当前位置: 首页 > news >正文

[逆向工程]C++实现DLL注入:原理、实现与防御全解析(二十五)

news 2025/5/18 13:53:54

[逆向工程]C++实现DLL注入:原理、实现与防御全解析(二十五)

引言

DLL注入(DLL Injection)是Windows系统下实现进程间通信、功能扩展、监控调试的核心技术之一。本文将从原理分析、代码实现、实战调试到防御方案,全方位讲解如何用C++实现DLL注入,并提供可直接编译的完整项目代码。

一、资源准备

1.资源准备

gmp.exe 被注入的程序

injector.exe 注入器

mandaohook.dll 需注入的dll

2.任务目标

将编写好的mandaohook.dll通过injector.exe注入器注入到gmp.exe可运行程序中。gmp.exe是一个密码学工具箱。

二、DLL注入的核心原理

DLL注入的本质是强制目标进程加载指定的DLL文件,其核心流程为:

  1. 获取目标进程句柄:通过进程ID或进程名定位目标
  2. 在目标进程中分配内存:用于存储DLL路径
  3. 写入DLL路径:将DLL的完整路径写入目标内存
  4. 创建远程线程:通过LoadLibrary加载DLL

三、关键API函数解析

API函数作用描述关键参数说明
OpenProcess打开目标进程dwProcessId:目标进程ID
VirtualAllocEx在目标进程分配内存lpAddress:分配内存地址
WriteProcessMemory向目标内存写入数据lpBaseAddress:目标内存地址
CreateRemoteThread在目标进程创建远程线程lpStartAddress:线程入口点
GetProcAddress获取LoadLibrary函数地址lpProcName:函数名

四、完整C++实现代码

1. 注入器代码(Injector.cpp)
#include <Windows.h>
#include <TlHelp32.h>
#include <iostream>
#include <memory>// 自动释放资源模板
template<typename T>
struct HandleDeleter {void operator()(T* handle) const {if (handle) CloseHandle(handle);}
};
using UniqueHandle = std::unique_ptr<void, HandleDeleter<void>>;// 查找进程ID(优化版)
DWORD FindProcessId(const wchar_t* processName) {PROCESSENTRY32W pe = { sizeof(pe) };UniqueHandle snapshot(CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0));if (!snapshot.get()) return 0;if (Process32FirstW(snapshot.get(), &pe)) {do {if (_wcsicmp(processName, pe.szExeFile) == 0) {return pe.th32ProcessID;}} while (Process32NextW(snapshot.get(), &pe));}return 0;
}// 注入主函数
int main() {// 1. 查找进程const DWORD pid = FindProcessId(L"gmp.exe");if (!pid) {std::wcerr << L"错误:未找到进程!" << std::endl;return EXIT_FAILURE;}// 2. 打开进程UniqueHandle hProcess(OpenProcess(PROCESS_CREATE_THREAD | PROCESS_QUERY_INFORMATION |PROCESS_VM_OPERATION | PROCESS_VM_WRITE | PROCESS_VM_READ,FALSE, pid));if (!hProcess) {std::wcerr << L"打开进程失败(代码:" << GetLastError() << L")" << std::endl;return EXIT_FAILURE;}// 3. 获取DLL路径wchar_t dllPath[MAX_PATH];if (!GetFullPathNameW(L"mandaohook.dll", MAX_PATH, dllPath, nullptr)) {std::wcerr << L"获取路径失败(代码:" << GetLastError() << L")" << std::endl;return EXIT_FAILURE;}// 4. 分配内存const size_t pathSize = (wcslen(dllPath) + 1) * sizeof(wchar_t);UniqueHandle pRemoteMem(VirtualAllocEx(hProcess.get(), nullptr, pathSize, MEM_COMMIT, PAGE_READWRITE));if (!pRemoteMem) {std::wcerr << L"内存分配失败(代码:" << GetLastError() << L")" << std::endl;return EXIT_FAILURE;}// 5. 写入路径if (!WriteProcessMemory(hProcess.get(), pRemoteMem.get(), dllPath, pathSize, nullptr)) {std::wcerr << L"写入内存失败(代码:" << GetLastError() << L")" << std::endl;return EXIT_FAILURE;}// 6. 获取LoadLibrary地址const auto pLoadLibrary = reinterpret_cast<LPTHREAD_START_ROUTINE>(GetProcAddress(GetModuleHandleW(L"kernel32.dll"), "LoadLibraryW"));if (!pLoadLibrary) {std::wcerr << L"获取函数地址失败(代码:" << GetLastError() << L")" << std::endl;return EXIT_FAILURE;}// 7. 创建远程线程UniqueHandle hThread(CreateRemoteThread(hProcess.get(), nullptr, 0,pLoadLibrary, pRemoteMem.get(), 0, nullptr));if (!hThread) {std::wcerr << L"创建线程失败(代码:" << GetLastError() << L")" << std::endl;return EXIT_FAILURE;}// 8. 等待注入完成WaitForSingleObject(hThread.get(), INFINITE);std::wcout << L"注入成功!" << std::endl;return EXIT_SUCCESS; 
}

编译:

g++ -shared -o mandaohook.dll mandaohook.cpp -luser32 -lgdi32 -Wall

在这里插入图片描述

2.目标DLL头文件(mandaohook.h)
#pragma once
#include <Windows.h>LRESULT CALLBACK HookProc(int code, WPARAM wParam, LPARAM lParam);
3. 目标DLL代码(mandaohook.cpp)
/*********************** myhook.cpp ***********************/
#include "mandaohook.h"// 全局变量
HHOOK g_hHook = NULL;
HWND g_hNotepadppWnd = NULL;// 前向声明线程函数
DWORD WINAPI ThreadProc(LPVOID lpParameter);//-----------------------------------------------------------------------------
// DLL入口函数
//-----------------------------------------------------------------------------
BOOL APIENTRY DllMain(HMODULE hModule,DWORD  ul_reason_for_call,LPVOID lpReserved)
{switch (ul_reason_for_call){case DLL_PROCESS_ATTACH:// 创建线程避免阻塞DllMainCreateThread(nullptr, 0, ThreadProc, hModule, 0, nullptr);break;case DLL_PROCESS_DETACH:if (g_hHook) {UnhookWindowsHookEx(g_hHook);g_hHook = nullptr;}break;}return TRUE;
}// 线程处理函数
DWORD WINAPI ThreadProc(LPVOID lpParameter)
{HMODULE hModule = (HMODULE)lpParameter;// 使用 OutputDebugStringW 输出调试信息OutputDebugStringW(L"DLL成功注入gmp.exe!");MessageBoxW(nullptr, L"DLL成功注入gmp.exe!", L"提示", MB_OK);g_hNotepadppWnd = FindWindowExW(nullptr, nullptr, L"gmp.exe", nullptr);if (g_hNotepadppWnd) {g_hHook = SetWindowsHookExW(WH_KEYBOARD_LL,HookProc,hModule,0);}return 0;
}//-----------------------------------------------------------------------------
// 钩子处理函数
//-----------------------------------------------------------------------------
LRESULT CALLBACK HookProc(int code, WPARAM wParam, LPARAM lParam)
{if (code == HC_ACTION) {const auto* pKbd = reinterpret_cast<KBDLLHOOKSTRUCT*>(lParam);if (pKbd->vkCode == VK_F12 && (pKbd->flags & LLKHF_UP)) {MessageBoxW(g_hNotepadppWnd, L"安全提示:F12功能已被拦截!", L"安全防护", MB_ICONWARNING | MB_OK);return 1;}}return CallNextHookEx(g_hHook, code, wParam, lParam);
}

编译:

g++ -shared -o mandaohook.dll mandaohook.cpp -luser32 -lwininet -Wall -municode

在这里插入图片描述

五、测试结果

gmp.exe injector.exe mandaohook.dll放入同一个文件夹下:

在这里插入图片描述

1.先打开gmp.exe 工具

2.再打开DebugView

3.执行injector.exe 注入器注入

4.查看注入信息

可以先查看下gmp.exe PID
在这里插入图片描述
在这里插入图片描述

查看DebugView已注入。

六、技术难点与解决方案

1. 权限问题
  • 症状OpenProcess返回ERROR_ACCESS_DENIED
  • 解决:以管理员权限运行注入器
  • 代码实现
    #include <ShellAPI.h>
ShellExecuteW(nullptr, L"runas", L"Injector.exe", nullptr, nullptr, SW_SHOW);
2. 路径转换问题
  • 症状:DLL路径包含中文字符导致写入失败
  • 解决:使用宽字符API并验证路径
    if (!PathFileExistsW(dllPath)) {// 处理路径不存在的情况
}
3. 64/32位进程兼容
  • 症状:跨架构注入失败(如64位注入器操作32位进程)
  • 解决:使用Wow64DisableWow64FsRedirection
    PVOID oldValue = nullptr;
Wow64DisableWow64FsRedirection(&oldValue);
// 执行文件操作
Wow64RevertWow64FsRedirection(oldValue);

七、防御DLL注入方案

  1. 进程保护:调用SetProcessMitigationPolicy
    PROCESS_MITIGATION_BINARY_SIGNATURE_POLICY policy = {};
policy.MicrosoftSignedOnly = 1;
SetProcessMitigationPolicy(ProcessSignaturePolicy, &policy, sizeof(policy));
  2. 钩子检测:定期检查LoadLibrary调用栈
  3. 内存保护:启用DEP和ASLR
    #pragma comment(linker, "/DYNAMICBASE:YES")
#pragma comment(linker, "/NXCOMPAT")

八、实战调试技巧

  1. 调试输出:使用OutputDebugStringW
    OutputDebugStringW(L"[DEBUG] DLL已加载");
  2. 日志文件:写入临时文件监控行为
    FILE* f = _wfopen(L"C:\\inject_log.txt", L"a+");
fwprintf(f, L"PID:%d 已注入\n", GetCurrentProcessId());
fclose(f);
  3. Process Monitor:监控进程的DLL加载事件

如果本教程对您有帮助,请点赞❤️收藏⭐关注支持!欢迎在评论区留言交流技术细节!

http://www.xdnf.cn/news/506791.html

相关文章:

  • Flowbite 和 daisyUI 那个好用?
  • AI Agent开发第69课-彻底消除RAG知识库幻觉(3)-手撕“重排序”
  • W5500使用ioLibrary库创建DNS客户端
  • 【人工智能】DeepSeek解码:揭秘AI大模型训练的创新密码
  • 从0到1:Python项目部署与运维全攻略(10/10)
  • 如何在Cursor中高效使用MCP协议
  • 桌面端进程通信
  • 第十一课 蜗牛爬树
  • 恢复因 oh-my-zsh 安装导致丢失的 zsh 环境变量
  • 【Docker 新手入门指南】第五章:Hello Word
  • JavaScript运算符
  • 人工智能-自然语言与语音产品实现
  • SpringBoot--自动配置原理详解
  • 2025.05.17淘天机考笔试真题第二题
  • vue使用axios实现拦截器
  • 体育比分数据服务避坑指南
  • 信息与信息化
  • 【高斯函数拟合】高斯-牛顿法与梯度下降法的 Python 实现
  • Python集合运算:从基础到进阶全解析
  • 无线信道的噪声与干扰
  • 长三角、珠三角、成渝、京津冀四大城市群的区域与分布
  • 生产者 - 消费者模式实现方法整理
  • Ubuntu 添加系统调用
  • 给你的matplotlib images添加scale Bar
  • Python 3.11详细安装步骤(包含安装包)Python 3.11详细图文安装教程
  • 学习深度学习是否要先学习机器学习?
  • C语言| 指针变量的定义
  • 现货黄金跌破 3160 美元,市场行情剧烈波动​
  • 数据库故障排查指南:从紧急响应到根因分析【DeepSeek创作】
  • AUTOSAR图解==>AUTOSAR_SRS_WatchdogDriver