伎俩
致力于C语言C++知识分享!
10-08 624
黑客安全 ​在当今的互联网当中,总是存在着我们看不见也摸不着的一些 “互联网地下工作者”,也就是黑客黑客的攻击方式分为很多种,有非破坏性攻击和破坏性攻击。非破坏性攻击一般是为了扰乱系统的执行,使之暂时失去正常正常对外界提供服务的能力,比如臭名昭著的DDoS攻击等。而破坏性攻击主要会造成两种结果:系统数据受损或者信息被窃取,好比如CSRF攻击等。黑客使用的攻击大致可分为三种,植入病毒式、洪水式(大幅度攻击)、系统漏洞式。 ​他们攻击的特点主要集中于:分布式、高流量、深度匿名。就好比如DDoS攻击,
黑客是怎样练成的?
w56348的博客
09-07 585
黑客是指那些擅长计算机技术的人员。他们能够深入了解和理解计算机系统和网络的工作原理,并利用这些知识来保护系统和网络,同时也可以通过挖掘漏洞和进行攻击来测试系统的安全性。然而,黑客这个词在不同的语境中有着不同的含义。在一般的媒体报道中,黑客通常被描述为进行非法活动的人,例如破解密码、盗取个人信息或攻击网络。然而,这种负面的定义并不准确,因为黑客也可以是合法的安全专家,他们为了保护系统和网络而进行渗透测试和漏洞挖掘。因此,我们应该意识到黑客是一种技能和知识的表达,而非具有好坏之分的身份标签。
想成为一名白帽黑客,如何高效自学网络安全技术
chengxuyuanyy的博客
11-21 1162
综上所述,学习网络安全需要建立坚实的基础知识、掌握常用工具和技术、通过实践不断提升技能,同时要注重合法合规、道德规范,才能成为一名优秀的黑客或者网络安全从业者。我整理了一些关于网络安全的资料和内容,希望能对大家了解和学习网络安全有所帮助。如果需要这些资料,可以在评论区留言,我会尽快回复。同时,也欢迎大家分享自己的看法和经验,共同推动网络安全事业的发展。网络安全产业就像一个江湖,各色人等聚集。
C++进程注入
热门推荐
神棍之路
08-25 7万+
// C++Injector.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include char shellcode[] = "\x31\xd2\xb2\x30\x64\x8b\x12\x8b\x52\x0c\x8b\x52\x1c\x8b\x42" "\x08\x8b\x72\x20\x8b\x12\x80\x7e\x0c
C++进程注入(使用DLL)
09-16
C++进程注入(使用DLL)VS2008通过测试 解决方案中有三个项目: helloword:是用来生成DLL 调用DLL:是说明动态链接库和静态链接库的方法 DLL注入:使用生成的DLL注入进程
进程注入自己的代码
07-17
进程注入自己的dll 带有测试dll 路径和要注入的程序可以自己改 hRemoteProcess=OpenProcess(PROCESS_CREATE_THREAD| //允许远程创建线程 PROCESS_VM_OPERATION | //VM操作 PROCESS_VM_WRITE , //允许写 FALSE,dwProcessID); if(!hRemoteProcess) AfxMessageBox(L"无法打开目标进程"); // KillTimer(m_ntime); //计算DLL路径需要多大内存 int cb=(1+lstrlenW(pszLibFile))*sizeof(WCHAR); //使用VirtualAllocEx函数在远程进程内存地址空间分配DLL文件名缓冲区 pszLibFileRemote=(PWSTR)VirtualAllocEx(hRemoteProcess,NULL,cb,MEM_COMMIT,PAGE_READWRITE); if(pszLibFileRemote==NULL) { AfxMessageBox(L"建立内存失败"); CloseHandle(hRemoteProcess); return; } //使用WriteProcessMemory函数将DLL的路径名复制到远程进程内存空间 BOOL iReturnCode=WriteProcessMemory (hRemoteProcess,pszLibFileRemote,(PVOID)pszLibFile,cb,NULL); if(!iReturnCode) { AfxMessageBox(L"写入错误"); VirtualFreeEx(hRemoteProcess,NULL,0,MEM_RELEASE); CloseHandle(hRemoteThread); CloseHandle(hRemoteProcess); return; } //计算loadlibraryW入口地址 HMODULE hModule=LoadLibrary(L"C:\\WINDOWS\\system32\\kernel32"); PTHREAD_START_ROUTINE pfnStartAddr=( PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle(TEXT("Kernel32")),"LoadLibraryW"); hRemoteThread=CreateRemoteThread(hRemoteProcess,NULL,0,pfnStartAddr,pszLibFileRemote,0,NULL); if(hRemoteThread==NULL) { //等待线程结束 WaitForSingleObject(hRemoteThread,INFINITE); DWORD RetV; if(GetExitCodeThread(hRemoteThread,&RetV)) CloseHandle(hRemoteThread);
进程空中技术(在内存中加载exe)
07-28
一种进程注入技术,有兴趣稍加改动可实现exe在不落地的情况下在内存中动态加载
使用C++进行进程注入
2301_79366106的博客
08-26 447
这段代码的作用是在目标进程中分配一块内存,并将要注入的DLL路径写入该内存区域。接下来,我们获取Kernel32.dll中的LoadLibraryW函数的地址,它是用来载入DLL的函数。进程注入是将代码注入到正在运行的进程中以实现某些特定目的的过程。这个代码片段中首先使用CreateToolhelp32Snapshot函数获取进程的快照,然后遍历快照中的进程并查找指定名称匹配的进程。首先,我们需要创建一个动态链接库,其作用是在注入到目标进程中后执行我们的代码。步骤3:在目标进程注入DLL。
c++注入思路inlink hook,ring3和ring 0
qq_35490522的博客
08-27 1981
注入DLL的思路步骤: 1. 在目标进程中申请一块内存空间(使用VirtualAllocEx函数) 存放DLL的路径,方便后续执行LoadLibraryA 2. 将DLL路线写入到目标进程(使用WriteProcessMemory函数) 3. 获取LoadLibraryA函数地址(使用GetProcAddress),将其做为线程的回调函数 4. 在目标进程 创建线程并执行(使用CreateRemoteThread) std::string temp = W2Astring(strDllPath); in
基于c++进程注入实现
kissyfish的专栏
12-07 5244
示范工程:http://download.csdn.net/user/kissyfish要实现对一个程序的进程注入,然后对被注入进程进行控制,首先需要查找到要注入进程ID。如何获取的进程ID呢?windows提供了一个API只要知道了这个进程里面的一个窗口句柄,就可以找到找到该进程ID。函数形式如下:DWORD GetWindowThreadProcessId(  HWND hWnd,  
VC++进程注入
sky_calls的专栏
03-01 597
概述:按照个人理解的来概述就是,将我们自己的一个dll注入到目标进程中去。这样目标进程就运行了我们的dll,在我们的dll中劫持目标函数的跳转指令----也就是目标进程在执行某一个函数时被我们拦截了,改成执行我们的函数。详细:本教程边写代码边解释,运行环境VS2012+Qt源码链接http://download.csdn.net/download/sky_calls/10264654第一步、创建一...
C/C++ 将ShellCode注入进程内存
LYSHARK
11-06 6737
内存注入ShellCode的优势就在于被发现的概率极低,甚至可以被忽略,这是因为ShellCode被注入进程内存中时,其并没有之对应的硬盘文件,从而难以在磁盘中取证,但也存在一个弊端由于内存是易失性存储器,所以系统必须一直开机,不能关闭,该攻击手法可以应用于服务器上面,安全风险最小,注入后将注入器删除即可。
编写有内存漏洞的 C++ 代码,并实现内存注入的示例(一个程序注入另一个程序)
最新发布
SmartGridequation的博客
03-12 626
在 Windows 平台下,可以使用 Windows API 编写一个程序来对另一个目标程序进行内存注入
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值